Как выбрать зрелое российское решение по защите сетевой инфраструктуры

Зарубежные компании, которые предоставляют услуги по сетевой защите, постепенно вынуждены отказывать в обслуживании и технической поддержке, поэтому многие организации ищут варианты перехода на решения российских поставщиков.

В целом информационная безопасность уже давно стала важнейшей отраслью для крупных компаний и госучреждений. Стоит отметить, что здесь импортозамещение шло довольно активно в последнее время, однако ряд пессимистичных прогнозов появился резко, что вызвало некоторые проблемы у компаний.

Особенно серьезные трудности испытал финансовый сектор, где для защиты своей сетевой инфраструктуры применяли по большей части решения от западных вендоров.

При экстренном переходе на отечественные решения важно не только не потерять привычный функционал, но и избежать технологических проблем, связанных с использованием незрелых решений. Кроме того, в условиях текущей турбулентности непросто сделать правильный выбор, найти сразу весь бюджет и снизить CAPEX на обновление динамически меняющейся инфраструктуры. 

Проблемы открытого исходного кода в отечественных решениях

Многие разработчики в начале своего развития в качестве основы своих решений имеют системы с открытым кодом вроде Linux, IPTables, Squid, Pfsense, Snort, Suricata, nDPI и другие. Такой подход оправдан на начальных этапах. От него невозможно отказаться во многих направлениях ИТ. 

Но у ИБ есть своя специфика - продукты, разработанные с использованием такого подхода, могут содержать в себе три весьма серьезных риска или, если угодно, ограничения, неприемлемых для зрелых заказчиков.

Прежде всего, это все, что связано с недостаточным аудитом кода исходного продукта и вносимых изменений от всех участников сообщества, который может и уже содержит ошибки или, что намного хуже - то, что называют недекларируемыми возможностями (НДВ). Число бэкдоров, живущих в продуктах больше десятилетия и до сих пор не устраненных, измеряется 4 порядками. В последние недели все мы стали наблюдателями последствий - буквально на глазах пошел поток неконтролируемых изменений, уже приведший к неадекватной работе систем и аппаратуры с открытой архитектурой.

Наконец, многие разработчики систем с открытым кодом облегченно вздохнули, когда владельцы ресурсов, также по тем или иным причинам вынужденные соблюдать санкционные ограничения, отказались блокировать российских разработчиков. Надолго ли их хватит? Нельзя исключать, что под давлением они изменят свою позицию. В нашей истории такие прецеденты были.

Третья проблема - стабильность работы и производительность. Понятно, что никто из разработчиков не отдаст свое решение бесплатно в сегмент крупных корпоративных заказчиков, одного из самых платежеспособных и имеющего регулярный бюджет и сформированную политику ИТ и ИБ. Opensource обречен жить в малых предприятиях. Например, даже у такого продукта как Squid, одного из наиболее зрелых среди решений с открытым кодом, при обслуживании сети с сотнями пользователей наблюдаются серьезные просадки производительности или непредсказуемое аварийное завершение работы. 

При этом, никогда разработчик систем с открытым кодом самостоятельно в одиночку не сможет модифицировать или оптимизировать все элементы системы - это миллионы строк кода, написанные по своей логике и методологии. Поэтому намного правильнее изначально использовать собственный код, написанный с нуля. Среди российских производителей решений в сфере информационной безопасности те, кто долгие годы работает над созданием и совершенствованием собственных операционных систем. Выбор есть.

Вот почему конечный пользователь решений должен открыто спросить у производителя, кто является владельцем и архитектором разрабатываемого ПО, понимает ли разработчик логику взаимодействия элементов системы или хотя бы драйвера, что влияет на формирование значений в логе и как можно простым способом распарсить значения; кто создает правила для системы обнаружения вторжений или подобного функционала, что произойдет со стабильностью при масштабировании системы в 2-3 раза, какие сторонние инструменты акселерации используются при виртуализации и насколько легитимно их использовать в текущей ситуации.

Security as a Service - безопасность как сервис

Необходимость экстренно менять систему защиты информационных систем - серьезная нагрузка на CAPEX организаций. Кроме того, специалисты по информационной безопасности организаций, ранее заточенные на работу с зарубежными решениями, часто не имеет необходимых компетенций по работе с отечественными, а перепрофилирование требует времени. Положение усугубляется тем, что возможность приобретения аппаратных комплексов может быть ограничена в ближайшие полгода-год. 

Достойным выходом тут становится использование облачных сервисов. 

Одним из главных преимуществ сервисной модели, которую используют облачные сервисы, является отсутствие капитальных затрат. Так, наши партнеры предоставляют сервисы от UserGate по модели OPEX в составе комплексной SесаaS (Security as a service) или ITaaS (It as a service). Сервисы при этом могут располагаться как на внешней, так и на локальной инфраструктуре. 

Модель Security as a Service (SecaaS) от UserGate позволяет быстро развернуть и масштабировать полноценное решение UserGate в виде сервиса, сократив капитальные затраты, время и ресурсы на ввод в эксплуатацию и самостоятельную поддержку аппаратных средств и ПО.

Оплачивается услуга SecaaS в соответствии с фактическим использованием, и исходя из текущей нагрузки на собственной и облачной инфраструктуре.

Возможности виртуального межсетевого экрана UserGate 

Вне зависимости от того будет межсетевой экран принимать весь корпоративный трафик, или только трафик, направленный к облачным системам, он будет блокировать атаки и фильтровать соединения по заданным правилам:

L3/L4 - фильтрация пакетов по сетевым признакам (к примеру, разрешается доступ только с выделенных IP-адресов компании и только по ограниченным портам);

L7 - ограничение протоколов и приложений, таких как Tor, YouTube и прочие хостинги потокового видео, почта, различные VPN и анонимайзеры, работающие по протоколам HTTP и HTTPS.

В правилах можно указывать пользователей, которым разрешены или запрещены определенные действия. Или можно запретить доступ к внутренним сервисам для всех неавторизованных пользователей.

Обнаружение вторжений производится собственным высокопроизводительным ядром по сигнатурам UserGate. Идет поиск следов вирусной активности, попыток обойти фильтрацию приложений, эксплуатации уязвимостей и тому подобное.

Защита почты

Письма, проходящие через UserGate NGFW, проверяются целой группой фильтров. От подозрительных отправителей из черных списков письма блокируются. Заголовки, содержание, ссылки и вложения анализируются на признаки спама или фишинга.

Безопасная публикация приложений и контроль интернет-трафика

Если доступ к внутренним ресурсам компании (базы данных, файловые серверы, CRM и т. д.) нужно предоставить работникам, которые не находятся в локальной сети, возникает вопрос безопасности. Ведь вывести эти ресурсы в публичный доступ невозможно, они тут же станут мишенью для злоумышленников. Можно расположить их за VPN, но потребуется дополнительная настройка VPN-сервера и VPN-клиентов. UserGate NGFW предлагает в качестве решения безопасную публикацию ресурсов. Пользователь авторизуется на специальном портале, и только после этого для него появляется ссылка на внутренний ресурс.

UserGate NGFW в облаке можно также использовать в качестве прокси-сервера, если он будет являться точкой выхода в интернет для локальной сети, VDI или рабочих мест. При этом будет доступен большой арсенал настроек: ограничение конкретных запрещённых сайтов, черные и белые списки (в т. ч. Роскомнадзора), категорирование сайтов, определение тематики сайта по морфологии, разграничение доступа по роли пользователя, блокировка рекламных и вредоносных скриптов на веб-страницах.

Построение VPN

UserGate NGFW осуществляет построение Site-to-Site VPN, защищённого канала с другим межсетевым экраном или маршрутизатором с функцией VPN. В частности, это необходимо для конфиденциальной передачи данных между облаком и локальной сетью. Кроме того, поддерживается работа клиентских VPN, чтобы пользователи могли подключаться и работать из любой точки мира.

В облачном межсетевом экране есть возможность гибко менять конфигурацию устройства и используемые модули, чтобы адаптировать его к меняющейся нагрузке и оптимизировать затраты.

По подписной модели также доступны дополнительные модули безопасности: UserGate Management Center позволяет управлять всем парком устройств UserGate с помощью единой консоли управления и UserGate Log Analyzer, который решает задачу глобального мониторинга систем безопасности: сбор, хранение, глубокий анализ угроз.  Высокая скорость обработки трафика позволяет на основе этого анализа автоматически осуществлять адекватную реакцию на самой ранней стадии.  

Соответствие требованиям и стандартам и контроль над исходным кодом

Еще одним преимуществом UserGate NGFW является сертификат ФСТЭК, подтверждающий соответствие требованиям к межсетевым экранам типа А, Б и Д четвертого класса защиты, требованиям к системам обнаружения вторжения уровня сети четвертого класса защиты и требованиям, предъявляемым к четвертому уровню доверия. Таким образом, UserGate NGFW полностью удовлетворяет запросам к защите конфиденциальной информации.

Все модули продуктов UserGate полностью написаны внутренней командой разработчиков. Это даёт возможность создавать гибкие и высокопроизводительные решения, а также гарантировать работоспособность и надежность решений вне зависимости от внешних условий.