Spotykamy się po raz kolejny, aby porozmawiać o wdrażanych przez Was rozwiązaniach bezpieczeństwa oferowanych przez Akamai. Czy możesz nam przybliżyć czym jest usługa Akamai WAP?

Hubert Ortyl, Business Development Manager Security Solution w Advatech sp. z o.o.: Akamai Web Application Protector prezentuje zgoła inne, bo zautomatyzowane podejście do WAF obecnych do tej pory na rynku. Akamai WAF (WAP) wygrywa reakcją na stale pojawiające się zagrożenia wraz z permanentnym serwowaniem nowych zestawów reguł zabezpieczających oraz wydajnością. Dodatkowo nie wymaga sztabu specjalistów do obsługi systemu.

Słyszeliśmy, że z powodzeniem wdrożyliście takie rozwiązanie do ochrony działania serwisu w dużej instytucji publicznej. Czy możecie powiedzieć gdzie?

Hubert Ortyl: Niestety nie możemy podać nazwy tej instytucji ponieważ nie posiadamy jeszcze na to ich zgody. Bezpieczeństwo lubi ciszę, z takiego założenia wyszedł nasz klient, a my to bardzo dobrze rozumiemy.

Ale coś więcej o samym rozwiązaniu i o tym czym jest realizowany przez klienta rządowego projekt polegający na raportowaniu danych chyba możecie powiedzieć?

Hubert Ortyl: Projekt polegał na wdrożeniu bazy danych wraz z cyklicznym raportowaniem gdzie pojawiało się bardzo duże natężenie użytkowników w krótkim czasie co mogło wywołać zakłócenia lub całkowity paraliż systemu. Baza miała być dostępna przez 100% czasu dla przedsiębiorców za pośrednictwem serwisu WWW. Mieliśmy też zapewnić odpowiednie możliwości technologiczne - np. integrację przez API z systemami zewnętrznymi przedsiębiorców, tak aby proces raportowania można było zautomatyzować.

Jakie były największe wyzwania stojące przed projektem?

Michał Nycz, Account Executive w Akamai Technologies: Największym wyzwaniem była konieczność zapewnienia odpowiedniej wydajności serwisu oraz przygotowanie go na ruch na poziomie średniej wielkości firmy e-commerce. Aby dobrze się przygotować, postanowiliśmy czerpać z najlepszych wzorców z tej branży, stawiając na rozwiązanie bazujące na Akamai Edge, które posiada referencje wśród największych światowych e-commerce. Biorąc pod uwagę, że takie rozwiązania stosuje się np. w trakcie Black Friday, mogliśmy mieć pewność, że serwis udźwignie sporych rozmiarów traffic. Jednym z wymagań było również zrealizowanie load balancingu na warstwie 7, z utrzymywaniem sesji na podstawie cookie’s użytkownika. Rozwiązanie miało być również zgodne z wymogami prawnymi, jak np. RODO, czy ISO.

Jak wyglądało rozpoczęcie działania usługi?

Hubert Ortyl: W rozwiązaniu Akamai zaproponowanym przez nas jednym z kluczowych parametrów była potrzeba szybkiego uruchomienia serwisu, tak aby nie trzeba było czekać na dostawę sprzętu, jego uruchomienia, konfiguracji, ustawienia parametrów pracy i tunningu. Zależało nam też na zaproponowaniu rozwiązania sprawdzonego przez dużą liczbę klientów i poza obroną przed cyberprzestępcami, przygotowanego też na niespodziewany ruch wyglądający jak atak DDoS. Samo wejście na platformę zabrało parę godzin i w tym względzie jest to najwygodniejsza forma rozpoczęcia działania usługi na której zależało klientowi. Akamai w większości przypadków zachęca do uruchomienia instalacji testowej z dowolnym rozwiązaniem a w tym przypadku umożliwiło rozpoczęcie PoC z usługą Web Application Protector i po sprawdzeniu rozwiązania, jednym kliknięciem przejście na tzw. „go live” aby usługa działa w pełni produkcyjnie.

Czy bezpieczeństwo serwisu było jednym z priorytetów?

Michał Nycz: Bezpieczeństwo było oczywiście jedną z krytycznych kwestii do zrealizowania w projekcie. Biorąc pod uwagę kwestie, związane z ochroną danych i ich przechowywaniem, musieliśmy być pewni, że platforma zapewni najwyższe możliwe standardy. Korzystając z najlepszych doświadczeń i rekomendacji, chcieliśmy dać dostęp do zaawansowanego silnika bezpieczeństwa, który zapewniłby odpowiednią, proaktywną ochronę na warstwach 3,4 i 7 oraz odpowiednią skalowalność w przypadku ataków DDoS. Istotnym czynnikiem była również konieczność zautomatyzowanej obsługi rozwiązania i możliwości ustawiania personalizowanych, charakterystycznych dla klienta reguł. Finalnie klient zdecydował się na automatyczny WAF Akamai o nazwie WAP, bo wszystkie powyższe wymagania były realizowane, a klient nie chciał iść na kompromis w kontekście szybkości działania strony. Rozwiązanie miało też bardzo dobre rekomendacje w takich rankingach jak Forrester, gdzie obecnie jest najlepiej pozycjonowanym WAF-em na rynku.

Jak klient ocenia funkcjonowanie rozwiązania opartego na Akamai Edge po kilku pierwszych miesiącach ?

Michał Nycz: Z uwagi na obowiązujące regulacje, platforma niemal natychmiastowo stała się bardzo popularna - w ciągu miesiąca użytkownicy generują ponad 35 milionów odsłon na wszystkich jej elementach. Rozwiązanie Akamai świetnie zdaje egzamin, pomagając zapewnić wysoką wydajność strony w cyklicznych szczytach ruchu, a także 100% dostępności platformy. Rozwiązanie ma również niebagatelne znaczenie w kontekście zapewnienia bezpieczeństwa. W ciągu ostatnich 30 dni odnotowano ponad 3 miliony złośliwych zapytań – „request” (czyli prawie 2% wszystkich zapytań do strony głównej), na co złożyły się m.in. dwie sporych rozmiarów próby ataków DDoS. W tym okresie Akamai WAP korzystał ze swoich automatycznych reguł ponad 2000 razy, a wśród popularnych ataków odnotowano np. Web Protocol Attack, SQL Injection, Command Injection, Local File Inclusion, czy Cross Site Scripting. Można stwierdzić, że bez rozwiązania Akamai, klient nie osiągnąłby pełnej dostępności oraz nie zyskałby warstwy najlepszych standardów bezpieczeństwa dla platformy usługowej.