A10 Networks | AntiDDoS, CGNAT, ADC/WAF a SSL inspekce

AntiDDoS, CGNAT, Application Delivery Controller / Load-Balancer, Web Aplikační Firewall a kontrola SSL provozu

A10 Networks je dodavatel zabezpečených aplikačních služeb a řešení, které pomáhají organizacím, poskytovatelům služeb a cloudovým providerům zajistit ochranu a vysokou dostupnost datacentrových a cloudových aplikací a sítí.

Řešení pro ISP a operátory

A10 Thunder CGN (Carrier Grade NAT) je primárně určen pro ISP a telekomunikační operátory, kterým poskytuje vysoce výkonný a transparentní překlad síťových adres a protokolů. Kromě nejlepšího poměru cena/výkon na trhu a pokročilých scénářů pro zachování IPv4 a migrace an IPv6 podporuje také nejnovější koncepty SDN/NFV, tedy i sítě 5G.

Anti-DDoS řešení (TPS) obsahuje jak detekci, tak mitigaci útoků na dedikovaném zařízení nebo v cloudu. Nabízí také rozsáhlé možnosti nasazení ve vlastních datových centrech nebo u telekomunikačních operátorů.

Vyvažování zátěže a zabezpečení aplikací

Řešení Application Delivery Controller (ADC) od A10 Networks zahrnuje funkce od tradičního load-balancingu přes pokročilý webový aplikační firewall (WAF) až po centralizovaný monitoring využívající analytiku chování a výkonu jednotlivých aplikací (APM).

Kontrola SSL provozu

Bezpečnostní oddělení potřebuje přehled o provozu z a do internetu, proto rychlá a účinná analýza šifrovaného provozu (SSL Insight) pomáhá k zajištění IT zabezpečení v podnicích a státní správě. Dešifrování SSL může odesílat provoz do tzv. dešifrovací zóny k další kontrole, a odlehčit tak ostatním zařízením v bezpečnostním stacku.

ADC A10 Thunder 7445
A10 Thunder ADC 7445

Konvergovaný firewall

A10 Networks Thunder CFW je konvergované bezpečnostní řešení, které kromě služeb firewallu pro datová centra poskytuje také služby pro doručování aplikací (ADC), jejich zabezpečení (WAF), nebo možnost vytvoření SSL dešifrované zóny (SSLi) v jednom vysoce výkonném zařízení.

Funkce CFW obsahují stavový firewall, webovou bránu (SWG) a site-to-site IP VPN. CFW lze nasadit také jako hraniční firewall a směrovač před datové centrum, a tím zde dále optimalizovat místo v racích. Secure Web Gateway (SWG), pracující v režimu explicitní nebo transparentní proxy, pak chrání uživatele před externími hrozbami z internetu. Bezpečnost lze takto zajišťovat na více vrstvách, nejen na koncových zařízeních nebo hraničních firewallech.

Toto je ideální řešení nejen pro velké společnosti a státní správu, ale i pro poskytovatele cloudových a datacentrových služeb, kteří mohou nabízet jednotlivé funkce svým zákazníkům v kompletně odděleném síťovém prostředí.

Management a monitoring

Volitelný nástroj Harmony Controller pro správu a monitoring ADC, WAF a CFW podává lepší vhled do sítě a spravuje zabezpečení, které pohání analytika a aplikační inteligence. Provozovat jej můžete jako SaaS nebo ve vlastním datovém centru.

Produkty A10 Networks – aplikační networking, load balancing a ochrana před DDoS útoky – jsou dostupné nejen jako hardwarové appliance, virtuální instance, v cloudu, ale i ve formě kontejnerů.

Příklady využití

  • Vyvažování zátěže webových aplikací a služeb (ADC, load-balancing)
  • Ochrana a zajištění dostupnosti webových aplikací a služeb (WAF, DAF, anti-DDoS)
  • Zajištění vhledu do SSL komunikace a její akcelerace (SSL Insight)
  • Překlad privátních a veřejných IPv4 adres, migrace z IPv4 na IPv6 (Carrier Grade NAT)
  • Zajištění dostupnosti a ochrana kontejnerů v cloudu (integrace ADC a WAF s Ingress Controllerem a K8s)
  • Integrace a automatizace IT (např. Nagios, Ansible přes RESTful API)
Žádost o zpětné kontaktování

Hlavní důvody proč A10 Networks

  1. Všechny SW funkce ADC, WAF, AAM, SSLi a IPsec VPN v ceně díky all-in-one licenci
  2. Velmi výkonný a škálovatelný hardware
  3. OWASP Top 10 WAF
  4. Zabezpečení pro 5G sítě
  5. Inspekce šifrovaného SSL provozu s HW akcelerací
  6. TCL skriptování aFlex
  7. Intuitivní a responzivní GUI
  8. CLI velmi podobná Cisco
  9. 100% integrovatelnost s nástroji třetích stran přes RESTful API
  10. Centrální management a AI analytika
  11. Nadstandardní technická podpora výrobce 24×7 a silní lokální partneři

FAQ – Nejčastější otázky a odpovědi

Portfolio a produktové inovace


A10 Networks Thunder CFW

Thunder CFW je konvergované bezpečnostní řešení, které poskytuje služby pro doručování aplikací (ADC), jejich zabezpečení (WAF), možnost vytvoření SSL dešifrované zóny (SSLi) i firewall pro datová centra (CFW) v jednom vysoce výkonném zařízení. Toto je ideální řešení nejen pro velké společnosti a státní správu, ale i pro poskytovatele cloudových a datacentrových služeb, kteří mohou nabízet jednotlivé funkce svým zákazníkům v kompletně odděleném síťovém prostředí.

Jednotlivé balíčky funkcí A10 Thunder

Funkce ADC, WAF a AAM

Application Delivery Controller poskytuje všechny funkce potřebné k zajištění dostupnosti aplikací*, jejich akceleraci i zabezpečení, tj. od standardního load balancingu (L4-L7), přes globální mezi více datovými centry, přes vysoce výkonný hardwarový SSL offload (RSA, ECDSA) s podporou Perfect Forward Secrecy (PFS) až po integrovaný web aplikační firewall a Anti-DDoS ochranu.

*Pozn.: Mezi podporovanými protokoly jsou TCP, UDP, HTTP, HTTPS, RADIUS, DIAMETER, DNS-TCP, DNS-UDP, FTP, TFTP, IMAP, POP3, SMTP, SIP, RTSP, MSSQL, MYSQL a další.

Pozn.: Modul je dostupný i jako samostatné zařízení A10 Thunder ADC (Lightning ADC se stejnými funkcemi pro virtualizovaná/cloudová prostředí). Dále A10 dodává dedikovaná anti-DDoS řešení A10 Thunder TPS.


Funkce SSLi

A10 Thunder SSLi rozšiřuje funkce ADC o inspekci SSL provozu (RSA, ECDHE) a je vhodný zejména pro zákazníky, kteří požadují vyšší úroveň zabezpečení interní sítě, ale také mají obavy z úniku informací mimo organizaci. Pomocí hardwarově podporovaného dešifrování vzniká tzv. dešifrovaná zóna, která umožňuje analyzovat odchozí i příchozí provoz pomocí dalších bezpečnostních zařízení.

Provoz je tak možné přímo řídit (propouštět nebo blokovat), případně jen monitorovat (zrcadlení provozu). Díky tomu nedochází k opakovanému dešifrování a šifrování na jednotlivých zařízeních, čímž se řešení zjednodušuje a bezpečnostní kontrola celkově zrychluje.

 

Pozn.: Modul je dostupný i jako samostatné zařízení A10 Thunder SSLi


Funkce CFW

A10 Thunder Converged Firewall obsahuje všechny výše uvedené funkce a navíc je doplňuje o stavový firewall, webovou bránu a site-to-site IP VPN pro zabezpečení spojení mezi datovými centry. Firewall lze nasadit také jako hraniční firewall a směrovač před datové centrum, a tím zde dále optimalizovat pronajaté místo. Použitím oddílů (partitions) je možné vytvořit minimálně 32 kontextů, které jsou odděleny na síťové vrstvě buď přímo na rozhraní nebo pomocí VLAN. Zařízení rovněž podporuje vytváření multi tenancy prostředí, kdy jsou jednotlivé oddíly přiřazené různým aplikačním nebo infrastrukturním týmům nebo dokonce externím zákazníkům.


Harmony Controller

Externí management nástroj, A10 Harmony Controller, je k dispozici ve variantě on-premise, PaaS v Microsoft Azure a jako služba SaaS spravovaná společností A10 Networks. Harmony Controller je vyvinut jako cloud-native aplikace, tedy nad kontejnery, a lze jej proto škálovat podle potřeb. Základní instalace jsou na jednom, třech a více uzlech.

Dashboard Harmony Controlleru poskytuje prostřednictvím aplikací specifické informace pro ADC, SSLi, CGNAT nebo CFW funkce připojených zařízení a instancí. Bohaté grafické prostředí zrychluje analýzu problémů webových aplikací, a eliminuje tak potřebu korelace informací z mnoha nezávislých systémů.

Ukázka prostředí Harmony Controlleru

Harmony Controller také umožňuje správu a automatický provisioning softwarových instancí ADC v multi-cloudových prostředích.

 

Technické otázky


Fyzická zařízení jsou k dispozici ve výkonech s propustností od několika Gbps do stovek Gbps podle modelové řady a požadovaných funkcí. Následující tabulka uvádí několik příkladů:

Pozn. Tabulky uvádějí maximální výkony pro danou řadu, při kombinaci funkcí je potřeba provést sizing řešení podle konkrétních požadavků.


U jednotlivých modelů A10 Networks vždy poskytuje uvedený výkon v plném rozsahu. Nemusíte se obávat nákladných upgradů a s nimi souvisejícími penalizacemi.

A10 umožňuje vytvoření clusteru vysoké dostupnosti z osmi zařízení bez jakýchkoliv omezení a dosáhnout kapacity přes 1 Tb/s. Cluster se škáluje jednoduše zadáním další IP adresy, přičemž VIP lze přesouvat z jednoho uzlu na druhý. Všechny uzly clusteru mohou být aktivní. Pro účely clusterů je management cluster (aVCS) součástí licence.


Web Application Firewall, který je součástí A10 Thunder ADC, chrání komunikaci mezi klientem a serverem, a zabraňuje tak napadení webových aplikací hackery. WAF chrání proti obvyklým webovým útokům ale i proti pokročilým DDoS útokům, které nezpůsobí průnik, ale jen zatíží servery natolik, že přestanou zvládat klientský provoz.


Zařízení pro SSLi inspekci se nejčastěji zapojuje do cesty internetového provozu. V případě A10 Thunder se vytvoří dva nezávislé oddíly, které zajistí dešifrování provozu, přesměrování na bezpečnostní řešení třetích stran a jeho zpětné zašifrování.

 

Bezpečnostní zařízení je možno zapojit do cesty, nebo jen jako sondy. Podle výsledku analýzy externím zařízením je pak provoz dále zpracován. Další možností je směrování na webové proxy, které pomáhají s odezvou při pomalejších internetových linkách.


Většina výrobců moderních firewallů a UTM používá dešifrování pro odhalení potencionálních hrozeb. Vzhledem k tomu, že to často dělají softwarově, zapnutím těchto funkcí se výrazně sníží propustnost zařízení. Tím pádem je potřeba nakoupit zařízení vyšší řady s požadovanou propustností při zapnutí kontroly SSL. Druhý aspektem je, že provoz opět zašifrují. Následující zařízení postup dešifrování a šifrování opakuje, což není efektivní, ani ekonomické. Vyčlenění jednoho zařízení na SSL dešifrování a šifrování tak často prodlouží životnost existujících bezpečnostních prvků a zrychlí celkovou odezvu uživatelům.


Následující obrázek uvádí zařízení a produkty třetích stran, které mohou být v dešifrované zóně a dále zpracovávat provoz (firewally, SWG, ATP, DLP či SIEM řešení Cisco, Palo Alto, Check Point, FireEye, Fidelis, RSA, IBM, Symantec, Trend Micro, Vectra a další):

Dešifrovací zóna s A10 Thunder SSLi

Secure Web Gateway (SWG) chrání uživatele před externími hrozbami na internetu, což vede k lepšími zabezpečení a zvýšení produktivity. Bezpečnost je možno takto zajišťovat na více vrstvách, nejen na koncových zařízeních nebo hraničních firewallech. Nasazení SWG může být jako explicitní nebo transparentní proxy.


Ano, A10 Thunder je možné nasadit v mnoha formátech, přesně podle potřeb:

  • Fyzické zařízení s hardwarovou podporou SSL
  • Virtuální stroj pro KVM, VMware nebo Hyper-V

 


Všechna zařízení Thunder chrání proti obvyklým volumetrickým, např. SYN flood, ping of death, ale i behaviorálním útokům, které nezpůsobí průnik, ale jen zatíží servery natolik, že přestanou zvládat klientský provoz, např. zero window, out of sequence, atd. Dále jsou zde funkce omezení rychlosti sestavování spojení od klientů i směrem k serverům a black/whitelisting.


Ano, virtuální kontexty známé u konkurence jako vCMP jsou dostupné i na platformě A10 Thunder pod názvem Application Delivery Partition, nebo jen Partition. Výhodou je možnost vytvořit šablony, které zajistí alokaci aplikačních, síťových nebo systémových prostředků jednotlivým oddílům. Nejmenší z řady A10 Thunder a instance vThunder podporují 32 oddílů. Větší zařízení pak 127 až 1024 oddílů, což je vhodné do velkých datových center nebo pro poskytovatele IT služeb.


ACOS Virtual Chassis System (aVCS) umožňuje spravovat cluster zařízení ACOS jako jedno virtuální zařízení, kdy se jedno zařízení stává masterem (vMaster) a další jsou virtuální blade (vBlades). Toto umožňuje centrální správu konfigurace a okamžitou aplikaci změn na všech zařízeních ve virtuálním šasi. VCS jako nástroj pro správu poskytuje vysokou dostupnost funkcí zařízení ACOS pomocí VRRP-A a jeden master podporuje až sedm bladů podřízených boxů.


Zařízení A10 Thunder pro vysokou dostupnost používají implementaci ACOS VRRP-A, která je odlišná od standardní implementace protokolu VRRP (Virtual Router Redundancy Protocol). Pro účely zajištění důvěrnosti si půjčuje koncepty z VRRP, ale výrazně se od něj liší. VRRP-A nebude pracovat s VRRP ostatních výrobců. HA poskytuje redundanci pro následující zdroje:

  • Adresy IP virtuálního serveru (VIP)
  • Plovoucí IP adresy používané jako výchozí brány následnými zařízeními
  • IPv6 NAT rozsahy
  • IPv4 NAT rozsahy

 


Nejprve zmiňme, že produkty Thunder využívají velice intuitivní webové rozhraní, kde se pomocí šablon konfigurují požadované funkce. Ze zpětné vazby zákazníků víme, že je to jednodušší než u konkurence.

Druhou možností je konfigurace přes příkazovou řádku, která je velice podobná Cisco CLI. Cisco certifikovaný expert je schopen konfigurovat A10 během 30 minut. Podrobná dokumentace detailně popisuje všechny možné parametry.

Pro integraci s automatizačními a orchestračními nástroji je k dispozici RESTful API, které pokrývá 100 % funkcí dostupných v GUI nebo CLI. Dále jsou k dispozici skripty pro Ansible, Chef, Salt atd.


Grafické rozhraní nabízí aplikační šablony pro rychlé nastavení nejčastějších služeb a jeho součástí je i jejich dohled. Počet aplikací stále roste a jsou průběžně přidávány do GUI. Aktuálně zahruje: Dashboard Wizard, SSL Insight, L2-L7 Security, IPSec, Exchange, SharePoint, Skype for Business, Form Based Authentication, Windows Authentication, L4 Load Balancer, SSL Offload, DNS Application Firewall, Global Load Balancing, a další.


Typická doba migrace z konkurenčních řešení je 1-2 týdny. Pro nejrozšířenější konkurenční řešení nabízí A10 migrační služby, které zahrnují:

  • Skripty pro převod až 80 % konfigurací včetně šablon, metod kontroly stavu serverů, servisních skupin a virtuálních serverů.
  • Manuální převod složitějších TCL skriptů od konzultantů A10 s reakcí typicky do 1-2 dní.

 


Všechny modely A10 Thunder a vThunder podporují skriptování v TCL pod názvem aFleX. Migrace skriptů z konkurenčních řešení je jednoduchá a přímočará, kód se neliší vůbec nebo jen minimálně. Příklady skriptů najdete zde.

 

Licencování a obchodní otázky


Všechny tyto funkce jsou součástí jedné licence. Flexibilita, škálovatelnost a jednoduché licencování jsou hlavním mottem společnosti A10 Networks, která dobře chápe, že potřeby společností se v čase vyvíjí a je nesmysl jim bránit složitým a neprůhledným licencováním, jako to dělá konkurence.

Nestane se, že narazíte na situace typu: chybí vám licence na funkci, kterou jste dříve nepotřebovali, nebo postupným dokupováním licenčních modulů přeplácíte cenu jinak běžně dostupného balíčku.


Rozhodně není, pokud uvážíme následující výhody, které toto řešení přináší:

  • ADC: jednoduchost nasazení a min. 32 partitions v ceně licence
  • WAF: shoda s OWASP Top 10 v ceně licence
  • AAM: integrace s LDAP, RADIUS a dalšími AAA v ceně licence
  • SSLi: úspory související s opakovaným dešifrováním a šifrováním na jednotlivých bezpečnostních boxech
  • SWG: kompletní kontrola nad provozem, antimalware
  • CFW: úspora při nákupu separátního firewallu pro serverové farmy

 

Pro cenovou nabídku nás prosím kontaktujte.


Licence pro virtuální instance se nastavuje podle požadované propustnosti v řadě: 1, 4, 8, 10, 20, 40, 100 Gbps. Pro nasazení většího počtu menších instancí je výhodná kapacitní licence FlexPool, která umožňuje provozovat libovolný počet instancí, jejichž součet propustností je menší nebo roven zakoupené propustnosti. Toto je velmi vhodné pro situace disaster recovery nebo pro nasazení aplikací v hybridním cloudu.


A10 Networks nabízí samostatné zařízení Thunder ADC, které poskytuje všechny funkce potřebné k zajištění dostupnosti aplikací, jejich akceleraci i zabezpečení, tj. od standardního load balancingu, přes globální mezi více datovými centry, přes hardwarový SSL offload s vysokými výkony až po integrovaný web aplikační firewall a AntiDDoS ochranu. K dispozici je i pro virtualizovaná prostředí jako Lightning ADC.


Oproti konkurenčním výrobcům vám A10 Networks s all-inclusive modelem umožní využívat na jednom zařízení různé funkce (ADC, CGN, SSLi, CFW), získat více funkcí a vyšší výkon a zároveň v delším horizontu snížit celkové provozní náklady a zjednodušit správu.


Vybrané reference A10 Thunder ADC a WAF v ČR/SR

 

 

Otázky ohledně podpory


Přímé zastoupení pro ČR a SR má VPGC jako distributor s přidanou hodnotou. Na obou trzích spolupracuje s významnými systémovými integrátory.


Všechna dokumentace je pro zákazníky přístupná na stránkách výrobce, v rámci portálu podpory je k dispozici i Knowledge Base.

Dále je k dispozici řada manuálů pro konfiguraci nejčastějších scénářů jako např. integrace AAM s ADFS, nebo např. konfigurace SSL Insight pro Fidelis, nastavení komunikace s Azure VPN bránou a mnoho dalších.


K dispozici jsou trial verze pro Lightning ADC, vThunder, Harmony Controller a FlexPool. Pro jejich vyzkoušení, nás prosím kontaktujte. Řešení předvádíme také na našich seminářích, nebo na vyžádání také přímo u zákazníka.


Certifikační školení zajišťuje VPGC ve spolupráci s EDU Trainings, anebo jsou dostupná jako součást dodávky řešení od výrobce nebo partnera.


V Češtině jsou novinky ohledně A10 Networks dostupné na blogu VPGC, v angličtině pak na webu A10 Networks.

 

Kontaktujte mě