Jak v FG dbáme na bezpečnost III.

Zabezpečení proti útokům z internetu: WAF

FG Forrest vždy klientům doporučuje zvážit využití Web Application Firewallu, případně ochrany proti DDoS útokům. 

WAF si lze laicky představit jako antivirový program, který kontroluje původ a obsah datových přenosů z internetu k webovým serverům. Tzn. prvky WAF eliminují škodlivý provoz z internetu (běžně až 75 %) na základě typických znaků. K obsahu na koncovém aplikačním serveru (stránkám webu či e-shopu) se díky WAF nedostává většina nelegitimních požadavků, a ten tedy nemusí disponovat nadbytečným výkonem.

V roce 2020 jsme integrovali vlastní WAF do CMS & e-commerce platformy Edee.one, jak popisujeme v samostatném článku.

Ochrana proti DDoS útokům

DDoS útoky mají za cíl znepřístupnit webové řešení pro běžné návštěvníky. Princip fungování internetové sítě umožňuje tyto útoky poměrně snadno realizovat, přičemž ochrana je bohužel poměrně náročná.

Ochrana proti DDoS útoku se obvykle řeší softwarovými prvky předřazenými samotnému webovému řešení. Laicky lze ochranu popsat jako čističku, do níž vstupuje veškerý internetový provoz, a jakmile je čističkou zjištěna anomálie (např. DDoS útok), jsou zapojeny filtry, které škodlivý provoz z internetu k webovému řešení eliminují. Ochranné prvky musí disponovat velkým výkonem, neboť útoky mohou dosahovat velké síly (šířky internetové konektivity). Proto provozovatelé anti DDoS ochran obvykle definují maximální počet požadavků za sekundu, kterým jsou schopni čelit.

Ceny za ochranu se pak obvykle odvíjí od horní hranice odolnosti nebo od počtu filtrovaných požadavků za sekundu.

Dlouhodobě máme dobré zkušenosti s WAF a anti DDoS službou Incapsula od společnosti Imperva, které jsme implementovali a spravujeme nakolika klientům. Dále nabízíme produkty společností Comsource (Flowguard) a VSHosting (DDoS Protect). Pro webová řešení vyžadující mimořádnou rychlost napříč kontinenty a bezpečnost doporučujeme i produkt od společnosti Cloudflare.

U cloudových služeb lze obvykle objednat WAF včetně anti DDoS ochrany. Spojenou službou u těchto poskytovatelů  bývá i CDN - Content Delivery Network. CDN je určena ke zrychlení doručování webového obsahu, tj. ke zrychlení a zvýšení uživatelské kapacity webového řešení. Popis CDN je však nad rámec tohoto seriálu zaměřeného na bezpečnostní prvky.

Edee.one - zabezpečení administrace CMS

Edee.one je komplexní platforma pro správu webů, e-shopů, intranetů a e-mailing. Vyvinuli jsme ji během 20 let v FG, slouží ke správě stovek webových řešení. Editorský přístup do administrace je umožněn po přihlášení, jehož zabezpečení zahrnuje následující prvky:

• dvoukrokové přihlášení dle TOTP standardu (kombinace uživatelského jména+hesla a dalšího prvku, obvykle dočasného kódu generovaného spárovanou mobilní aplikací)
• 2FA je v dnešní době již standardem
• významně zvyšuje ochranu proti neoprávněnému přihlášení
• u nových projektů od konce roku 2019 jej Edee.one požaduje u editorů ve výchozím nastavení - do té doby pouze volitelně (v uživatelském profilu)
• v budoucnosti plánujeme volitelnou náhradu za silnější prvek - USB token např. od Yubico
• ochrana proti hromadnému hádání přihlašovacích údajů
• ratelimiting - zabránění zahlcení přihlašovacího mechanismu (z jedné IP adresy nebo jednoho uživatelského účtu)
• anti bruteforce - zabránění hádání přihlašovacích údajů (jména, hesla či kombinace obého)
• možnost zprovoznění Virtual Private Network (VPN) - administrace CMS není veřejně dostupná na internetové síti, tzn. editoři musí nejdříve použít VPN pro vytvoření bezpečného spojení a až z něj mohou vstoupit do administrace
• možnost definice povolených zdrojových IP adres pro přihlášení do administrace CMS - např. editorům je umožněn vstup do administrace pouze z firemní konektivity (kanceláře nebo VPN)

Radek Šafránek, Chief Information Security Officer

Další podobné články:
Jak v FG dbáme na bezpečnost I. (o školení zaměstnanců a externistů, a zabezpečení zaměstnaneckých počítačů a smartphonů)
Jak v FG dbáme na bezpečnost II. (o minimalizaci přístupových práv, dvoukrokovém přihlašování, bezpečnostních testech a dalších technických opatřeních)