Выбор Load Balancer
-
Pavel Podbelniy(PavelP)
- Сообщения: 2
- Зарегистрирован: 01 янв 1970 03:00
Выбор Load Balancer
У нас крутятся 4 х 10250 с WAF "модулем" и десяток 8950 F5. Весь коллектив доволен железками. Тонкости возникали/возникают на этапе обновления софта. Сейчас мееедленно переходим на виртуальные LB...
-
slavik_ru(ripev)
- Сообщения: 64
- Зарегистрирован: 01 янв 1970 03:00
Выбор Load Balancer
to Pavel Podbelniy:
А какие там трудности? Софт у них обновляется спокойно и без проблем.
А какие там трудности? Софт у них обновляется спокойно и без проблем.
-
Serge De Vorop
- Сообщения: 430
- Зарегистрирован: 01 янв 1970 03:00
Выбор Load Balancer
to Pavel Podbelniy:
Кто настраивает WAF? Ну в смысле сетевик, прогер, админ Сквида или кто?
Интересуюсь чисто из практических вопросов, ибо для себя нашел эту область сильно новой и никак не связанной с сетями. И в эксплуатации просто адский гемор и постоянные бодания с разработчиками вэб-приложений.
Кто настраивает WAF? Ну в смысле сетевик, прогер, админ Сквида или кто?
Интересуюсь чисто из практических вопросов, ибо для себя нашел эту область сильно новой и никак не связанной с сетями. И в эксплуатации просто адский гемор и постоянные бодания с разработчиками вэб-приложений.
-
Nathan Murr
- Сообщения: 9
- Зарегистрирован: 01 янв 1970 03:00
Выбор Load Balancer
WAF это всякие HTTP-level attacks , SQL-injections и прочее?
-
slavik_ru(ripev)
- Сообщения: 64
- Зарегистрирован: 01 янв 1970 03:00
Выбор Load Balancer
to Nathan Murr:
Да. Именно web application firewall.
to Serge De Vorop:
Как по мне, так должен настраивать тот, кто понимает как WEB приложения работают и знает, какие типы уязвимостей бывают и как их исправлять. Может и сетевик, а может и безопасник. А вот прогерам я бы не давал, зачастую у них свои своеобразные представления. С ними можно тестировать вместе, но в production рулить не стоит.
А вообще эта штука позиционируется как временная затычка. Т.е. если web приложение уязвимо, устраняем это через F5 и при этом давим на программистов, чтобы исправили проблему в коде.
Да. Именно web application firewall.
to Serge De Vorop:
Как по мне, так должен настраивать тот, кто понимает как WEB приложения работают и знает, какие типы уязвимостей бывают и как их исправлять. Может и сетевик, а может и безопасник. А вот прогерам я бы не давал, зачастую у них свои своеобразные представления. С ними можно тестировать вместе, но в production рулить не стоит.
А вообще эта штука позиционируется как временная затычка. Т.е. если web приложение уязвимо, устраняем это через F5 и при этом давим на программистов, чтобы исправили проблему в коде.
-
Serge De Vorop
- Сообщения: 430
- Зарегистрирован: 01 янв 1970 03:00
Выбор Load Balancer
to slavik_ru:
##--А вообще эта штука позиционируется как временная затычка--##
Скорее наоборот. Так про любую централизованную систему безопасности (и не только безопасности) можно сказать. Фаервол временно пока не будет устранена уязвимость ОС. Web Proxy - пока не будут устранены проблемы в браузере. Балансер - пока не будет нормальный балансинг средствами кластера. Mail фильтры - пока не будет допилен почтовый сервер.
Штука позиционируется так, что есть в энтерпрайзе куча говно-порталов, которые в разное время писали разные люди разной квалификации разными инструментами с разной степенью требований к безопасности. Задача - не просрать полимеры.
##--А вообще эта штука позиционируется как временная затычка--##
Скорее наоборот. Так про любую централизованную систему безопасности (и не только безопасности) можно сказать. Фаервол временно пока не будет устранена уязвимость ОС. Web Proxy - пока не будут устранены проблемы в браузере. Балансер - пока не будет нормальный балансинг средствами кластера. Mail фильтры - пока не будет допилен почтовый сервер.
Штука позиционируется так, что есть в энтерпрайзе куча говно-порталов, которые в разное время писали разные люди разной квалификации разными инструментами с разной степенью требований к безопасности. Задача - не просрать полимеры.
-
Pavel Podbelniy(PavelP)
- Сообщения: 2
- Зарегистрирован: 01 янв 1970 03:00
Выбор Load Balancer
to slavik_ru:
Тут беда скорее не вендора, а компетенции инженеров, отвечающих за балансеры в нашей (и не только) компании:) Плюсом компетенция контрактора, который им помогал при последнем обновлении... Я, покуда наблюдал как они все делают, сидел и недоумевал:)
Про "прогеров" даже не упоминай:) Тут сейчас ДевОпс- тема дня и всякие красноглазики лезут куда попало. Вчера скриптик писал на питоне, а сегодня начинает в сети лезть. Проблема в том, что руководство, наслушавшись воды про SDN и, неправильно поняв что к чему, начинает потокать этим Девам. Благо, после двух Bstorm'ов в продакшн их попросили расслабиться:)
to Serge De Vorop:
За WAF отвечает секурная тима.
Тут беда скорее не вендора, а компетенции инженеров, отвечающих за балансеры в нашей (и не только) компании:) Плюсом компетенция контрактора, который им помогал при последнем обновлении... Я, покуда наблюдал как они все делают, сидел и недоумевал:)
Про "прогеров" даже не упоминай:) Тут сейчас ДевОпс- тема дня и всякие красноглазики лезут куда попало. Вчера скриптик писал на питоне, а сегодня начинает в сети лезть. Проблема в том, что руководство, наслушавшись воды про SDN и, неправильно поняв что к чему, начинает потокать этим Девам. Благо, после двух Bstorm'ов в продакшн их попросили расслабиться:)
to Serge De Vorop:
За WAF отвечает секурная тима.
-
Serge De Vorop
- Сообщения: 430
- Зарегистрирован: 01 янв 1970 03:00
Выбор Load Balancer
to Pavel Podbelniy:
И как секурщики синхронизируют свои действия с командой вэб-разработчиков/админов?
По моему опыту, на WAF как и на фаерволе разрешается то, что требует бизнес, а остальное запрещается.
В случае вэб-приложений по факту описывается полностью алгоритм работы приложения, где какие запросы и где какие ответы, и только такие транзакции разрешаются. На практике это выглядит как next-next-finish, а потом по ходу тестов открываются новые дырки, когда что-то не работает или работает не так как надо. И тут идет достаточно кропотливая работа. Далее, в процессе эксплуатации если прогеры что-то допиливают - процесс повторяется. Я встречал компании, в которых порталы очень часто очень сильно допиливаются и изменяются, и с трудом представляю, как сторонняя, не связанная с вэб-порталами команда может за ними поспеть.
И как секурщики синхронизируют свои действия с командой вэб-разработчиков/админов?
По моему опыту, на WAF как и на фаерволе разрешается то, что требует бизнес, а остальное запрещается.
В случае вэб-приложений по факту описывается полностью алгоритм работы приложения, где какие запросы и где какие ответы, и только такие транзакции разрешаются. На практике это выглядит как next-next-finish, а потом по ходу тестов открываются новые дырки, когда что-то не работает или работает не так как надо. И тут идет достаточно кропотливая работа. Далее, в процессе эксплуатации если прогеры что-то допиливают - процесс повторяется. Я встречал компании, в которых порталы очень часто очень сильно допиливаются и изменяются, и с трудом представляю, как сторонняя, не связанная с вэб-порталами команда может за ними поспеть.
Вернуться в «Техническая поддержка: Прочее»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость