Защита сети из коробки
Екатеринбургский вендор "Айдеко" выпустил масштабное обновление флагманского решения Ideco UTM, которое объединяет практически все необходимые в повседневной практике механизмы защиты.
Ideco UTM относится к классу межсетевых экранов нового поколения (или NGFW в английской аббревиатуре). До февраля 2022 года в данном сегменте 80% предложения в денежном выражении контролировали зарубежные поставщики, большая часть из которых ушла с отечественного рынка, а оставшиеся в стране международные компании вынуждены следовать действующим ограничениям. "Айдеко" оказалась одним из тех вендоров, кто смог предложить достойную альтернативу зарубежной продукции.
При этом развитие решения в 2022 году заметно ускорилось: с марта 2022 года вышло 4 "мажорных" релиза Ideco UTM, тогда как раньше разработчики выпускали новую версию не каждый год. Этого удалось добиться благодаря переходу на микросервисную архитектуру и технологию автоматизированной сборки.
Ответ на новые требования
Ideco UTM был предназначен для пользователей из сегментов микро-, малого и среднего бизнеса (до 500 пользователей). Для таких заказчиков традиционные NGFW слишком сложны и дороги, к тому же в такой компании может просто не быть выделенного ИБ-специалиста. Но при этом тех сервисов, которые предоставляет сетевое оборудование начального уровня, уже недостаточно.
Рис. 1. Подключение внешнего DNS-ресольвера
Рис. 1. Подключение внешнего DNS-ресольвера
Те игроки, которые предлагали решения, ориентированные на рынки SOHO (small office, home office, малый и домашний офис) или СМБ делали ставку на максимально простые в использовании решения, с которыми под силу разобраться обычному системному администратору, имеющему опыт настройки младших моделей сетевого оборудования вроде маршрутизаторов, управляемых коммутаторов, точек доступа Wi-Fi. Как правило, вся настройка безопасности сводилась к включению тех или иных функций в Web-интерфейсе, реже - с помощью специальной утилиты для компьютера или мобильного приложения (рис. 1, 2). Все было приближено к концепции "сделайте мне хорошо нажатием на одну кнопку". Главное – не забывать вовремя обновлять ПО.
Рис. 2. Настройка маршрутизации сети
Рис. 2. Настройка маршрутизации сети
Но в 2022 году ситуация изменилась. Разработчикам продуктов, ориентированных на СМБ-заказчиков или нишевых потребителей после ухода с российского рынка международных компаний, пришлось в спешном порядке адаптировать выпускаемые ими продукты для крупных заказчиков. У таких клиентов уже были подготовленные специалисты, имевшие опыт работы со сложными и функциональными решениями, которые привыкли к определенным инструментам. Плюс ко всему, нужно было повышать производительность и адаптировать продукты к работе в больших и часто территориально распределенных инфраструктурах. Довольно серьезным вызовом стал запрос новых пользователей на необходимость миграции уже накопленных настроек и правил с ранее применяемых систем от зарубежных вендоров (Cisco, Check-Point, D-Link, Kerio и др.), а также интеграция со службами каталогов.
При этом, отвечая на новые вызовы, необходимо было сохранить низкий порог входа для компаний, у которого нет высококвалифицированного персонала. Это важно в условиях жесткого дефицита ИТ и ИБ кадров. Кроме того, в "Айдеко" традиционно активно применяли и применяют разного рода средства автоматизации, что снижает нагрузку на обслуживающий персонал.
Что нового
С каждым релизом разработчики включали новые функции, не ограничиваясь одним только обновлением системных компонентов, хотя и это тоже важно, учитывая большое количество уязвимостей, которые начали активно использовать злоумышленники в ходе атак. Новые функции разработчики включали как по просьбе пользователей, так и реагируя на изменение ситуации с угрозами, которая развивалась, да и продолжает развиваться довольно динамично: злоумышленники постоянно осваивают новые вектора атак, а также меняют тактику и инструментарий в ходе ставших уже привычными посягательств на российские компании.
"Российские вендоры пока отстают от своих западных коллег, поэтому им необходимо "быстро расти" - быстрое развитие, частые новые релизы и так далее. В будущем, если отечественные компании добьются стабильности и качества, некоторые из них будут иметь большую долю рынка. Это, в свою очередь, позволит им "замедлить бег" и выпускать продукты реже и с меньшим количеством ошибок. Например, релиз раз в два года был бы очень стабильным", - так прокомментировал директор компании Дмитрий Хомутов ускорение темпов разработки продуктов "Айдеко" в 2022-2023 гг.
Ideco UTM включает практически полный набор средств сетевой безопасности, включая межсетевое экранирование (рис.3), сервер VPN, контроль приложений, контентную фильтрацию, предотвращение вторжений (IDS/IPS, или СОВ). Возможно использовать базы сигнатур для IDS/IPS от "Лаборатории Касперского", но данная функция лицензируется отдельно.
Рис. 3. Настройки межсетевого экранирования
Рис. 3. Настройки межсетевого экранирования
В новейшую версию 15 добавлены средства аудита действий администраторов и интеграция со службами каталогов российского происхождения, как от ГК "Астра", так и от "Базальт СПО", а также средства многофакторной аутентификации (в том числе появились средства интеграции со внешним инструментарием "Мультифактор").
Ряд модулей, в частности, контентной фильтрации, VPN и СОВ, которые существовали раньше, были полностью изменены. Общую производительность решения удалось повысить до 40 Гбит/с благодаря переходу на систему обработки трафика на базе DPDK (Dataplane Development Kit), а не входящий в ядро Linux IPTables. Переход на DPDK также позволил увеличить масштабируемость и отказоустойчивость решения.
Модуль журналирования теперь работает на движке ClickHouse, что позволяет экономить дисковое пространство за счет сжатия хранимых данных. Полностью заменен модуль контентной фильтрации: он использует технологию глубокой инспекции пакетов (DPI), что практически полностью исключает обход запретов, установленных в компании на уровне политик. А это позволит закрыть не только доступ к фишинговым сайтам и ботнетам, но и снизить потребляемый трафик, что особенно оценят те, кто использует лимитированные соединения, например, мобильные или спутниковые.
Рис. 4. Настройки контроля приложений
Рис. 4. Настройки контроля приложений
Появились средства кластеризации Active-Passive, которые позволяют объединять несколько систем в единое целое (рис. 4). Данная возможность, в отличие от аналогов у конкурентов, не требует дополнительного лицензирования.
Рис. 5. Настройки балансировки и резервирования
Рис. 5. Настройки балансировки и резервирования
Системные требования
Системные требования Ideco UTM остались почти прежними: процессор с поддержкой SSE 4.2 или новее, обязательна поддержка UEFI, накопитель объемом от 64 Гбайт, от 16 Гбайт оперативной памяти, две сетевых карты. При этом не поддерживаются интегрированные в системные платы RAID-контроллеры.
Ideco UTM можно установить как на физический, так и на виртуальный сервер. Поддерживаются все популярные гипервизоры: зарубежные коммерческие от Microsoft, VMware и Citrix или с открытым кодом (KVM, VirtualBox, Xen). При установке на виртуальную машину стоит иметь в виду, что необходимо выделить том фиксированного размера, а не динамический.
Ideco UTM устанавливается как полноценная операционная система на виртуальную машину или отдельный сервер. Размер дистрибутива – около 1 Гбайта. Для доступа к системе достаточно базовой установки клиентской операционной системы,.
"Айдеко" также предлагает довольно большой модельный ряд программно-аппаратных комплексов (ПАК) в разном исполнении, как настольном, так и для монтажа в стойку.
Подробнее с решениями "Айдеко" можно ознакомиться тут: