Protecting Beyond DNS Flood & DDoS
The recent slate of cyber-attacks involving DNS and NTP systems has again prompted questions about the comprehensiveness of DNS infrastructure’s security protection. Besides mitigating volumetric attacks such as DNS flood & DDoS, many organizations have realized the need for a more comprehensive DNS security protection, which helps in preventing DNS-related security frauds and non-volumetric based attacks such as amplification and cache poisoning attacks. On DNS Amplification & DNS Reflection Attacks You might concur that increasing DNS performance with adequate DNS rate limiting mechanism is probably one of the best approaches to tackle the problem of overwhelming DNS traffic and DNS DoS attacks. However, this does not address the issue of DNS Amplification and DNS reflection attacks, which has been made popular through the Spamhaus-Cyberbunker attack incident. In this incident, CyberBunker took the advantage of open DNS resolvers to launch DNS amplification attacks, causing Spamhaus to be unreachable at times. DNS amplification and reflection attacks are typically sent to DNS servers as legitimate DNS request, in hope to receive large data size responses. The huge data size responses will eventually use up all the available bandwidth causing congestion to genuine DNS queries and responses. As such, DNS query rate limiting mechanism and higher QPS performance will not be able to counter the attack since the attacks typically come in small numbers of DNS requests. One of the ways to limit such attacks is to filter the request based on query type. Typically, DNS amplification and reflection attacks will request for ‘TXT’ or ‘ANY’ Query Type which tends to return responses with significant data size. By applying bandwidth rate limit to these query type request and large-data-size query responses, we will be able to prevent bandwidth congestion caused by these attacks. Worried about the complexity of the bandwidth rate limiting solution? Well, it only takes less than 10 lines of iRules (shown as below) on F5 DNS platform to get this enforced and implemented. when DNS_REQUEST { if { ([DNS::question type] eq "TXT") } { rateclass dns_rate_shape } } when DNS_RESPONSE { if { ([DNS::len] value > 512) } { rateclass dns_rate_shape } } Diagram 1: DNS Reflection attacks blocking genuine users from accessing LDNS server. Cache Poisoning Attacks DNSSEC is poised as the eventual and ultimate solution to counter DNS cache poisoning attacks. Though the adoption rate of DNSSEC is encouraging, it takes all parties to deploy DNSSEC signing and validation to fully protect against cache poisoning. While waiting for DNSSEC adoption rate to mature, is there any interim solution to reduce or prevent cache poisoning attacks? Based on DNS RFC standards, name servers are required to treat domain names request with case-insensitivity. In other words, the names www.foo.com and WWW.FOO.COM should resolve to the same IP address. However, most name servers will preserve the original case when echoing back the domain name in the response. Hence, by randomly varying the case of characters in domain names queried, we will be able to add entropy to requests. With this verification mechanism, the name server response must match the exact upper and lower case of every character in the name string; for instance, wWw.f5.CoM or WwW.f5.COm, which significantly reduces the success rate of cache poisoning attacks. With F5’s DNS solution, this mechanism can be enabled with just a check box on the management pane. The packet capture of the query case randomization process by F5 DNS is shown as below. As depicted in the diagram, for queries to www.google.com, F5 Cache DNS will randomize the character case of the query prior sending the query to Google’s authoritative DNS server. This greatly reduces the chances of unsolicited queries matching the domain name and DNS request transaction ID, which causes the poisoning of cached DNS records. Diagram 2: Character case randomizer in F5 DNS solution dramatically reduces the possibilities of DNS cache poisoning attacks DNS is among the hoariest of internet services that is still widely used today. Its usage continues to grow due to its simplicity and proliferation of smart devices. Hence, it is truly important that proper solution design and architecture approach are being put in place to protect the infrastructure. After all, the protection investment might be only a fraction of what you are paying for during an attack.
F5 신서시스 (F5 Synthesis)가 '단 하나의 애플리케이션도 빠뜨리지 않는' 이유는?
BYOD가 확산되고 인터넷 또는 웹 트래픽의 순간적 폭증에 대응할 수 있는 능력이 향상됨에 따라 최종사용자의 기대치와 비즈니스의 요구에는 변화가 일어나게 되었다. 시장조사기관인 프로스트 앤 설리번 (Frost & Sullivan)에 따르면, 사물인터넷 (IoT) 영역이 포용하는 연결된 디바이스의 수가 2020년이면 전세계적으로 800억 대에 달할 것이라고 한다. 모건 스탠리 (Morgan Stanley)에 의하면 한 기업 내에서 제공되는 애플리케이션의 종류가 1,000 개까지 달한다. 기업 내에 오가는 애플리케이션의 수가 증가하면 데이터 측면에서나 디바이스의 관점에서나 보안이 중요한 이슈로 떠오르게 되는데, DDoS 공격, 네트워크 공격, 그리고 최근에 크게 증가하고 있는 애플리케이션 레이어 공격 등을 가하는 사이버 범죄자들 역시 점점 정교해지고, 지능적이 되며, 특정 목표를 노리기 때문이다. IT 환경 전체에 걸쳐 목격되는 이런 패러다임의 변화는 데이터센터가 디바이스에 애플리케이션을 제공하는 방법을 급격히 변화시키고 있다. 이는 클라우드, 모빌리티, 보안 등이 일상적인 표준이 되면서 네트워크의 경계선이 빠르게 넓어지고 있음으로 인해 주로 비롯된다. 이에 따라 언제, 어디서나, 누구에게든 애플리케이션을 확실하게 제공할 수 있는가 하는 것이 비즈니스 과제로 등장했다. 특히, 사람들과 글로벌 조직들은 점점 더 인터넷과 웹 이용 디바이스들에 의존하게 되며, 이는 다시 불가피하게 혁신을 불러오고 데이터 트래픽의 규모를 끊임 없이 증가시키기 때문이다. 그에 대한 대응으로 우리는 소프트웨어 정의 네트워킹(SDN)과 같이 뛰어난 운영효율성 및 관리용이성에 대한 필요에 의해 생겨난 수많은 소프트웨어 정의 기술들의 출현을 목격하고 있다. 특히 오늘날에는 네트워킹 기술들이 병목으로 작용함에 따라, 이런 기술들이 IT 팀의 큰 관심을 받고 있다. 예를 들어, 인프라에 잦은 변화를 주거나 확대할 필요가 생기는 반면 네트워크에 새로운 서비스를 구축하고 변화를 주는 것은 아주 오랜 시간이 걸리게 되고 이로 인해 병목이 되는 것이다. 이 문제는 소프트웨어 정의 기술을 통해 해결될 수 있을 것이다. 모두가 SDN에 열광하는 이유를 알 수 있을 것이다. 그럼에도 불구하고, 이 등식에는 핵심 요소인 L4-L7, 애플리케이션 레이어가 빠져있다. 앱 세상에서는 기업 내 애플리케이션의 전송 및 보안 성능이 언제나 최적화되어 있어 조직들이 위에 언급된 도전과제들을 매끄럽게 극복할 수 있도록 도와야 한다. F5 네트웍스는 한 걸음 더 나아가 (주로 네트워크의 레이어 2-3 문제를 해결하는) SDN에 적용되는 이런 원칙들을 애플리케이션 레이어 (레이어 4-7)에 적용해 소프트웨어 정의 애플리케이션 서비스 (SDAS)를 제공한다. 이것은 엔드유저와 애플리케이션 사이에 구축된 서비스들로서 앱, 네트워크 및 애플리케이션 서비스들이 하나가 되도록 함으로써 애플리케이션 모빌리티, 보안, 액세스 및 정체성, 성능, 가용성과 같은 도전과제들을 아키텍처적으로 해결할 수 있는 역량을 애플리케이션 소유자들에게 제공한다. SDAS의 마술은 패브릭에 있는데, 하드웨어와 소프트웨어, 가상화가 결합되어 구축될 수 있을 뿐만 아니라 데이터 센터 영역을 뛰어넘어 클라우드 환경에서도 실현될 수 있다. 이로 인해 어떤 환경에서든 서비스를 확장하고 관리하기 위해 필요한 탄력성과 운영상의 일관성이 가능해진다. 각 서비스는 사용자, 애플리케이션 그리고 네트워크에 대한 폭넓고 깊은 정보를 실시간으로 수집할 수 있다. 이러한 확장성을 통해 기업들은 더 이상 어떤 애플리케이션을 다른 애플리케이션보다 우선해서 최적화, 가속화 또는 보호해야 할 것인지 선택할 필요가 없다. 다시 말해, 단 하나의 애플리케이션도 빠뜨리거나 뒤에 남겨두지 않는 것이다! (Original post)
사물인터넷이 ‘사회적 지능’에 대한 요구를 증가시킨다
‘혁신은 리더와 추종자를 구분하는 잣대이다.’ 스티브 잡스가 남긴 말로 글로벌 플레이어가 되기 위해 노력하는 기업들에게 있어 정곡을 찌르는 말이다. 오늘날 사물 인터넷 (Internet of Things/ IoT)은 수많은 분야에 기술혁신을 불러왔고, 이러한 현상은 이미 빌딩, 기차, 병원 및 공장에서의 센서 네트워크 혹은 지능형 도로와 같은 다양한 기업 및 공공분야로 퍼져나가고 있다. 사물인터넷(IoT)이라는 용어는 간략하게 설명될 수 있다: 이것은 실시간의 정확한 데이터 감지, 측정 역량과 함께 이 데이터를 네트워크 상의 다른 사물에게 무선으로 전송할 수 있는 역량을 가능하게 만드는 기술이다. 예를 들어, 센서가 장착된 제품들은 기업이 해당 제품의 움직임을 추적하고, 어떠한 상호 작용이든 모니터링 할 수 있도록 해준다. 기업의 결정권자들은 이러한 데이터를 직접 보유함으로써 기존의 비즈니스 모델을 보다 섬세하게 조율할 수 있는 이점을 누리게 된다. 한편, 포레스터 리서치 (Forrester Research)의 2014년 아시아태평양 기술 시장을 위한 Top 10 전망에 따르면, IoT는 비즈니스를 넘어서 개인의 일상에까지 변화를 가져오고 있다. 센서들은 사람들이 더욱 균형 잡힌 체형을 유지하고, 키를 찾는다거나, 집의 문을 열고, 주위의 기온을 모니터링 하는 등 여러 가지를 가능하게 만들고 있는 것이다. 사물 인터넷과 함께 부상하고 있는 것들 중 하나는 연결의 증가인데, 이는 불가피하게 트래픽 폭증을 유발하고, 그에 따라 기존 네트워크 인프라에 부담이 가중되어 그 어느 때보다 확장성과 유연성이 뛰어난 지능적인 인프라가 요구된다. 포레스터의 애널리스트 미쉘 펠리노 (Michele Pelino)는 새로운 기술들이 광범위하게 적용되기 전에 먼저 해결해야 할 중요한 이슈 하나는 IoT 생태계가 발전되어야 한다는 것이라고 최근 말했다. 하지만, 기업들이 당면한 첫 번째 과제는 현재 운영중인 IT 인프라가 자사 비즈니스 상의 요구를 수용할 수 있을 만큼 신속하게 확장되지 못한다는 점이고, 두 번째는 펠리노(Pelino)가 지적했듯이, 다양한 소스로부터의 모든 데이터를 이용해 분석적인 통찰력을 제공할 수 있는 독립적인 소프트웨어 제공업체들의 검증된 생태계가 필요하다는 것이다. 마지막으로는 통상적으로 새로운 기술의 적용에는 관련 정책과 비즈니스의 변화로 인해 상당한 시간이 소요된다는 점이다. 기술적인 관점에서 보면, 이는 분석 엔진, 비즈니스 지능 소프트웨어 그리고 더 중요한 지능적인 애플리케이션 딜리버리 인프라와 같은 정보처리 툴들이 장착된 데이터센터에 의존하게 된다는 의미이다. 분석은 필요한 ‘사회적 지능’을 제공해 기업이 이용하도록 만드는 반면, 지능적인 애플리케이션 딜리버리 시스템은 그러한 통찰력이 실시간으로 안전하게 최종사용자들에게 전달되는 것을 보장한다. 실시간의 안전한 ‘사회적 지능’에 대한 이런 필요는 IoT가 주도하는 지능에서 생겨나고 일련의 애플리케이션 서비스들을 만들어낸다. 결국 이러한 통찰력은 적절한 결정권자들에게 배달되어야만 하는데, 비즈니스 지능 애플리케이션들을 통해 흐르는 데이터에 대한 실시간 트래픽 최적화, 가용성 및 보안을 제공하는 서비스들이 이것을 가능하게 만든다. 궁극적으로 이러한 솔루션들은 인프라를 단일 지점에서 관리해야만 하며, 이로 인해 오랜 시간에 걸친 애플리케이션 딜리버리 진화의 다음단계인 SDAS의 탄생을 불러오게 되었다. SDAS는 하나의 통합된 고성능 애플리케이션 서비스 패브릭으로 매우 유연하면서 프로그래밍이 가능한 애플리케이션 서비스를 제공하려는 노력의 결과이다. 지능적으로 통합된 SDAS는 오늘날 IT에 불어 닥친 엄청난 소용돌이와 관련된 중요한 난제들을 해결해줄 수 있다. 궁극적으로SDAS는 물리적, 가상 및 클라우드로 구축된 플랫폼들의 조합에서 자원들을 이끌어내어 활용할 수 있는 추출 능력에 의존한다. 전반적으로, IoT는 개개인의 삶과 기업의 비즈니스 환경에 매우 매력적인 혜택을 약속하는 기술이다. 필연적으로, 후단의 백엔드 기술도 이러한 발전과 발맞추어야 하고, IoT 시대를 맞아 그 어느 때보다도 복잡해질 것이다. Original blog post by Kuna.
Leave No Application Behind
F5의 새로운 아키텍처 비전 Synthesis 그리고F5 코리아의 괄목할만한 사업성과와 비전 F5 네트웍스 코리아는 지난 1월 27일 기자간담회를 열어 소프트웨어정의 애플리케이션 서비스(SDAS)를 제공하는 새로운 아키텍처 비전 ‘F5 Synthesis’를 설명하고, F5 코리아의 괄목할만한 2013년 비즈니스 성과와 2014년 계획을 소개하는 자리를 가졌다. 당일 발표는 F5 코리아 조원균 지사장과 아시아 태평양 지역 제품 마케팅 총괄 책임자 케이치로 노자키(Keiichiro Nozaki)씨가 함께 했다. F5가 지난 해 11월 발표한 F5 Synthesis는 탄력적인 고성능 멀티-테넌트 서비스 아키텍처에 기반해 데이터센터, 클라우드, 하이브리드 환경 모두에 걸쳐 SDAS의 제공 및 통합을 용이하게 만드는 아키텍처 비전으로 현재까지 F5 기술이 이룩한 혁신의 정점이라 할 수 있겠다. 새롭게 도입한 라이선스 옵션들과의 결합으로 발표된 F5 Synthesis는 고객들이 레이어 4-7 서비스를 어느 누구에게든, 제약 없이, 빠르면서도 비용 효율적으로 제공할 수 있도록 만들어준다. F5 Synthesis는 고성능 서비스 패브릭으로 가장 까다로운 환경에서의 요구조건을 충족하도록 확장이 가능해, 관리 도메인과 가상 인스턴스 도합 20.5TB의 처리속도와 92억 건의 커넥션 용량을 지원하는데, 이는 현재 전세계 모든 인터넷 사용자들의 연결을 관리하는데 필요한 용량의 3배가 넘는 수치이다. F5가 Synthesis를 통해 새롭게 내세우고 있는 “Leave No Application Behind/ 단 하나의 애플리케이션도 빠뜨리지 말라”는 메시지를 뒷받침해주는 수치이기도 하다. 한편, 현장에서는 참석 미디어의 문의에 따라 F5 Synthesis가 시장에 적용될 수 있는 일련의 레퍼런스 아키텍처가 선보여졌는데, 이들은 고객들이 이해하기 쉽도록 비즈니스 솔루션에 초점을 맞추고 고객들이 시장 진출 시간을 단축하여 널리 퍼져있는 도전 과제들을 해결할 수 있도록 디자인되어 있었다. F5 코리아의 조원균 지사장은 “F5는 빠르게 변화하고 있는 ADC 시장의 움직임을 잘 인식하고 있고, 이미 글로벌 리더십 입지를 확고히 하고 있다. 우리는 기업이 수십억의 사용자와 디바이스, 그리고 수 백만 종의 애플리케이션 등 IT가 향하고 있는 방향으로 나갈 수 있도록 돕는다. 오늘의 발표는 조직들이 지나친 복잡성으로 어려움을 겪거나 애플리케이션 성능과 보안을 희생시키지 않으면서 오늘날의 흥미진진하고 획기적인 기술들을 활용하도록 도와주기에 F5가 이상적인 위치를 점하고 있다는 우리의 믿음이 반영된 것이다”고 강조했다. 가트너는 2013년 3월 18일 발간한 ‘성능을 개선하고 비용을 절감하기 위한 네트워크 디자인의 5대 요소’라는 보고서에서 “애플리케이션 환경, 사용자의 기대치, 네트워크 서비스 등의 변화로 인해 네트워크 설계자들은 사고를 넓혀 네트워크가 새롭고 변화하는 사업상의 요건들을 지원하도록 만들 것이 요구된다. 그들은 내부적 그리고 외부적으로 관리되는 기업용 애플리케이션들을 가장 잘 지원하는 프레임워크 내에서 사용자, 애플리케이션, 디바이스, 위치, 활동 등 다섯 가지 요소를 잘 해결해야 할 필요가 있다” 고 발표한 바 있다.보안은 과정이다.
최근 해외의 권위 있는 한 신문은 결제시스템을 포함한 많은 IT 제품들과 애플리케이션들이 적절한 보안을 갖추고 있지 못하다고 경고했다. 이 신문은 첫째, 보안이 최우선적인 고려사항으로 간주되지 않고 있으며, 둘째는 시스템의 디자인 및 구현에 보안 전문가들이 관여하고 있지 않기 때문이라고 그 이유를 밝혔다. F5 네트웍스는 보안을 일회성의 조치나 행위가 아닌 일련의 과정으로 생각하고 있으며, 보안은 이런 관점에서 접근되어야 한다. 조직 내의 보안과 규정 준수를 담보하기 위한 정책들을 수립하는 보안 전문가들에게는 매우 중요한 역할이 있으며, 소프트웨어 개발을 담당하는 프로그래머들 역시 이에 못지 않게 중요한 역할이 있다. 하지만, 그 둘의 역할에는 분명한 차이가 있다. 비즈니스 애플리케이션들은 기업에게 핵심적인 자산인 만큼, 기업의 보안을 보안 전문가들이 아닌 소프트웨어 엔지니어들에게만 맡겨두는 것은 금물이다. 따라서, 소프트웨어 프로그래머들이 보안정책을 소프트웨어로 만드는 부담을 덜어주고 이 업무를 신뢰할 수 있는 보안 솔루션 전문가들이 담당하도록 하는 것이 현명한 접근법이라고 할 수 있다. 이런 관점에서 볼 때, 보안은 엔드-투-엔드 과정이며 디바이스, 액세스, 네트워크, 애플리케이션 및 스토리지를 포함해 사용자와 기업간의 상호작용이 이루어지는 모든 분야를 빠짐 없이 관장하는 정책을 필요로 한다. 이렇게 움직이는 각 부분들의 복잡성으로 인해, 때로는 몇 개 지점의 보안 문제들을 하나의 솔루션으로 통합하는 것이 더 바람직하다. 간단하게 말해 이것은 절차의 간소화와 유사하며, 비즈니스 세계에서 컨설턴트들이 “BPR (업무 프로세스 재설계 – Business Process Reengineering)”이라고 부르는 것과 크게 다르지 않다. 각 개인에게는 이것이 어떻게 보일지 몰라도, CFO (최고재무책임자)의 관점에서는 운영비용 및 투자비용에서 엄청난 절감효과를 의미하는 것이다. 예를 들어, 최근 애플리케이션 보안은 애플리케이션 딜리버리 컨트롤러 (ADC: Application Delivery Controller) 내에 탑재되는 추세이다. ADC는 태생적으로 애플리케이션을 최종 사용자에게 안전하게 제공하기 위한 목적으로 개발되었다. 오늘날, ADC는 허가되지 않은 접근을 차단하는 한편, 국제 웹 표준기구인 OWASP에서 규정한 것들과 같은 고도의 애플리케이션 레벨 공격들을 막아주는 역량이 추가되면서 일종의 안전한 애플리케이션 보안관과 같은 역할을 담당한다. 그러나, 상황은 더욱 복잡하게 변하고 있다. CIO (최고정보책임자)들은 젊고, 유능하며, 요구사항이 많은 Y세대 직원들의 요구를 해결해야 하는 상황에 직면해 있는데, 이들은 자신이 선택하는 디바이스를 이용해 일하기를 원하고, 개인생활과 직장 네트워크 사이를 자유롭게 전환할 수 있기를 바란다. CIO들은 더욱 복잡해지고 증가하는 위협들로부터 기업의 자산을 지켜야 하는 과제를 안고 있다. 게다가, 비용관리와 확장성을 위해 클라우드를 이용해야 함에 따라 보안 문제는 통제가 불가능한 수준으로 커지고 있다. 이러한 상황으로 인해, 사용자의 행동양식만이 아니라 기업 애플리케이션들의 행동양식도 이해하고, 사용자 경험에 최소한의 영향을 미치면서 기업의 보안 정책을 집행할 수 있는 혁신적인 보안 솔루션들이 요구되고 있다. F5는 보안 사업이 신뢰를 기반으로 하는 사업이라고 믿는다. 올바른 절차와 정책을 수립하는 것이야말로 업체를 선택하는 것보다 중요한 일이다. 정책과 절차가 필요한 솔루션을 결정하는 것이지 그 반대가 되어서는 안 된다. Original blog post by Kuna.Tackling Cyber Attacks From Within
An increasing number of organizations face serious security threats that are socially, politically and economically motivated. Conventional firewalls are no longer enough to prevent complex and frequent cyber attacks such as multi-layer distributed denial-of-service (DDoS)/application layer attacks and SQL injection vulnerabilities. In the past year, the number of DDoS attacks targeting vulnerable spots in web applications has risen and attackers are using increasingly complicated methods to bypass defenses. Meanwhile, 75% of CISOs aware external attacks had increased – 70% of CISOs noticed that web applications represent an area of risk higher than the network infrastructure. The challenge with application-layer attacks is to differentiate human traffic from bot traffic. DDoS mitigation providers frequently utilize browser fingerprinting techniques like cookie tests and JavaScript tests to verify if requests are coming from real browsers. However, most recently, it’s become apparent that cybercriminals have launched DDoS attacks from hidden, but real browser instances running on infected computers. This type of complex cyber attack is incredibly hard to detect. What organizations need is a security strategy that is flexible and comprehensive, much like F5’s web application firewall (WAF) and security solution. F5 recently received the 2013 Frost & Sullivan Asia Pacific Web Application Firewall Market Share Leadership Award. This recognition demonstrates excellence in capturing the highest market share for WAF solutions in the region and its achievement in remarkable year-on-year revenue growth – a true testimony to the execution of F5’s security strategy. Christian Hentschel, (SVP, APJ) noted that cyber-attacks often result in the loss or theft of intellectual property, money, sensitive corporate information, and identity. An effective security strategy encompasses not only the enterprise infrastructure but also the devices, the applications, and even the networks through which users access mobile and web applications. F5’s ICSA-certified WAF and policy-based web application security address cyber-threats at the application level. In September 2013, F5 strengthened its security portfolio with the acquisition of Versafe Ltd. – a web anti-fraud, anti-phishing, and anti-malware solutions provider. The acquisition reinforces F5’s commitment to provide organizations with holistic, secure access to data and applications any time, from any device. F5’s comprehensive security solutions combine DNS security and DDoS protection, network firewall, access management, and application security with intelligent traffic management. Its flexibility to provide WAF both as a standalone solution and as an integrated offering on its BIG-IP® Application Delivery Controller platform provides customers with options that best suit their businesses. F5’s ability to provide end-to-end application protection, advanced monitoring, and centralized management without comprising performance make their WAF solutions the number one choice throughout the Asia Pacific region.APAC market research points to WAF being integrated with application delivery
We entered 2014 on a fillip. Frost & Sullivan had just named us the vendor leading WAF market in Asia Pacific and Japan. The Frost Industry Quotient, put F5 and nine other companies under their analytical magnifying glass, examining our market performance for CY 2012 as well as key business strategies. They left no strategy unturned it would seem. Product and service strategy, people and skills strategy, business and even the ecosystem strategy were all held up to scrutiny. But the real scoop wasn’t that we were No 1 but that Frost IQ had discerned developments in the market that point towards WAF being integrated with application delivery. The researchers noted that the convergence would lead to a more intelligent and holistic way for organizations to protect their web applications. The market is validating what we said a year ago when we launched BIG-IP Advanced firewall Manager, the first in the industry to unify a network firewall with traffic management, application security, user access management and DNS security capabilities within an intelligent services framework. Every day, publicly known or otherwise, organizations grapple with attacks that target their applications in addition to those that threaten the network. Because F5 solutions occupy strategic points of control within the infrastructure, they are ideally suited to combine traditional application delivery with firewall capabilities and other advanced security services. The bell tolls for the traditional firewall. Eventually it will be replaced by intelligent security. F5’s integrated approach to security is key in mitigating DDoS attacks, helping to identify malicious actions, prioritize how requests from specific locations are handled and focus on addressing properly qualified requests. Enabling security services on our ADCs makes it possible to consolidate multiple security appliances into one single device. This consolidation includes a WAF that analyses traffic and can propose rules to automatically protect the enterprise. I caught up quickly with Christian Hentschel, SVP Asia Pacific and Japan, on his views of the new accolade. Aside from being very proud to be recognized as the leading WAF vendor in APJ, a testimony of our strategy and the team’s focus, he noted that customers view traditional firewall less relevant with the sophistication in cyber-attacks on layer 4-7 today.Hello to the F5 APJ Blog
Thanks for joining us on the F5 Blog! Here‘s where you can access the latest news and views on the tech industry in the APJ region – from insights and trends to commentaries. F5’s team of subject matter experts will be explaining, discussing and pondering the issues affecting enterprises across all industries. We are ready to kick-off 2014 with our ‘F5 predictions’ series. This will cover our F5 experts’ perspectives and predictions for the year ahead. With Gartner predicting that IT spending will hit $3.8 trillion in 2014 - an increase of 3.6 per cent compared to last year. The question many of us will be asking is what are the priorities? New devices and technologies will dominate our personal and business lives and ‘social intelligence’ will become more important. More on this will follow shortly. So bookmark our F5 blog to keep with the latest technology trends from across the region. And of course, we encourage you to engage with our posts and share your input. We’d further love to get your feedback on what you want to see discussed in the future. We look forward to hearing from you! For more information on F5, our partners, and technologies please check out our Twitter page.Security is a process
A newspaper report recently warned that many IT products and applications, including payment systems, lack adequate security. The reasons cited are that firstly, security is treated as an afterthought, and secondly, because trained practitioners are not involved in the design and implementation. F5 views security as a process. It should be managed as such. There’s an important role for the security experts who build the policies that ensure security and compliance within the organization. And, there’s an equally important role for the programmers who develop the software. But the two are quite distinct from each other. Business applications are the critical assets of an enterprise. Its security should not be just left to the software engineers to decide because they are not security professionals. Therefore, the prudent approach is to offload the burden of coding security policies from the software programmers onto credible security solutions professionals. Viewed from that perspective, security is as an end-to-end process, with policies to govern the various areas wherever there is user interaction with the enterprise – device, access, network, application and storage. Given the complexities of the different moving parts, it sometimes makes sense to combine several of the point security concerns into a converged solution. In short, this is akin to process simplification not too different from what consultants would call “BPR" in the business world. However way, you see it, from a CFO perspective, this represents immense cost savings boh operationally as well as in capital costs. For example, when it comes to application security, the trend is to build it into the application delivery controllers. ADCs are designed to natively deliver applications securely to end users. In today’s context, ADCs act as secured gatekeepers to the applications; they prevent unauthorised access and are able to add-on capabilities to mitigate complex application level attacks such as those defined by OWASP. However, the situation is growing more complex. CIOs are increasingly faced with the task of balancing the needs of a younger, empowered and demanding Gen Y workforce who want the freedom to work from their device of choice as well as the ability to switch seamlessly between their social and enterprise networks. The CIO challenge is how to protect the company’s business assets in the face of increasing and more complex threats. Add to this the desire to leverage the cloud for cost control and scale and the security considerations can potentially spiral out of control. The situation calls for innovative security solutions that can understand the behaviour of enterprise applications as well as user behaviour, and be able to enforce corporate security policies effectively with minimum impact on user experience. F5 believes that security is a trust business. Having the right process and policies trumps choosing a vendor. It is the policies and process that determine the required solution, not vice versa. For a Japanese version of this post, please go here.
