Incapsula, la nota CDN e Firewall ci svela i suoi progetti per il futuro.

incapsula-cdn-waf-expansion-plans-mapCome leggiamo dalla loro newsletter appena giunta per email, Incapsula la una nota CDN con funzioni di WAF (Web Application Firewall) e DDOS mitigation, già recensita QUI, ha dei seri piani per il futuro prossimo.

Dopo la recente acquisizione da parte di Imperva, (azienda leader nel settore Data protection e IT Security) infatti ha annunciato con notevole entusiasmo che aumenteranno datacenter e banda a disposizione fino a raggiungere cifre davvero considerevoli.

Ecco cosa scrivono su : http://www.incapsula.com/blog/cdn-expansion-plans-map.html

Incapsula e i 30 datacenter per la fine dell’anno.

E ‘ bello essere in grado di unire una organizzazione che si muove veloce come Incapsula. Oggi voglio discutere di questo slancio, condividendo i nostri piani di espansione della rete per il 2014.

Con il primo trimestre dietro di noi, e con tre nuovi datacenter già attivi, siamo entusiasti di annunciare il nostro impegno a raddoppiare le dimensioni della rete di Incapsula – espansione da 16 a 30 punti di presenza (POP) entro la fine dell’anno.

Con questi nuovi data center ci aspettiamo la capacità di rete complessiva di Incapsula di oltre 1,5 Tbp/s. Inoltre, ciascun POP di Incapsula sarà configurato per memorizzare nella cache ben 30 volte più della sua capacità attuale con l’aggiunta di una nuovi switch con una maggiore densità di porte.

Località dei nuovi Datacenter

Le posizioni dei nostri data center in arrivo sono stati accuratamente scelti per la connettività di rete ottimizzata e per la loro capacità di riflettere le reali esigenze dei nostri clienti, dunque aumentare la presenza della rete in regioni ad alta richiesta, oltre a fornire una copertura in nuove posizioni geografiche.

Ecco l’elenco di tutti i POP candidati nel loro ordine alfabetico:

Atlanta, USA
Auckland, Nuova Zelanda
Lima, Perù
Hong Kong, Cina
Madrid, Spagna
Milano, Italia
Città del Messico, Messico
Mumbai, India
Sao Paulo, Brasile
Seoul, Corea del Sud
Toronto, Canada
Vienna, Austria
Varsavia, Polonia

Anche mentre parliamo, alcuni di questi luoghi sono già in fase di implementazione iniziale, e pochi sono a pochi passi di distanza dall’attivazione ufficiale.  E’ anche possibile che una posizione di alcuni dei luoghi si sposterà, a seconda della disponibilità di risorse di rete locale.

Questo è come la nostra rete sarà simile entro la fine dell’anno:

global-cdn-expansion-map

2013 ottima annata ma solo un “riscaldamento”

Nel 2013 il numero di siti protetti da Incapsula è cresciuto di oltre il 600 per cento. Oggi, Incapsula è la piattaforma di Application Delivery scelta per decine di migliaia di organizzazioni, tra cui alcuni dei più grandi marchi del mondo di elettronica di consumo, rivenditori online, istituzioni finanziarie e società SaaS di spicco.

L’anno scorso, per accogliere la nostra crescita, siamo cresciuti la nostra capacità di rete a oltre 600Gbps, espandendolo di oltre il 500 per cento. Abbiamo anche introdotto una serie di importanti aggiornamenti di servizi, tra cui statistiche in tempo reale, nuovi controlli Cache , un sistema integrato di autenticazione a due fattori e una sfilza di altre caratteristiche.

Quest’anno continuiamo ad espandere la nostra lista di servizi, così come le nostre capacità di networking. Nel primo trimestre del 2014 abbiamo già aumentata capacità di sicurezza del Incapsula con le nostre nuove regole di firewalling per il nostro motore di filtering. Più di recente, abbiamo ampliato la nostra offerta con il nostro Layer 7 Load Balancer – primi a fornirlo  nel suo genere come soluzione di high avalaibility per i nostri clienti Enterprise.

WAF, Web Application Firewall e Proxy per mitigare attacchi DDoS

La nostra espansione della rete rapida non è solo alimentata dalla propria crescita di Incapsula, ma anche dalla crescita di attacchi DDoS volumetrici. Dall’inizio del 2013, abbiamo assistito ad un aumento senza precedenti del numero di grandi minacce DDoS al punto in cui uno ogni tre attacchi all’ora raggiunge oltre 20 Gbps e DDOS da oltre 100 Gbps non sono più rari.

Con diversi grandi DDoS  che si verificano su una base quotidiana, e con sempre più siti web in cerca di Incapsula per la protezione, sapevamo che era il momento di investire; non solo per la necessità di oggi, ma anche per gli obiettivi di domani.

DREAMSNET.IT e Incapsula. Servizi di consulenza e protezione DDOS

Come azienda abbiamo valutato, analizzato e già trattato le varie CDN che il mercato offre, rilevando in Incapsula attualmente la migliore soluzione per il Firewalling a livello di applicazioni Web, nonchè come protezione DDOS per utenti commerciali vittime di attacchi DDOS di notevole portata.

Effettiamo consulenza di DDOS Mitigation, nonchè configurazione e installazione di Incapsula come elemento vitale per la disponibilità dei servizi.

CloudFlare vs Incapsula vs ModSecurity. Analisi comparativa su quale scegliere e perchè.

Tutti amano le comparazioni non è vero? Ancora di più se a confronto ci sono CloudFlare vs Incapsula vs ModSecurity, 3 nomi che conosci sicuramente, messi a dura prova da Zero Science Lab, un team di ricercatori macedoni, attivi nel campo della sicurezza informatica e della ricerca di vulnerabilità all’interno dei software. Se hai sempre desiderato una comparazione tra CloudFlare, Incapsula e ModSecurity è arrivato il momento di leggere con attenzione questo post.

CloudFlare, Incapsula e ModSecurity sono tre prodotti completamente differenti. Dico quasi perchè visto dall’esterno ModSecurity ad esempio non ha nulla da spartire con CloudFlare ed Incapsula, data la sua natura di WAF puro. Cos’è un WAF? La nocciola non c’entra nulla, e neanche i wafer. Un WAF è un acronimo che sta per Web Application Firewall, un software che ha il compito di fare Virtual Patching. Quanti paroloni! Ma cercherò di rendere la cosa più semplice anche per i novizi.

WAF e Virtual Patching

Hai presente le patch? Le pezze, quelle che devi applicare ad un software di tanto in tanto. Ci sono patch per WordPress, ci sono patch per Joomla. Le patch chiudono dei buchi, delle debolezze del codice che possono essere sfruttate per danneggiare un sito web. Il patching classico prevede che il produttore rilasci un aggiornamento del codice che tu dovrai applicare sul tuo sito web. Non sempre questi aggiornamenti però vengono rilasciati con tempestività. Dalla scoperta di una vulnerabilità fino al rilascio della patch potrebbero passare svariate settimane, se non mesi. Questo a causa delle tempistiche che ha ogni rilascio del codice. Oppure in quel momento potresti trovarti nella situazione di non poter aggiornare il sito perchè il codice è troppo personalizzato e rischieresti di rompere qualcosa. Il virtual patching invece permette di mettere una “pezza sulla pezza”. Il virtual patching è una patch virtuale che può essere applicata ad uno strato diverso da quello su cui vive il codice.

ModSecurity è un firewall per applicazioni web che opera a livello HTTP e fa un lavoro di patching virtuale, bloccando le minacce prima che raggiungano il codice vulnerabile.

In tutto questo CloudFlare e Incapsula si differenziano da ModSecurity perchè oltre alla funzione di WAF includono anche e soprattutto delle funzioni per velocizzare i siti web che fanno uso di essi. Si parla e si scrive veramente tanto di CloudFlare e Incapsula ma i dati ed i vantaggi reali sono ancora abbastanza nebulosi e si va quasi sempre per sentito dire. Zero Science Lab ha voluto fare un pò di luce sull’efficacia e sull’utilità di CloudFlare, Incapsula e ModSecurity svelando alcuni dettagli che ti lasceranno sicuramente molto sorpreso. Posso comunque anticiparti che CloudFlare esce come sconfitto illustre nel confronto con Incapsula e ModSecurity.

Zero Science Lab ha messo a confronto i piani più costosi: la versione Business di CloudFlare (200 dollari al mese!), la versione Business di Incapsula (59 dollari al mese). ModSecurity invece è free, distribuito gratuitamente. L’azienda che lo sviluppa, TrustWave Lab offre comunque delle regole commerciali a pagamento. Le regole sono in parole povere lo scheletro di funzionamento di ModSecurity. Per ogni minaccia esiste una regola che se fatta scattare blocca l’attacco. Un insieme di regole gratuite sono liberamente disponibili per il download.

CloudFlare vs Incapsula vs ModSecurity: l’installazione

Nel report di Zero Science Lab il confronto tra i prodotti inizia con una panoramica sulle modalità di installazione.
Posso dirti che sia Incapsula, sia CloudFlare non richiedono un intervento fisico sul server, nè sul sito web. L’attivazione di questi prodotti avviene quasi esclusivamente via browser. L’azione richiesta è la modifica dei record DNS ed NS del sito web che stai per proteggere, in modalità leggermente differenti per Incapsula e CloudFlare, ma abbastanza simili.

L’installazione di ModSecurity richiede invece un intervento fisico sul server all’interno del quale deve essere attivato. L’ultima installazione di cui mi sono occupato ad esempio è stata per un cliente con grossi problemi su Joomla. Tra vecchie versioni e l’impossibilità di aggiornare in tempi brevi l’unica alternativa tra deface e problemi continui è stata quella di installare ModSecurity.
Il setup di Mod Security non è alla portata di tutti e richiede delle competenze specifiche, soprattutto nella gestione delle regole. Un WAF configurato male è quasi come non averlo mai installato.

CloudFlare vs Incapsula vs ModSecurity:  l’efficacia

Qui iniziano le vere sorprese. Credo che un’immagine in questo caso possa valere più di mille considerazioni:

cloudflare-incapsula-modsecurity

Efficacia di CloudFlare come WAF : QUASI NULLA
Efficacia di Mod Security come WAF: OTTIMA
Efficacia di Incapsula come WAF: OTTIMA

Veniamo ai numeri.

Su 54 iniezioni SQL CloudFlare ne blocca 0. Incapsula ne blocca 53, ModSecurity ne blocca 54.
Su 46 attacchi XSS CloudFlare ne blocca 0. Incapsula ne blocca 43, ModSecurity ne blocca 46.
Su 23 attacchi LFI/RFI CloudFlare ne blocca 0. Incapsula ne blocca 19, ModSecurity ne blocca 21.

I numeri parlano da soli ! Zero Science dice a riguardo che “Though CloudFlare is presented as, besides other things, a very proficient web application firewall, we concluded that’s just a marketing sales point and nothing more“. Nonostante CloudFlare venga presentato tra le altre cose come un buon WAF, nella realtà si tratta solo di una trovata pubblicitaria e nient’altro.

Tra l’altro per quanto riguarda gli attacchi di test andati a buon fine a causa di alcuni difetti nelle regole anti intrusione, sia ModSecurity che Incapsula hanno risposto prontamente rilasciando degli aggiustamenti al codice delle rules. Nessun commento invece (almeno così mi sembra) da parte di CloudFlare.

Ci tengo a ribadire che CloudFlare, Incapsula e ModSecurity sono tre software molto diversi l’uno dall’altro. La principale caratteristica in comune è la funzione di WAF, web application firewall. A giudicare dai risultati del confronto ModSecurity non ha rivali.
CloudFlare e Incapsula si distinguono rispetto a ModSecurity per le funzionalità avanzate di acceleratore per siti web e di protezione contro gli attacchi DoS e DDOS. Nel confronto questi aspetti specifici non sono stati presi in considerazione ma posso assicurarti che per quanto riguarda l’accelerazione dei siti web sia Incapsula che CloudFlare svolgono un ottimo lavoro. Per quanto riguarda la capacità di difesa contro gli attacchi DoS l’efficacia è buona. Ti ricordo inoltre che Mod Security non ha compiti di accelerazione web, nè funzioni di difesa contro i DoS e DDOS.

CloudFlare vs Incapsula vs ModSecurity: configurazione ed opzioni

Incapsula offre una gestione più approfondita rispetto a CloudFlare mentre Mod Security non ha un pannello di controllo. Per quest’ultimo infatti la possibilità di intervenire sulle regole e sui registri è limitata alla sola interfaccia da console, via SSH (tranne ovviamente per le soluzioni a pagamento come ASL).

CloudFlare viene criticato dai più esperti per le scarse informazioni che il prodotto fornisce al cliente: poche info sulle minacce bloccate. Forse alla luce di questo pentesting risulta un pò più chiaro il perchè.

Incapsula invece offre buone possibilità di controllo delle regole di sicurezza, notifiche per le allerte di attacco ed uno storico dettagliato.

CloudFlare vs Incapsula vs ModSecurity: il responso

Il responso di questo pentesting vede fallire clamorosamente CloudFlare, almeno sotto il punto di vista dell’application firewall.
Incapsula si difende bene ma per scelta della compagnia le regole che dovrebbero bloccare gli attacchi sono volutamente non troppo aggressive per poter bilanciare la sicurezza con l’usabilità. Uno dei problemi maggiori dei WAF infatti sono i falsi positivi. Quei blocchi cioè che fermano anche le richieste HTTP lecite. ModSecurity sotto questo punto di vista è abbastanza aggressivo e questo forse è il suo unico difetto.

Conclusioni

E’ veramente molto difficile comparare. E chiunque potrà sollevare un’eccezione appellandosi al fatto che non è possibile mettere a confronto dei prodotti che sono molto differenti l’uno dall’altro. In questo caso però credo che il lavoro di Zero Science sia stato encomiabile, se non altro perchè sono state messe in luce delle (presunte) gravi carenze su un prodotto come CloudFlare che fa dell’application firewall uno dei suoi cavalli di battaglia. Le risposte al come ed al se queste mancanze siano reali o meno viene a mio parere proprio dal fatto che sia Incapsula sia ModSecurity hanno preparato degli aggiustamenti per quelle regole di sicurezza che durante il pentesting non hanno funzionato. Sarebbe stato interessante conoscere la replica di CloudFlare al whitepaper di Zero Science.

Per il momento alla luce delle analisi di Zero Science la realtà è una sola: se stai cercando un WAF non scegliere CloudFlare.

Riferimenti: CloudFlare Versus Incapsula Versus ModSecurity:

http://packetstormsecurity.com/files/120407/wafreport2013.pdf