Централизованное управление межсетевыми экранами

Обновлено: 03.07.2024

Термин «файрвол следующего поколения» (Next-Generation Firewall — NGFW) был придуман аналитиками Gartner Research и подразумевает использование в устройствах технологий сетевого брандмауэра третьего поколения. Эти решения основаны на брандмауэрах предыдущего поколения, функциональность которых была ограничена лишь простой проверкой и блокировкой при необходимости портов/протоколов. Но поскольку все большее число предприятий сейчас используют онлайн-приложения и службы SaaS, только лишь контроля портов и протоколов уже недостаточно для обеспечения эффективной сетевой безопасности. В отличие от них, в новых устройствах добавлена тесная интеграция дополнительных возможностей, таких как встроенная глубокая проверка пакетов (DPI), предотвращение вторжений (IPS) и проверка трафика на уровне приложений (Web Application Firewall). Некоторые NGFW также включают проверку зашифрованного трафика TLS/SSL, фильтрацию веб-сайтов, управление пропускной способностью и QoS, антивирусную проверку и интеграцию со сторонними системами управления идентификацией, такими как LDAP, RADIUS и Active Directory.

Файрволы следующего поколения в настоящее время относятся к категории зрелых решений. Однако продолжающийся массовый переход действующих ИТ-систем на общедоступные облачные платформы IaaS, такие как Amazon Web Services, Microsoft Azure и Google Cloud Platform, и, как следствие, рост сложности гибридных сетевых архитектур, является движущей силой для дальнейшего расширения возможностей межсетевых экранов нового поколения. В том числе, для обеспечения расширенного управления трафиком, оптимизации WAN, качества обслуживания и прозрачной интеграции облачной платформы.

Схема работы Next-Generation Firewall. Источник: Palo Alto Networks

Ниже приведено краткое описание наиболее популярных продуктов в сегменте NGFW. Более подробную информацию о продуктах можно получить в таблице сравнения NG Firewall на ROI4CIO, основанной на сравнении лидеров(по результатам исследования Gartner).

BARRACUDA

Barracuda CloudGen Firewall — это семейство физических, виртуальных и облачных устройств, которые нацелены на защиту инфраструктуры распределенной сети предприятия. Такие устройства обеспечивают повышенную безопасность, поскольку содержат полный набор технологий NGFW, включая профилирование приложений уровня 7, предотвращение вторжений, веб-фильтрацию, защиту от вредоносных программ и угроз, защиту от спама и контроль доступа к сети.

Кроме того, межсетевые экраны Barracuda CloudGen сочетают в себе продвинутую отказоустойчивую технологию VPN с интеллектуальным управлением трафика и возможностями оптимизации глобальной сети. Это позволяет снизить линейные затраты, повысить общую доступность сети, улучшить межсетевое соединение и обеспечить бесперебойный доступ к приложениям, размещенным в облаке. Масштабируемое централизованное управление помогает снизить административные издержки при определении и применении гранулированных политик во всей рассредоточенной сети.

Облачные брандмауэры Barracuda оптимально подходят для предприятий с множеством филиалов, поставщиков управляемых услуг и других организаций со сложной распределенной сетевой инфраструктурой.

Для мгновенной реакции на угрозы компания Barracuda предоставляет сервис Advanced Threat Protection — интегрированную облачную службу, которая анализирует трафик по всем основным векторам угроз.

Сервис Barracuda Advanced Threat Protection обеспечивает защиту инфраструктуры компании, а также возможность выявлять и блокировать новые сложные угрозы без ущерба для производительности и пропускной способности сети. Сервис Advanced Threat Protection доступен на всех моделях межсетевых экранов Barracuda CloudGen.

Среди основных преимуществ продуктов Barracuda CloudGen также можно назвать следующие:

• Балансировка интернет-трафика по нескольким восходящим каналам для минимизации времени простоя и повышения производительности.
• VPN-канал через несколько широкополосных соединений и замена MPLS (multiprotocol label switching).
• До 24 физических каналов связи для создания высокоизбыточных VPN-туннелей.
• Ускоренный доступ к облачным приложениям, таким как Office 365, благодаря динамической расстановке приоритетов над некритическим трафиком.
• Гарантированный доступ пользователей к критически важным приложениям благодаря гранулярному управлению политиками.
• Увеличенная пропускная способность канала за счет встроенной функции сжатия трафика и дедупликации данных.

Palo Alto Networks

Брандмауэры следующего поколения от компании Palo Alto Networks обнаруживают как известные, так и неизвестные угрозы (в том числе — в зашифрованном трафике) за счет использования данных, полученных со многих тысяч инсталлированных устройств. Благодаря такому подходу продукты Palo Alto Networks способны предотвращать широкий спектр атак. Например, эти файрволы позволяют пользователям получать доступ к данным и приложениям на основе бизнес-требований, а также предотвращают кражу учетных данных и возможность для злоумышленников применять похищенные учетные данные.

С помощью NGFW от Palo Alto Networks предприятия могут быстро создавать правила безопасности, которые соответствуют бизнес-политике, просты в обслуживании и адаптируются к динамической среде предприятия. Они сокращают время отклика благодаря автоматическим ответным действиям на основе политик, при этом ИТ-департамент получает возможность быстро автоматизировать рабочие процессы за счет интеграции с инструментами администрирования, такими как службы создания тикетов или с любой системой с RESTful API.

Файрволы следующего поколения Palo Alto Networks поставляются в виде виртуальных и аппаратных устройств. Например, серия VM защищает частные и общедоступные облачные среды, обеспечивая доступ к приложениям и предотвращая угрозы. Трафик классифицируется на основе приложений, а не портов, что дает детальное представление об угрозах.

Palo Alto Networks также поставляет широкий спектр аппаратных NGFW — от компактной модели PA-200 до супермощной системы корпоративного уровня PA-7000. Продукт PA-200 — это брандмауэр следующего поколения в небольшом форм-факторе, который защищает сети, блокируя широкий спектр киберугроз и одновременно обеспечивая безопасное включение приложений.

В то же время, устройства серии PA-7000 сочетают в себе сверхэффективное программное обеспечение с почти 700 специализированными высокопроизводительными процессорами для работы в сети, обеспечения безопасности, проверки содержимого и управления.

SonicWall

Компания SonicWall предлагает заказчикам защиту публичной, приватной или гибридной облачной среды с помощью виртуализированных версий межсетевых экранов нового поколения. Решения SonicWall позволяют упростить администрирование благодаря общей системе управления виртуальной и физической инфраструктурой.

Серия устройств SonicWall Network Security (NSA) предоставляет компаниям среднего и крупного размера набор функций для расширенного предотвращения угроз. За счет инновационных технологий глубокого обучения в облачной платформе SonicWall Capture, серия NSA обеспечивает автоматизированное детектирование и блокирование атак в режиме реального времени.

Устройства NGFW серии NSA отличаются двумя основными технологиями безопасности, обеспечивающими надежный заслон от кибератак. Усовершенствованная многопроцессорная служба расширенной защиты от угроз (ATP) — это фирменная технология глубокой проверки памяти в режиме реального времени (RTDMI) от SonicWall. Механизм RTDMI активно обнаруживает и блокирует массовые угрозы и угрозы нулевого дня, а также неизвестные вредоносные программы путем проверки непосредственно в памяти. Благодаря архитектуре реального времени технология SonicWall RTDMI сводит к минимуму ложные срабатывания, а также выявляет и смягчает изощренные атаки, когда атака вредоносного ПО осуществляется менее 100 наносекунд. Кроме того, запатентованный SonicWall механизм однопроходной глубокой проверки пакетов (RFDPI) проверяет каждый байт входящего и исходящего трафика. Применение в серии NSA облачной платформы SonicWall Capture, в дополнение к встроенным возможностям, включающим защиту от вторжений, вредоносных программ и фильтрацию веб/URL-адресов, позволяет блокировать даже самые опасные и коварные угрозы на шлюзе.

Кроме того, брандмауэры NGFW от SonicWall обеспечивают дополнительный уровень безопасности за счет выполнения полной расшифровки и проверки зашифрованных соединений TLS/SSL и SSH независимо от порта или протокола. Брандмауэр тщательно изучает каждый пакет (заголовок и данные) в поисках несоответствия протокола, угроз, нулевых дней, вторжений и даже определенных критериев. Механизм глубокой проверки пакетов обнаруживает и предотвращает скрытые атаки, которые используют криптографию, блокирует зашифрованные загрузки вредоносных программ, прекращает распространение инфекций и препятствует обмену данными между инфицированным компьютером и контрольным центром. Правила включения и исключения позволяют полностью контролировать, какой трафик подвергается дешифровке и проверке на основе определенных организационных требований и/или требований законодательства.

Когда предприятия активируют в своих брандмауэрах функции глубокой проверки пакетов, такие как IPS, антивирус, антишпионское ПО, расшифровка/проверка TLS/SSL и другие, производительность сети обычно снижается, иногда — кардинально. Однако межсетевые экраны серии NSA построены на многоядерной архитектуре, в которой применяются специализированные микропроцессоры. В сочетании с модулями RTDMI и RFDPI эта архитектура устраняет падение производительности сетевых систем.

Check Point

Бесшовная интеграция с ведущими поставщиками систем Identity and Access Management (IAM), такими как Microsoft Active Directory, гарантирует детальную идентификацию пользователя, которая может быть получена через:

• интеграцию с поставщиками IAM или веб-API;
• через портал;
• за счет установки единовременного тонкого агента на стороне клиента.

Для быстрой аналитики данных о событиях безопасности, разработчик включил в состав решения SmartLog — расширенный анализатор журналов, который предоставляет результаты поиска за доли секунды. Таким образом, отдел получает видимость угроз в режиме реального времени для многих миллионов записей в журнале.

Унифицированное управление безопасностью от Check Point упрощает монументальную задачу управления средой безопасности компании. Отдел ИБ будет видеть и контролировать угрозы, устройства и пользователей с помощью интуитивно понятного графического интерфейса, предоставляющего диаграммы и отчеты о состоянии системы безопасности.

NGFW от Check Point содержит программный блейд Check Point IPS, который защищает корпоративную сеть путем проверки пакетов, проходящих через шлюз. Это полнофункциональная IPS-система, обеспечивающая надежную защиту от вторжений и частые автоматические обновления базы определений угроз. Поскольку IPS является частью интегрированной архитектуры программных блейдов, заказчик получает все преимущества развертывания и управления унифицированным и расширяемым решением.

Cisco ASA NGFW

Файрволы следующего поколения от Cisco предлагают сразу целый ряд уникальных технологий. Прежде всего, следует отметить сервис Talos, обеспечиваемый командой из свыше 250 исследователей, ежедневно анализирующих миллионы угроз и создающих инструменты, которые Cisco NGFW применяет для защиты от следующей масштабной атаки. Помните эпидемии WannaCry, NotPetya, VPNFilter? Talos остановил эти мегаатаки (как и многие другие), прежде чем достигли цели, таким образом, клиенты NGFW Cisco получили автоматическую защиту.

Cisco NGFW используют встроенные расширенные функции безопасности, такие как IPS-системы следующего поколения, расширенная защита от вредоносных программ и «песочница», позволяющая видеть пользователей, хосты, сети и инфраструктуру. Они постоянно отслеживают подозрительную активность и, в случае нахождения, автоматически блокируют ее.

Следует отметить и еще один важный пункт: Cisco NGFW автоматизирует работу корпоративной сети и систем безопасности, что позволяет отделу ИБ экономить время и сосредоточиться на задачах с более высоким приоритетом. Оповещения об угрозах ранжированы по значимости, поэтому вы можете прекратить «стрелять наугад» и сосредоточиться на самых важных направлениях. Cisco NGFW работают вместе с остальными интегрированными инструментами безопасности Cisco, что позволяет своевременно предоставить информацию о всех направлениях атак. Когда эта система инструментов обнаруживает угрозу в одном месте, она автоматически блокирует ее везде.

Резюме: 5 советов по выбору продуктов класса NGFW

1. Задача брандмауэра №1 — предотвращать атаки и обеспечивать безопасность компании заказчика. Но поскольку превентивные меры никогда не будут эффективными на 100%, файрвол класса NGFW также должен предлагать расширенные возможности для быстрого обнаружения продвинутых вредоносных программ. Потому выбирайте продукт со следующими возможностями:

• блокировка угроз, прежде чем они проникнут внутрь сети;
• качественная система IPS следующего поколения, интегрированная в файрвол с целью обнаружения скрытых угроз и быстрого их обезвреживания;
• фильтрация URL-адресов для соблюдения политик на сотнях миллионов URL-адресов;
• встроенная «песочница» и расширенная защита от вредоносных программ, которая непрерывно анализирует поведение файлов для быстрого детектирования и устранения угроз;
• собственный отдел антивирусных аналитиков, который занимается глобальным исследованием угроз и поставляет для NGFW-брандмауэров новейшие апдейты по предотвращению возникающих угроз.

1. Полная видимость событий в сети. Вы не можете обеспечить защиту от того, что не видите. Ваш брандмауэр должен обеспечивать целостное представление об активности в сети, позволяющее оценить:

• активность угроз для пользователей, хостов, сетей и устройств;
• где и когда возникла угроза, где еще она была в вашей расширенной сети и какова ситуация сейчас;
• активные приложения и веб-сайты;
• связь между виртуальными машинами, передача файлов и многое другое.

1. Гибкие возможности управления и развертывания

Независимо от того, какой размер бизнеса у заказчика — малое, среднее или крупное предприятие — межсетевой экран должен отвечать специфическим требованиям этого предприятия.

• Управление по запросу — выбирайте вариант встроенного в NGFW-файрвол «менеджера» или систему централизованного управления всеми устройствами.
• Вариант развертывания локально или в облаке с помощью виртуального брандмауэра.
• Настройка функций в соответствии с потребностями компании — для получения расширенных возможностей нужно просто подключить новые подписки.

1. Быстрое время обнаружения

В настоящее время стандартное время обнаружения угроз составляет от 100 до 200 дней; это слишком долго. Межсетевой экран следующего поколения должен уметь:

• детектировать угрозы в считанные секунды;
• определять наличие успешного взлома в течение нескольких часов или минут;
• устанавливать приоритеты для уведомлений об атаках, благодаря чему отдел ИБ сможет быстро и точно предпринимать действия по устранению угроз.

1. Интегрированная архитектура безопасности обеспечивает автоматизацию и снижает сложность администрирования

Брандмауэр следующего поколения не должен быть изолированным инструментом: он должен обмениваться информацией и работать вместе с остальными компонентами архитектуры безопасности. Поэтому выбирайте продукт, который удовлетворяет следующим требованиям:

• легко интегрируется с другими инструментами этого же поставщика;
• автоматически обменивается данными об угрозах, событиях, политиках и контекстной информации с инструментами безопасности электронной почты, конечных точек и сетевых компонентов;
• автоматизирует задачи безопасности, такие как оценка воздействия, настройка политик и идентификация пользователей.

В обзоре приведено краткое описание только 5 продуктов NGFW. Больше продуктов NGFW и детальную информацию по ним можно найти всравнительной таблице NGFW на ROI4CIO

--
Автор: Олег Пилипенко, для ROI4CIO

Даже в компаниях среднего размера количество различных сетевых устройств с функциями межсетевых экранов может измеряться десятками, а в крупных их уже сотни. Проконтролировать, кто, когда поправил какие списки доступа и с какой целью, порой бывает практически невозможно. Зачастую ACL построены неэффективно, вследствие чего увеличивается общая загрузка устройства, а непродуманные изменения могут привести к неработоспособности или появлению «дыр» в безопасности.

Для решения этих проблем необходим инструмент, позволяющий производить мониторинг всех изменений в списках доступа на межсетевых экранах. Нужно четко понимать, кто из сотрудников, в какое время и для чего добавил или удалил то или иное правило. ИБ важно иметь в наличии инструментарий, фиксирующий и формализующий действия сотрудников организации по всей цепочке процесса предоставления/отзыва сетевого доступа.

Наилучшим подходом здесь является система заявок, когда для того, чтобы что-то изменить в списках доступа, администратор создает заявку, которая затем одобряется специалистами ИБ. При создании заявки необходимо указать не только, какой порт или протокол нужно открыть, но и на какой срок и для каких целей это нужно. Наличие такого функционала в решении по управлению сетевыми конфигурациями является необходимым. Также желательно наличие возможности интеграции с системами управления заявками, например, Service Desk.

Еще одной типичной проблемой при изменении настроек доступа в уже развернутой сети является то, что очень трудно точно просчитать, какие последствия повлечет за собой открытие или закрытие определенного порта. Например, существует множество приложений, работающих по протоколу RPC, который использует порты выше 1024 для установки ответных соединений, и блокировка портов из этого диапазона может привести к неработоспособности сетевых приложений.

Причем на первый взгляд определить, закрытие какого именно порта привело к проблемам, далеко не всегда представляется возможным. Таким образом, возникает необходимость эмулировать изменение списков доступа на сетевом оборудовании в целях выявления проблем с блокировкой трафика.

Еще одна сложность со списками доступа – это их неоптимальное конфигурирование. Предположим, правило, блокирующее 30 процентов трафика, стоит на 100-м месте в списке доступа. Тогда треть всего трафика бесполезно проверяется предыдущими 99-ю правилами и лишь затем блокируется 100-м правилом. Если мы переместим данное правило с 100-го на первое место, то блокируемые 30 процентов трафика будут отбрасываться после первой же проверки, и устройству не надо будет тратить ресурсы на выявление соответствия оставшимся 99 правилам. Подобный функционал позволяет существенно оптимизировать работу средств межсетевого экранирования.

Плюс не лишним было бы иметь единую консоль, позволяющую из одной точки управлять всеми сетевыми средствами защиты.

Итак, мы определились с основными требованиями, которые предъявляются к системе централизованного управления сетевыми устройствами. Теперь посмотрим, что есть на рынке для решения данных задач.

Статью целиком читайте в журнале «Системный администратор», №11 за 2015 г. на страницах 42-46.

В первой части статьи были описаны подходы обеспечения всесторонней безопасности с использованием межсетевых экранов:

- на границе сети Интернет;

- в ядре центра обработки данных, локальной сети и выделенного сегмента управления инфраструктуры ИТ;

- на границе зон ответственности и в качестве решения IDS.

В настоящей заключительной части статьи рассмотрим лучшие практики проектирования архитектуры для обеспечения информационной безопасности при помощи межсетевых экранов:

- в качестве решения по микросегментации в программно-определяемых сетях;

- при защите облачных сред, в виде облачного сервиса и в качестве решения SD-WAN.

Также будут рассмотрены критерии выбора межсетевых экранов, лучшие практики по настройке и аудиту сервисов безопасности.

Современные сети, особенно в дата центрах, становятся все более программно-определяемыми. Самым известным решением SDN является продукт NSX от компании VMware. Рассмотрим архитектуру обеспечения микросегментации на его примере.

С точки зрения информационной безопасности, применение SDN порождает следующие проблемы:

- Недостаточная видимость горизонтального (east-west) трафика (информационные потоки между VM не выходят за пределы SDN и не попадают на периметровые средства защиты, а также на IDS и остаются невидимым для инженеров ИБ) (no visibility).

- Слабая адаптивность, вызванная ручной настройкой параметров сетевой безопасности для существующих и новых бизнес-приложений (информационные потоки между VM не выходят за пределы SDN, что ограничивает возможности по категоризации и ограничению трафика в части используемых приложений и сетевой активности) (no control).

Благодаря интеграции решений NGFW и VMware NSX можно получить следующий набор функций:

- Расширенные функции безопасности, подразумевающие видимость трафика на уровне приложений с возможностью инспекции, обнаружение и предотвращение вредоносных активностей.

- Упрощение операционных действий. Функции безопасности автоматизированы и прозрачны, не требуют дополнительных действий при установке новых виртуальных машин и добавлении хостов виртуализации.

- Более быстрое внедрение критически важных бизнес-приложений и применение к ним соответствующих политик безопасности.

- Централизованное управление политиками безопасности на всех хостах кластера.

Для обеспечения информационной безопасности необходимо развернуть межсетевой экран в качестве службы на кластере серверов VMware ESXi, где был включен NSX, и перенаправлять весь необходимый трафик со встроенного компонента VMware NSX Distributed Firewall (DFW) на NGFW.

Принцип взаимодействия NGFW и VMware NSX:

1) Система управления межсетевыми экранами регистрирует NGFW в качестве сервиса на VMware NSX.

2) VMware NSX автоматически устанавливает NGFW на все хосты кластера ESXi.

3) Система управления межсетевыми экранами отправляет на установленные NGFW конфигурации и политики безопасности.

4) VMware NSX включает на NSX DFW политику перенаправления трафика на NGFW.

5) NSX DFW отправляет необходимый трафик для глубокого анализа на NGFW.

6) Если в полученном трафике угроз не обнаружено, NGFW возвращает его на NSX DFW.

7) NSX DFW отправляет проверенный трафик дальше в SDN VMware NSX для дальнейшей маршрутизации.

8) При изменении структуры SDN (IP-адреса VM и группы безопасности) VMware NSX передает эти данные на систему управления межсетевыми экранами, которая, в свою очередь, автоматически повторяет пункт 3 данной процедуры.

Схема реализации решения обеспечения всесторонней безопасности с точки зрения виртуальной инфраструктуры выглядит следующим образом:

С точки зрения практического применения основными будут следующие два архитектурных подхода:

1) Микросегментация для трехуровневой архитектуры: выделим 3 группы VM SDN: представление (SG-WEB), обработка (SG-APP) и хранение данных (SG-DB). Каждая группа VM находится в одном L2-домене. При прохождении трафика между выделенными группами он инспектируется межсетевым экраном VM-Series, что позволяет проверить трафик на наличие угроз. Логическое представление прохождения трафика от пользователя до продуктивных виртуальных машин представлено на рисунке:

2) Обеспечение безопасности внутри сегмента: Архитектура NGFW VM-Series с VMware NSX дает возможность обеспечивать безопасность прохождения трафика внутри одного L2-сегмента SDN. Логическое представление прохождения трафика между виртуальными машинами одного сегмента представлено на рисунке:

Совместное использование VMware NSX и NGFW VM-Series обеспечивает следующие преимущества:

- Отсутствие привязки к сетевой топологии: политики безопасности применяются к трафику конкретной VM, вне зависимости от ее расположения на физическом хосте.

- Динамические политики безопасности на основе приложения, пользователя, контента или группы VM: NSX использует для VM логическое понятие security group, которое коррелируется с Dynamic address group в системе управления межсетевыми экранами. Эта связка позволяет применять правила политики для всех объектов внутри контейнеров security group без привязки к IP-адресам.

- Применение современных механизмов защиты от киберугроз для виртуализации: благодаря использованию различных профилей безопасности, трафик внутри ЦОД инспектируется на наличие вредоносных активностей, эксплойтов, вирусов, утечек конфиденциальной информации и угроз нулевого дня.

- Линейное масштабирование без операционных расходов: при добавлении нового гипервизора, он автоматически будет обеспечен необходимым сервисом безопасности.

- Однородность представления политик и управления: политики безопасности имеют одинаковое представление и логику работы как для обеспечения безопасности east-west трафика SDN, так и для north-south физической сети.

- Функциональность журналов событий безопасности: расширенные возможности по контролю и видимости событий и угроз информационной безопасности, используя тот же инструмент мониторинга, что и для физических межсетевых экранов.

- Поддержка большинства функций hardware NGFW: использование User-id, App-id, Content-id (Threat Prevention, URL filtering и File blocking).

- Разделение зон ответственности: NGFW VM-Series позволяет перевести задачу в части обеспечения ИБ внутри SDN из зоны ответственности администраторов NSX в зону ответственности профильных инженеров ИБ и четко разграничить эти зоны.

Витая в облаках

Кроме возможности обеспечить всестороннюю безопасность решения NSX, нельзя обойти стороной и архитектурный подход использования межсетевых экранов для защиты облачных сред. Виртуальные межсетевые экраны VM-Series предназначены для повышения эффективности сетевой безопасности в публичных и приватных облаках. Все основные поставщики облачных сервисов Google Cloud Platform (GCP), Amazon Web Services (AWS) и Microsoft Azure имеют возможность интегрировать в свою инфраструктуру NGFW VM-Series. Виртуальные межсетевые экраны VM-Series также рекомендуется использовать и в частных облаках как решение виртуализации функций сетевой безопасности.

Мир, который нужно обезопасить, претерпевает огромные изменения: глобальная экспансия, мобильная рабочая сила и облачные вычисления меняют местоположение ваших приложений, данных и пользователей. Эти изменения открывают новые возможности для бизнеса, но они также создают ряд рисков кибербезопасности.

Для обеспечения безопасности с эксплуатационной эффективностью и защиты постоянно расширяющегося периметра организации необходимо:

- признать, что периметр организации, фактически, находится везде;

- определить основные проблемы безопасности организации;

- придерживаться трех принципов для надлежащей безопасности – Coverage, Visibility и Enforcement.

Coverage – защита должна последовательно применяться для всех приложений сети, в облаке, и где бы ни находились пользователи и офисы. Visibility – необходимо иметь возможность видеть весь трафик для принятия обоснованных решений по безопасности. Enforcement – необходимо быть в состоянии остановить угрозы внутри сетевого трафика, а также адаптироваться к новым угрозам.

Для соответствия этим вызовам и требованиям предлагается подход Security (Firewall) as a Service, который предполагает использовать межсетевой экран как облачный сервис всесторонней безопасности:

- для удаленных сетей – облачный межсетевой экран защищает трафик удаленных филиалов к облачным приложениям и приложениям центров обработки данных, а также обеспечивают надежную связь с головным офисом;

- для мобильных пользователей – облачный сервис предоставляет сеть межсетевых экранов, к которой могут подключаться пользователи, за счет чего трафик и приложения защищены целым набором функций NGFW.

Основными преимуществами такой архитектуры являются:

- обеспечение бескомпромиссной защиты всего периметра;

- упрощение администрирования средств межсетевого экранирования;

- уменьшение капитальных затрат путем преобразования их в операционные расходы;

- простое добавление или удаление точек межсетевого экранирования при возникновении необходимости;

- возможность обеспечения полносвязной топологии VPN без необходимости сложных настроек на стороне удаленной сети;

- подключение к ближайшей точке терминирования IPsec/SSL VPN со стороны мобильного пользователя.

И, в заключение, рассмотрим новейший подход к обеспечению всесторонней безопасности – решения SD-WAN для NGFW. Программно-определяемая сеть (SD-WAN) для NGFW – это технология, которая позволяет использовать несколько частных и интернет-сервисов для создания интеллектуальной и динамической сети, которая помогает снизить затраты, максимально повысить качество и предоставить все сервисы сетевой безопасности.

Основными преимуществами такой архитектуры являются:

- объединенное управление сетями и безопасностью;

- выбор пути для каждого приложения на основе данных о Jitter, Drop и Delay на каналах связи;

- автоматический QoS и Traffic Shaping;

- возможность использования Zero Touch Provisioning для оборудования филиалов;

- постоянный мониторинг пропускной способности и состояния безопасности на сети передачи данных в интерфейсе, удобном для администраторов и понятном для менеджмента.

Выбрав конвергентную платформу SD-WAN для межсетевого экранирования, организация избегает добавления лишних точек отказа и значительно повышает надежность, качество и информационную безопасность на сети передачи данных.

Доверяй, но проверяй

Кроме выбора архитектурного решения при обеспечении всесторонней безопасности, критически важным также является и выбор конкретного межсетевого экрана.

Кроме стандартных функциональных требований для любого современного NGFW, таких как Threat Prevention, Application-identification, User-identification, SSL/TLS decryption, URL filtering, File blocking, Routing, VPN, NAT, Logging, Clustering и QoS, необходимо обращать внимание на:

- возможность разрешить одним правилом работу приложений и их подприложений только по их стандартным портам;

- проверку приложений на нестандартных портах;

- наличие единого встроенного user friendly веб-интерфейса с широким функционалом по настройке, мониторингу, отладке и отчетности на межсетевом экране без необходимости в отдельно устанавливаемом софте или устройстве;

- маршрутизацию трафика различных приложений по различным маршрутам передачи данных;

- встроенное средство оптимизации политик безопасности (Policy Optimizer);

- средство усиления защищенности системы от производителя (Hardening – Best Practices Analyzer);

- средство анализа статистики межсетевого экрана от производителя (Security Lifecycle Review);

- наличие функционала Virtual Router и Virtual System;

- обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности, без отключения части проверок при высокой нагрузке на процессор;

- параллельное аппаратное ускорение функций безопасности на специальных процессорах;

- базовые возможности DOS Protection;

- наличие функционала Credential Phishing Prevention;

- разделение Management и Data Plane;

- синхронизацию сессий в кластере на всех 7 уровнях модели OSI/ISO;

- поддержку специализированных приложений сети (АСУТП и т.п.);

- наличие логичного и структурированного Command Line Interface;

- максимальное количество новых одновременных подключений через межсетевой экран и формируемых записей логов в секунду;

- наличие инструмента миграции от производителя для переноса правил безопасности (firewall policy) и правил трансляции (NAT);

- поддержку функционала Application Override для пользовательских приложений и приложений, использующих функционал ALG (Application Level Gateway), таких как SIP, H.323, FTP и т.п.;

- возможность глубокого анализа сетевых сессий, проходящих через межсетевой экран, и их ручного сброса при необходимости.

Также правильным подходом будет не верить данным из Datasheet, а провести тестирование NGFW на своем трафике.

В процессе эксплуатации NGFW рекомендуется периодически проводить проверки по настройкам безопасности и качеству работы. В эти аудиты должны входить:

- проверка утилизации Management CPU и при выявлении высокой нагрузки – отключение логирования начала сессий некритичных правил безопасности и автоматизированных отчетов;

- оптимизация политик безопасности и удаление неиспользуемых правил;

- анализ защищенности и тестирование на проникновение;

- проверка необходимости и корректности правил NAT и VPN, а также статических маршрутов и анонсируемых сетей в VPN;

- проверка наличия и срока действия лицензий и сервисов поддержки;

- проверка срока действия необходимых сертификатов SSL/TLS;

- установка рекомендуемой версии программного обеспечения межсетевого экрана и обновлений модулей безопасности;

- создание резервных копий по схеме «3-2-1»;

- тестирование резервирования блоков питания, нод кластера и каналов связи;

- регулярная смена пароля локального администратора и проверка удаления уволенных администраторов из групп доступа к управлению;

- проверка наличия SYN flood и других DOS protection на внешних интерфейсах;

- включение NetFlow на необходимых интерфейсах;

- проверка свободного места на дисках и состояния внутренних датчиков;

Существует большое количество различных подходов к проектированию архитектуры для обеспечения информационной безопасности при использовании межсетевых экранов. Выбор наилучшего для организации варианта зависит от особенностей имеющейся архитектуры сети передачи данных и определяется как требованиями департаментов информационной безопасности, так и возможностями отделов информационных технологий.

Надеемся, что информация, приведенная в статье, окажется полезной для специалистов в области обеспечения информационной безопасности на сети передачи данных. Наряду с этим, отметим, что одним из наиболее эффективных подходов к проектированию и внедрению комплексных решений по обеспечению информационной безопасности является привлечение профессиональных команд исполнителей.

5 Брандмауэр - это система или группа систем ( маршрутизатор , прокси или шлюз ), которая реализует набор правил безопасности для обеспечения контроля доступа между двумя сетями для защиты «внутренней» сети от «внешней» сети. Это может быть аппаратное устройство или программное обеспечение , программа работает на защищенном компьютере хоста. В любом случае он должен иметь как минимум два сетевых интерфейса: один для сети, которую он должен защищать, а другой - для сети, к которой он открыт. Брандмауэр находится в точке соединения или на шлюзе между двумя сетями, обычно частной сетью и общедоступной сетью, такой как Интернет .

СОДЕРЖАНИЕ

Эволюция распределенного межсетевого экрана

Обычные межсетевые экраны основаны на понятиях ограниченной топологии и контрольных точек входа для работы. Точнее, они полагаются на предположение, что каждому на одной стороне точки входа - межсетевого экрана - следует доверять, и что любой на другой стороне, по крайней мере потенциально, является врагом.

Распределенные брандмауэры - это резидентные программные приложения безопасности, которые защищают серверы корпоративной сети и компьютеры конечных пользователей от нежелательного вторжения. Они предлагают преимущество фильтрации трафика как из Интернета, так и из внутренней сети. Это позволяет им предотвращать хакерские атаки, исходящие как из Интернета, так и из внутренней сети. Это важно, потому что самые дорогостоящие и разрушительные атаки по-прежнему исходят изнутри организации. Они похожи на персональные брандмауэры, за исключением того, что они предлагают несколько важных преимуществ, таких как централизованное управление, ведение журнала и, в некоторых случаях, степень детализации управления доступом. Эти функции необходимы для реализации корпоративных политик безопасности на крупных предприятиях. Политики можно определять и распространять в масштабах всего предприятия.

Особенностью распределенных межсетевых экранов является централизованное управление. Возможность заполнять серверы и машины конечных пользователей, настраивать и «продвигать» согласованные политики безопасности помогает максимально использовать ограниченные ресурсы. Возможность централизованно собирать отчеты и поддерживать обновления делает распределенную безопасность практичной. Распределенные брандмауэры помогают двумя способами. Компьютеры удаленных конечных пользователей могут быть защищены. Во-вторых, они защищают критически важные серверы в сети, предотвращая вторжение вредоносного кода и «заключение в тюрьму» другого такого кода, не позволяя использовать защищенный сервер в качестве стартовой площадки для расширенных атак.

Обычно развертываемые за традиционным брандмауэром, они обеспечивают второй уровень защиты. Они работают, разрешая только необходимый трафик на машину, которую они защищают, запрещая другие типы трафика для предотвращения нежелательных вторжений. В то время как межсетевой экран периметра должен использовать общий подход к защите серверов в сети, распределенные межсетевые экраны действуют как специалисты.

Некоторые проблемы с обычными межсетевыми экранами, которые приводят к распределенным межсетевым экранам, заключаются в следующем. Из-за увеличения скорости линии и более интенсивных вычислений протоколов, которые должен поддерживать межсетевой экран; брандмауэры, как правило, становятся точками перегрузки. Этот разрыв между скоростью обработки и сетевой скоростью, вероятно, увеличится, по крайней мере, в обозримом будущем; в то время как компьютеры (и, следовательно, брандмауэры) становятся быстрее, сочетание более сложных протоколов и огромного увеличения объема данных, которые должны передаваться через брандмауэр, было и, вероятно, продолжит опережать закон Мура . Существуют протоколы, и разрабатываются новые протоколы, которые трудно обрабатывать на брандмауэре, потому что последнему не хватает определенных знаний, которые легко доступны на конечных точках. FTP и RealAudio - два таких протокола. Хотя существуют прокси-серверы уровня приложений, которые обрабатывают такие протоколы, такие решения считаются архитектурно «нечистыми» и в некоторых случаях слишком агрессивными. Точно так же из-за зависимости от топологии сети PF может применять политику только к трафику, который ее пересекает. Таким образом, трафик, которым обмениваются узлы в защищенной сети, невозможно контролировать. Это дает злоумышленнику, который уже является инсайдером или может каким-то образом обойти брандмауэр, полную свободу действий. Что еще хуже, создание новой несанкционированной точки входа в сеть без ведома и согласия администратора стало тривиальным делом. Различные формы туннелей, беспроводного доступа и методов коммутируемого доступа позволяют пользователям устанавливать бэкдор- доступ в обход всех механизмов безопасности, обеспечиваемых традиционными межсетевыми экранами. Хотя брандмауэры, как правило, не предназначены для защиты от неправомерного поведения инсайдеров, существует противоречие между внутренними потребностями в расширении возможностей подключения и трудностью удовлетворения таких потребностей с помощью централизованного брандмауэра.

IPsec - это набор протоколов, недавно стандартизированный IETF , который предоставляет услуги безопасности сетевого уровня, такие как конфиденциальность пакетов, аутентификация, целостность данных, защита от воспроизведения и автоматическое управление ключами. Это артефакт развертывания брандмауэра: внутренний трафик, который не виден брандмауэром, не может быть отфильтрован; в результате внутренние пользователи могут проводить атаки на других пользователей и сети без возможности вмешательства брандмауэра. Сегодня большие сети обычно имеют большое количество точек входа (для повышения производительности, аварийного переключения и по другим причинам). Кроме того, на многих сайтах используются внутренние брандмауэры, чтобы обеспечить некоторую форму разделения. Это делает администрирование особенно трудным как с практической точки зрения, так и с точки зрения последовательности политики, поскольку не существует единого и всеобъемлющего механизма управления.

Сквозное шифрование также может представлять угрозу для брандмауэров, поскольку оно не позволяет им просматривать поля пакета, необходимые для фильтрации. Разрешение сквозного шифрования через брандмауэр подразумевает значительное доверие к пользователям со стороны администраторов. Наконец, существует возрастающая потребность в более детальном контроле доступа, который стандартные брандмауэры не могут легко удовлетворить без значительного увеличения их сложности и требований к обработке.

Распределенные брандмауэры - это резидентные программные приложения безопасности, которые защищают критически важные конечные точки корпоративной сети от нежелательного вторжения, то есть серверы и компьютеры конечных пользователей. В этой концепции политика безопасности определяется централизованно, и ее применение осуществляется на каждой конечной точке (хостах, маршрутизаторах и т. Д.). Обычно они устанавливаются за традиционным брандмауэром и обеспечивают второй уровень защиты.

Поскольку всем внутренним хостам доверяют одинаково, в случае взлома какой-либо из этих машин их можно использовать для запуска атак на другие хосты, особенно на доверенные хосты для таких протоколов, как rlogin . Таким образом, отраслевые организации по безопасности прилагают серьезные усилия для перехода к системе, которая имеет все аспекты настольного межсетевого экрана, но с централизованным управлением, например, с распределенными межсетевыми экранами.

Распределенные брандмауэры, размещенные на хосте, предотвращают взлом ПК и его использование в качестве точки входа в корпоративную сеть. Скомпрометированный компьютер может сделать всю сеть уязвимой для атак. Хакер может беспрепятственно проникнуть в корпоративную сеть и украсть или испортить корпоративные активы.

Базовая работа

Распределенные брандмауэры часто представляют собой приложения режима ядра, которые находятся в нижней части стека OSI в операционной системе. Они фильтруют весь трафик независимо от его происхождения - Интернет или внутренняя сеть. Они относятся к Интернету и внутренней сети как к «недружественным». Они охраняют отдельную машину так же, как брандмауэр по периметру защищает всю сеть. Распределенные межсетевые экраны основаны на трех понятиях:

• Язык политики, в котором указывается, какие соединения разрешены или запрещены,
• Любой из ряда инструментов управления системой, например SMS или ASD от Microsoft, и
• IPSEC, механизм шифрования сетевого уровня для интернет-протоколов (TCP, UDP и т. Д.).

Основная идея проста. Компилятор переводит язык политики в некоторый внутренний формат. Программное обеспечение для управления системой распространяет этот файл политики на все узлы, защищенные брандмауэром. И входящие пакеты принимаются или отклоняются каждым «внутренним» хостом в соответствии с политикой и криптографически подтвержденной идентичностью каждого отправителя.

Политики

Один из наиболее часто используемых терминов в случае сетевой безопасности и, в частности, распределенного межсетевого экрана - это политика. Важно знать о политике. «Политика безопасности» определяет правила безопасности системы. Без определенной политики безопасности невозможно узнать, какой доступ разрешен или заблокирован. Простой пример брандмауэра:

• Разрешить все подключения к веб-серверу .
• Запретить любой другой доступ.

Распределение политики может быть различным и зависит от реализации. Его можно либо прямо подтолкнуть к конечным системам, либо при необходимости вытащить.

Техника тяги

Хосты при загрузке отправляют эхо-запросы к центральному серверу управления, чтобы проверить, включен ли и активен ли центральный сервер управления. Он регистрируется на центральном сервере управления и запрашивает свои политики, которые он должен реализовать. Центральный сервер управления предоставляет хосту свои политики безопасности. Например, сервер лицензий или сервер допуска может быть запрошен, следует ли разрешить определенный обмен данными. Обычный брандмауэр может сделать то же самое, но ему не хватает важных знаний о контексте запроса. Конечные системы могут знать такие вещи, как задействованные файлы и их уровни безопасности. Такую информацию можно передать по сетевому протоколу, но только за счет усложнения.

Техника толчка

Метод проталкивания используется, когда политики обновляются на стороне централизованного управления администратором сети, и узлы должны быть обновлены немедленно. Эта технология push гарантирует, что хосты всегда будут иметь обновленные политики в любое время. Язык политики определяет, какие входящие и исходящие соединения на любом компоненте домена сетевой политики разрешены, и может влиять на решения политики на любом уровне сети, включая отклонение или передачу определенных пакетов или применение политик на уровне приложений .

Компоненты распределенного межсетевого экрана

• Центральная система управления для разработки политик.
• Система передачи для передачи этих политик.
• Реализация разработанных политик на стороне клиента.

Центральная система управления

Централизованное управление, компонент распределенных брандмауэров, позволяет эффективно защищать серверы, настольные компьютеры, ноутбуки и рабочие станции в масштабе предприятия. Централизованное управление обеспечивает больший контроль и эффективность, а также снижает затраты на обслуживание глобальных систем безопасности. Эта функция удовлетворяет потребность в максимальном использовании ресурсов сетевой безопасности, позволяя централизованно настраивать, развертывать, отслеживать и обновлять политики. Распределенные брандмауэры можно сканировать с одной рабочей станции, чтобы понять текущую операционную политику и определить, требуется ли обновление.

Распространение политики

Схема распространения политики должна гарантировать целостность политики во время передачи. Распределение политики может быть различным и зависит от реализации. Его можно либо прямо подтолкнуть к конечным системам, либо при необходимости вытащить.

Реализация на стороне хоста

Политики безопасности, передаваемые с центрального сервера управления, должны быть реализованы хостом. Конечная часть распределенного брандмауэра предоставляет администратору сети какие-либо административные возможности для управления реализацией политик. Хост разрешает трафик на основе реализованных им правил безопасности.

Сравнение угроз

Распределенные межсетевые экраны имеют как сильные, так и слабые стороны по сравнению с обычными межсетевыми экранами. Безусловно, самая большая разница, конечно, заключается в их зависимости от топологии. Если топология сети не позволяет полагаться на традиционные методы межсетевого экрана, выбора мало. Более интересный вопрос заключается в том, как эти два типа сравниваются в закрытой сети с одним входом. То есть, если одно из них будет работать, есть ли причина выбирать одно вместо другого?

Доступ к сервису и сканирование портов

Подмена IP-адреса

В сети адреса не являются популярным понятием. Использование криптографических механизмов, скорее всего, предотвращает атаки, основанные на поддельных адресах источника, при условии, что доверенный репозиторий, содержащий все необходимые учетные данные, сам по себе не подвергался компрометации. Эти проблемы могут быть решены с помощью обычных брандмауэров с соответствующими правилами отбрасывания пакетов на периметре сети, но они не предотвратят такие атаки, исходящие из домена сетевой политики.

Вредоносное ПО

Обнаружения вторжений

Многие брандмауэры обнаруживают попытки вторжений. Если эта функция должна быть обеспечена распределенным межсетевым экраном, каждый отдельный хост должен замечать зонды и направлять их в какое-то центральное место для обработки и корреляции. Первая проблема несложная; многие хосты уже регистрируют такие попытки. Можно убедительно доказать, что такое обнаружение должно происходить в любом случае. Сбор более проблематичен, особенно во время плохого подключения к центральному сайту. Также существует риск скоординированных атак, вызывающих атаку отказа в обслуживании на центральную машину.

Инсайдерские атаки

С учетом естественного представления обычного брандмауэра о топологии сети, состоящей из внутреннего и внешнего, проблемы могут возникнуть, как только один или несколько членов домена политики сети были скомпрометированы. Брандмауэры периметра могут применять политики только между отдельными сетями и не показывают возможности обхода проблем, которые возникают в ситуации, описанной выше. Учитывая независимость распределенных межсетевых экранов от топологических ограничений, поддерживается применение политик, независимо от того, являются ли хосты членами или посторонними объектами общей политики, и основывают свои решения на механизмах аутентификации, которые не являются неотъемлемыми характеристиками схемы сети. Более того, компрометация конечной точки законным пользователем или злоумышленником не приведет к ослаблению всей сети таким образом, чтобы непосредственно привести к компрометации других машин, учитывая тот факт, что развертывание виртуальных частных сетей предотвращает перехват коммуникационного трафика, в котором атакованный машина не задействована. С другой стороны, на самой конечной точке возникают почти те же проблемы, что и в обычных межсетевых экранах: предположение, что машина была захвачена злоумышленником, должно приводить к выводу, что сами механизмы применения политик могут быть нарушены. Установить бэкдоры на этой машине можно довольно легко, если механизмы безопасности неисправны и из-за отсутствия брандмауэра по периметру больше не существует доверенного объекта, который мог бы предотвратить попадание произвольного трафика на скомпрометированный хост или его покидание. Кроме того, использование таких инструментов, как SSH и т.п., позволяет туннелировать обмен данными с другими приложениями и не может быть предотвращено без надлежащего знания учетных данных для дешифрования, более того, учитывая тот факт, что в случае успешного проведения атаки самим механизмам проверки нельзя доверять. больше. На первый взгляд, самая большая слабость распределенных межсетевых экранов - это их большая подверженность отсутствию сотрудничества со стороны пользователей. Что произойдет, если кто-то самостоятельно изменит файлы политик? Распределенные брандмауэры могут снизить угрозу фактических атак внутренних злоумышленников, просто упрощая создание небольших групп пользователей. Таким образом, можно ограничить доступ к файловому серверу только тем пользователям, которые в нем нуждаются, вместо того, чтобы позволять кому-либо внутри компании заниматься им. Также стоит приложить некоторые усилия для предотвращения случайного подрыва политики. Если политики хранятся в простом файле ASCII , пользователь, желающий, например, поиграть в игру, может легко отключить защиту. Возможно, стоит потребовать от потенциального отказавшегося от сотрудничества пользователя пойти на дополнительные неприятности, даже если этот механизм теоретически недостаточен. Например, политики могут иметь цифровую подпись и проверяться часто меняющимся ключом в неудобном для замены месте. Для более строгой защиты принудительное применение политик может быть встроено в защищенную от несанкционированного доступа сетевую карту.

Читайте также:

  
• На телевизоре xiaomi пропал звук через hdmi arc
  
• При копировании файлов компьютер тормозит
  
• Какую часть экрана имеющего разрешение 1024 768 пикселей займет изображение файла типа bmp объемом 1
  
• Пионер 280fd процессорная или нет
  
• Как добавить png в premiere pro