

Спустя два года после ухода зарубежных ИБ-вендоров из России отечественные производители смогли заместить иностранные решения во многих областях. Но в ряде сегментов, например, Межсетевых экранов нового поколения (NGFW), ещё есть над чем работать.
Сегодня NGFW особенно актуальны, поскольку защищают ИТ-инфраструктуры крупных организаций, относящихся к государствообразующим. Спрос на NGFW поставил российских ИБ-вендоров перед сложным выбором:
Также выяснилось, что каждый вендор хорош в отдельных сегментах кибербезопасности: у одного NGFW работает стабильно, но не очень функционален, у другого — в решении есть множество защитных механизмов, но нет централизованного управления. А ведь именно комплексность и сбалансированность — одно из главных преимуществ NGFW как продукта.
В итоге оптимальным решением оказалось создание технологических партнёрств с различными ИБ-компаниями. Так, вендоры могут объединить лучшие наработки в рамках одного продукта, а крупные заказчики получают NGFW с необходимым функционалом.
КИБЕРАЛЬЯНС
Следуя этой логике, «Код Безопасности» создал КиберАльянс — комплекс технологических партнёрств с вендорами-лидерами разных ИБ-сегментов. Ядром выступает NGFW «Континент 4» от «Кода Безопасности», вокруг которого формируются контуры защиты.
Ядром КиберАльянса выступает NGFW «Континент 4» от «Кода Безопасности», вокруг которого формируются контуры защиты
На примере «Континент 4» мы разберём, в каких именно направлениях вендоры NGFW могли бы наращивать совместную экспертизу. В «Коде Безопасности» мы видим три ключевых сегмента:
ЗАЩИЩЁННЫЙ УДАЛЁННЫЙ ДОСТУП
В этой сфере существует две основные проблемы. Первая: для подключения к корпоративным ресурсам удалённые сотрудники используют личные устройства, которые порой слабо защищены. Вторая — использование незащищённых каналов связи. Без шифрования хакеры могут перехватить трафик, а ведь в нём передаются критичные данные.
Чтобы организовать безопасный удалённый доступ, необходимо следовать трём правилам:
Выполнить первый пункт на NGFW легко — с помощью организации VPN-туннеля. А вот контроль трафика и аутентификация доступны не во всех продуктов, но это можно решить несколькими способами.
Разграничение доступа
Необходимо определить политики для VPN: какой пользователь на какой корпоративный ресурс, по каким протоколам может подключаться. Притом что корпоративные ресурсы бывают разные: к одним нужен постоянный доступ, к другим — только в определённое время. «Код Безопасности» видит три подхода организации политик удалённого доступа:
Выбор подхода зависит от конкретных сценариев. При доступе к критически важным ресурсам можно запретить все незащищённые соединения от удалённого пользователя, в другом сценарии — фильтровать весь трафик удалённого пользователя на корпоративном NGFW.
Контроль состояния
Если ПК пользователя заражён, то вредонос может попасть в защищаемую сеть. Этого можно избежать, если контролировать состояние ПК сотрудника:
Например, можно отключать от VPN пользователей, у которых в процессе подключения «упал» антивирус.
Механизмы аутентификации
Статические пароли — самый простой способ аутентификации, но не самый безопасный, поскольку пароли уязвимы перед хакерами. Для сегментов ИТ-инфраструктуры используется три варианта аутентификации:
Крупные корпорации «смешивают» варианты вместе, наиболее часто встречаются две комбинации: логин/пароль + одноразовый код (OTP) или push-уведомление и сертификат + токен.
Примеры систем для организации защищённого удалённого доступа:
Многофакторная аутентификация
Континент ZTN-клиент + Рутокен ЭЦП = сертификат + токен
ZTN-клиент + Multifactor = логин/пароль + push-уведомление
ZTN-клиент + AvanpostMFA+ = логин/пароль + push-уведомление
Клиенты для удалённого доступа
VPN-клиент Континент ZTN-клиент устанавливается на ОС: Windows, Linux, MacOS, iOS, Android, «Аврора»
Комплаенс-контроль
Континент ZTN-клиент — встроенный комплаенс-контроль
«САКУРА» — централизованный комплаенс-контроль
ИНТЕГРАЦИИ С ИНФРАСТРУКТУРНЫМИ СЕРВИСАМИ
Крупным предприятиям сложно организовать защиту ядра сети из-за трёх факторов: производительность, аудит конфигураций, сеть виртуализации.
Производительность NGFW
Внутри сети надо сегментировать десятки и сотни гигабит, но NGFW не всегда имеет нужную пропускную способность. Однако это решается через горизонтальное масштабирование, то есть интеграцию с внешними балансировщиками. Например, подключаем к балансировщикам два NGFW со скоростью обработки 10 Гбит/сек каждый и получаем 20 Гбит/сек. Если нужно увеличить цифру, подключаем дополнительный NGFW.
Недавно эксперты «Кода Безопасности» протестировали ферму из 16 NGFW «Континент 4» и двух брокеров сетевых пакетов DSIntegrityNG. Итоговый результат фильтрации трафика — 400 Гбит/сек.
Аудит конфигураций и политики безопасности
В крупных предприятиях необходимо контролировать сотни сетевых устройств. В случае с NGFW этот контроль заключается в двух задачах: аудит конфигурации устройств и централизованное внесение изменений в конфигурацию.
На NGFW могут быть настроены тысячи правил межсетевого экранирования, которые устаревают, конфликтуют между собой и так далее. Всё это влияет на безопасность и производительность. Проблемы можно увидеть и решить через выделенные системы контроля конфигураций, например российские EFROSDO и Netopia.
Защита сети виртуализации
Виртуализация имеет свою сеть, которая связывает виртуальные машины (ВМ) и физические серверы. Трафик может «ходить» между ВМ (паттерн запад — восток) и от ВМ до физических или облачных ресурсов (паттерн север — юг).
Межсетевые экраны уровня гипервизора умеют защищать сети виртуализации. Они используют политики безопасности для конкретных ВМ. В случае с фильтрацией трафика по паттерну запад — восток пропадает необходимость передавать этот трафик на физические межсетевые экраны. Но для межсетевых экранов уровня гипервизора необходим функционал NGFW: контроль приложений, IDS/IPS, индикаторы компрометации.
Такие устройства называются распределённые FW/NGFW. В «Коде Безопасности» это отдельный продукт — vGate.
РАСШИРЕННАЯ БЕЗОПАСНОСТЬ
Раньше для корпоративных межсетевых экранов требовалась интеграция с системами IDS/IPS. Сейчас требования изменились, поэтому в NGFW нужен встроенный функционал «песочницы», антивируса и защиты от фишинга и ботов. Последние две функции реализуемы в NGFW, а вот «песочницы» — не всегда, поэтому современные NGFW должны уметь интегрироваться со сторонними продуктами.
NGFW «Континент 4» умеет интегрироваться с отечественными песочницами:
Другой принцип расширенной безопасности — использование индикаторов компрометации, то есть данных о вредоносных ресурсах и ПО. Индикаторами нужно делиться со всеми сегментами ИТ-инфраструктуры, что решается через выделенные системы Threat Intelligence Platform. Такие системы агрегируют информацию об индикаторах с нескольких ресурсов и распространяются на средства защиты.
Индикаторы компрометации в «Континент 4»:
Встроенные базы:
Интегрируемые базы:
ВЫВОД
Указанные направления интеграции с NGFW крайне актуальны и востребованы на рынке. Наращивание экспертного опыта в этих областях позволит вендорам создать более качественный продукт и удовлетворить спрос заказчиков.
Реклама. ООО «КОД БЕЗОПАСНОСТИ», ИНН: 7715719244, Erid: 2Vfnxxy56ek
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных