Современные средства сетевой безопасности
Сегодня индустрия информационной безопасности предлагает широкий спектр инструментов для защиты сетевого трафика. Иногда такие решения имеют схожие функциональные возможности, что может быть связано с эволюционным путем их появления. Доработка и развитие продукта постепенно выводят его за рамки устоявшегося класса, отчего в лексиконе специалистов по ИБ появляется новая аббревиатура. Есть и другая тенденция: пытаясь оживить продажи, маркетологи устраивают искусственную эволюцию, выпуская на рынок, по сути, тот же самый продукт, но с другим названием. Поэтому выбор не только конкретных продуктов, но даже подходящих под решение собственных задач классов может представлять нетривиальную задачу для специалистов по информационной безопасности. Прокси, SWG, межсетевой экран, UTM, NGFW — попробуем разобраться в терминологии и возможностях, понять, насколько целесообразно использование «старшего класса» NGFW, а когда достаточно и более простых решений.
Кратко перечислим основные типы средств безопасности в сегменте защиты сетевого трафика.
Intrusion Detection and Prevention System (IDS/IPS), или системы обнаружения и предотвращения вторжений, — инструменты анализа трафика, предназначенные для выявления несанкционированного доступа в защищаемую сеть. IDS — пассивная система, которая только «слушает» трафик и предупреждает о выявленных аномалиях. IPS — активный инструмент, способный блокировать подозрительные сетевые пакеты.
Network Traffic Analysis/Network detection and response (NTA/NDR), или системы анализа трафика, обнаружения и предотвращения атак, — средства сетевой безопасности, использующие методы поведенческого анализа, машинное обучение, репутационные списки и другие средства выявления аномалий.
Next-Generation Firewall (NGFW), или файервол следующего поколения, — комплексный инструмент, объединяющий функции всех перечисленных средств безопасности. Это универсальное средство, предназначенное для контроля трафика, управления доступом пользователей, предотвращения атак и многого другого.
Sandbox, или сетевая песочница, — системы, позволяющие выполнять потенциально небезопасный код в изолированной среде, эмулируя его воздействие на реальные объекты инфраструктуры. Базовый уровень безопасности, представленный как отдельными продуктами, так и функциональными блоками, например, антивирусных программ.
Security Web Gateway (SWG), или шлюз безопасности, — средство для управления доступом внешних пользователей и предотвращения попадания нежелательного трафика внутрь контура безопасности. SWG реализует подключение удаленных пользователей с теми же политиками безопасности, что и внутри локальной сети, а также фильтрует трафик по стоп-листам и спискам доверенных URL.
Web Application Firewall (WAF), или файервол веб-приложений, — межсетевой экран, проверяющий трафик на уровне веб-ресурсов. Специализированное средство, целью которого является не допустить пакеты с вредоносным содержимым на сайт или иную веб-систему.
От SWG к NGFW
Из приведенных определений понятно, что возможности и предназначение упомянутых классов решений существенно различаются. И в этом разнообразии прослеживается любопытная закономерность. Будучи популярным самостоятельным классом средств корпоративной безопасности, SWG при добавлении к ним других перечисленных функциональных блоков приближаются по своим возможностям к NGFW. Хотя не стоит думать, что это лишь задача добавления нескольких модулей. Поясним суть на примере продуктов Zecurion, прошедших весь путь развития — от шлюза безопасности до файервола следующего поколения.
В основе Zecurion SWG, впервые вышедшего в 2014 году, лежат стандартные возможности корпоративного прокси-сервера, ориентированного на работу в распределенной сетевой инфраструктуре:
-
контроль доступа к веб-сайтам на основе фильтрации URL по базе более чем 1 млн ресурсов в 100 категориях, а также пользовательских списков доверенных ресурсов или стоп-листов;
-
идентификация пользователей и управление их доступом в Сеть на основе политик безопасности;
-
контроль доступа к веб-приложениям;
-
мониторинг сетевой активности персонала;
-
ведение лога доступа к веб-ресурсам.
Однако шлюз достаточно быстро вышел за рамки классических возможностей Security Web Gateway. Например, он обладает базовыми функциями IDS-систем, а также предоставляет возможность контролировать подключения к облачным средам, частично заменяя собой решения класса Cloud Access Security Broker (CASB).
Таким образом, Zecurion SWG является мощным и удобным инструментом, сфокусированным в первую очередь на важной задаче — контроле доступа сотрудников в Интернет. Это хорошее решение, способное «закрыть» один из уровней глубокой эшелонированной защиты организации или стать фундаментом для построения более мощной системы безопасности. Кроме того, SWG, будучи компонентом многоуровневой защиты корпоративной информации, решает еще одну важную задачу — расшифровывает трафик и передает его для дальнейшего анализа в DLP-систему.
Появившийся позже Zecurion NGFW представляет собой намного более функционально развитый продукт. Система полностью покрывает все возможности SWG и, помимо этого, включает в себя:
-
мощный межсетевой экран, разбирающий трафик до 7-го уровня модели OSI включительно;
-
сетевой антивирус;
-
систему защиты почтового трафика;
-
полноценную систему обнаружения и предотвращения вторжений;
-
корпоративный криптошлюз;
-
Web Application Firewall, защищающий собственные веб-ресурсы организации;
-
защиту от DDoS- и других актуальных угроз.
Остановимся чуть подробнее на некоторых возможностях системы.
Обзор возможностей NGFW
Межсетевой экран
Сердцем Zecurion NGFW является межсетевой экран, работающий на собственном движке, изначально оптимизированном для обслуживания больших и очень больших потоков данных в распределенных сетях Enterprise-уровня. В отличие от SWG, файервол нового поколения не просто анализирует заголовки пакетов, сравнивая IP-адреса и URL с базами запрещенных ресурсов (хотя такая возможность тоже предусмотрена), но и разбирает и проверяет содержимое трафика. Проще говоря, Zecurion NGFW не только видит адрес на конверте, но и может прочитать запечатанное в нем письмо. Естественно, качество фильтрации с таким подходом возрастает многократно, тем более что система умеет работать не только с обычным HTTP, но и разбирать зашифрованный трафик.
Отметим также универсальную систему описания политик безопасности, которая покрывает все функциональные модули системы. Администратор может описать условия срабатывания определенного триггера, используя широкий перечень объектов. Это может быть совпадение URL, IP-адреса, геолокации, протокола, конкретного сотрудника и масса других параметров. Реакцию на наступление условия обеспечивают функциональные блоки Zecurion NGFW. Например, при получении трафика с определенного ресурса или группы ресурсов (условие) необходимо прогнать его через систему фильтрации (реакция). Все объекты собраны в справочники, что позволяет создавать новое правило с минимальными затратами времени — буквально за пять-семь кликов.
Из правил можно собирать последовательности, которые называются политиками. Они имеют многослойную структуру, что позволяет делать классическое ветвление, то есть настраивать сценарий работы системы. Это хорошее переосмысление и адаптация к текущим реалиям лучших зарубежных практик формирования политик безопасности от лидеров глобального рынка, таких как Check Point или Palo Alto.
DPI (Application Control)
Zecurion NGFW способен разбирать HTTP- и HTTPS-трафик сотен различных приложений и сервисов, причем для более чем 300 — на уровне содержимого сетевых пакетов. То есть не только однозначно определяет принадлежность пакета, но и сам контент. В их число входят:
-
"1С";
-
Yandex;
-
Telegram;
-
Mail.ru;
-
Google;
-
Zoom;
-
Dropbox;
-
Office 365;
-
VK;
-
YouTube;
-
Evernote.
Список поддерживаемых систем постоянно растет и является, пожалуй, наиболее релевантной выборкой на рынке, предназначенной для крупных бизнес-заказчиков и государственных организаций.
Web Application Firewall (WAF)
Еще один модуль защиты — встроенный файервол веб-приложений, который защищает наиболее важные информационные системы от целевых атак. Движок, основанный на алгоритмах машинного обучения, способен не только блокировать векторы, направленные на эксплуатацию известных брешей, но и определять атаки с использованием уязвимостей нулевого дня.
WAF обеспечивает комплексную защиту приложений, контролируя межпрограммное взаимодействие по API, выявляя и блокируя вредоносные боты, использует методы Threat Intelligence для выявления критических угроз.
Антивирус и защита от сложных угроз
Одним из вариантов реакции Zecurion NGFW на определенный тип трафика является проверка подозрительного объекта антивирусом. На этом уровне блокируются вирусы, сетевые черви, программы-шифровальщики, шпионское ПО, а также вредоносные ссылки и боты. Система блокировки рекламы вырезает рекламные баннеры со страниц, загружаемых в браузер пользователя, блокирует всплывающие окна, а также предотвращает загрузку фишинговых сайтов. Разработчики Zecurion не стали изобретать велосипед и писать свой собственный, «другой» антивирус, а интегрируют в систему один из движков от проверенных российских разработчиков.
Помимо антивируса, в Zecurion NGFW включена активная система противодействия DDoS-атакам. При помощи все того же механизма формирования правил администратор может устанавливать квоты и ограничения на использование определенных портов и каналов передачи данных. Система может применять один или несколько справочников DDoS-угроз. Zecurion обеспечивает регулярное и оперативное обновление таких баз данных с учетом отечественной специфики.
IDS/IPS — система предотвращения вторжений
Для динамического анализа трафика Zecurion NGFW использует продвинутые базы сигнатур эксплойтов и уязвимостей. Эти справочники поддерживаются вендором в актуальном состоянии и сфокусированы в первую очередь на вредоносных методах, используемых при атаках на российский сегмент Интернета. Администратор может самостоятельно добавлять правила, загружая файлы формата Snort/Suricata.
Система не только выявляет угрозы, но и оперативно устраняет их, удаляя вредоносные пакеты, сбрасывая опасные соединения и даже блокируя источники угроз.
Защита почтового трафика
Zecurion NGFW содержит полноценный модуль контроля почтового трафика. На почтовом шлюзе работает антивирус, который отвечает за блокировку фишинговых писем, удаляет вредоносные ссылки, а также проверяет потенциально опасный контент, такой как исполняемые файлы и офисные документы. Здесь же отсекаются всевозможные руткиты, шпионское ПО и другие файлы или ссылки на них, которые могут быть доставлены электронным письмом.
В дополнение к антивирусу действует антиспам-движок, блокирующий массовые рассылки, рекламный контент и прочие сообщения, увеличивающие нагрузку на сотрудников и отвлекающие их. Антиспам позволяет создавать базы адресов для блокировки или, напротив, формировать списки доверенных отправителей, а весь прочий почтовый трафик блокировать или отправлять в карантин.
VPN-шлюз
На базе системы может быть создан корпоративный защищенный канал для связи между удаленными подразделениями компании. Такой тоннель работает на протоколе Ipsec, а в качестве алгоритмов шифрования могут быть использованы различные версии отечественных криптоключей ГОСТ, а также AES-128/256, 3DES 168 и другие методы. В зависимости от аппаратного обеспечения пропускная способность такого канала может достигать 40 Гбит/с, система поддерживает IPv6 и IKEv1/IKEv2. Для обеспечения большей устойчивости и надежности канала применяются методы разделения нагрузки между несколькими серверами, а также возможность переключения на резервные каналы в случае недоступности основного.
Преимущества NGFW
Перечисление всех возможностей Zecurion NGFW не является задачей этого материала, поэтому ограничимся лишь ключевыми факторами, которые позволяют говорить о данном решении как о потенциальном лидере российского рынка средств защиты сетевого трафика.
В первую очередь следует отметить технологические достоинства системы — полностью оригинальный движок, изначально ориентированный на работу в больших и очень больших системах. Ядро NGFW — это концентрация всех передовых наработок и многолетнего опыта Zecurion в сфере обработки трафика и обеспечения корпоративной безопасности. Разбор огромных массивов данных, без существенного снижения пропускной способности канала и влияния на общую работоспособность сетевой инфраструктуры, — сложная технологическая и архитектурная задача, настоящий вызов для разработчиков. Пилотные внедрения и опыт эксплуатации у первых клиентов наглядно показали, что система получилась шустрой и бережно использует доступные ей ресурсы.
Второй важный момент — это универсальные интерфейсы, объединяющие NGFW с остальной экосистемой информационной безопасности Zecurion. Общая для всех продуктов и модулей консоль управления, в которой настраиваются омниканальные политики безопасности, — только верхушка айсберга. В большей степени речь идет о создании бесшовной защиты от различных корпоративных угроз, простоте внедрения и настройки системы, едином хранилище перехваченной и собранной информации о сущностях, инцидентах и файлах, взаимном обогащении источников информации о состоянии безопасности и, наконец, удобстве использования решения.
В консоли, адаптированной к использованию как на десктопах, так и мобильных устройствах, к услугам сотрудника безопасности комплект наглядных виджетов и предустановленных отчетов, которые он может дорабатывать и настраивать под себя. Начиная от дашборда, представляющего сводный срез всех ключевых элементов системы, и заканчивая шаблонами с таблицами и диаграммами для различных сценариев использования, например демонстрации результатов своей работы вышестоящему руководству. Естественно, система предоставляет доступ к Access Log, а также внутренним журналам работы. В случае срабатывания триггера уведомление о потенциальном инциденте будет отображено в консоли и отправлено сотруднику безопасности на электронную почту и в Telegram.
Еще один важный момент, отличающий Zecurion NGFW, — внутренняя система управления, призванная свести к минимуму возможные ошибки. Например, режим «Четырех глаз» позволяет строить иерархию администраторов системы. Политика, созданная подчиненным, будет запущена в работу только после проверки и одобрения руководителем, а встроенный отладчик правил поможет быстро найти и откорректировать неправильные условия.
Как мы уже упоминали, все изменения политик и правил в Zecurion NGFW сохраняются во внутреннем журнале. В случае некорректной работы системы администратор может быстро откатить измененные политики, объекты и настройки в исходное состояние.
SWG, NGFW или UTM?
Несмотря на закономерное технологическое развитие от SWG до NGFW, сам класс SWG не является анахронизмом и успешно используется для решения задач в организациях любого масштаба, вплоть до самых крупных компаний. SWG может автономно использоваться и вместе с другими средствами сетевой безопасности, в том числе различных вендоров, если это необходимо по требованиям безопасности или оправданно с точки зрения предыдущих вложений в инфраструктуру.
Сравнение SWG и NGFW от Zecurion приводится в таблице.
|
SWG |
NGFW |
Общие критерии |
|
|
Целевой сегмент |
Крупные организации, средний бизнес |
Крупные организации, средний бизнес |
Варианты поставки
|
Программное решение (open server) |
Программное решение Программно-аппаратный комплекс |
Интеграция с DLP. Обмен и обогащение данных |
Да |
Да |
|
|
|
Контроль доступа |
|
|
Идентификация пользователей |
Да |
Да |
Контроль доступа к веб-приложениям |
Да |
Да |
Мониторинг активности и журнал доступа сотрудников к веб-ресурсам |
Да |
Да |
|
|
|
Защита от угроз |
|
|
Межсетевой экран OSI Level 4–7 |
Нет |
Да |
Антивирус и антиспам |
Нет |
Да |
Защита электронной почты |
Нет |
Да |
IDS/IPS |
Частично |
Да |
WAF |
Нет |
Да |
Защита от DDoS |
Нет |
Да |
|
|
|
Дополнительные возможности |
|
|
Построение VPN-канала |
Нет |
Да |
|
|
|
Всегда ли NFGW должен заменять SWG? Ответ отрицательный. Скорее дополнять. При этом в некоторых случаях SWG может быть избыточным, а потому от него можно отказаться. В свою очередь, при других сценариях, где вполне можно обойтись возможностями SWG, NGFW будет слишком сложен или дорог. SWG также дополняет другие классы решений для защиты информации. Например, расшифровывает трафик и передает его сетевой DLP.
В начале статьи был упомянут класс продуктов UTM, который мы не описывали отдельно. И вот почему. UTM вряд ли стоит выделять в самостоятельный класс по своим возможностям. Скорее это позиционирование продукта для сегмента малого и среднего бизнеса. Будучи «сборной солянкой» из различных функциональных блоков, UTM не обладает достаточной производительностью, а в некоторых случаях и должной однородностью (например, когда объединяются функциональные блоки разных разработчиков). Поэтому крупным организациям лучше сразу обратить внимание на высокопроизводительные решения для сетевой безопасности.
В то же время если у организации нет высоких требований по производительности, «железа» хватает, а администраторы готовы смириться с неудобством управления из различных консолей, выбор UTM-продукта может быть альтернативой другим классам.
Подведем итоги
Развитие средств контроля сетевого трафика привело к появлению решений класса Next-Generation Firewall, которые на сегодняшний день являются одними из наиболее продвинутых продуктов, способными обеспечить комплексную, всестороннюю защиту трафика.
Продукты класса SWG успешно используются сегодня и будут актуальны завтра как один из уровней сетевой безопасности, поставщик данных для других систем (например, SIEM, DLP) или даже самостоятельное решение. В свою очередь UTM — тупиковая ветвь развития, подходящим целевым сегментом для которой могут быть компании СМБ со скромными запросами по производительности.
В линейке Zecurion есть и SWG, и NGFW, оба заточенные под высокую производительность и готовые к использованию в том числе в крупных корпоративных службах. Однако продукты существенно различаются по возможностям.
Являясь более развитым по функциональности продуктом, NGFW готов к решению практически любых задач по сетевой безопасности. В свою очередь, SWG является идеальной основой для развертывания других компонентов либо одним из уровней эшелонированной системы защиты.
Опубликовано 03.04.2023