Экстренное импортозамещение и безопасность как сервис. Как выбрать зрелое отечественное решение и снизить капитальные затраты
Пользователи таких средств сетевой защиты как Palo Alto, Fortinet, Cisco, Networks, TrendMicro, Symantec BlueCoat, McAfee, ForcePoint сегодня столкнулись с остановкой бизнес-операций и ограничением предоставления технической поддержки. Перед многими организациями остро встала задача перехода на доступные решения от отечественных поставщиков.
Сфера информационной безопасности – одна из наиболее чувствительных для бизнеса и государственных организаций. Планомерное импортозамещение здесь реализуется последние годы довольно успешно, но воплощение в жизнь самых пессимистичных прогнозов относительно зарубежных решений в системах защиты информационных систем произошло в одночасье и вызвало серьезные проблемы у множества компаний. Особенно серьезные трудности испытал финансовый сектор, где для защиты своей сетевой инфраструктуры применяли по большей части решения от западных вендоров.
При экстренном переходе на отечественные решения важно не только не потерять привычный функционал, но и избежать технологических проблем, связанных с использованием незрелых решений. Кроме того, в условиях текущей турбулентности непросто сделать правильный выбор, найти сразу весь бюджет и снизить CAPEX на обновление динамически меняющейся инфраструктуры.
Проблемы открытого исходного кода в отечественных решениях
Многие разработчики в начале своего развития в качестве основы своих решений имеют системы с открытым кодом вроде Linux, IPTables, Squid, Pfsense, Snort, Suricata, nDPI и другие. Такой подход оправдан на начальных этапах. От него невозможно отказаться во многих направлениях ИТ.
Но у ИБ есть своя специфика - продукты, разработанные с использованием такого подхода, могут содержать в себе три весьма серьезных риска или, если угодно, ограничения, неприемлемых для зрелых заказчиков.
Прежде всего, это все, что связано с недостаточным аудитом кода исходного продукта и вносимых изменений от всех участников сообщества, который может и уже содержит ошибки или, что намного хуже - то, что называют недекларируемыми возможностями (НДВ). Число бекдоров, живущих в продуктах больше десятилетия и до сих пор не устраненных, измеряется 4 порядками. В последние недели все мы стали наблюдателями последствий – буквально на глазах пошел поток неконтролируемых изменений, уже приведший к неадекватной работе систем и аппаратуры с открытой архитектурой.
Наконец, многие разработчики систем с открытым кодом облегченно вздохнули, когда владельцы ресурсов, также по тем или иным причинам вынужденные соблюдать санкционные ограничения, отказались блокировать российских разработчиков. Надолго ли их хватит? Нельзя исключать, что под давлением они изменят свою позицию. В нашей истории такие прецеденты были.
Третья проблема – стабильность работы и производительность. Понятно, что никто из разработчиков не отдаст свое решение бесплатно в сегмент крупных корпоративных заказчиков, одного из самых платежеспособных и имеющего регулярный бюджет и сформированную политику ИТ и ИБ. Опенсорс обречен жить в малых предприятиях. Например, даже у такого продукта как Squid, одного из наиболее зрелых среди решений с открытым кодом, при обслуживании сети с сотнями пользователей наблюдаются серьезные просадки производительности или непредсказуемое аварийное завершение работы. При этом, никогда разработчик систем с открытым кодом самостоятельно в одиночку не сможет модифицировать или оптимизировать все элементы системы – это миллионы строк кода, написанные по своей логике и методологии. Поэтому намного правильнее изначально использовать собственный код, написанный с нуля. Среди российских производителей решений в сфере информационной безопасности те, кто долгие годы работает над созданием и совершенствованием собственных операционных систем. Выбор есть.
Вот почему конечный пользователь решений должен открыто спросить у производителя, кто является владельцем и архитектором разрабатываемого ПО, понимает ли разработчик логику взаимодействия элементов системы или хотя бы драйвера, что влияет на формирование значений в логе и как можно простым способом распарсить значения; кто создает правила для системы обнаружения вторжений или подобного функционала, что произойдет со стабильностью при масштабировании системы в 2-3 раза, какие сторонние инструменты акселерации используются при виртуализации и насколько легитимно их использовать в текущей ситуации.
Security as a Service – безопасность как сервис
Необходимость экстренно менять систему защиты информационных систем - серьезная нагрузка на CAPEX организаций. Кроме того, специалисты по информационной безопасности организаций, ранее заточенные на работу с зарубежными решениями, часто не имеет необходимых компетенций по работе с отечественными, а перепрофилирование требует времени. Положение усугубляется тем, что возможность приобретения аппаратных комплексов может быть ограничена в ближайшие полгода-год.
Достойным выходом тут становится использование облачных сервисов.
Одним из главных преимуществ сервисной модели, которую используют облачные сервисы, является отсутствие капитальных затрат. Так, наши партнеры
Модель Security as a Service (SecaaS) от UserGate позволяет быстро развернуть и масштабировать полноценное решение UserGate в виде сервиса, сократив капитальные затраты, время и ресурсы на ввод в эксплуатацию и самостоятельную поддержку аппаратных средств и ПО.
Оплачивается услуга SecaaS соответственно фактическому использованию, и исходя из текущей нагрузки на собственной и облачной инфраструктуре.
Возможности виртуального межсетевого экрана UserGate
Вне зависимости от того будет межсетевой экран принимать весь корпоративный трафик, или только трафик, направленный к облачным системам, он будет блокировать атаки и фильтровать соединения по заданным правилам:
L3/L4 — фильтрация пакетов по сетевым признакам (к примеру, разрешается доступ только с выделенных IP-адресов компании и только по ограниченным портам);
L7 — ограничение протоколов и приложений, таких как Tor, YouTube и прочие хостинги потокового видео, почта, различные VPN и анонимайзеры, работающие по протоколам HTTP и HTTPS.
В правилах можно указывать пользователей, которым разрешены или запрещены определённые действия. Или можно запретить доступ к внутренним сервисам для всех неавторизованных пользователей.
Обнаружение вторжений производится собственным высокопроизводительным ядром по сигнатурам UserGate. Идёт поиск следов вирусной активности, попыток обойти фильтрацию приложений, эксплуатации уязвимостей и тому подобное.
Защита почты
Письма, проходящие через UserGate NGFW, проверяются целой группой фильтров. От подозрительных отправителей из чёрных списков письма блокируются. Заголовки, содержание, ссылки и вложения анализируются на признаки спама или фишинга.
Безопасная публикация приложений и контроль интернет-трафика
Если доступ к внутренним ресурсам компании (базы данных, файловые серверы, CRM и т. д.) нужно предоставить работникам, которые не находятся в локальной сети, возникает вопрос безопасности. Ведь вывести эти ресурсы в публичный доступ невозможно, они тут же станут мишенью для злоумышленников. Можно расположить их за VPN, но потребуется дополнительная настройка VPN-сервера и VPN-клиентов. UserGate NGFW предлагает в качестве решения безопасную публикацию ресурсов. Пользователь авторизуется на специальном портале, и только после этого для него появляется ссылка на внутренний ресурс.
UserGate NGFW в облаке можно также использовать в качестве прокси-сервера, если он будет являться точкой выхода в интернет для локальной сети, VDI или рабочих мест. При этом будет доступен большой арсенал настроек: ограничение конкретных запрещённых сайтов, чёрные и белые списки (в т. ч. Роскомнадзора), категорирование сайтов, определение тематики сайта по морфологии, разграничение доступа по роли пользователя, блокировка рекламных и вредоносных скриптов на веб-страницах.
Построение VPN
UserGate NGFW осуществляет построение Site-to-Site VPN, защищённого канала с другим межсетевым экраном или маршрутизатором с функцией VPN. В частности, это необходимо для конфиденциальной передачи данных между облаком и локальной сетью. Кроме того, поддерживается работа клиентских VPN, чтобы пользователи могли подключаться и работать из любой точки мира.
В облачном межсетевом экране есть возможность гибко менять конфигурацию устройства и используемые модули, чтобы адаптировать его к меняющейся нагрузке и оптимизировать затраты.
По подписочной модели так же доступны дополнительные модули безопасности: UserGate Management Center позволяет управлять всем парком устройств UserGate с помощью единой консоли управления и UserGate Log Analyzer, который решает задачу глобального мониторинга систем безопасности: сбор, хранение, глубокий анализ угроз. Высокая скорость обработки трафика позволяет на основе этого анализа автоматически осуществлять адекватную реакцию на самой ранней стадии.
Соответствие требованиям и стандартам и контроль над исходным кодом
Ещё одним преимуществом UserGate NGFW является сертификат ФСТЭК, подтверждающий соответствие требованиям к межсетевым экранам типа А, Б и Д четвертого класса защиты, требованиям к системам обнаружения вторжения уровня сети четвертого класса защиты и требованиям, предъявляемым к четвертому уровню доверия. Таким образом, UserGate NGFW полностью удовлетворяет запросам к защите конфиденциальной информации.
Все модули продуктов UserGate полностью написаны внутренней командой разработчиков. Это даёт возможность создавать гибкие и высокопроизводительные решения, а также гарантировать работоспособность и надежность решений вне зависимости от внешних условий.