LBL ADC

Instradamento applicativo e sicurezza

LBL ADC è la soluzione nata per risolvere quelle che oggi sono le esigenze di Application Visibility e Security.
Grazie alle elevate performance e avanzate funzionalità di bilanciamento e sicurezza è in grado di ottimizzare l’affidabilità delle applicazioni migliorando la user experience.

LBL ADC è la piattaforma Application Delivery Control nata per lavorare nei moderni ambienti virtualizzati sia on premise che in Cloud sfruttando l’enorme potenza di calcolo oggi a disposizione e permettendone l’utilizzo in maniera nativa in questi ambienti.

LBL ADC offre un sistema di bilanciamento e instradamento del traffico a livello applicativo 4 TCP UDP, 7 (HTTP/S, DNS) con caratteristiche di session affinity, in grado di assicurare una elevata scalabilità sui moderni sistemi multiprocessore/multithread con caratteristiche di encryption on chip (AES-NI or on-board/on-chip encryption functionality).

In un moderno sistema informativo in alta affidabilità la componente ADC diventa quindi il fulcro da cui si dipartono le richieste di servizio degli operatori verso i punti di erogazione.

Dal punto di vista architetturale il posizionamento è di un Full Reverse Proxy andando ad inserire uno strato di Application Delivery Control per gestire le molteplici applicazioni che compongono un servizio ed offrire un motore di analisi a L4/L7 del traffico dati.

Bilanciamento dinamico

Con LBL ADC possono essere utilizzati vari tipi di bilanciamento L4-L7 sia statico che dinamico. LBL ADC è destinato ad ambienti in alta affidabilità e consente di mantenere i dati di instradamento delle sessioni anche nel caso di caduta di uno dei due nodi.

Le funzionalità di bilanciamento sono assicurate da algoritmi di tipo Adaptative (adaptive-active) in grado di instradare le richieste in modalità pesata verso i servizi di backend. L’algoritmo, rilevando lo stress applicativo, assegna dinamicamente le nuove richieste sui servizi più scarichi assicurando la massima efficienza di erogazione. La possibilità di associare regole di instradamento verificando real-time la provenienza geografica della richiesta sono parte integrante della soluzione.

La soluzione LBL ADC, agendo da Full Reverse Proxy, permette di ispezionare, analizzare e reagire in caso di uso anomalo delle risorse. Tutte le connessioni che attraversano lo strato di ADC vengono terminate e costantemente analizzate e catalogate identificando eventi anomali e attuando delle azioni a garanzia della continuità di erogazione.

All’interno della suite di prodotto LBL S.A.A.I., oltre alla componente ADC sono disponibili funzionalità aggiuntive abilitabili attraverso un opportuno modello di licensing.

SSL Offloading

LBL ADC può terminare le connessioni SSL/TLS. La soluzione LBL ADC, attraverso le avanzate funzionalità di tunneling ed encryption end-to-end, è in grado garantire nativamente un accesso sicuro ai servizi garantendo un unico punto di controllo e sicurezza.

LBL ADC offloading acceleration utilizza le nuovissime tecnologie di encryption on chip (AES-NI or on-chip encryption functionality) anche in ambienti virtuali e Cloud.

L’utilizzo di queste tecnologie parallele di encryption permette di accelerare drasticamente le attività che un tempo venivano delegate a chip ASICs esterni che in ambienti multi-core formavano dei colli di bottiglia e introducevano latenze dovute alla dislocazione esterna al processore oltre a presentare problemi di utilizzo in ambienti virtualizzati eterogenei o Cloud.

La capacità di utilizzare certificati digitali è garantita dal potente sistema di offloading che permette di terminare le connessioni SSL, richiedere ai client strong authentication, eseguire il forwarding dei certificati client verso i servizi, eseguire a diversi livelli di sicurezza le operazioni di re-encryption nel backend.

Con LBL ADC è possibile differenziare le caratteristiche SSL/TLS del front-end (connessioni dei client) da quelle del back-end (connessioni verso gli end-point/servizi) sia a livello di protocollo SSL/TLS sia a livello di cipher-suite.

Il sistema di encryption SSL/TLS garantisce la dinamicità della sessione SSL/TLS per aumentare la sicurezza del protocollo in linea con le ultime specifiche (Perfect Forward Secrecy).  La tecnologia SSL Re-encryption permette di ottenere una trasmissione criptata sia nel front-end dai client che richiedono i servizi a LBL ADC, sia nel back-end permettendo di utilizzare protocolli e cipher-suites SSL/TLS differenti e mantenendo nel contempo un routing efficiente basato sulle informazioni che transitano all’interno di LBL ADC.

Questo permette di mantenere in maniera centralizzata un livello altissimo di protezione e sempre aggiornato diminuendo significativamente gli interventi sulle molteplici piattaforme application-server utilizzate per l’erogazione degli applicativi che possono quindi essere aggiornate in momenti differenti.

Il sistema di encryption e di trattamento dei certificati digitali può avvalersi della tecnologia TLS-SNI (Server Name Indication) in grado di concentrare l’utilizzo di più certificati digitali in un unico indirizzo-porta diminuendo drasticamente il numero di indirizzi IP esposti. Questa funzionalità permette una drastica semplificazione a livello di networking e di regole firewall.

Questa tecnologia è molto utile e nel caso si trattino volumi elevati di informazioni riservate o sensibili permettendo di avere nell’erogazione del servizio la massima sicurezza disponibile e simultaneamente alle funzionalità di routing applicativo che un moderno ADC deve mettere a disposizione.

Gestione centralizzata certificati digitali

L’utilizzo esteso di certificati digitali deve essere supportato da adeguati strumenti che ne permettano una facile gestione.

Attraverso l’interfaccia web è possibile creare, aggiornare, importare, esportare e distruggere i certificati digitali coprendone tutto il ciclo di vita.

ACME Protocol

Il protocollo ACME (Automatic Certificate Management Environment) è un protocollo per automatizzare le interazioni tra le Certification Authorities ed i web server degli utenti, permettendo la generazione e il deploy dei certificati digitali in maniera semplice ed economica.

Il protocollo ACME è un protocollo mantenuto da IETF e promosso da Internet Security Research Group che mette a disposizione un servizio di Certification Authority gratuito per la generazione di certificati digitali del tipo Domain Validation. Questo servizio chiamato Let’s Encrypt è generalmente associato al protocollo ACME.

Con LBL ADC con un semplice click è semplice creare e rinnovare certificati Let’s Encrypt direttamente da un browser o uno smartphone.

Funzionalità di sicurezza

Il sistema di bilanciamento ed instradamento del traffico dati, integra un sistema Application Firewall con caratteristiche avanzate di sicurezza per la prevenzione da attacchi Denial of Service (DoS) e Distributed Denial of Service (DDoS) in grado di controllare e catalogare real-time le dinamiche delle richieste di servizio e la loro evoluzione.

Il sistema integra anche la funzionalità di Web Application Firewall (WAF) basata su signature ed in grado di proteggere le applicazioni web e contrastare le minacce OWASP. Le caratteristiche WAF sono integrate al sistema di Learning Machine Attack Prophecy (Powered by PluribusONE) in grado di scoprire e porre rimedio a vulnerabilità applicative altrimenti impossibili da rilevare.

La distribuzione in Virtual Appliance permette al prodotto di conservare tutte le caratteristiche delle appliance Enterprise Datacenter conservandone tutte le funzionalità e contenendo al massimo i costi di prima acquisizione.

Le caratteristiche funzionali permettono di scalare verso configurazioni più elevate senza cambiare piattaforma e know-how acquisito.

DoS/DDoS VIP iRedCarpet

LBL DDoS Attack Mitigation sfrutta le avanzate caratteristiche del motore di forwarding per mitigare e risolvere attacchi DoS/DDoS o click-day events. La soluzione di DDoS Attack Mitigation è basata sullo stress applicativo (con capacità di reazione entro i 50 millisecondi) ed è in grado di controllare i flussi di traffico discriminandoli a livello applicativo, per tipologia di utente, servizio, IP, subnet, regione geografica.

LBL DDoS Attack Mitigation rileva lo stress applicativo senza l’utilizzo di agenti (agentless) verificando le connessioni da Layer 4 fino a Layer 7 e può intervenire andando a cancellare/limitare le richieste che stanno causando la sofferenza.

LBL DDoS Attack Mitigation permette inoltre di confinare temporaneamente attacchi provenienti da singoli IP address/subnet.

L’algoritmo è stato studiato per identificare IP dinamici e porli temporaneamente nella condizione di non nuocere senza alcun intervento umano.

L’innovativo algoritmo (VIP iRedCarpet©) permette, in particolari momenti di “stress applicativo”, di filtrare fino a Layer 7 il traffico “utile” dal traffico “meno utile” reagendo in maniera differente in dipendenza delle condizioni di stress e della singola funzione o transazione applicativa. Il sistema, attraverso semplici regole, è stato studiato per privilegiare l’accesso delle connessioni in base alla tipologia applicativa del servizio richiesto, ad esempio privilegiando le connessioni/utenti che stanno eseguendo dei pagamenti oppure coloro che hanno già eseguito l’autenticazione al portale o, in ambito transazionale, coloro che hanno già iniziato la transazione ed hanno una sessione associata rispetto a coloro che stanno solo navigando in sola consultazione.

La tecnologia permette di impostare dei “privilegi” applicativi in caso di attacco o di sovraccarico della intera infrastruttura garantendo una continuità operativa senza precedenti.

DDoS Address in Quarantine è una funzione in grado di identificare sofisticati tentativi di uso esclusivo delle risorse da parte di pochi soggetti. Questi ultimi vengono automaticamente riconosciuti ed esclusi ponendo gli indirizzi, fonte del disservizio, in “quarantena” per un periodo prefissato di tempo. Normalmente questi attacchi provengono infatti da indirizzi dinamici e quindi non inseribili su directory pubbliche di “liste nere”. Scaduto il tempo di “quarantena” viene reso nuovamente disponibile l’accesso ai servizi.

Tutte le funzionalità descritte sono incluse nella singola licenza di DDoS Mitigation.

Specifiche

  • Application Security and Visibility
  • Intelligent L7 Traffic Management with Adaptative Load Balancing
  • Enhanced Network and Application Security
  • Deliver Applications rapidly and reliably
  • High-performance application management and visibility
  • SSL/TLS industry leading with scale and performance
  • SSL Tunneling
  • SSL Terminantion (all security levels)
  • SSL Reencryption (all security levels)
  • SSL TLS-SNI multicertificates listeners
  • SSL TLS-SNI endpoints loadbalancing treatment
  • Health monitoring with deep application monitoring
  • Relational Database traffic tracing (SQL)
  • L7 Full Content Rewriting
  • Fast SSO and Federation Integration
  • High Availability & Clustering
  • Moving on-premises to Cloud
  • Centralized Management of Clusters and Multiple Geographic Data Center
  • Logging and Tracing for Policy Compliance
  • Rule IDE Integrated Developer Environment
  • Capacity on Demand
  • Compliance & Reporting

Screenshots

Corso relativo al prodotto

Vuoi diventare un esperto LBL ?