1. Главная
  2. Статьи
  3. Как изменились требования к сетевой безопасности: роль NGFW как одного из ключевых элементов ИБ-инфраструктуры

Как изменились требования к сетевой безопасности: роль NGFW как одного из ключевых элементов ИБ-инфраструктуры

Как изменились требования к сетевой безопасности: роль NGFW как одного из ключевых элементов ИБ-инфраструктуры

9ce4f83d-c3d2-4912-8edd-70d95d0f9cdd.jpg
Кирилл Прямов

Менеджер по развитию NGFW в компании UserGate


В последние годы сетевая безопасность перестала быть задачей только периметра. Рост облачных сервисов, удаленной работы, микросервисных архитектур и шифрованного трафика изменил саму природу угроз. Сегодня требуется, чтобы NGFW понимал контекст, анализировал поведение, интегрировался с другими компонентами ИБ-инфраструктуры и адаптировался к быстроменяющимся условиям. Это требует пересмотра старых архитектур и подходов, ранее достаточных в корпоративной защите. С чем это связано и как реализовать эти подходы, рассказывает Кирилл Прямов, менеджер по развитию NGFW в компании UserGate.

Размытие периметра как этап естественного развития

Периметр перестал быть четко очерченной границей не сегодня и не вчера. Это началось еще до пандемии — где-то в начале 2010-х. Для наглядности можно привести аналогию с развитием банкинга. Раньше все приходили в отделение, потому что других вариантов просто не было. Затем появились банкоматы, началось расширение инфраструктуры. Далее появился веб-банкинг с токенами, за ним — мобильные приложения. Все это продолжает развиваться, сейчас уже есть API, через которые можно взаимодействовать вне приложений.

То же самое происходит и в ИТ в целом. Раньше люди работали с бумагами и счетами, потом появились калькуляторы, далее — стационарные ПК, затем доступ в интернет, сети и так далее. Потом появились ноутбуки, что позволило носить рабочее место с собой. Как следствие, появилась функция Remote Access VPN и корпоративные веб-приложения, в которые можно заходить даже не через VPN, а напрямую.

Все это активно развивалось в период локдауна, когда сотрудники массово перешли на удаленный формат. Так что сейчас не произошло никаких радикальных изменений, поскольку инфраструктура была уже готова. Оставалось только окончательно ее развернуть, размытие периметра произошло уже давно. Его усиливает также омниканальность работы и коммуникаций. Что-то решается в рабочем чате, что-то по почте. Один сотрудник может находиться на Камчатке, другой — в Калининграде. К тому же идет настройка взаимодействия между системами без участия человека, они уже общаются между собой напрямую.

Иными словами, существует множество точек входа в сеть, множество сегментов с разными правами доступа. Постепенно все перемещается в облака — еще один фактор, влияющий на периметр, — и на мобильные устройства. Периметр уже давно не внутри компании, он размыт, фрагментирован, и это уже свершившийся факт.

Роль NGFW в условиях распределенных сетей и удаленного доступа

Сегодня 90-95% всего трафика передается в зашифрованном виде. Для разработчиков NGFW это означает один из ключевых вызовов — необходимость полноценной SSL-инспекции. Речь идет о технологиях SSL-шифрования и дешифрования, которые реализуются через прокси-архитектуру (man-in-the-middle). NGFW выступает как посредник в сеансе — перехватывает, расшифровывает, анализирует, затем передает данные дальше. Это крайне ресурсоемкий процесс с точки зрения вычислительной нагрузки. Поэтому, если необходимо обеспечивать высокую скорость обработки трафика (десятки Гбит/с), в NGFW необходимы решения по аппаратному ускорению.

Здесь каждый ищет собственные подходы. К примеру, наша компания пошла по пути FPGA — настраиваемых матриц, логические блоки которых можно объединять в функциональные блоки. Например, реализовать на FPGA функции FW L4 или IPS. В отличие от ASIC-чипов, FPGA позволяют гибко подстраивать архитектуру под конкретные задачи, включая SSL-расшифровку. Мы используем FPGA в высокопроизводительных платформах для ЦОД-ов и периметров крупных сетей. Это наш ответ на вызов по проверке SSL-трафика, поскольку современный NGFW без поддержки SSL-расшифровки уже нельзя считать полноценным. Также у нас реализована технология SSL Forwarding: можно расшифровать трафик и передать его другим системам защиты. Это решение было внедрено два года назад в ответ на конкретные запросы заказчиков.

Если говорить о распределенных сетях, то NGFW — это один из трех ключевых элементов ИБ-инфраструктуры в филиалах. Как правило, в таких сценариях в наличии только: 1) антивирусы на рабочих местах, 2) NGFW на периметре, 3) бэкапы. Последний пункт тоже под угрозой, ведь если сеть уже скомпрометирована, часто зашифровываются и сами бэкапы. Это подтверждают последние инциденты, связанные с атаками самых разных целей от розничных сетей до корпоративных инфраструктур.

В силу критической важности NGFW его необходимо устанавливать во всех узлах распределенной сети, в том числе для обеспечения удаленного доступа через Remote Access VPN. Мы, например, используем собственный NGFW для подключения удаленных сотрудников к внутренним ресурсам. У нас шесть офисов, включая офис в Минске, мы регулярно работаем в распределенной архитектуре, и без собственного VPN-доступа это было бы невозможно. Да, чисто технически можно использовать отдельные решения для VPN-доступа, но мы решили, что удобнее все объединить в одном решении. NGFW — это и Firewall, и IPS, и Application Control, и VPN-доступ в одном устройстве. Это и есть стандарт сегодняшнего дня.

Требования к современным NGFW

На требования к NGFW оказывают заметное влияние облака и гибридные инфраструктуры, и это отдельный сценарий работы. А в целом можно выделить шесть сценариев: индустриальный, SMB, три enterprise-сценария (дата-центр, распределенный enterprise, enterprise-edge — когда устанавливается большой NGFW на периметр), и, наконец, публичные облака.

Необходима адаптация NGFW под облачную инфраструктуру: облачная консоль управления, единая система менеджмента, поддержка виртуализированных сред и контейнеров. В перспективе это станет актуально и в России: пока что такого рода решения не получили широкого распространения, тогда как в ведущих зарубежных странах это уже норма. В других странах уже есть поддержка контейнерных форматов, в том числе для инструментов развертывания и свертывания виртуальных сред или окружений. Во все это также должны быть встроены NGFW.

Таково наше ближайшее будущее. Сейчас на ряде зарубежных рынков доля сервисов, развернутых в облаках, достигает, по разным оценкам, 70–80%. В России эта цифра существенно ниже в силу опасения со стороны заказчиков, устоявшихся привычек, а также требования регуляторов. Похожая ситуация в Азии, в частности, в Китае, где по-прежнему больше доверяют инфраструктуре, находящейся внутри контура.

Тем не менее развитие продолжается, и российские NGFW будут адаптироваться к публичным облакам. Но сейчас главные приоритеты иные: фокус на производительности, а также на улучшении функциональности для основных сценариев использования — отдельно корпоративных, отдельно — для малого и среднего бизнеса. Иными словами, в настоящее время разработчики совершенствуют NGFW в первую очередь для того, чтобы они полноценно закрывали задачи в типовых кейсах, а остальное — уже следующий этап.

erid: 2SDnjeKAsBL

* Реклама, Рекламодатель ООО «Юзергейт», ИНН 5408308256

Теги:

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка