Выбор межсетевого экрана как одного из основных и зачастую единственных средств защиты
периметра — непростая задача, которая требует очень серьезного предварительного анализа
всех бизнес- и технических требований.
периметра — непростая задача, которая требует очень серьезного предварительного анализа
всех бизнес- и технических требований.
В мире корпоративных информационных систем межсетевые экраны давно уже стали стандартом сетевой безопасности. Согласитесь, что сегодня невозможно представить современный комплекс по защите корпоративной сети, который бы не включал в себя так называемый брандмауэр . Однако условия работы на рынках с каждым днем становятся все более жесткими, и способность компаний сохранять конфиденциальность накопленной информации является одной из приоритетных, а подчас и важнейшей из задач.
В связи с этим основной функции классического межсетевого экрана — фильтрации трафика по ограниченному набору правил — стало уже недостаточно. Политики информационной безопасности постепенно мутировали из разряда «можно» или «нельзя» в сторону «иногда можно» или «почти всегда нельзя». И современные устройства должны уметь под эти политики подстраиваться. Администраторы должны иметь возможность легко отслеживать и вносить изменения, контролировать соответствие правил установленным шаблонам, проводить аудит операций. Если говорить про защиту периметра в крупной организации (это и филиалы, и дополнительные офисы, и мобильные рабочие места) то здесь немаловажным становятся еще и средства управления (которые, к слову сказать, тоже должны относиться к категории средств «следующего поколения», то есть обладающих расширенными функциональными возможностями). Раньше достаточно было удаленного подключения к устройству и конфигурирования политики ИБ. В современном мире это далеко не так. Все аналитики отмечают, что все более востребованными становятся средства автоматизированного управления и централизованного администрирования решений по ИБ с автоматической верификацией политик безопасности, базовыми шаблонами и рекомендациями по защите, модулями оптимизации политик, ведения инцидентов, создания отчетов, визуализации потоков. Да и просто с возможностью создания правил на достаточно высоком уровне с целью
максимально простой трансляции «высокоуровневых» политик ИБ в «конкретные» правила
межсетевого экрана.
максимально простой трансляции «высокоуровневых» политик ИБ в «конкретные» правила
межсетевого экрана.
Все вышеперечисленное обусловило появление концепции Next Generation Firewall. В ее рамках межсетевые экраны становятся мощным инструментом, с помощью которого компания
может решать широкий спектр задач в области защиты информации.
может решать широкий спектр задач в области защиты информации.
Три года назад был обнародован доклад специалистов исследовательской и консалтинговой
компании Gartner, специализирующейся на рынках информационных технологий, под названием Defining the Next Generation Firewall. В этом докладе аналитики констатировали насущную необходимость появления NGFW — устройства, развивающего традиционный межсетевой экран в части дополнительных сервисов инспекции и контроля пользователей и приложений. Таким образом, в стандартной трактовке экран следующего поколения — это, по большому счету, межсетевой экран и система IPS с механизмами динамического слежения за сетевыми потоками. Все в одном.
компании Gartner, специализирующейся на рынках информационных технологий, под названием Defining the Next Generation Firewall. В этом докладе аналитики констатировали насущную необходимость появления NGFW — устройства, развивающего традиционный межсетевой экран в части дополнительных сервисов инспекции и контроля пользователей и приложений. Таким образом, в стандартной трактовке экран следующего поколения — это, по большому счету, межсетевой экран и система IPS с механизмами динамического слежения за сетевыми потоками. Все в одном.
Next Generation Firewall обладает рядом достоинств, суть которых сводится к наличию большого числа агрегированных функций в самом устройстве защиты. Это позволяет заказчику сэкономить при развитии и построении защищенной инфраструктуры. Так, например, не придется покупать, настраивать, интегрировать несколько устройств, а можно обойтись одним «шестируким семикрылом» — главное, чтобы заложенные функции были качественно и в полном объеме реализованы. Более того, присутствующие в таком устройстве средства контроля трафика позволят в большинстве случаев корректно работать с сервисами, обслуживающими бизнес-процессы.
«Постоянное совершенствование атак делает неизбежным переход от стандартных межсетевых экранов (МСЭ) к межсетевым экранам нового поколения, — подчеркивают в Gartner. — Заказчики должны обращать внимание не на количество, а на качество функций МСЭ и на
инвестиции производителя в разработку нового функционала».
инвестиции производителя в разработку нового функционала».
Современные межсетевые экраны, предназначенные для использования на периметре сети средней организации, перешагнули рубеж простого межсетевого экранирования и являются на сегодняшний день сложными устройствами. Они играют роль периметрового экрана, шлюза удаленного доступа, системы контроля утечек, системы обнаружения вторжений, антивирусного шлюза и др. Это уже многокомпонентные сложные устройства.
Выбор межсетевых экранов нового поколения достаточно широк, однако не стоит забывать, что российская специфика накладывает необходимость выбора сертифицированных средств защиты (говоря другими словами, прошедших в установленном порядке оценку соответствия).
Компания Stonesoft уже достаточно давно выпустила межсетевой экран нового поколения, который позволяет контролировать и пользователей, и приложения, имеет встроенную систему
обнаружения вторжений, функции для подключения удаленных сотрудников.
обнаружения вторжений, функции для подключения удаленных сотрудников.
Наши устройства классифицируют трафик не только по порту и протоколу, но также по приложению и пользователю, который его использует, и по типу передающегося содержимого. Все это помогает ИТ-департаментам и службам ИБ более эффективно контролировать риски, связанные с работой современных сетевых приложений.
Например, по результатам независимых тестов компании NSS Labs решение Stоnesoft FW-1301 получило статус «Рекомендовано» с максимально возможными показателями по целому ряду параметров. При этом следует учесть, что сравнительных тестах принимали участие 7 известных вендоров с решениями из класса NGFW.
Более того, Stonesoft Firewall подтвердил свой непревзойденный уровень защиты против техник обхода, а также отсутствие утечки трафика и общую стабильность работы. Показатели
100-процентной защиты от эксплойтов последних годов позволяют уверенно применять данное решение при высоких нагрузках даже в условиях сетевых атак.
100-процентной защиты от эксплойтов последних годов позволяют уверенно применять данное решение при высоких нагрузках даже в условиях сетевых атак.
Основываясь на отзывах клиентов Stonesoft во всем мире, NSS Labs так прокомментировал
способности Stonesoft NGFW по управлению в своем отчете: «Интерфейс управления продуктов Stonesoft хорошо спроектирован и интуитивно понятен. Пользователям межсетевого экрана Stonesoft не потребуется длительного обучения, поскольку настройка и обслуживание просты и хорошо продуманы».
способности Stonesoft NGFW по управлению в своем отчете: «Интерфейс управления продуктов Stonesoft хорошо спроектирован и интуитивно понятен. Пользователям межсетевого экрана Stonesoft не потребуется длительного обучения, поскольку настройка и обслуживание просты и хорошо продуманы».
В заключение следует отметить тот немаловажный факт, что серийное производство решений StoneSoft FW/VPN сертифицировано ФСТЭК по 4-му уровню контроля отсутствия недекларированных возможностей, 2-му классу как межсетевой экран и разрешено к использованию в автоматизированных системах до 1Г включительно.
А нашим российским заказчикам будет приятно узнать, что входящие в состав шлюза StoneSoft FW/VPN функции удаленного доступа и шифрования трафика в настоящее время завершают сертификацию по линии ФСБ России как СКЗИ классов КС1/КС2.
Дмитрий Ушаков,
руководитель отдела по подготовке и внедрению
технических решений Stonesoft Russia
Журнал LAN, февраль 2013
