Сравнение межсетевых экранов usergate
Мы продолжаем цикл статей, посвященных тематике комплексной ИТ- интеграции.
И сегодня мы хотим поговорить об одной из отечественных разработок, которую мы как интеграторы можем предложить нашим заказчикам для решения задачи обеспечения безопасности периметра сети. Особенно это актуально в условиях секционной политики и требований импортозамещения.
Введение санкций стало вызовом, в том числе, для инженеров, которые получили сертификацию, огромную базу знаний по решениям иностранных вендоров, но в какой-то момент были вынуждены оперативно перестроиться на «новую волну», фактически многое начав заново.
На новый уровень пришлось выйти и отечественным разработчикам, чтобы в кратчайшие сроки предложить достойную альтернативу лидерам IT-решений. Сейчас уже можно сказать, что получается у них довольно неплохо. Перейдем к конкретному примеру, а именно -межсетевому экрануUserGate. Кратко рассмотрим, какие задачи он позволяетт нам решать, и какой в него заложен потенциал для развития.
Итак, давайте поговорим о том, что же предлагает UserGate из функционала, и в каких сферах может быть применен.
Рисунок 1 – Функционал межсетевых экранов UserGate
Рисунок 2 – Сферы применения межсетевых экранов UserGate
Разработчики очень много времени внимания уделили созданию собственной платформы, которая не опирается на использование чужого исходного кода и сторонних модулей. UserGate работает на базе специально созданной и постоянно поддерживаемой и развивающейся операционной системы UG OS.
По сути, UserGate представляет собой универсальный интернет-шлюз класса Unified Threat Management (единая защита от угроз), объединяющий функционал межсетевого экрана, маршрутизатора, шлюзового антивируса, системы обнаружения и предотвращения вторжений (СОВ), VPN-сервера, системы контентной фильтрации, модуля мониторинга и статистики и многое другое. Продукт позволяет управлять сетью компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы.
Рассмотрим подробнее, что может предложить UserGate в плане функционала безопасности сети и защиты от сетевых угроз.
Межсетевое экранирование
Встроенный в UserGate межсетевой экран нового поколения (NGFW — Next Generation Firewall) фильтрует трафик, проходящий через определенные протоколы (например, TCP, UDP, IP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов.
Обнаружение и предотвращение вторжений
Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз в режиме реального времени, а также предоставление отчетов. Администратор может создавать различные СОВ-профили (наборы сигнатур, релевантных для защиты определенных сервисов) и задавать правила СОВ, определяющие действия для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями.
Антивирусная проверка трафика
Потоковый антивирус UserGate позволяет обеспечить антивирусную проверку трафика без ущерба для производительности и быстродействия сети. По заявлению вендора модуль использует обширную базу сигнатур, которая постоянно обновляется. В качестве дополнительной защиты можно подключить модуль эвристического анализа.
Проверка почтового трафика
UserGate способен обрабатывать транзитный почтовый трафик (SMTP(S), POP3(S)), анализируя его источник, а также содержание письма и вложений, что гарантирует надежную защиту от спама, вирусов, pharming- и phishing- атак. UserGate также предоставляет возможность гибкой настройки фильтрации почтового трафика по группам пользователей.
Работа с внешними системами безопасности
Управление АСУ ТП
В новой версии платформы появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП) и управления ей. Администратор может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля и вмешательства человека при необходимости.
Настройка политик безопасности при помощи сценариев
UserGate позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря автоматизации безопасности при помощи механизма сценариев (SOAR — Security Orchestration, Automation and Response). Эта концепция находится на пике популярности и позволяет администратору создавать сценарии (запускаемые по плану или при обнаружении атаки), где прописываются автоматические действия в ответ на те или иные события. Такой подход обеспечивает гибкую настройку политик безопасности, сокращает участие человека благодаря автоматизации повторяющихся задач, а также дает возможность приоритезировать сценарии для скорейшей реакции на критичные угрозы.
А теперь посмотрим, какие технологии предлагает UserGate для обеспечения решения задач отказоустойчивости и надёжности.
Поддержка кластеризации и отказоустойчивости
UserGate поддерживает 2 типа кластеров: кластер конфигурации, позволяющий задать единые настройки узлам в рамках кластера, и кластер отказоустойчивости, призванный обеспечить бесперебойную работу сети. Кластер отказоустойчивости может работать в двух режимах: Актив-Актив и Актив-Пассив. Оба поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другие.
Поддержка нескольких провайдеров
При подключении системы к нескольким провайдерам UserGate позволяет настроить для каждого из них свой шлюз для обеспечения доступа к интернету. Администратор также может скорректировать балансировку трафика между провайдерами, указав вес каждого шлюза, или указать один из шлюзов как основной с переключением на других провайдеров в случае недоступности основного шлюза.
Управление пропускной способностью
Правила управления пропускной способностью служат для ограничения канала для определенных пользователей, хостов, сервисов или приложений. Кроме всего прочего, в продуктах UserGate реализован довольно широкий функционал маршрутизации трафика и публикации локальных ресурсов.
В принципе, ничего инновационного, но для того, чтобы инженеры заказчика чувствовали себя относительно спокойно, этих технологий вполне достаточно.
Управление трафиком и контроль доступа в интернет
Если есть доступ в интернет, есть и задача контроля трафика. Еще не так давно большинство корпоративных клиентов было заинтересовано прежде всего в минимизации расходов на доступ в интернет (особенно это касалось небольших фирм) и безопасности (эту задачу давно с успехом решает всевозможное антивирусное ПО). Сегодня все больше внимания уделяется тому, как сотрудники используют Сеть и как сделать так, чтобы их действия не угрожали безопасности бизнес критичных сервисов.
Применение модуля интернет-фильтрации обеспечивает административный контроль за использованием интернета и блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой. Для анализа безопасности ресурсов, запрашиваемых пользователями, используются репутационные сервисы, MIME-типы контента (фото, видео, тексты и др.), специальные морфологические словари, предоставляемые UserGate, а также черные и белые списки URL. С помощью Useragent администратор может запретить или разрешить работу с определенным типом браузеров. UserGate предоставляет возможность создавать собственные черные и белые списки, словари, MIME-типы, морфологические словари и Useragent, применяя их к пользователям и группам пользователей. Даже безопасные сайты могут содержать нежелательные изображения на баннерах, содержимое которых не зависит от владельца ресурса. UserGate решает эту проблему, блокируя баннеры, защищая пользователей от негативного контента. У UserGate, есть, на наш, очень интересная функция инжектирования кода на web-страницы. Она позволяет вставить необходимый код во все web-страницы, которые просматривает пользователь. Далее администратор может получать различные метрики на каждый элемент страницы и при необходимости скрывать различные элементы от показа на web-страницах.
UserGate помогает принудительно активировать функцию безопасного поиска для систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. С помощью такой защиты возможно добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видеоконтенту. Также можно заблокировать поисковые системы, в которых не реализована функция безопасного поиска. Кроме того, у администраторов есть инструментарий для блокировки игр и приложений в наиболее популярных социальных сетях, при том, что доступ к самим социальным сетям может быть разрешен.
Платформа поддерживает различные механизмы авторизации пользователей: Captive-портал, Kerberos, NTLM, при этом учетные записи могут поступать из различных источников — LDAP, Active directory, FreeIPA, TACACS+, Radius, SAML IDP. Авторизация SAML IDP, Kerberos или NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) подключить пользователей домена Active Directory. Администратор может настроить правила безопасности, ширину канала, правила межсетевого экранирования, контентной фильтрации и контроля приложений для отдельных пользователей, групп пользователей, а также всех известных или неизвестных пользователей. Дополнительно к этому продукт поддерживает применение правил безопасности к пользователям терминальных служб с помощью специальных агентов (Terminal Services Agents), а также применение агента авторизации для Windows-платформ. Для обеспечения большей безопасности учетных записей существует возможность использовать мультифакторную аутентификацию с помощью токенов TOTP (Time-based One Time Password Algorithm), SMS или электронной почты. Функционал предоставление временного доступа у сети может пригодиться для гостевого WiFi с подтверждением через email или sms. При этом администраторы могут создавать отдельные настройки безопасности для каждого временного клиента.
Заключение
В этой статье мы постарались кратко рассказать о том функционале, который реализован на платформе межсетевых экранов UserGate. Пока за скобками остались и технологии организации виртуальных сетей для геораспределной сети, и безопасный доступ пользователей к ресурсам компании и т.д.
Все эти темы, вплоть до примеров конфигураций различных технологий, запланированы в следующих статьях, посвященных платформе UserGate.
Первое публичное сравнение популярных на российском рынке отечественных и зарубежных многофункциональных шлюзов безопасности USG (Unified Security Gateway), имеющих в основе межсетевой экран следующего поколения NGFW (Next-Generation Firewall), по 191 критерию. В первой части сравнения участвуют программно-аппаратные комплексы: Cisco Firepower, Check Point Security Gateway, Fortinet FortiGate, Huawei USG, Palo Alto Networks, «Континент», UserGate. Исследование призвано помочь корпоративным заказчикам выбрать наиболее подходящий для себя продукт.
- 3.1. Общие сведения
- 3.2. Архитектура решения
- 3.3. Функции межсетевого экранирования
- 3.4. Создание виртуальных сетей VPN
- 3.5. Поддержка сетевых сервисов
- 3.6. Функции прокси-сервера
- 3.7. Основные функции NGFW
- 3.8. Дополнительные функции NGFW
- 3.9. Аутентификация
- 3.10. Высокая доступность и кластеризация
- 3.11. Централизованное управление
- 3.12. Мониторинг работы и система отчетности
- 3.13. Возможности интеграции
- 3.14. Техническая поддержка
- 3.15. Лицензирование
Методика выбора оптимального USG или NGFW
Далее мы публикуем краткую инструкцию по проведению индивидуальной экспертной оценки NGFW и USG собственными силами, которая поможет, ориентируясь на данные из таблицы, оценить применимость представленных решений к вашим задачам. Она основана на известной методике «домик качества», изложенной в статье "Методика выбора оптимального средства защиты информации".
Для примера приведем ниже краткий вариант, но вполне возможно по указанному методу развернуть все критерии, приведенные в таблице, и полностью оценить соответствие продуктов вашим нуждам.
1-й шаг — определение списка потребностей, в отсортированном по приоритетности порядке. Берем условный список и проставляем индекс значимости (1-9):
- Простота установки — 9
- Импортозамещение — 7
- Простота использования — 5
- Оперативность реагирования — 3
- Стоимость закупки и эксплуатации — 1
Индекс проставляется в соответствии с вашей экспертной оценкой, при наличии достаточных обосновывающих факторов.
2-й шаг — определение технических характеристик. Мы для упрощения возьмем группы критериев, приведенные в нашем сравнении выше. Для подсчета в более достоверном варианте можно начать с критериев и подгрупп, при переходе на уровень выше определяя среднее значение. Предлагается, ориентируясь на информацию в таблице, заполнить поля весовыми значениями от 0 до 9, а затем по итогам выставить среднее значение для каждой группы критериев.
Таблица 1. Выставление значений
Для нас основным показателем будет связь критерия и потребности:
- Сильная связь — умножаем значение критерия на индекс значимости, разделенный на 100.
- Средняя связь — умножаем значение критерия на индекс значимости, разделенный на 200.
- При отсутствии связи между критерием и потребностью — проставляется 0.
Итак, попробуем применить полученные значения критериев (Таблица 1) относительно наших потребностей, определенных выше.
Таблица 2. Оценка значимости критериев
Простота установки (0,9)
Простота использования (0,5)
Оперативность реагирования (0,3)
Стоимость закупки и эксплуатации (0,1)
При таком расчете можно определить предпочтительное решение простой подстановкой значений из таблицы 1 в таблицу 2. При этом, если показатели систем различаются незначительно (как в рассматриваемом случае), то итоговое значение будет наглядным. Поэкспериментировав на наших умозрительных данных, получаем таблицу 3.
Таблица 3. Результаты выбора
Таким образом, учитывая определенные нами цели, стратегию компании и оценку критичности влияющих факторов, можно отдать предпочтение наиболее подходящему нам NGFW — №3.
Архитектура NGFW/USG
Решения иностранных производителей
На мировом рынке множество игроков с широким ассортиментом продуктов для повышения уровня информационной безопасности:
- Check Point,
- Fortinet Fortigate,
- Cisco Systems,
- WatchGuard,
- Sophos,
- HUAWEI,
- Juniper,
- PaloAlto,
- IBM,
- Kerio,
- Dell,
- HPE,
- McAfee и другие.
Многие решения сертифицированы ФСТЭК.
Общие сведения
Функции прокси (Proxy)
Сравнение универсальных шлюзов безопасности USG (NGFW)
Основные функции NGFW
Какое решение выбрать
Выбор зависит от необходимого уровня защищённости, сферы деятельности (в банковской сфере, например, свои требования), компетенций штатных специалистов, имеющихся бюджетов.
Небольшим компаниям, деятельность которых не попадает под требования регуляторов по обеспечению информационной безопасности, больше подходят универсальные средства защиты — UTM-решения.
Организациям, у которых большая нагрузка по трафику, и есть специфические задачи, больше подходит разделение функционала по защите сети на разные устройства и системы, где за их работу отвечают отдельные люди или подразделения.
Для обеспечения защиты персональных данных необходимо применять средства защиты, сертифицированные ФСТЭК.
Для защиты данных, составляющих государственную тайну, нужно проводить специальные проверки и специальные исследования оборудования в лабораториях.
В предыдущей нашей статье были рассмотрены основные возможности системы Traffic Inspector, включая прокси-сервер, SMTP-шлюз, правила тарификации, сетевую защиту, балансировку нагрузки, а также учет и фильтрацию трафика. Теперь мы бы хотели сравнить функциональность Traffic Inspector с возможностями аналогичных комплексных решений для управления ИТ-инфраструктурой.
Несмотря на большое количество весьма качественных прокси-серверов (например, Handycache) и систем учета трафика (таких как BWMeter и Internet Access Monitor), большинство из них являются, по сути, узкоспециализированными продуктами и решают, как правило, одну-две задачи. Между тем действительно комплексных решений, которым можно полностью доверить управление сетевой активностью, не так уж и много. Наиболее известные из них (помимо Traffic Inspector) – это Kerio Control, Lan2net, UserGate и Microsoft ForeFront TMG, разработка и продажа которого, к сожалению, прекращена в 2012 году. О них мы и поговорим.
Kerio Control
Kerio Control (ранее WinRoute Firewall) – это комплексное решение в области безопасности, объединяющее несколько функций – в том числе межсетевой экран (файервол) и маршрутизатор, систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Главной особенностью Kerio Control является наличие системы обнаружения и предотвращения вторжений (IDS/IPS), основанной на промышленном стандарте Snort. Система классифицирует и останавливает атаки на серверы, приложения и компоненты инфраструктуры.
Одновременная поддержка IPv4 и IPv6, отслеживание подключений(SPI), лимит подключений, антиспуфинг, инспекция протоколов, мастер настройки политик трафика, сервер DHCP, DNS-ретранслятор, черный список IP-адресов, анализ истории сетевой активности, большое количество гибко настраиваемых отчетов, предупреждения по Email, аутентификация пользователей через Kerberos/Active Directory/Open Directory/прокси/NTLM, полная поддержка VPN и NAT, блокировщик P2P-сетей, интегрированный антивирус Sophos, балансировка нагрузки и QoS, шейпер трафика, мощные функции администрирования, поддержка 15 языков интерфейса.
Кроме того, продукт имеет сертификат ICSA в категории «корпоративный брандмауэр».
Резюме: очень мощное и гибкое комплексное решение от одной ведущих компаний в этой области. Недостаток, пожалуй, только один – высокая цена. Серверная лицензия на 5 пользователей (включая 1 год техподдержки) обойдется почти в 14 тыс. рублей, в то время как такая же лицензия на Traffic Inspector стоит 5900 руб.
Lan2net
Продукт Lan2net разрабатывается компанией ООО «НетСиб» с 2004 года и представляет собой программный фаервол для организации безопасного доступа в Интернет, контроля и подсчета трафика, защиты сети. Решение обладает следующими функциями:
Usergate
UserGate – это комплексное решение для подключения пользователей к сети Интернет, обеспечивающее полноценный учет трафика, разграничение доступа и предоставляющее встроенные средства сетевой защиты. UserGate позволяет тарифицировать доступ пользователей к сети Интернет, как по трафику, так и по времени работы в сети. Администратор может добавлять различные тарифные планы, осуществлять динамическое переключение тарифов и регулировать доступ к ресурсам Интернет. Встроенный межсетевой экран и антивирусный модуль позволяют защищать сервер UserGate и проверять проходящий через него трафик на наличие вредоносного кода.
UserGate состоит из нескольких частей: сервер, консоль администрирования (UserGate Administrator) и нескольких дополнительных модулей.
Сервер UserGate предоставляет доступ в сеть Интернет, осуществляет подсчет трафика, ведет статистику работы пользователей в сети и выполняет многие другие задачи.
Консоль администрирования UserGate – это программа, предназначенная для управления сервером UserGate. Консоль администрирования UserGate связывается с серверной частью по специальному протоколу поверх TCP/IP, что позволяет выполнять удаленное администрирование сервера.
Кроме того, UserGate включает четыре дополнительных модуля: «Статистика UserGate», «Веб-статистика», «Клиент авторизации UserGate» и модуль «Контроль приложений».
Резюме: Хорошее решение с гибкой модульной архитектурой, но для обеспечения такой же функциональности, как у Traffic Inspector, необходимо приобрести, как минимум, четыре дополнительных модуля, что в итоге обойдется намного дороже, чем одна лицензия на Traffic Inspector. Однако для малых и средних компаний, которым не требуется расширенная функциональность, это решение – одно из лучших на рынке.
Microsoft Forefront Threat Management Gateway (TMG)
Функция Email Protection: возможность интеграции с ролью Microsoft Exchange Server 2007 Edge Transport Server почтовой системы Microsoft Exchange Server 2007 для защиты электронной почты от вредоносного ПО и спама на уровне сетевого периметра. Консоль управления Forefront TMG обладает всем необходимым для настройки данного функционала.
Резюме: очень мощная и фундаментальная система от гиганта ИТ-индустрии. Однако есть и ряд недостатков (куда ж без них): установить ее можно только на ОС Microsoft Windows Server 2008 x64, нет поддержки расширенной маршрутизации, биллинга и контентной фильтрации, а также сложная схема лицензирования, развертывания и обновления. Но это еще полбеды: в 2012 году Microsoft официально прекратила разработку и продажу данного решения, а основная поддержка закончится в апреле 2015 года, поэтому делать ставку на данную систему весьма рискованно.
Чем же хорош Traffic Inspector?
Система Traffic Inspector – это комплексный продукт, обладающий широким диапазоном функциональных возможностей и устраняющий многие недостатки, присущие аналогичным решениям:
Есть у Traffic Inspector и не столь очевидные преимущества перед конкурентами, например:
В общем и целом, мы можем смело утверждать, что по соотношению «цена/качество» Traffic Inspector является одним из лидеров рынка систем управления корпоративной информационной инфраструктурой и сетевой безопасности. Ну а окончательный выбор по-прежнему остается за ИТ-директорами и простыми пользователями.
Функции межсетевого экранирования в NGFW/USG
Методология сравнения
Этап выбора критериев, по которым сравнивались решения класса NGFW/USG, у нас выглядел следующим образом: мы собрали все имеющиеся на рынке публичные и закрытые наработки вендоров, а также часто используемые заказчиками критерии выбора, изучив огромное количество запросов предложений (RFP) и запросов информации (RFI), находящихся в открытом доступе.
Получив материалы от вендоров и консолидировав их с данными от других источников, мы увидели, что критериев получается весьма много (около 400). После этого было решено создать рабочую группу по валидации собранных критериев, в первую очередь для того, чтобы услышать общественное мнение: что сегодня в первую очередь важно для компаний в вопросе сетевой безопасности и чаще всего востребовано в функциональном наполнении решений класса NGFW/USG. Основными задачами работы группы мы видели обсуждение и определение первого и второго потока вендоров для сравнения, а также согласование финального оценочного списка.
К нашему удивлению, многие коллеги очень активно подключились к проекту. Желающих поучаствовать в группе оказалось немало, кто-то помогал с критериями, кто-то критиковал, кто-то яро отстаивал свою точку зрения. Были участники, которые делились материалами по теме, а иные просто наблюдали за происходящим и делали свои выводы, которые наверняка будут полезны им в дальнейшей работе. Это была очень живая дискуссия, и мы можем смело констатировать факт того, что данная тематика, связанная с выбором и эксплуатацией решений класса NGFW/USG, очень интересна и востребованна на нашем рынке.
Что касается критериев, то мы их отсортировали по блокам. В блок более общих критериев вошли: сведения о производителе и линейке сравниваемых продуктов, наличие сертификатов, процедура ввоза в Россию, соответствие требованиям регуляторов, архитектура решения, управление решениями, возможность интеграции, доступные виды технической поддержки, а также лицензирование. В блок основных функциональных возможностей мы включили межсетевое экранирование, создание виртуальных сетей VPN, маршрутизацию, проксирование, а также функции безопасности: контроль приложений, IDS/IPS, антивирусную и антибот-защиту, DLP, безопасность почты, антиспам, защиту от DDoS-атак, веб-фильтрацию и пр. В результате получились следующие группы критериев сравнения.
- Общие сведения
- Архитектура решений
- Поддержка сетевых сервисов
- Основные функции безопасности NGFW
- Функции межсетевого экрана
- Система обнаружения/предотвращения вторжений (IDS/IPS)
- Контроль приложений (Application Control)
- Защита от DDoS-атак
- Антивирусная защита (Anti-Virus)
- Антибот-защита (Anti-Bot)
- Защита почтового трафика (безопасность почты, антиспам)
- Веб-фильтрация
- Обнаружение утечек информации (DLP)
- Threat Intelligence
- Песочница (Sandbox)
- Создание виртуальных частных сетей VPN
- Функции прокси-сервера
- Дополнительные функции NGFW
- Аутентификация
- Высокая доступность и кластеризация
- Возможности централизованного управления
- Мониторинг работы и система отчетности
- Возможности интеграции
- Техническая поддержка
- Лицензирование
Помимо валидации сравнительных критериев, перед нами стояла вторая очень важная задача: отбор участников. Используя опыт, полученный при подготовке сравнения SIEM-систем, решено было отобрать для первой части сравнения оптимальное число решений, а точнее — семь наиболее популярных на российском рынке разработок отечественных и зарубежных производителей.
- Cisco Firepower (Cisco Systems) на FTD OS 6.4
- Check Point Security Gateway и Sandblast Network на R80.20 (Check Point Software Technologies)
- Fortinet FortiGate на FortiOS 6.0 (Fortinet)
- Huawei USG 5.0
- Palo Alto Networks NGFW на PAN-OS 9.0 (Palo Alto Networks)
- Континент 4.0 («Код Безопасности»)
- UserGate («Юзергейт»)
Хотелось бы отметить, что представители всех указанных производителей принимали непосредственное участие в финальной стадии, где нужны были некоторые пояснения и проверка сведений в сравнительной таблице.
Важно оговориться, что, готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. Выводы о выборе решения, наиболее подходящего под потребности и возможности конечного потребителя, может сделать только он сам.
Техническая поддержка
Мониторинг работы и система отчетности в NGFW/USG
Аутентификация в NGFW/USG
Введение
Это первая часть сравнения, куда не вошли отдельные универсальные шлюзы безопасности USG (NGFW). Со второй частью можно ознакомиться здесь — "Сравнение универсальных шлюзов безопасности USG (NGFW). Часть 2".
Сетевая безопасность является обязательной составляющей общего объема мер противодействия современным угрозам. Под воздействием быстрого роста количества и сложности кибератак уровень ожиданий от сетевых средств защиты повышается, и, соответственно, их функциональность с каждым годом становится все шире.
Сегодня на рынке основным и наиболее востребованным организациями элементом сетевой безопасности являются многофункциональные межсетевые экраны нового поколения (NGFW) или многофункциональные шлюзы безопасности UTM (Unified Threat Management), которые обеспечивают комплексную защиту от сетевых угроз. В последние годы обозначение UTM постепенно заменяется на более понятный и соответствующий реальным задачам термин — многофункциональные шлюзы безопасности USG (Unified Security Gateway). Поэтому далее по тексту мы будем придерживаться его.
NGFW и UTM/USG имеют схожую функциональность. UTM-устройства исторически ориентировались на потребности среднего и крупного бизнеса, которым было важно иметь «все функции сетевой безопасности в одной коробке». При этом корпоративный межсетевой экран является в них лишь одним из важных модулей.
С появлением межсетевых экранов нового поколения NGFW (Next Generation Firewall), в которых правила межсетевого экрана стало возможным создавать на уровне приложения (L7 в сетевой модели OSI), все изменилось. Появилась вторая ветвь развития функциональности — в сторону работы на прикладном уровне. При этом одновременно развивались и смежные с межсетевым экраном функции, входящие в состав UTM. Подобные устройства также могут работать в режиме прокси, поддерживать различные сетевые сервисы и объединять в себе множество других технологий, связанных с обеспечением информационной безопасности, например: обнаружение и предотвращение вторжений (IDS/IPS), VPN, антивирус, DLP, веб-фильтрацию, контроль почтового трафика и многое другое, полностью оправдывая название универсальных средств сетевой защиты.
В настоящее время любой современный UTM/USG имеет в своем составе NGFW. В свою очередь, продукты, изначально позиционируемые как NGFW, « обросли » всеми смежными функциями, соответствующими UTM/USG. Поэтому логичнее всего говорить об имеющихся на рынке USG с функциями NGFW на борту.
Современные продукты класса USG покрывают функциональность большого количества отдельных классов решений для сетевой безопасности, представляя собой необходимый набор инструментов с гибкими настройками в рамках одного физического устройства или аппаратной платформы. Универсальные шлюзы безопасности с единой консолью управления позволяют организациям повысить уровень контроля со стороны ИТ- и ИБ-департамента, исключают рутинные операции, связанные с эксплуатацией большого количества отдельных узкоспециализированных систем, и позволяют организациям двигаться в сторону перехода от отдельных решений к комплексной и интегрированной защите от сложных угроз.
Несмотря на сложность и, казалось бы, неподъемность задачи, мы провели первое открытое независимое сравнение функциональности популярных на российском рынке USG и NGFW. Для этого мы пригласили к участию всех желающих, создали открытую группу заинтересованных специалистов, коллегиально на протяжении 6 месяцев прорабатывали критерии сравнения и список производителей-участников, уточняли и выверяли ответы, чтобы получившееся в итоге сравнение было прозрачным. Фактически любой желающий мог высказать свое мнение по улучшению критериев сравнения или о точности приведенной в таблице информации.
Перед ознакомлением с результатами нашего сравнения имеет смысл понять, для чего вам нужны сетевые средства защиты, какие задачи, по вашему мнению, они должны решать. Вооружившись ответами на эти вопросы, можно перейти к изучению результатов сравнения. Технически рекомендуется выделить необходимые параметры и проставить для них «весовые значения» по собственному мнению, основываясь на описании критериев в таблице. Далее следует просуммировать значения и вывести собственного лидера среди сравниваемых продуктов, отвечающего задачам именно вашей компании. Подробнее об этом рассказано в главе «Методика выбора оптимального USG или NGFW».
Дополнительные функции NGFW
Лицензирование NGFW/USG
Выводы
На этапе подготовки данного детального сравнения многофункциональных шлюзов безопасности мы не ставили перед собой задачу выявить лидера. Основная цель была иной: помочь организациям понять объём функциональности, поддерживаемой современными решениями класса NGFW/USG, а также предоставить возможность компаниям, которые ознакомились с представленными нами критериями оценки и результатами сравнения, самостоятельно решить, какой из рассмотренных продуктов, с каким функциональным наполнением, какого именно вендора наиболее подходит для закрытия их насущных потребностей. Это даёт нам право предположить, что данное сравнение будет отличным источником информации для составления актуальных списков ожиданий, позволит проводить внутренние сравнительные анализы, эффективные пилоты и в итоге поможет прийти к правильному выбору нужного инструмента.
Понимая интерес и важность получения полной картины предложений на рынке решений многофункциональных шлюзов безопасности, мы опубликовали вторую часть данного обзора, где проведено сравнение решений данного класса от производителей, не попавших в первую часть сравнения. Также можете ознакомиться с методикой выбора оптимального средства защиты информации.
Денис Батранков, Консультант по информационной безопасности, Palo Alto Networks
Михаил Кадер, Заслуженный инженер, Cisco Systems
Михаил Текунов, Технический архитектор, "Северсталь-инфоком"
Никита Дуров, Технический директор представительства, Check Point Software Technologies в России
Сергей Забула, Руководитель группы консультантов ИБ, Check Point Technologies в России
Алексей Андрияшин, Технический директор в России и странах СНГ, Fortinet
Михаил Шпак, Технический директор департамента корпоративных сетевых решений, Huawei
Алмаз Мазитов, Менеджер по продуктам безопасности, Huawei
Павел Коростелев, Руководитель отдела продвижения продуктов, "Код Безопасности"
Вадим Плесский, менеджер по маркетингу, Usergate
.
и еще 160 активным и не очень участникам открытой группы Сравнение NGFW.
Устройство UserGate С100 является компактным и удобным в настройке сетевым устройством и обеспечивает эффективную защиту от угроз.
- FW, Гбит/с до 1
- IPS (COB), Мбит/с 100
- ATP, Мбит/с 50
- Контроль приложений L7б Мбит/с 70
- Антивирус Касперского, Мбит/с 20
- Максимальное рекомендованное количество сессий 100
Для среднего бизнеса, образования медицины, государственных структур и крупных филиалов UserGate D200, D500
UserGate серии D является полноценным сетевым сервером, способным обеспечить безопасность предприятий небольшого и среднего размера с несколькими сотнями пользователей.
Для крупных банков и заводов, областных администра-ций, ведомственных подразделений, университетов UserGate E1000, E3000
UserGate серии E является мощным сетевым серверным решением, способным решать задачи по защите от всевозможных интернет- угроз.
- FW, Гбит/с 25-30
- IPS (COB), Мбит/с 1200-1500
- ATP, Мбит/с 400-600
- Контроль приложений L7б Мбит/с 1000-1400
- Антивирус Касперского, Мбит/с 300-500
- Максимальное рекомендованное количество сессий 1000-3000
Для крупных корпоративных сетей, дата-центров, федеральных университетов, министерств, ритейла UserGate F8000
UserGate F8000 сочетает все необходимые функции безопасности с возможностями, необходимыми для функционирования максимально стабильного сервиса при предельно высокой нагрузке.
- FW, Гбит/с 40
- IPS (COB), Мбит/с 4200
- ATP, Мбит/с 2800
- Контроль приложений L7б Мбит/с 3200
- Антивирус Касперского, Мбит/с 1000
- Максимальное рекомендованное количество сессий 10000
Устройство UserGate X1 предназначено для обеспечения комплексной безопасности и информационной защиты критически важных производственных объектов в сложных климатических условиях.
- FW, Гбит/с 0.3
- IPS (COB), Гбит/с 10
- ATP, Гбит/с 15
- Контроль приложений L7б Гбит/с 15
- Потоковый антивирус, Гбит/с 8
- Максимальное рекомендованное количество сессий -
Для организаций, которые предпочитают использовать виртуальную инфраструктуру UserGateVE50, VE100,VE200, VE500
UserGate Virtual Edition позволяет быстро развернуть виртуальную машину, с уже настроенными компонентами. Образ создан в формате OVF (Open Virtualization Format)
- FW, Гбит/с до 12
- IPS (COB), Гбит/с до 2.4
- ATP, Гбит/с до 3.1
- Контроль приложений L7б Гбит/с до 3.1
- Потоковый антивирус, Гбит/с до 2.7
- Максимальное рекомендованное количество сессий до 6000
Для крупных банков и заводов, администраций, ведомственных подразделений, университетов Аппаратная платформа usergate log analyzer е6, е14
UserGate Log Analyzer Е дополняет функциональность серверного решения UserGate и предназначен для агрегации данных, связанных с анализом инцидентов безопасности, а также для осуществления мониторинга событий и создания отчетов.
Cпецификация | E6 | E14 |
Объем хранилища, Тбайт | 6 | 14 |
Количество пользователей | 3000 | 5000 |
Для крупных корпоративных сетей, ритейла, дата центров, университетов, министерств. Аппаратная платформа usergate log analyzer f25
UserGate Log Analyzer F25 предназначен для использования в крупных компаниях и дата-центрах. Данный программно-аппаратный комплекс обладает большими возможностями по хранению информации и обеспечивает максимально быструю обработку данных, получаемых от серверов UserGate.
,
Cпецификация | F25 |
Объем хранилища, Тбайт | 25 |
Количество пользователей | 10000 |
Для организаций, которые предпочитают использовать виртуальную инфраструктуру. Usergate ve50, ve100,ve200, ve500
UserGate Log Analyzer может быть развернут на виртуальной инфраструктуре заказчика. При этом поддерживается работа с любыми гипервизорами, такими как VMware, Hyper-V, Xen, KVM, OpensStack, VirtualBox. Функциональность виртуального решения полностью эквивалентна той, что предоставляется аппаратной комплексами UserGate Log Analyzer.
“Unified threat management (UTM) is a converged platform of point security products, particularly suited to small and midsize businesses (SMBs). Typical feature sets fall into three main subsets, all within the UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus [AV]) and messaging security (anti-spam, mail AV).”
Интересно то, что, согласно предсказаний Gartner, рынок межсетевых экранов до 2020г. остался примерно в таком же состоянии, как и 3 года назад. В 2022г. по предсказаниям Gartner в обиход в SMB начнут плотно входить решения класса Firewall as a Service (FWaaS), т.е. облачные межсетевые экраны, куда будет туннелироваться клиентский трафик, причем доля новых инсталляций по SMB-рынку будет составлять более 50%, по сравнению с текущей долей в 10%.
- средство мониторинга и промежуточного брокера для обеспечения инвентаризации и контроля использования ресурсов SaaS,
- как средство управления мобильными устройствами,
- или средство обеспечения политик безопасности на конечных пользовательских устройствах (на текущий момент менее 2% пользователей используют данный функционал на межсетевых экранах).
- Решения FWaaS будет более популярно и для распределенных филиальных структур, данное решение будут использовать 10% новых инсталляций по сравнению с менее чем 1% в 2017ом году.
Поскольку решения UTM ориентированы на относительно небольшие компании (по мнению Gartner), то понятно, что получив весь функционал из одной коробки, конечный заказчик так и или иначе будет довольствоваться компромиссами с точки зрения производительности, эффективности сетевой безопасности и функциональности, однако для таких заказчиков также важно, чтобы решение легко управлялось (управление через браузер, например), администратора решения можно было быстрее обучить ввиду упрощенного управления, чтобы решение содержало в себе встроенные средства хотя бы базовой отчетности, для некоторых заказчиков также важно наличие локализованного ПО и документации.
Gartner считает, что потребности заказчиков SMB и заказчиков Enterprise сильно отличаются с точки зрения потребностей у Enterprise в возможностях реализации более сложных политик управления, расширенных возможностях в реализации сетевой безопасности. К примеру заказчики сегмента Enterprise, имеющие распределенную филиальную структуру, часто имеют филиалы, которые могут совпадать по размеру с целой компанией SMB-сегмента. Однако критерии выбора оборудования для филиала, как правило, диктуются выбором оборудования в головном офисе (обычно в филиалы выбирается оборудование того же вендора, что используется в головном офисе, т.е. Low End оборудование Enterprise класса), так как заказчику необходимо иметь уверенность в обеспечении совместимости оборудования, а кроме того, такие заказчики часто используют единую консоль управления для обеспечения управляемости филиальной сети (где может и не быть специалистов соответствующего профиля) из головного офиса. Кроме того, немаловажным является и экономическая составляющая, корпоративный заказчик может получить дополнительные скидки за «объем» от производителей межсетевых решений, включая решения для филиальной сети. По этим причинам Gartner рассматривает решения для распределенных филиальных структур Enterprise заказчиков в квадратах решений для Enterprise-сегмента (NGFW/Enterprise Firewall, IPS, WAF и т.д.).
Отдельно Gartner выделяет заказчиков с распределенной сетью высоко автономных офисов (типичный пример – ритейл сети, где общее количество сотрудников может быть более 1000 человек), у которых, как и у типичного SMB-заказчика, есть довольно ограниченные бюджеты, очень большое количество удаленных площадок и обычно небольшой ИТ/ИБ-персонал. Некоторые UTM производители даже специально делают акцент на решениях для таких заказчиков более чем для традиционного SMB.
В 2020м году спрос на межсетевые экраны значительно вырос в связи с переводом сотрудников многих компаний на удаленный режим работы из дома и необходимостью обеспечить безопасную связь этих надомников с офисом.
Стабильная тройка зарубежных производителей - лидеров квадранта Gartner вот уже несколько лет:
- Преимуществом межсетевых экранов Check Point являются централизованное управление с помощью облака и мощные средства контроля на основе политик и обнаружения угроз, а также ориентированная на облака стратегия развития. Однако многие клиенты компании недовольны ее ценовой политикой и качеством технической поддержки.
- Плюсами продуктов Fortinet являются мощный функционал SD-WAN, использование открытых API-интерфейсов для интеграции с продуктами третьих фирм, централизованное управление и выгодное соотношение цены и производительности вместе с удобной схемой лицензирования. В то же время в межсетевых экранах Fortinet еще слабо реализована поддержка облаков, и клиенты компании жалуются на слишком сложный интерфейс управления этими устройствами.
- Palo Alto Networks одним из первых производителей аппаратных экранов вывел на рынок решение «межсетевой экран как сервис» (FWaaS), и ещё в продуктах этого вендора применяется строгий гранулярный контроль приложений. Однако продукты этого вендора — одни из самых дорогих на рынке, у них нет поддержки централизованного управления из облака и они плохо масштабируются свыше 60 тыс. пользователей.
В число «претендентов» магического квадранта Gartner по межсетевым экранам попали Cisco, Huawei и Juniper Networks.
В межсетевых экранах Cisco используются мощные функции защиты от вредоносного кода, клиенты компании высоко оценивают их возможности по развертыванию и настройке VPN между сайтами. Однако вендор параллельно развивает несколько линеек межсетевых экранов для разных сценариев применения и в основном эти продукты покупают те клиенты, для которых сетевое оборудование Cisco является корпоративным стандартом.
Межсетевые экраны Huawei упрощают управление доступом к развернутым в облаках приложениям SaaS, у них привлекательное соотношение цены и производительности, но у китайского вендора пока нет решения FWaaS, для управления из облака реализован только базовый функционал. Кроме того, его межсетевые экраны не интегрированы с ведущими поставщиками решений информационной безопасности.
Межсетевые экраны Juniper хорошо интегрированы с другим сетевым оборудованием этого вендора, они поддерживают многие публичные облака и используют мощные средства координации политик и составления отчетов. Основным недостатком продуктов Juniper эксперты Gartner считают ограниченные возможности контроля приложений.
В реестре операторов персональных данных Роскомнадзора имеется уже 404 тысячи записей, в реестре федеральных государственных информационных систем Минкомсвязи России — 341 система, по предварительным расчётам ФСТЭК России в стране — 25 тысяч объектов критической информационной инфраструктуры. Эти системы требуется защищать (большинство — в обязательном порядке) с применением сертифицированных межсетевых экранов и систем обнаружения вторжений.
Выбрать подходящий и соответствующий требованиям регуляторов продукт для корпоративной сети — проблемная задача для большинства организаций.
Кроме требований к самому средству защиты информации, которые предъявляются при сертификации и ограничивают присутствие зарубежных производителей на российском рынке информационной безопасности, существуют также и директивы по импортозамещению для государственных заказчиков.
С 2016 года в соответствии с постановлением Правительства РФ от 16 ноября 2015 года № 1236 такие заказчики обязаны закупать российское программное обеспечение во всех случаях, кроме тех, когда отечественные разработки с необходимыми функциональными, техническими или эксплуатационными характеристиками отсутствуют. При этом соответствующую потребность нужно обосновать — в порядке, предусмотренном законом о контрактной системе в сфере государственных закупок. Российским признаётся ПО, сведения о котором внесены в единый реестр российских программ и баз данных. Это ещё больше ограничивает круг продуктов, которые используются при защите государственных систем.
Создание виртуальных частных сетей VPN
Решения нового поколения от российских производителей
- «Континент 4» (UTM), АПКШ «Континент» (межсетевой экран, IDS), «СОВ Континент» (IDS\IPS) компании «Код Безопасности»,
- Traffic Inspector Next Generation — UTM-система российского производителя «Смарт-Софт»,
- UserGate UTM производства компании UserGate,
- ALTELL NEO компании «АльтЭль»,
- ViPNet IDS, ViPNet Coordinator (межсетевой экран) компании «ИнфоТеКС»,
- «С-Терра СОВ» (IDS), «С-Терра Шлюз» (межсетевой экран) компании «С-Терра»,
- Межсетевые экраны компании «Элтекс».
Высокая доступность и кластеризация NGFW/USG
NGFW — межсетевые экраны следующего поколения
NGFW по своему комплексному функционалу похожи на UTM-системы, но предназначены больше для высоких скоростей и больший объёмах трафика, имею лучшую производительность за счёт архитектуры — разные защитные функции могут выполняют разные процессоры, имеют более эффективные инструменты для контроля приложений.
Межсетевой экран нового поколения был определен аналитиками Gartner как технология сетевой безопасности для крупных предприятий, включающая полный набор средств для проверки и предотвращения проникновений, проверки на уровне приложений и точного управления на основе политик.
При изучении возможности использования межсетевого экрана нового поколения самое главное — определить, обеспечит ли такой экран возможность безопасного внедрения приложений в организации.
На первом этапе необходимо получить ответы на следующие вопросы:
- Позволит ли межсетевой экран нового поколения повысить прозрачность и понимание трафика приложений в сети?
- Можно ли сделать политику управления трафиком более гибкой, добавив дополнительные варианты действий, кроме разрешения и запрета?
- Будет ли ваша сеть защищена от угроз и кибератак, как известных, так и неизвестных?
- Сможете ли вы систематически идентифицировать неизвестный трафик и управлять им?
- Можете ли вы внедрять необходимые политики безопасности без ущерба производительности?
- Будут ли сокращены трудозатраты вашей команды по управлению межсетевым экраном?
- Позволит ли это упросить управление рисками и сделать данный процесс более эффективным?
- Позволят ли внедряемые политики повысить рентабельность работы предприятия?
В случае положительного ответа на вышеприведенные вопросы можно уже делать следующие выводы и обосновать переход со старых межсетевых экранов на межсетевые экраны нового поколения. После выбора поставщика или узкого круга поставщиков, последует этап оценки физических функций межсетевого экрана, выполняемой с применением трафика различных типов и комбинаций, а также объектов и политик, которые точно передают особенности бизнес-процессов организации.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также, сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Межсетевые экраны нового поколения внедряют для решения следующих задач:
Наличие систем обнаружения вторжений (СОВ) требуется также при обработке персональных данных, защите банковских и платежных систем, а также и других сложных информационных инфраструктур организаций. И их совмещение с межсетевыми экранами очень удобно и выгодно для организаций.
Централизованное управление NGFW/USG
Возможности интеграции NGFW/USG
Поддержка сетевых сервисов
Читайте также: