Next generation firewall это
Сеть нуждается в защите от внешних угроз. Хищение данных, несанкционированный доступ и повреждения могут сказаться на работе сети и принести серьезные убытки. Используйте специальные программы и устройства, чтобы обезопасить себя от разрушительных воздействий. В этом обзоре мы расскажем о межсетевом экране и рассмотрим его основные типы.
Как работает межсетевой экран
Фильтрация трафика происходит на основе заранее установленных правил безопасности. Для этого создается специальная таблица, куда заносится описание допустимых и недопустимым к передаче данных. Межсетевой экран не пропускает трафик, если одно из запрещающих правил из таблицы срабатывает.
Файрволы могут запрещать или разрешать доступ, основываясь на разных параметрах: IP-адресах, доменных именах, протоколах и номерах портов, а также комбинировать их.
- IP-адреса. Каждое устройство, использующее протокол IP, обладает уникальным адресом. Вы можете задать определенный адрес или диапазон, чтобы пресечь попытки получения пакетов. Или наоборот — дать доступ только определенному кругу IP-адресов.
- Порты. Это точки, которые дают приложениям доступ к инфраструктуре сети. К примеру, протокол ftp пользуется портом 21, а порт 80 предназначен для приложений, используемых для просмотра сайтов. Таким образом, мы получаем возможность воспрепятствовать доступу к определенным приложениям и сервисам.
- Доменное имя. Адрес ресурса в интернете также является параметром для фильтрации. Можно запретить пропускать трафик с одного или нескольких сайтов. Пользователь будет огражден от неприемлемого контента, а сеть от пагубного воздействия.
- Протокол. Файрвол настраивается так, чтобы пропускать трафик одного протокола или блокировать доступ к одному из них. Тип протокола указывает на набор параметров защиты и задачу, которую выполняет используемое им приложение.
Типы МСЭ
5. МСЭ нового поколения с активной защитой от угроз
Данный тип межсетевого экрана — усовершенствованная версия NGFW. Это устройство помогает защититься от угроз повышенной сложности. Дополнительный функционал умеет:
- учитывать контекст и находить ресурсы, которые находятся под наибольшим риском;
- оперативно отражать атаки за счет автоматизации безопасности, которая самостоятельно управляет защитой и устанавливает политики;
- выявлять отвлекающую или подозрительную активность, благодаря применению корреляции событий в сети и на компьютерах;
В этой версии межсетевого экрана NGFW введены унифицированные политики, которые значительно упрощают администрирование.
4. Межсетевой экран Next-Generation Firewall (NGFW)
Ответ современным угрозам. Злоумышленники постоянно развивают технологии нападения, находят новые уязвимости, совершенствуют вредоносные программы и усложняют для отражения атаки на уровне приложений. Такой файрвол не только фильтрует пакеты и контролирует состояние сеансов. Он полезен в поддержании информационной безопасности благодаря следующим функциям:
- учет особенностей приложений, который дает возможность идентифицировать и нейтрализовать вредоносную программу;
- оборона от непрекращающихся атак из инфицированных систем;
- обновляемая база данных, которая содержит описание приложений и угроз;
- мониторинг трафика, который шифруется с помощью протокола SSL.
1. Прокси-сервер
Один из родоначальников МСЭ, который выполняет роль шлюза для приложений между внутренними и внешними сетями. Прокси-серверы имеют и другие функции, среди которых защита данных и кэширование. Кроме того, они не допускают прямые подключения из-за границ сети. Использование дополнительных функций может чрезмерно нагрузить производительность и уменьшить пропускную способность.
Типовая архитектура сети с точки зрения ИБ
Прежде чем описывать варианты внедрения NGFW, мне бы хотелось обсудить несколько типичных сценариев использования средств сетевой защиты. Мы рассмотрим наиболее распространенные средства, которые есть практически в каждой компании (конечно же максимально упрощенно и поверхностно, иначе получится целая книга). Чаще всего на практике можно встретить три самых распространенных варианта:
1) Продвинутый
Довольно типичная схема. На периметре сети используется какой-либо Stateful Firewall, который имеет минимум три сегмента: Internet, DMZ, локальная сеть. На этом же МЭ может организовываться Site-to-Site VPN и RA VPN. В DMZ как правило находятся публичные сервисы. Там же чаще всего находится какое-либо Anti-Spam решение с функционалом антивируса.
За маршрутизацию локального трафика отвечает коммутатор ядра (L3), на котором также минимум два сегмента: сегмент пользователей и сегмент серверов. В сегменте серверов располагают Proxy-сервер с функционалом антивируса и сервер корпоративной почты. Довольно часто сегмент серверов защищается дополнительным МЭ (виртуальный или “железный”).
В качестве дополнительной меры защиты может применяться IPS, который мониторит копию трафика (подключен к SPAN-порту). На практике мало кто “отваживается” ставить IPS в inline режим.
Уверен, что многие угадали в этой схеме свою сеть.
2) Упрощенный
Данный вариант также встречается довольно часто. Почти весь секьюрити функционал развернут в рамках единого UTM-решения (Firewall, Proxy, AV, Anti-Spam, IPS). Для маршрутизации локального трафика используется коммутатор ядра (Core SW L3). На нем же выделен сегмент серверов с почтовым сервером и другими сервисами компании.
3) SMB
Самый простой вариант. Отличается от предыдущего отсутствием коммутатора ядра. Т.е. трафик между локальными сегментами и в Интернет маршрутизируется через одно UTM-устройство. Данный вариант часто встречается в небольших компаниях, где небольшой трафик.
Как я уже писал выше, это очень поверхностное описание трех типовых сценариев использования наиболее распространенных средств сетевой защиты.
Next Generation Firewall — межсетевой экран следующего поколения. Мы уже не раз обсуждали что это такое, чем он отличается от UTM, какие лидеры на рынке и на что нужно обратить внимание при выборе. Изначально, главное, ради чего внедрялись NGFW — контроль приложений и deep packet inspection (собственно без последнего невозможно первое). Под приложениями понимаются не только классические “толстые” приложения, но и микро-приложения веб-формата. Пример — posting, video, chatting в социальных сетях.
Однако практически все современные NGFW имеют в своем составе гораздо больше функций:
- Application Control
- URL filtering
- VPN
- IPS
- Anti-Virus
- Anti-Spam
- DLP
- Sandboxing
- Log analyzer and correlation unit
1) NGFW как устройство периметра
Самый простой и самый правильный вариант внедрения. NGFW для этого и задумывался — стоять на границе сети.
Какие преимущества:
На что обратить внимание выбирая NGFW, который будет стоять на периметре сети:
Часто в качестве пограничного устройства используется маршрутизатор а не МЭ. При этом в текущей схеме может применяться функционал, который отсутствует в чистом виде на NGFW (различные WAN-технологии, протоколы маршрутизации и т.д.). Это нужно учитывать и тщательно планировать перед внедрением. Возможно будет логично оставить роутер и использовать его параллельно (к примеру для организации WAN-сети). Пример:
Как я уже написал выше, вариант “NGFW на периметре сети” — идеальный вариант при котором вы получите максимум его возможностей. Но не забывайте, что NGFW это не роутер. Привычные функции (bgp, gre, ip sla и т.д.) могут отсутствовать или присутствовать в весьма урезанном функционале.
2) NGFW как proxy-сервер
Как ни странно, но это тоже довольно распространенный вариант. Хоть NGFW и не разрабатывался как proxy. Типовая схема:
Преимущества такого варианта:
- Скорость внедрения. Заменили старый Proxy и готово.
- Не нужно менять текущую схему или маршрутизацию.
На что обратить внимание выбирая NGFW, который будет стоять как proxy:
- Самый главный здесь пункт — способ аутентификации пользователей (NTLM, Kerberos, Captive Portal и т.д.). Обязательно проверьте, что выбранное вами решение поддерживает текущий метод авторизации или способно его заменить на что-то адекватное.
- Проверьте, что вас устраивает встроенная отчетность NGFW по пользователям (потребляемый трафик, посещаемые ресурсы и т.д.).
- Возможности по ограничению трафика — QoS, ограничения по скорости (shaping) и объемам скачиваемого трафика (limiting).
- Первое, что нужно помнить, NGFW в режиме прокси — почти всегда урезанный функционал. Вы не сможете задействовать его на 100 процентов. Особенно если речь заходит о проверке почтового трафика.
- Ниже пропускная способность. Почти все NGFW решения в режиме прокси демонстрируют меньшую скорость на пользователя.
- Вы по прежнему будете вынуждены использовать IPS. Т.к. часть вашего трафика может идти в Интернет мимо прокси.
Личный совет — если есть возможность избежать “NGFW как proxy”, то избегайте. На практике начинают вдруг “вылазить” недокументированные особенности. И самый большой минус — невозможность полноценной проверки почты (технически конечно это можно сделать, но это будет “костыль”).
3) NGFW как ядро
Распространенный вариант для небольших сетей. Маршрутизация всего трафика (Интернет, локальный, серверный) “вешается” на NGFW. L3 коммутатор отсутствует, либо просто не используется для маршрутизации.
Преимущества такого варианта:
- Удобство администрирования. Все access-list-ы в одном месте.
- Скорость развертывания. Как правило NGFW ставится таким образом в топологиях где и до этого МЭ выполнял роль ядра сети.
- Все плюсы варианта “NGFW на периметре сети”.
Практически все тоже самое, что и для “NGFW на периметре сети”. Но в данном случае стоит уделить особое внимание наличию функции MTA. В такой небольшой сети желательно обойтись без дополнительного устройства в виде SMTP-relay. Лучше если этот функционал будет присутствовать в вашем NGFW.
Возможные ограничения или проблемы:
- Пожалуй главная проблема — единая точка отказа. При подборе устройства не забудьте учесть ваш локальный трафик, чтобы выбранная модель NGFW справилась с нагрузкой.
- Сеть менее гибкая с точки зрения изменений. Меньше маршрутизирующих устройств — меньше возможностей по управлению трафиком.
Возможно это идеальный вариант для небольших компаний. Конечно если для вас допустим риск единой точки отказа.
4) NGFW в режиме bridge
Менее популярный вариант, но все же встречается чаще чем хотелось бы. В этом случае текущая логика сети никак не меняется, трафик на втором уровне проходит через NGFW, который работает в режиме моста:
Оставлять сторонний IPS в таком случае нет смысла (тем более на мониторинг трафика). NGFW вполне справится с его функцией. Такой вариант применяется чаще всего в более продвинутых инфраструктурах, где изменения топологии по какой-то причине невозможны либо крайне нежелательны.
Преимущества такого варианта:
- Скорость внедрения. Менять логику сети не нужно, максимум переткнуть кабель или “завернуть” VLAN.
- Меньше хопов — проще логика сети.
На что обратить внимание при выборе NGFW в режиме “bridge”:
- На ограничения режима “bridge”! Внимательно ознакомьтесь с ними.
- Желательно наличие bypass модулей, чтобы трафик шел через устройство, даже если оно выключено.
Как и в случае с прокси, желательно избегать режима bridge. Если это невозможно, то очень желательно протестировать этот режим на вашей инфраструктуре. Затем уже принимать решение.
Назначение межсетевых экранов
Межсетевые экраны (МСЭ) или файрволы — это аппаратные и программные меры для предотвращения негативных воздействий извне. Файрвол работает как фильтр: из всего потока трафика просеивается только разрешенный. Это первая линия защитных укреплений между внутренними сетями и внешними, такими как интернет. Технология применяется уже на протяжении 25 лет.
Необходимость в межсетевых экранах возникла, когда стало понятно, что принцип полной связности сетей больше не работает. Компьютеры начали появляться не только в университетах и лабораториях. С распространением ПК и интернета возникла необходимость отделять внутренние сети от небезопасных внешних, чтобы уберечься от злоумышленников и защитить компьютер от взлома.
Для защиты корпоративной сети устанавливают аппаратный межсетевой экран — это может быть отдельное устройство или часть маршрутизатора. Однако такая практика применяется не всегда. Альтернативный способ — установить на компьютер, который нуждается в защите, программный межсетевой экран. В качестве примера можно привести файрвол, встроенный в Windows.
Имеет смысл использовать программный межсетевой экран на корпоративном ноутбуке, которым вы пользуетесь в защищенной сети компании. За стенами организации вы попадаете в незащищенную среду — установленный файрвол обезопасит вас в командировках, при работе в кафе и ресторанах.
Отказоустойчивость
Я не мог не затронуть этот пункт. Практически все NGFW решения поддерживают два режима кластеризации:
- High Availability. Одна нода кластера активная и маршрутизирует трафик, вторая нода пассивная и находится в горячем резерве, готовая стать активной в случае проблем с первой.
- Load Sharing. Обе ноды активны и трафик “делится” между ними.
— Если трафик делится между устройствами, то нагрузка на них будет в два раза меньше, а значит и устройства можно заложить послабее и дешевле?
— Нет!
Используйте High Availability режим.
2. МСЭ с контролем состояния сеансов
Экраны с возможностью контролировать состояние сеансов — уже укоренившаяся технология. На решение принять или блокировать данные влияет состояние, порт и протокол. Такие версии следят за всей активностью сразу после открытия соединения и вплоть до самого закрытия. Блокировать трафик или не блокировать система решает, опираясь на установленные администратором правила и контекст. Во втором случае учитываются данные, которые МСЭ дали прошлые соединения.
Недостатки МСЭ
Межсетевые экраны обороняют сеть от злоумышленников. Однако необходимо серьезно отнестись к их настройке. Будьте внимательны: ошибившись при настройке параметров доступа, вы нанесете вред и файрвол будет останавливать нужный и ненужный трафик, а сеть станет неработоспособной.
Применение межсетевого экрана может стать причиной падения производительности сети. Помните, что они перехватывают весь входящий трафик для проверки. При крупных размерах сети чрезмерное стремление обеспечить безопасность и введение большего числа правил приведет к тому, что сеть станет работать медленно.
Если посмотреть на интерактивную карту текущих кибер-атак, происходящих в мире, в режиме реального времени, то становится очевидно, что единственное место, где нет криминальной кибер-активности на Земле – это Антарктида. 2014 год был богат на громкие взломы и утечки данных. Взлом Apple iCloud с последующим выкладыванием в сеть интимных фотографий разных известных людей, утечка данных 80 миллионов клиентов из JP Morgan, троян в Regin на компьютерах администрации ЕС, взлом eBay, взлом Home Depot, DDoS-атака на сайт Кремля, взломы сети Московского метро и т.д. Однако взлом Sony Entertainment замечателен тем, что за последние три года инфраструктура компании взломана уже как минимум третий раз. Поэтому, прежде чем говорить о современных средствах сетевой защиты, я кратко опишу стратегию реализации сетевой атаки на примере одной из самых известных атак последнего времени – атаки на Sony Pictures Entertainment 2014.
Несколько слов о том, что, собственно, произошло. В пятницу, 21 ноября 2014 года, руководители Sony получили письмо с предложением заплатить определённую сумму за то, чтобы ИТ-инфраструктура Sony избежала «массированной бомбардировки». Письму не придали значения, у многих руководителей оно попало в спам, но уже 24 ноября 2014 года сотрудники Sony, придя в понедельник утром на работу, увидели у себя на мониторах следующую картинку:
Большинство компьютеров и ИТ сервисов компании было неработоспособно. Как утверждают некоторые источники, в течении нескольких следующих дней сотрудники Sony не пользовались рабочими компьютерами и работали при помощи ручки и бумаги. По ходу этой атаки (считают, что скрытая фаза атаки развивалась от нескольких месяцев до года) из Sony утекли данные (по некоторым оценкам, общим объёмом до 100 терабайт) на миллионы долларов. Впоследствии хакеры выложили в сеть несколько новых, ещё не выпущенных на экраны фильмов и большое количество конфиденциальной информации, включая личные данные сотрудников. По разным оценкам, примерный совокупный ущерб от этой атаки составил порядка 100 миллионов долларов.
Как это произошло и, главное, почему?
Вредоносная программа, участвовавшая в атаке на Sony Entertainment, называется троян Destover; это вредоносное ПО типа wiper, которое способно удалять данные с жёстких дисков и переписывать нужным образом MBR. Волна подобных атак с использованием различных wiper-ов прокатилась с 2012 года по странам Средней Азии (атака на Saudi Aramco, с уничтожением данных на более чем 30 000 компьютеров, атака на катарский Rasgas и т.д.) и пока завершилась громкой историей с Sony.
По мнению экспертов, злоумышленники, видимо, получили полный доступ к внутренней сети Sony Entertainment до того, как начали распространять этот троян на компьютеры внутри сети. Они действовали по классической схеме атаки, показанной на рисунке ниже.
Жизненный цикл атаки:
-
Проникновение (инфильтрация) – доподлинно неизвестно (по крайней мере, не раскрыто публично), каким образом хакеры изначально проникли в сеть Sony в этот раз. Предполагаются три версии – помощь инсайдера, классический фишинг или использование уязвимости в веб-сервисах с последующей организацией backdoor. В конечном итоге, хакеры получили доступ в сеть Sony с привилегиями администратора.
GARTNER определяет NGFW так: межсетевые экраны нового поколения (NGFWs) – это устройства, в которых проводится глубокая проверка пакетов (выходящая за рамки порт/протокол), с возможностью инспектировать и блокировать трафик уровня приложения, включающие в себя встроенные системы предотвращения вторжений и интеллектуальную обработку трафика на основе интеграции с внешними системами. При этом, NGFW не следует путать с изолированной системой предотвращения вторжений (IPS) или IPS, включающей в себя обычный межсетевой экран, не интегрированный с IPS в одно решение. Если коротко суммировать данное определение, то NGFW – это устройство с контролем трафика уровня приложений, встроенной системой обнаружения вторжений и идентификации пользовательской принадлежности трафика.
У некоторых появление концепции NGFW вызывает эффект «дежа вю», возникает ощущение схожести NGFW и распространенной в недалеком прошлом концепции UTM (Unified Threat Management). Это действительно похожие подходы, попытки эффективно скомбинировать в одном устройстве сразу защиту от нескольких видов угроз. Однако, существуют существенные отличия, которые позволяют однозначно разделить эти классы устройств между собой и отделить их от традиционных Stateful Firewall (далее просто FW). В таблице внизу суммированы основные параметры и позиционирование устройств типа FW, UTM и NGFW.
Таким образом, UTM И NGFW – это разные классы оборудования, предназначенные для решения разных типов задач. И как нам предсказывает GARTNER, время традиционных устройств, обеспечивающих сетевую защиту, постепенно уходит и на замену им приходя устройства нового типа – NGFW.
В 2013 г. компания HP объявила о выпуске HP TippingPoint Next-Generation Firewall (NGFW). HP NGFW построен в соответствии с описанной выше концепцией и предназначен для удовлетворения потребности предприятий разного размера в части сетевой безопасности, с учетом современных требований к эффективности сетей, надежности и масштабируемости решений. NGFW реализован на платформе NGIPS с надежностью в 7 девяток (99.99999% времени бесперебойной работы) и позволяет идентифицировать и контролировать сетевые приложения, снижая потенциальные риски компании от реализации комплексных сетевых угроз. Кроме того, для тех, у кого уже установлены продукты HP TippingPoint (NGIPS, например) или кто-то планирует разворачивать большое количество NGFW – для таких предприятиям будет удобно использовать для управления сетевой безопасностью единую централизованную консоль на базе системы управления безопасностью (SMS).
Замечательной особенностью решения HP NGFW является наличие в HP структуры (DVLabs), которая занимается поиском уязвимостей в ПО различных производителей и выпуском соответствующих обновлений, их закрывающих. Краткая статистика по работе DVLabs, на сегодняшний день:
- 8,200+ фильтров out-of-the-box
- Примерно 20 новых фильтров в неделю
- Каждый 12-й фильтр – это Zero Day фильтр
- 379 zero day фильтров выпущено в 2014
- Среднее пред-покрытие уязвимости с zero day фильтром 50 дней
- 10% фильтры приложений
- 40% фильтров запущены по умолчанию в рекомендованных настройках
- 3,000 исследователей участвуют в HP Security Research Zero Day
Относительно обработки трафика приложений, HP TippingPoint NGFW может контролировать трафик как на уровне типа приложения, так и на уровне его различных под-типов. При этом, HP фокусируется на основных бизнес-приложениях, актуальных в корпоративной среде. График ниже подтверждает, что эта политика приносит свои плоды – в данной области HP лидер.
Эта программа значительно расширила сферу охвата исследований информационной безопасности, а также существенно сократила количество уязвимостей, попадающих на черные рынки. В результате программы ZDI, HP признана ведущим репортером уязвимостей, как показано на диаграммах ниже.
Дальше немного подробнее о продукте HP NGFW. На сегодняшний день, в продаже существует 5 различных моделей устройства, отличающихся прежде всего производительностью. В таблице внизу представлены устройства с краткими характеристиками и рекомендованными вариантами их использования.
В рамках данной статьи хотелось бы обсудить вопрос: «Как выбрать NGFW решение из многообразия предлагаемых продуктов, решений и вендоров?» В связи с этим, мы рассмотрим несколько соображений по этому поводу и сформируем некий «чек-лист», по которому желательно пробежаться перед выбором решения.
Соображение №1. Все конкретно недоговаривают
Последние несколько лет я очень плотно занимаюсь темой NGFW, и самый частый запрос от клиентов, выбирающих решение для защиты сети, это сравнение и вопросы различия между лидерами различных квадрантов Gartner, NSS Lab и так далее. И это могло бы быть простой задачей. Но, как говорил один герой известного сериала…
К большому сожалению, нет НИ одного вендора с полностью достоверной информацией в маркетинговых брошюрах и DataSheet-ах. Каждый из них либо что-то недоговаривает, либо использует заведомо бесполезные характеристики, которые получаются с помощью искусственных тестов. Уловок у них миллионы. В большинстве случаев только личный опыт и большая (огромная) практика работы со всеми решениями на рынке, могут помочь вам обстоятельно выбрать решение для конкретной задачи за тот бюджет, который у вас есть.
Без опыта, вы обречены бесконечно просматривать сравнения, вроде этого:
В общем-то очевидно, что это никак не приблизит вас к взвешенным объективным и аргументированным критериям выбора решения для защиты.
Соображение №2. Каждый сам кузнец своего счастья (несчастья)
Проблема выбора появляется в первую очередь из-за отсутствия исходных данных. Если кто-то ожидает увидеть дальше сравнение всех вендоров по триллиону критериев, то можете смело пропускать эту статью. Такой задачи я перед собой не ставлю, и вижу ее больше вредной, чем полезной. Во-первых, у всех разные задачи, во-вторых, ситуация на рынке меняется быстро, сегодня у кого-то нет актуального сертификата того или иного надзорного органа или какой-то фичи, а завтра, бах, и всё появилось. Ценность такого сравнения помножилась на 0. Но это не значит, что таких сравнений не должно быть. На мой взгляд, каждый может составить матрицу критериев, ответив для себя и своей организации, что является критичным, важным и желательным при выборе NGFW решения, а потом по вашей персональной матрице проставить «+» и «–». Так вы получите самое эффективное сравнение, отвечающее именно вашей задаче. Составить такую объективную матрицу, обратить ваше внимание на места, где много вранья и недоговорок со стороны уважаемых лидеров, я и ставлю как цель для этой статьи.
Соображение №3. Критерии сравнения
Давайте перейдем к критериям. Определите какие из них важны для вас, а какие можете отбросить за их неактуальностью. По каждому критерию, я постараюсь дать пояснения и предостережения из личного опыта.
- «наших» — отечественные производители в основном имеют сертификаты и это часто их единственная сильная сторона;
- «американских» — им сложнее получить сертификаты, часто это сертификат на старую версию ПО, которая может быть «энд оф саппорт», или со старыми багами, обновить или пропатчить дырявое решение может быть проблемой;
- «израиль» — тут удачное стечение обстоятельств, иначе и не скажешь. Функциональное превосходство над отечественными разработками и отсутствие политических противоречий, получают сертификаты и довольно быстро («конечно, все относительно») на актуальные версии.
- Имеет ли решение сертификаты ФСТЭК и ФСБ?
- Какая версия ПО и какие модели оборудования сертифицированы? На сколько версия и модель актуальна на текущий момент? Она поддерживается? Есть ли в ней бреши безопасности, закрытые в более новых версиях.
- Класс сертификации? Напомню, с 1 декабря 2016 года ФСТЭК всё поменял.
- Что конкретно сертифицировано МСЭ/IPS/IDS/VPN?
- Текущие сертификаты, сроки годности и перспективы продления?
2. Какая схема лицензирования решения в целом?
Тут все просто. Кто-то продает железку, и грузите ее трафиком, сколько выдержит, столько выдержит. Есть решения с ценообразованием за пользователя + фичи. Считайте и выбирайте. Что касается первого варианта с продажей железки (или виртуальной машины), не верьте даташитам. Только реальное тестирование покажет фактическую загрузку и производительность. У вас у всех разные трафик, задачи и организация сети. Все возможные тесты для каждого заранее не сделать. Только пилотный проект даст честный результат.
В данной статье приводятся лишь примеры типовых сценариев внедрения NGFW. Не стоит брать предложенные схемы за готовый шаблон. В реальной жизни, почти каждое внедрение уникально. Есть много подводных камней, на которые нужно обратить внимание перед планированием топологии сети. Но в целом, все варианты будут “крутиться” вокруг нескольких концептов. Их мы и постараемся обсудить.
Заключение
P.S. Получить триальную лицензию и протестировать интересующее вас решение можно здесь
Термин «файрвол следующего поколения» (Next-Generation Firewall — NGFW) был придуман аналитиками Gartner Research и подразумевает использование в устройствах технологий сетевого брандмауэра третьего поколения. Эти решения основаны на брандмауэрах предыдущего поколения, функциональность которых была ограничена лишь простой проверкой и блокировкой при необходимости портов/протоколов. Но поскольку все большее число предприятий сейчас используют онлайн-приложения и службы SaaS, только лишь контроля портов и протоколов уже недостаточно для обеспечения эффективной сетевой безопасности. В отличие от них, в новых устройствах добавлена тесная интеграция дополнительных возможностей, таких как встроенная глубокая проверка пакетов (DPI), предотвращение вторжений (IPS) и проверка трафика на уровне приложений (Web Application Firewall). Некоторые NGFW также включают проверку зашифрованного трафика TLS/SSL, фильтрацию веб-сайтов, управление пропускной способностью и QoS, антивирусную проверку и интеграцию со сторонними системами управления идентификацией, такими как LDAP, RADIUS и Active Directory.
Файрволы следующего поколения в настоящее время относятся к категории зрелых решений. Однако продолжающийся массовый переход действующих ИТ-систем на общедоступные облачные платформы IaaS, такие как Amazon Web Services, Microsoft Azure и Google Cloud Platform, и, как следствие, рост сложности гибридных сетевых архитектур, является движущей силой для дальнейшего расширения возможностей межсетевых экранов нового поколения. В том числе, для обеспечения расширенного управления трафиком, оптимизации WAN, качества обслуживания и прозрачной интеграции облачной платформы.
Схема работы Next-Generation Firewall. Источник: Palo Alto Networks
Ниже приведено краткое описание наиболее популярных продуктов в сегменте NGFW. Более подробную информацию о продуктах можно получить в таблице сравнения NG Firewall на ROI4CIO, основанной на сравнении лидеров(по результатам исследования Gartner).
BARRACUDA
Barracuda CloudGen Firewall — это семейство физических, виртуальных и облачных устройств, которые нацелены на защиту инфраструктуры распределенной сети предприятия. Такие устройства обеспечивают повышенную безопасность, поскольку содержат полный набор технологий NGFW, включая профилирование приложений уровня 7, предотвращение вторжений, веб-фильтрацию, защиту от вредоносных программ и угроз, защиту от спама и контроль доступа к сети.
Кроме того, межсетевые экраны Barracuda CloudGen сочетают в себе продвинутую отказоустойчивую технологию VPN с интеллектуальным управлением трафика и возможностями оптимизации глобальной сети. Это позволяет снизить линейные затраты, повысить общую доступность сети, улучшить межсетевое соединение и обеспечить бесперебойный доступ к приложениям, размещенным в облаке. Масштабируемое централизованное управление помогает снизить административные издержки при определении и применении гранулированных политик во всей рассредоточенной сети.
Облачные брандмауэры Barracuda оптимально подходят для предприятий с множеством филиалов, поставщиков управляемых услуг и других организаций со сложной распределенной сетевой инфраструктурой.
Для мгновенной реакции на угрозы компания Barracuda предоставляет сервис Advanced Threat Protection — интегрированную облачную службу, которая анализирует трафик по всем основным векторам угроз.
Сервис Barracuda Advanced Threat Protection обеспечивает защиту инфраструктуры компании, а также возможность выявлять и блокировать новые сложные угрозы без ущерба для производительности и пропускной способности сети. Сервис Advanced Threat Protection доступен на всех моделях межсетевых экранов Barracuda CloudGen.
Среди основных преимуществ продуктов Barracuda CloudGen также можно назвать следующие:
- Балансировка интернет-трафика по нескольким восходящим каналам для минимизации времени простоя и повышения производительности.
- VPN-канал через несколько широкополосных соединений и замена MPLS (multiprotocol label switching).
- До 24 физических каналов связи для создания высокоизбыточных VPN-туннелей.
- Ускоренный доступ к облачным приложениям, таким как Office 365, благодаря динамической расстановке приоритетов над некритическим трафиком.
- Гарантированный доступ пользователей к критически важным приложениям благодаря гранулярному управлению политиками.
- Увеличенная пропускная способность канала за счет встроенной функции сжатия трафика и дедупликации данных.
Palo Alto Networks
Брандмауэры следующего поколения от компании Palo Alto Networks обнаруживают как известные, так и неизвестные угрозы (в том числе — в зашифрованном трафике) за счет использования данных, полученных со многих тысяч инсталлированных устройств. Благодаря такому подходу продукты Palo Alto Networks способны предотвращать широкий спектр атак. Например, эти файрволы позволяют пользователям получать доступ к данным и приложениям на основе бизнес-требований, а также предотвращают кражу учетных данных и возможность для злоумышленников применять похищенные учетные данные.
С помощью NGFW от Palo Alto Networks предприятия могут быстро создавать правила безопасности, которые соответствуют бизнес-политике, просты в обслуживании и адаптируются к динамической среде предприятия. Они сокращают время отклика благодаря автоматическим ответным действиям на основе политик, при этом ИТ-департамент получает возможность быстро автоматизировать рабочие процессы за счет интеграции с инструментами администрирования, такими как службы создания тикетов или с любой системой с RESTful API.
Файрволы следующего поколения Palo Alto Networks поставляются в виде виртуальных и аппаратных устройств. Например, серия VM защищает частные и общедоступные облачные среды, обеспечивая доступ к приложениям и предотвращая угрозы. Трафик классифицируется на основе приложений, а не портов, что дает детальное представление об угрозах.
Palo Alto Networks также поставляет широкий спектр аппаратных NGFW — от компактной модели PA-200 до супермощной системы корпоративного уровня PA-7000. Продукт PA-200 — это брандмауэр следующего поколения в небольшом форм-факторе, который защищает сети, блокируя широкий спектр киберугроз и одновременно обеспечивая безопасное включение приложений.
В то же время, устройства серии PA-7000 сочетают в себе сверхэффективное программное обеспечение с почти 700 специализированными высокопроизводительными процессорами для работы в сети, обеспечения безопасности, проверки содержимого и управления.
SonicWall
Компания SonicWall предлагает заказчикам защиту публичной, приватной или гибридной облачной среды с помощью виртуализированных версий межсетевых экранов нового поколения. Решения SonicWall позволяют упростить администрирование благодаря общей системе управления виртуальной и физической инфраструктурой.
Серия устройств SonicWall Network Security (NSA) предоставляет компаниям среднего и крупного размера набор функций для расширенного предотвращения угроз. За счет инновационных технологий глубокого обучения в облачной платформе SonicWall Capture, серия NSA обеспечивает автоматизированное детектирование и блокирование атак в режиме реального времени.
Устройства NGFW серии NSA отличаются двумя основными технологиями безопасности, обеспечивающими надежный заслон от кибератак. Усовершенствованная многопроцессорная служба расширенной защиты от угроз (ATP) — это фирменная технология глубокой проверки памяти в режиме реального времени (RTDMI) от SonicWall. Механизм RTDMI активно обнаруживает и блокирует массовые угрозы и угрозы нулевого дня, а также неизвестные вредоносные программы путем проверки непосредственно в памяти. Благодаря архитектуре реального времени технология SonicWall RTDMI сводит к минимуму ложные срабатывания, а также выявляет и смягчает изощренные атаки, когда атака вредоносного ПО осуществляется менее 100 наносекунд. Кроме того, запатентованный SonicWall механизм однопроходной глубокой проверки пакетов (RFDPI) проверяет каждый байт входящего и исходящего трафика. Применение в серии NSA облачной платформы SonicWall Capture, в дополнение к встроенным возможностям, включающим защиту от вторжений, вредоносных программ и фильтрацию веб/URL-адресов, позволяет блокировать даже самые опасные и коварные угрозы на шлюзе.
Кроме того, брандмауэры NGFW от SonicWall обеспечивают дополнительный уровень безопасности за счет выполнения полной расшифровки и проверки зашифрованных соединений TLS/SSL и SSH независимо от порта или протокола. Брандмауэр тщательно изучает каждый пакет (заголовок и данные) в поисках несоответствия протокола, угроз, нулевых дней, вторжений и даже определенных критериев. Механизм глубокой проверки пакетов обнаруживает и предотвращает скрытые атаки, которые используют криптографию, блокирует зашифрованные загрузки вредоносных программ, прекращает распространение инфекций и препятствует обмену данными между инфицированным компьютером и контрольным центром. Правила включения и исключения позволяют полностью контролировать, какой трафик подвергается дешифровке и проверке на основе определенных организационных требований и/или требований законодательства.
Когда предприятия активируют в своих брандмауэрах функции глубокой проверки пакетов, такие как IPS, антивирус, антишпионское ПО, расшифровка/проверка TLS/SSL и другие, производительность сети обычно снижается, иногда — кардинально. Однако межсетевые экраны серии NSA построены на многоядерной архитектуре, в которой применяются специализированные микропроцессоры. В сочетании с модулями RTDMI и RFDPI эта архитектура устраняет падение производительности сетевых систем.
Check Point
Бесшовная интеграция с ведущими поставщиками систем Identity and Access Management (IAM), такими как Microsoft Active Directory, гарантирует детальную идентификацию пользователя, которая может быть получена через:
- интеграцию с поставщиками IAM или веб-API;
- через портал;
- за счет установки единовременного тонкого агента на стороне клиента.
Для быстрой аналитики данных о событиях безопасности, разработчик включил в состав решения SmartLog — расширенный анализатор журналов, который предоставляет результаты поиска за доли секунды. Таким образом, отдел получает видимость угроз в режиме реального времени для многих миллионов записей в журнале.
Унифицированное управление безопасностью от Check Point упрощает монументальную задачу управления средой безопасности компании. Отдел ИБ будет видеть и контролировать угрозы, устройства и пользователей с помощью интуитивно понятного графического интерфейса, предоставляющего диаграммы и отчеты о состоянии системы безопасности.
NGFW от Check Point содержит программный блейд Check Point IPS, который защищает корпоративную сеть путем проверки пакетов, проходящих через шлюз. Это полнофункциональная IPS-система, обеспечивающая надежную защиту от вторжений и частые автоматические обновления базы определений угроз. Поскольку IPS является частью интегрированной архитектуры программных блейдов, заказчик получает все преимущества развертывания и управления унифицированным и расширяемым решением.
Cisco ASA NGFW
Файрволы следующего поколения от Cisco предлагают сразу целый ряд уникальных технологий. Прежде всего, следует отметить сервис Talos, обеспечиваемый командой из свыше 250 исследователей, ежедневно анализирующих миллионы угроз и создающих инструменты, которые Cisco NGFW применяет для защиты от следующей масштабной атаки. Помните эпидемии WannaCry, NotPetya, VPNFilter? Talos остановил эти мегаатаки (как и многие другие), прежде чем достигли цели, таким образом, клиенты NGFW Cisco получили автоматическую защиту.
Cisco NGFW используют встроенные расширенные функции безопасности, такие как IPS-системы следующего поколения, расширенная защита от вредоносных программ и «песочница», позволяющая видеть пользователей, хосты, сети и инфраструктуру. Они постоянно отслеживают подозрительную активность и, в случае нахождения, автоматически блокируют ее.
Следует отметить и еще один важный пункт: Cisco NGFW автоматизирует работу корпоративной сети и систем безопасности, что позволяет отделу ИБ экономить время и сосредоточиться на задачах с более высоким приоритетом. Оповещения об угрозах ранжированы по значимости, поэтому вы можете прекратить «стрелять наугад» и сосредоточиться на самых важных направлениях. Cisco NGFW работают вместе с остальными интегрированными инструментами безопасности Cisco, что позволяет своевременно предоставить информацию о всех направлениях атак. Когда эта система инструментов обнаруживает угрозу в одном месте, она автоматически блокирует ее везде.
Резюме: 5 советов по выбору продуктов класса NGFW
- Задача брандмауэра №1 — предотвращать атаки и обеспечивать безопасность компании заказчика. Но поскольку превентивные меры никогда не будут эффективными на 100%, файрвол класса NGFW также должен предлагать расширенные возможности для быстрого обнаружения продвинутых вредоносных программ. Потому выбирайте продукт со следующими возможностями:
- блокировка угроз, прежде чем они проникнут внутрь сети;
- качественная система IPS следующего поколения, интегрированная в файрвол с целью обнаружения скрытых угроз и быстрого их обезвреживания;
- фильтрация URL-адресов для соблюдения политик на сотнях миллионов URL-адресов;
- встроенная «песочница» и расширенная защита от вредоносных программ, которая непрерывно анализирует поведение файлов для быстрого детектирования и устранения угроз;
- собственный отдел антивирусных аналитиков, который занимается глобальным исследованием угроз и поставляет для NGFW-брандмауэров новейшие апдейты по предотвращению возникающих угроз.
- Полная видимость событий в сети. Вы не можете обеспечить защиту от того, что не видите. Ваш брандмауэр должен обеспечивать целостное представление об активности в сети, позволяющее оценить:
- активность угроз для пользователей, хостов, сетей и устройств;
- где и когда возникла угроза, где еще она была в вашей расширенной сети и какова ситуация сейчас;
- активные приложения и веб-сайты;
- связь между виртуальными машинами, передача файлов и многое другое.
- Гибкие возможности управления и развертывания
Независимо от того, какой размер бизнеса у заказчика — малое, среднее или крупное предприятие — межсетевой экран должен отвечать специфическим требованиям этого предприятия.
- Управление по запросу — выбирайте вариант встроенного в NGFW-файрвол «менеджера» или систему централизованного управления всеми устройствами.
- Вариант развертывания локально или в облаке с помощью виртуального брандмауэра.
- Настройка функций в соответствии с потребностями компании — для получения расширенных возможностей нужно просто подключить новые подписки.
- Быстрое время обнаружения
В настоящее время стандартное время обнаружения угроз составляет от 100 до 200 дней; это слишком долго. Межсетевой экран следующего поколения должен уметь:
- детектировать угрозы в считанные секунды;
- определять наличие успешного взлома в течение нескольких часов или минут;
- устанавливать приоритеты для уведомлений об атаках, благодаря чему отдел ИБ сможет быстро и точно предпринимать действия по устранению угроз.
- Интегрированная архитектура безопасности обеспечивает автоматизацию и снижает сложность администрирования
Брандмауэр следующего поколения не должен быть изолированным инструментом: он должен обмениваться информацией и работать вместе с остальными компонентами архитектуры безопасности. Поэтому выбирайте продукт, который удовлетворяет следующим требованиям:
- легко интегрируется с другими инструментами этого же поставщика;
- автоматически обменивается данными об угрозах, событиях, политиках и контекстной информации с инструментами безопасности электронной почты, конечных точек и сетевых компонентов;
- автоматизирует задачи безопасности, такие как оценка воздействия, настройка политик и идентификация пользователей.
В обзоре приведено краткое описание только 5 продуктов NGFW. Больше продуктов NGFW и детальную информацию по ним можно найти всравнительной таблице NGFW на ROI4CIO
--
Автор: Олег Пилипенко, для ROI4CIO
3. МСЭ Unified threat management (UTM)
Комплексное устройство. Как правило, такой межсетевой экран решает 3 задачи:
- контролирует состояние сеанса;
- предотвращает вторжения;
- занимается антивирусным сканированием.
Порой фаерволы, усовершенствованные до версии UTM, включают и другой функционал, например: управление облаком.
Виртуальный NGFW или “железка”
Еще один очень частый вопрос при планировании NGFW. Выбрать виртуальное решение или же appliance. Здесь нет однозначного ответа. Все зависит от вашей текущий инфраструктуры, бюджета и возможностей изменения логики сети. Но у нас все же есть общие рекомендации для разных вариантов внедрения:
- NGFW на периметре сети. Здесь безусловно лучший вариант — appliance. Это логично, т.к. периметр сети должен иметь физическое разграничение. Если все же хочется виртуальное решение, то ОЧЕНЬ желательно, чтобы NGFW разворачивался на выделенном сервере, который имеет физическое разграничение с локальной сетью. По сути вы получаете тот же appliance, просто вместо “железа” вендора вы используете свой сервер с гипервизором. Также нужно максимально внимательно подойти к настройкам самого гипервизора, чтобы к нему не получили доступ из внешней сети.
- NGFW как proxy. Здесь нет особой разницы что выбирать. На мой взгляд виртуальное решение будет более предпочтительным и удобным вариантом.
- NGFW как ядро сети. Основные требования как и в первом пункте. Т.к. NGFW напрямую подключается к Интернету, то решение должно быть физически отделено от серверов компании — appliance или виртуальная машина на выделенном сервере. Т.к. NGFW в данном случае выполняет еще и роль ядра, то нужно понимать, сколько физических портов вам нужно и каких портов (1g, 10g, оптика). Это также сильно влияет на выбор.
- NGFW в режиме bridge. Для такого варианта строго рекомендуется аппаратное устройство, т.к. желательно наличие bypass модулей (трафик будет проходить даже при выключенном устройстве).
Плюсы виртуального решения:
- Главные достоинства виртуального решения — удобство управления (backup, snapshot) и скорость развертывания.
- Также очень часто это оказывается дешевле и лучше масштабируется. Как правило лицензирование идет по количеству используемых ядер. При необходимости можно просто докупить несколько ядер.
- Нет гарантии на аппаратную часть. Если сломается сервер, разбираться с этим придется самим.
- Если вы безопасник, то вам придется взаимодействовать с IT отделом. Как ни странно, во многих компаниях это очень большая проблема.
Читайте также: