De Spamhaus aanval – de naschok
Als je terugkijkt dan is het geen verassing dat de Spamhaus aanval een volgende reactie zou ontlokken. Vorige week werd Sven Olof Kamphuis gearresteerd door Eurojust- The European Judicial Cooperation Unit. Hij werd aangewezen als het brein achter de Spamhaus aanval vorige maand. Sven staat aan het hoofd van CyberBunker, het bedrijf dat zijn domeinen geblacklist had bij Spamhaus. De reactie op de arrestatie van Sven was een reactie van een groep genaamd freecb3rob-cb3rob. Zij hebben een persbericht geplaatst op pastebin met daarin het dreigement aan alle overheidsorganisaties die geloven dat Sven medeplichtig is aan de DDos aanval op Spamhaus. Zij eisen dat Sven wordt vrijgelaten, anders zal er een grote aanval plaatsvinden op de internet infrastructuur. Hun directe focus is Nederland waar Sven naartoe gebracht zal worden in afwachting van zijn proces. Vorige week donderdag was KLM slachtoffer van een DDOS aanval, waardoor de online check-in service niet beschikbaar was. Daarna was DigiD aan de beurt. DigiD wordt gehost bij het Ministerie van Binnenlandse zaken. De woordvoerder van het ministerie meldde dat er geen gebruikersinformatie was gecompromitteerd tijdens de aanval en dat de aanval werd afgewend door verkeer met IP adressen vanuit het buitenland tegen te houden. Tot dusver wijst dit op een DDos aanval om de uitspraak kracht bij te zetten en om services te onderbreken. De echte vraag blijft of de groep of groepen een aanval kunnen uitvoeren met een grootschalige impact op de gehele internet infrastructuur. We hebben tot nu toe verkeersstromen gezien van 300 Gbps bij DNS reflection aanvallen. Als we freecb3rob mogen geloven, dan is het einde van deze operatie nog niet in zicht. Voor meer informatie over DNS reflection aanvallen kunt u eerdere blogs raadplegen. Een versie van dit artikel verscheen eerder op 26 April op DevCentral en werd geschreven door Joakim Sundberg, EMEA Security Solution Architect bij F5.Mag het wat sneller!?
Een applicatie moet zowel beschikbaar als veilig zijn. Dit laatste wordt nog wel eens vergeten bij het consolideren van datacenters. Het centraliseren van applicaties en aanverwante data levert vaak een bepaalde besparing op, maar zorgt ook voor meer transport van data tussen datacenters. Denk hierbij aan datareplicatie, back-up en storage-verkeer, maar ook virtualisatie en cloud computing zorgen voor een toenemende belasting op applicaties en de communicatie tussen datacenters onderling. Meer dan eens is het gevolg dat applicaties traag worden, back-ups te lang duren of storage en database replicatietijden voor problemen zorgen. De oorzaak van een slechte applicatie performance over een WAN-verbinding kan liggen aan allerlei zaken. De oplossing moet vooral gezocht worden in efficiënter gebruik van de bandbreedte, reduceren van protocol latency en netwerkoptimalisatie. In vakblad NetworkPro van deze maand staat een uitgebreid artikel waarin Gert Jan Wolfis aangeeft wat de problemen zijn en hoe je ze kunt oplossen. Lees het stuk, of neem contact op zodat we WAN-optimalisatie kunnen bespreken.Extra services maken het extra lastig
Service providers gaan gebukt onder een stortvloed aan groeiende data afkomstig van mobiel verkeer, streaming video, veeleisende applicaties en de algehele groeispurt van ‘smart’ apparatuur. Tegelijkertijd moeten ze hun netwerktechnologie up-to-date houden en nieuwe diensten verzinnen en aanbieden om de concurrentie voor te blijven. Hoe doe je dat op een haalbare en houdbare manier? Innoveren in netwerktechnologie Nederland kent een van de hoogste penetraties smartphones ter wereld, en dat merken service providers aan de drukte op hun netwerken. Hoewel ze lang niet altijd direct eigenaar zijn van de content of diensten, zijn ze wel verantwoordelijk voor een betrouwbare data-uitwisseling tussen leverancier en eindgebruiker. Service providers leggen daarom de prioriteit bij het uitbreiden van hun netwerkinfrastructuren en het toevoegen van nieuwe mogelijkheden om hun klanten tevreden te houden. Providers innoveren met netwerktechnologie als RAN en LTE, moderniseren hun datacenter met servervirtualisatie en beleidsmanagement en breiden hun diensten uit middels value-added-services platformen. Hiermee is bijvoorbeeld mobiele video-content beter te leveren, en zijn gepersonaliseerde diensten aan te bieden. Deze voortdurende vernieuwingen zorgen voor extra complexiteit en kosten voor traffic management. Die value-added-services (VAS)-platformen zijn vooral gericht op video-optimalisatie, WAP-gateways, ouderlijk toezicht en URL-filtering, transparante caching en advertentiediensten. In de loop van de tijd hebben service providers een veelzijdigheid aan VAS-platformen toegevoegd, vaak afkomstig van verschillende producenten, om aan de wensen van de markt te kunnen voldoen. Bestaande layer 3 en 4 apparatuur zoals routers (policy-based) zorgt voor het leiden van alle data naar deze platformen, zonder naar relevantie te kijken. Hierdoor kijken alle VAS-platformen naar al die data, bepalen ze of ze actie moeten ondernemen en sturen ze de data door naar server-platformen. De VAS-platformen zijn nu eenmaal zo ingericht en moeten dat blijven doen, waardoor ze kostbare resources opeisen, terwijl ze opgeschaald moeten worden om de groeiende hoeveel data te verwerken. Dit was voorheen geen punt, maar de grens van wat mogelijk en betaalbaar is met deze platformen komt in zicht. Netwerk optimaliseren voor de toekomst Service providers moeten dus hun netwerk optimaliseren om ook in de toekomst concurrerend te kunnen zijn. En omdat de rek toch al uit de VAS-platformen is, is dit een ideaal moment om het gelijk goed te doen. Dit kan door de traffic management-functie te centraliseren op een specifiek daartoe aangewezen platform. Hiermee kunnen de kosten dalen, is performance te verbeteren en zijn de beschikbaarheid en flexibiliteit te vergroten. Traffic steering is een goede oplossing. Hiermee zijn gebruikers-requests direct naar de juiste bron (zoals webportals) of VAS-platform te sturen op basis van vooraf gedefinieerde regels. Centrale, intelligente traffic steering kan traffic management vereenvoudigen en goedkoper maken. VAS-platformen hoeven alleen data te verwerken die relevant voor hen zijn. Dit bespaart investeringen in overcapaciteit waardoor er tijd en geld overblijft om het netwerk verder te optimaliseren, nu en in de toekomst. Een versie van dit artikel verscheen eerder op ISPToday.nl (Link)Transavia haalt website weer in eigen huis
De website is de levensader van Transavia.com. De vliegmaatschappij haalde daarom vorig jaar een deel van zijn internetomgeving weer in eigen huis. De snelheid en souplesse van de site moest omhoog om van bezoekers nog effectiever klanten te maken. OPDRACHTGEVER: TRANSAVIA.COM DOEL:EEL WEBSITE TERUGHALEN MAAR GROTE STABILITEIT IS VEREIST TECHNOLOGIE: BIG-IP 3900-APPLIANCES VAN F5 MET DAAROP DE LOCAL TRAFFIC MODULE DIENSTVERLENER: PINEWOOD ROI: KOSTENVERLAGING EN SNELLER KUNNEN WIJZIGEN Voor Transavia is de website van het grootste belang. Dáár worden de klanten naartoe getrokken en dáár wordt 90 procent van de boekingen gedaan. Tot vorig jaar was het beheer van de site in handen van een hosting provider. Het technische deel van de webapplicaties is bij de hosting provider gebleven. Het deel rondom de stoelendatabase was en is in beheer bij de Amerikaanse softwareleverancier Navitaire. Maar op zijn minst een deel van de site wilde Transavia weer via de eigen infrastructuur laten lopen. Dat kon voor een flinke verlaging van de kosten zorgen en voor een grotere souplesse en snelheid bij het invoeren van wijzigingen. Dat laatste telt zwaar voor Transavia. Het bedrijf wil zijn site zo min mogelijk uit de lucht hebben en zeker niet in het hoogseizoen, dat loopt van 1 april tot eind oktober. “In die periode kunnen we maar beter geen aanpassingen doen die voor verstoringen zouden kunnen zorgen”, zegt Leon Faazen, hoofd derdelijnsbeheer ICT Operations bij Transavia. Maar dat betekende ook dat het hele project van insourcing van de site moest worden doorgevoerd na oktober en voor 1 april. “Wat je noemt een beperkte tijdsspanne.” Enterprise Service Bus Voor het terughalen van de site wilde Transavia in elk geval een Enterprise Service Bus (ESB) implementeren om het doen van wijzigingen te vergemakkelijken. Faazen: “Dat heeft dan minder impact op de infrastructuur. We centraliseren zo verschillende distributiekanalen met de ESB als een centraal punt.” Uitbreiding van de infrastructuur voor het terughalen van een deel van de site was niet echt nodig. Transavia heeft twee datacenters, waarvan er één bij Transavia op Schiphol staat en één elders, op een afstand van ongeveer 10 kilometer. Het zijn twindatacenters die borg moeten staan voor een voor abonnees goede continuïteit. Die continuïteit moest worden versterkt met loadbalancing, voor een goede en flexibele performance. Transavia wilde daarvoor per se een off the shelf product en koos op advies van zijn leverancier Pinewood twee BIG-IP 3900-appliances van F5 met daarop de Local Traffic Module. Wat hen over de streep trok? “F5 heeft een heel breed portfolio en biedt goede support. Daarbij is het de marktleider met een heel goede reputatie. Dat geeft meer zekerheid over de betrouwbaarheid. En de prijs-kwaliteitsverhouding kwam ook goed uit”, zegt Faazen. Veel testen In feite moest de luchtvaartmaatschappij twee IT-projecten samen laten vallen: het terughalen van de site en de verdere implementatie van de ESB. En dat in zeer korte tijd. “De ESB hadden we al. Die twee trajecten moesten bij elkaar komen. Uiteindelijk is de site daar op ingeprikt”, zegt Faazen. Dat het binnen een maand gelukt is de site terug te halen, was te danken aan een uitgebreide voorbereiding waarin veel werd getest en aan de inzet waar nodig van dienstverleners. De installatie en configuratie van de loadbalancer heeft het bedrijf grotendeels laten uitvoeren door Pinewood. Transavia verwachtte een forse toename van de load op zijn infrastructuur. Dat betekende dat de firewalls een upgrade behoefden en het verkeer gemonitord moest worden. “We hebben verder niets hoeven aan te schaffen. De servers stonden er al. De middellayer wordt nu door Transavia beheerd en de backend staat in Londen bij Navitaire.” Via zijn eigen infrastructuur zorgt Transavia voor de stroomlijning. Finetunen “De problemen die we tegenkwamen draaiden vooral om configureren”, zegt Faazen. “Het was daarnaast een kwestie van finetunen en dat hebben we samen met de leverancier gedaan. Het is voor ons nieuw. We bouwen nu kennis op. Tot een bepaald niveau hebben we die kennis wel, maar de learning curve moet nog even fors omhoog.” De site is aanzienlijk sneller uit het project gekomen. De laadtijd van pagina’s is een kwart korter geworden. Dat is belangrijk voor het bedrijf. Hoe sneller de site is hoe beter bezoekers converteren: van bezoeken naar boeken. Die snelheid is mede bepalend of mensen doorgaan op een site. Er spelen ook wel andere zaken mee zoals prijzen en tijden, maar een hoge snelheid is van groot belang want mensen verwachten dat. En als je een bezoeker kwijt raakt, is het niet vanzelfsprekend dat hij weer terugkomt. Website is levensader Dat maakt het ook niet moeilijk om de directie te overtuigen van de noodzaak van de aanschaf van de loadbalancers. De website is van groot belang voor Transavia, daarom is de officiële merknaam ook Transavia.com. Het is een levensader. En dat besef wordt breed gedragen. Alles wat ondersteunend is aan de processen richting klant wordt aangemoedigd. De site moet ook klaar zijn om uitbreidingen aan te kunnen. Dat kan dankzij de inzet van de loadbalancers, constateert Faazen. “We verwachten een stijging van de boekingen, vooral uit Frankrijk.” Transavia zal zijn activiteiten in Frankrijk uitbreiden. Het bedrijf is onderdeel van KLM, dat op zijn beurt weer gefuseerd is met Air France en via een joint venture in Frankrijk vanuit Parijs opereert. “Een groot deel van de services verzorgen wij hier, waaronder de site. Wij verwachten dat ook deze infrastructuur flink zal groeien. En dat betekent in elk geval dat de robuustheid van het platform goed moet zijn. We hebben dus nu twee thuismarkten, maar ook nog lokale sites voor bestemmingen in andere landen.” Maar er gebeurt meer op de site dan boeken alleen. Zo moet voor het inchecken een stabiele en betrouwbare infrastructuur voorhanden zijn. Daarnaast willen klanten steeds meer regelen binnen hun reis op de site. Ook de klanten die via touroperators met Transavia reizen. Ook zij willen koffers kunnen toevoegen, online inchecken en vluchtwijzigingen toegestuurd krijgen. Mailomgeving Transavia is voorlopig tevreden, meldt Faazen. “Zoals het nu is, kunnen we goed vooruit. Het is ook schaalbaar.” En de mogelijkheden van BIG-IP worden ook verder benut. Zo wordt het nu ook gebruikt voor de ontsluiting van de mail. Faazen: “We hadden eerst twee mailomgevingen; een voor kantoorpersoneel en een voor vliegend personeel, waar roosters en dergelijke mee worden verstuurd. We hebben met de loadbalancers een nieuwe mailomgeving neergezet onder Exchange 2010. Dat is goedkoper, want we hebben geen externe partij meer nodig. En het is flexibeler, want bij nieuw personeel kun je veel makkelijker en sneller een nieuwe gebruiker aanmaken, omdat je het nu in eigen hand heb Een versie van dit artikel verscheen eerder op Automatiseringsgids.nl, 23 mei 2013.Bedrijven onvoldoende beschermd tegen DDoS-aanvallen
Bedrijven staan bloot aan de risico’s van DDoS-aanvallen doordat er onvoldoende kennis in huis is over de aard van de huidige internetgevaren. Ondanks het grote aantal aanvallen blijft kennis bij security-professionals achter. Specialisten in het vakgebied moeten veelal toegeven dat ze onzeker zijn of hun organisatie bestand is tegen de gevaren van DDoS-aanvallen en dat ze de snelheid van de betreffende ontwikkelingen niet meer precies kunnen volgen. Dat blijkt uit onderzoek van F5 Networks. F5 vroeg tijdens Infosecurity Europe 2013 aan geselecteerde security-professionals in hoeverre ze op de hoogte waren van de recente DDoS-aanvallen, meer specifiek de DNS amplificatie-aanvallen. Slechts tien procent gaf aan dat ze helder konden uitleggen hoe een dergelijke aanval werkt, en maar elf procent stelde zeker te zijn dat de organisatie niets zou merken van een aanval in de dagelijkse werkzaamheden. Bescherming moeilijker dan ooit Daartegenover staat een grote groep respondenten (87 procent) die stelt dat het moeilijker dan ooit is om bedrijven te beschermen. Bijna een kwart zoekt de reden hiervoor bij BYOD, gevolgd door de complexiteit van de bedreigingen (twintig procent) en de verandering in daders van traditionele hackers naar mensen die vanuit spionage of politieke motieven handelen (veertien procent). Weinig consistentie in beveiligingsbeleid Het onderzoek wees tevens uit dat de bescherming van applicaties en infrastructuur gevaar loopt door inconsistent beleid. Een grote meerderheid van 83 procent gaf aan dat ze onzeker zijn over de consistentie van beveiligings- en beschikbaarheidsafspraken binnen de IT-infrastructuur. "De recente gebeurtenissen zoals de Spamhaus-aanval zouden een wake-up call moeten zijn voor veel bedrijven, maar veel professionals vinden de vernieuwingen in DDoS-aanvallen blijkbaar lastig te bevatten," aldus Wim Zandee, pre-sales manager North & East EMEA bij F5 Networks. "Traditionele firewalls doen hun werk niet meer, en zeker wanneer applicaties naar de cloud worden gebracht, is het van cruciaal belang om beveiliging anders in te richten. Er moet meer intelligentie in beveiliging worden aangebracht om een organisatie effectief te beschermen." Een versie van dit artikel verscheen eerder op managementonline.nl (24 mei 2013).DDoS-aanvallen vragen om andere beveiligingsstrategie
Nederland ligt onder vuur in de vorm van DDoS-aanvallen. Een term die inmiddels ook niet IT-mensen gebruiken alsof het de gewoonste zaak van de wereld is. Helaas is dat het ook, maar is het aantal slachtoffers de laatste tijd wel erg groot. Hoe voorkomen we dit in de toekomst? Waarschijnlijk zijn DDoS-aanvallen niet te voorkomen, maar we kunnen wel twee stappen zetten die het effect beperken. Dé DDoS-aanval bestaat niet; er zijn vele verschillende varianten (bijvoorbeeld SynFlood attacks, Smurf attacks, Slowloris attacks, SSL renegotiating attacks). De een zorgt voor een overbelasting van een netwerk, de ander richt zich op server-resources terwijl een derde de applicaties dwarsboomt. De complexiteit van deze aanvallen vraagt om een andere aanpak dan de traditionele netwerkbeveiliging kan bieden. Volgens die methode bouw je beveiliging op als gelaagd beveiligingsmodel, met firewalls, IPS of IDS en allerlei deeloplossingen. Dit is voor nu niet voldoende meer om appliacties te beschermen. De IT-beveiliging moet ten eerste ingericht worden rondom de te beschermen applicaties, bijvoorbeeld middels een Application Delivery full proxy architectuur die een hoog volume aan verkeer kan afhandelen en bovendien in staat is om ongewenste communicatie te stoppen. Ook kun je dan meer concurrent verbindingen per seconde verwerken, en krijg je inzicht in zowel netwerk- als applicatieverkeer. Zelfs is het mogelijk om DDoS-aanvallen die plaatsvinden in encrypted SSL-verkeer tegen te gaan. Dit is juist de bottleneck bij traditionele firewall-oplossingen en de reden waarom sites volledig onbereikbaar raken. De tweede stap is de beveiliging op applicatieniveau. Een DNS-query is de eerste stap naar het gebruik van de applicatie. Om DNS-bescherming door te voeren, moeten deze DNS-queries over verschillende datacenters gedistribueerd worden om de gevolgen van een aanval te beperken. Een protocolfilter kan UDP-verkeer onderscheiden van daadwerkelijk DNS-verkeer. Op die manier vergroot je de bereikbaarheid van de applicatie, maar bescherm je de applicatie zelf nog niet. Hiervoor moet je vaststellen welke requests wel en niet zijn toegestaan en je moet bepalen wat de server terug mag communiceren naar de gebruiker. Dit biedt bescherming tegen de gevolgen van andere narigheid als SQL injectie, cross site scripting en cross site request forgery. Juist deze bedreigingen zorgen ervoor dat bijvoorbeeld gegevens uit een organisatiedatabase worden gelekt en op straat komen te liggen, met alle financiele en zakelijke ellende tot gevolg. Beveiliging op netwerkniveau is niet meer voldoende tegenwoordig. We moeten applicatiespecifiek te werk gaan en op dat niveau werken. Hiermee voorkom je niet dat je aangevallen wordt, maar de negatieve effecten zullen aanzienlijk minder zijn. Een versie van dit artikel verscheen eerder op Computerworld.nl op 25 April 2013.Benelux team breidt uit met 3 nieuwe medewerkers
Geert Nobels- België Van Service Provider Account Manager bij F-Secure naar Territory account manager bij F5 Networks Jan-Bart Hilhorst- Nederland Van senior account manager bij Imtech naar Territory account manager bij F5 Networks Andre van Buiten- Nederland Van country sales manager bij Radware naar territory account manager bij F5 NetworksF5 introduceert BIG-IQ Cloud
Gisteren kondigde F5 de BIG-IQ cloud oplossing aan: een nieuwe management oplossing voor het uitrollen van een application delivery en netwerk service voor zowel publieke als private clouds, traditionele datacenters en hybride omgevingen. BIG-IQ is een mijpaal op het gebied van ondersteuning voor SDN services op applicatieniveau. Lees hier het volledige persbericht.Nieuwsuur- F5 op nationale nieuwszender
Gisteren had F5 Networks zijn 15 seconds of fame tijdens Nieuwsuur. Nieuwsuur behandelde de grote hoeveelheid DDoS-aanvallen van de laatste tijd, en op de achtergrond stond prominent het F5-logo in beeld gedurende het gesprek met hoogleraar Bart Jacobs die advies geeft aan de Nederlandse overheid op het gebied van ICT.DDoS houdt Nederland in greep
Nederland merkt inmiddels voor de zoveelste week achtereen de impact die DDoS aanvallen kunnen hebben op de samenleving. Nieuwssites die niet meer te bereiken zijn of een ontregeling van het online betalingsverkeer. De bezorgdheid loopt op tot hoog niveau, wanneer minister Dijsselbloem vaststeltdat de aanval is geslaagd omdat het betalingsverkeer was ontregeld, maar hackers niet in de systemen van banken zijn gekomen. De genomen maatregelen om DDoS aanvallen tegen te kunnen gaan hebben niet kunnen verhinderen dat diensten volledig ontoegankelijk waren. Valt er dan niets tegen DDoS te doen? Zeker wel. De aanval zelf stoppen is onmogelijk, wel zijn er maatregelen te nemen die het effect van een DDoS aanval kunnen beperken. Verschillende effecten van DDoS De aard van een DDoS aanval ligt natuurlijk in het belasten van het netwerk of serverpark van een doelwit, waardoor deze onbereikbaar wordt voor het legitieme verkeer. Een dergelijke aanval wordt met gebruik van botnets direct op het doelwit gericht of indirect via amplitude of reflector methodes, zodat het gewenste DDoS effect nog sneller wordt bereikt. Daarnaast zijn er tientallen verschillende vormen van DDoS-aanvallen (bijvoorbeeld SynFlood attacks, Smurf attacks, Slowloris attacks, SSL renegotiating attacks) en deze worden tegenwoordig vaak tegelijkertijd uitgevoerd. Sommige hiervan richten zich op het belasten van het netwerk, andere zijn bedoeld om de server-resources in beslag te nemen, terwijl weer andere zich op de applicatielaag richten. De complexiteit van deze aanvallen vraagt om een andere aanpak dan de traditionele netwerkbeveiliging kan bieden.Traditionele netwerkbeveiliging heeft het over firewalls, IPS of IDS en een gelaagd beveiligingsmodel waarin allerlei deeloplossingen gezamenlijk een complex geheel moeten vormen om de effecten van DDoS tegen te kunnen gaan. Deze setup levert eenvoudigweg niet meer de middelen om internetbedreigingen gericht op applicaties tegen te kunnen gaan. Twee stappen voor betere beveiliging De eerste stap naar een adequaat model is IT-beveiliging inrichten op de te beschermen applicaties. Hiervoor kan worden gekozen voor een Application Delivery full proxy architectuur die in staat is om een hoog volume aan verkeer af te kunnen handelen en bovendien in staat is om communicatie te stoppen wanneer deze niet van een reguliere gebruiker afkomstig is. Een Application Delivery full proxy firewall is daarnaast in staat om veel meer capaciteit te bieden als het gaat om het aantal concurrent verbindingen per seconde en heeft inzicht in zowel netwerk- als applicatieverkeer. Zelfs is het mogelijk om DDoS-aanvallen die plaatsvinden in encrypted SSL-verkeer tegen te gaan. Dit is juist de bottleneck bij traditionele firewall-oplossingen en de reden waarom sites volledig onbereikbaar raken. De tweede stap is het beschermen van applicaties op het juiste niveau. Inderdaad op applicatieniveau. Hier wordt vaak over het hoofd gezien dat een DNS-query de eerste stap is naar het gebruik van de applicatie. We hebben allemaal de recente berichtgeving rondom Spamhaus gezien waarin DNS DDoS werd ingezet om een verschil van mening duidelijk te maken. Het beschermen van DNS dient te beginnen met het kunnen distribueren van DNS-queries over verschillende datacenters om zodoende het effect per datacenter te beperken. Een protocolfilter kan UDP-verkeer onderscheiden van daadwerkelijk DNS-verkeer. En om DNS cache poisoning tegen te gaan, moet er in samenwerking met de externe DNS servers on-the-fly DNSsec signing worden uitgevoerd. Nu we de bereikbaarheid van de applicatie zeker hebben gesteld, wordt het hoog tijd om de applicatie zelf te beschermen door vast te stellen welke requests wel en niet zijn toegestaan als mede te bepalen wat de server terug mag communiceren naar de gebruiker. Hierdoor kan het lekken van gevoelige data worden tegengegaan. Applicaties worden zodoende beschermd tegen gevolgen van bedreigingen als SQL injectie, cross site scripting en cross site request forgery. Juist deze bedreigingen zorgen ervoor dat bijvoorbeeld gegevens uit een organisatiedatabase worden gelekt en op straat komen te liggen, met juridische conflicten en wellicht (financiële) penalties tot gevolg. Wellicht het allerbelangrijkste is het geschonden vertrouwen. Helaas, anno 2013 is beveiliging van een applicatie geen commodity meer die op netwerkniveau generiek kan worden geregeld. Het wordt hoog tijd dat beveiliging begint op applicatieniveau en applicatiespecifiek wordt ontworpen. Hierdoor kunnen aanvallen zoals DDoS beter worden opgevangen en de negatieve effecten gereduceerd. Een Application Delivery full proxy firewall is hierbij een essentiële bouwsteen in het beschermen van applicaties en data. Een versie van dit artikel verscheen eerder op Computable.nl.
