Десять обязательных функций межсетевого экрана нового поколения

next generation firewallВ условиях сегодняшнего многообразия систем защиты от кибератак выбор межсетевого экрана – это не просто сравнение технических характеристик. Это выход на совершенно новый уровень, на котором на первый план выходит всесторонняя поддержка бизнес-процессов, а не их блокировка. Это уровень, на котором необходимо достичь оптимального соотношения потребностей компании и угроз безопасности, которые несут с собой современные приложения.

Приведем примеры приложений и угроз, которые могут исходить от использования этих приложений.

Распространенные приложения для конечных пользователей. К таким приложениям относятся социальные сети, файлообменники, передача видео и мгновенных сообщений, а также электронная почта. Это примерно 25% от всех приложений, используемых в сети и 20% от общего сетевого трафика. Некоторые из них сотрудники могут использовать для работы, другие же исключительно в личных целях. Очень часто эти приложения являются сложными по структуре и содержат функции, создающие нежелательный риск для организации. Задача межсетевого экрана состоит в том, чтобы добиться оптимального баланса, при котором некоторые приложения блокируются, а другие разрешаются с поддержанием необходимого уровня безопасности.

Основные бизнес-приложения. Это приложения, от которых зависит работа компании; они составляют наиболее ценные ресурсы (например, базы данных, файловые службы и службы печати, каталоги). Данная группа приложений постоянно является целью разнообразных кибератак, и задача межсетевого экрана состоит в том, чтобы определить, как лучше всего изолировать и защитить эти ресурсы от скрытых и целенаправленных атак.

Инфраструктура и нестандартные приложения. К данной группе относятся основные инфраструктурные приложения, например, SSL, SSH и DNS, а также приложения собственной разработки и неизвестные приложения. Такие приложения часто используются для маскировки команд и управляющего трафика, который создается ботами и другими вредоносными программами. Что интересно, многие их этих приложений используют самые различные нестандартные порты. Восемьдесят пять из 356 приложений, использующих SSL, никогда не используют порт 443, равно как и не используют порты, определенные в SSL (37 выполняют подмену портов, 28 используют порт TCP/80, 20 используют порты, отличные от TCP/443).

Межсетевые экраны, которые способны реализовать подход к управлению трафиком в зависимости от приложений, теперь обобщенно называются межсетевыми экранами «нового поколения», и каждый производитель межсетевых экранов подтверждает, что контроль приложений становится все более важной частью системы безопасности сети.

Любой межсетевой экран должен выполнять фундаментальные функции:

  1. Являться центральным компонентом инфраструктуры безопасности сети.
  2. Управлять доступом для всего трафика — разрешать или запрещать передачу данных в сеть в зависимости от установленной политики.
  3. Исключать риск, связанный со всем «неизвестным», благодаря использованию «позитивной» модели управления, при которой разрешается передача того, что явно указано, а все остальное — запрещается.

Критерии выбора межсетевого экрана обычно делятся на три основные области: функции безопасности, выполняемые операции и производительность.

Функциональные элементы системы безопасности обеспечивают эффективность управления безопасностью и способность межсетевого экрана управлять рисками, связанными с работой приложений в сети. С точки зрения выполняемых операций самый главный вопрос состоит в том, «где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять?» В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность? Несмотря на то, что каждая организация будет выдвигать свои требования и приоритеты, можно четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:

  1. Идентификация и контроль приложений на всех портах
  2. Идентификация и контроль приложений, способных обойти средства защиты
  3. Дешифрация SSL и контроль использования SSH
  4. Контроль функциональности приложений
  5. Возможность классификации и управления неизвестным трафиком
  6. Блокирование известных и неизвестных угроз в сетевом трафике
  7. Обеспечение одинакового уровня безопасности для всех пользователей и устройств
  8. Упрощение администрирования системы безопасности сети
  9. Обеспечение максимальной производительности при контроле приложений
  10. Поддержка аппаратного и виртуального форм-фактора

Идентификация и контроль приложений на всех портах

Разработчики приложений больше не привязываются к стандартным портам, протоколам и приложениям. Все большее число приложений в сети компании могут использовать разные, в том числе нестандартные порты (например, приложения обмена мгновенными сообщениями, приложения для обмена файлами или IP-телефонии). Кроме того, все большее число пользователей умеет направлять работу приложений через нестандартные порты (например, RDP, SSH). Чтобы перейти к использованию политик, ориентированных на приложения, а не на порты, необходим межсетевой экран, допускающий работу любого приложения на любом из портов.

Идентификация и контроль приложений, способных обойти средства защиты

Большинство организаций имеет внутренние политики сетевой безопасности и применяет механизмы, обеспечивающие их выполнение. Для обхода этих механизмов используются внешние прокси, инструменты управления удаленным сервером/рабочим столом и приложения, позволяющие туннелировать трафик. Например, приложения типа Teamviewer, Ammyy или GoToMyPC часто используются сотрудниками организации для подключения к домашним и другим компьютерам за пределами корпоративной сети в обход средств контроля. А частные прокси часто настраиваются на базе не классифицируемых IP-адресов с такими приложениями, как PHProxy или CGIProxy. Если организация не будет иметь возможности идентифицировать и контролировать использование этих инструментов обхода средств защиты, она не сможет обеспечить выполнение политик безопасности и будет уязвима для кибератак, связанных с такими приложениями. Межсетевой экран нового поколения должен эффективно обнаруживать и контролировать эти приложения, не привязываясь к конкретному порту, протоколу, методу шифрования или другой тактике обхода.

Дешифрация SSL и контроль использования SSH

Доля приложений, которые выполняют шифрование трафика по протоколу SSL в настоящее время превышает 25%. Все более частое применение HTTPS для многих распространенных приложений с высокой степенью риска (таких как Gmail, Facebook), а также возможность применения SSL на многих веб-сайтах означают, что специалисты службы безопасности теряют контроль над все большей частью сетевого трафика. А если учесть частое использование протокола SSH технически подкованными сотрудниками, то доля зашифрованного сетевого трафика оказывается еще больше. Межсетевой экран нового поколения должен обеспечивать идентификацию, дешифрацию и проверку трафика SSL на всех портах. Он должен быть достаточно гибким в настройках, чтобы не инспектировать весь SSL-трафик, если в этом нет необходимости и обеспечивать использование SSH только по назначению, как определено в политике.

Контроль функциональности приложений

Разработчики платформ приложений, таких как Google, Facebook, Salesforce.com или Microsoft оснащают приложения самыми разными функциями, которые представляют для организации значительную ценность. В тоже время избыточная функциональность приложений может привести к возникновению рисков информационной безопасности. Например, приложение Webex является эффективным бизнес-инструментом. Однако функция совместного доступа к рабочему столу (Webex Desktop Sharing), позволяющая осуществлять доступ к рабочим столам с внешнего источника и передавать файлы, способствует нарушению политик безопасности или нормативных требований. Межсетевой экран нового поколения должен постоянно осуществлять классификацию каждого приложения, отслеживая все изменения в его работе, которые могут указывать на использование той или иной функции этого приложения. Если в ходе сеанса возникла новая функция или компонент, межсетевой экран должен уловить это изменение и инициировать проверку на базе политики.

Возможность классификации и управления неизвестным трафиком

В небольших количествах неизвестный трафик присутствует в каждой сети. Это может быть пользовательское приложение, не идентифицированное коммерческое приложение или потенциальная угроза. Неизвестный трафик любого происхождения и типа представляет собой серьезный риск для бизнеса и безопасности, так как он часто бывает связан с сетевыми угрозами. Например, для атаки на веб-сервер злоумышленнику может потребоваться изменение заголовка HTTP, в результате которого трафик больше не будет идентифицироваться как веб-трафик. Вредоносное ПО также часто использует модифицированные протоколы для связи с командным центром. Блокирование всего неизвестного трафика не является эффективным решением, так как это может стать препятствием для работы бизнес-процессов. А полное разрешение – это очень высокий риск. Сбалансированным подходом станет систематическое применение классификации, анализа и контроля трафика на базе политик. Такой подход позволит уменьшить риск и устранит преграду для бизнес-процессов. Межсетевой экран нового поколения должен выполнять классификацию всего трафика, легко определять характеристики пользовательских приложений так, чтобы они переходили в категорию «известных» приложений, анализировать трафик, устанавливая, не является ли он угрозой и обеспечивать прогнозируемую визуализацию и контроль трафика, который остается неизвестным.

Блокирование известных и неизвестных угроз в сетевом трафике

Организации постоянно внедряют все новые и новые приложения, повышающие эффективность бизнеса, размещенные как внутри локальной сети, так и за ее пределами. Будь это SharePoint, Box.com, Google Docs, Microsoft Office 365 или иное приложение, организация может использовать приложение, способное работать через нестандартные порты, использовать SSL или предоставлять совместный доступ к файлам. Такие приложения повышают эффективность бизнеса, но представляют собой серьезный риск информационной безопасности. Межсетевой экран нового поколения должен обеспечивать безопасное разрешение приложений, сканировать приложения и сетевой трафик на наличие вирусов, руткитов, шпионов и другого вредоносного ПО, контролировать передачу файлов и обнаруживать уязвимости.

Обеспечение одинакового уровня безопасности для всех пользователей и устройств

Многие из пользователей работают удаленно и считают само собой разумеющимся, что они могут в любой момент подключиться к необходимым приложениям с планшета или смартфона через Wi-Fi, 3G или любой другой доступный вид связи. Независимо от местоположения пользователя или типа используемого устройства требуется обеспечение одного и того же уровня защищенности в сети. Межсетевой экран нового поколения должен обеспечивать визуализацию и контроль приложений для любого авторизованного пользователя не только внутри локальной сети организации, но и за ее пределами.

Упрощение администрирования системы безопасности сети

Сотрудники службы сетевой безопасности вынуждены управлять огромным количеством информационных потоков, множеством политик безопасности и большим числом интерфейсов управления устройствами. При этом сам процесс управлению сетевой доступностью новых приложений не всегда является тривиальным. Например, приложение Microsoft Lync использует множество динамических портов для своей работы. Как разрешить безопасно работать этому приложению, в том числе удаленным пользователям? Как контролировать трафик, которые также может использовать открытые для Microsoft Lync порты? Межсетевого экран нового поколения должен позволять быстро и эффективно управлять доступностью новых динамичных приложений, контролировать, что именно нужное приложение использует выделенные ресурсы.

Обеспечение максимальной производительности при контроле приложений

Многие организации ведут постоянную напряженную работу, пытаясь добиться оптимального баланса между производительностью и безопасностью сетевых устройств. Нередко активация всех функций сетевой безопасности означает то, что пропускная способность и производительность будут существенно снижены. Для выполнения ресурсоемких вычислительных задач (таких как идентификация приложений) в среде высокоинтенсивного трафика, требующих минимизации задержек в работе, межсетевой экран нового поколения должен быть оснащен выделенными аппаратными ресурсами, оптимизированными под соответствующий функционал.

Поддержка аппаратного и виртуального форм-фактора

Виртуализация предлагает огромные преимущества, но вместе с тем – и огромные проблемы в области безопасности. Традиционные межсетевые экраны, управляющие портами и протоколами, с трудом справляются с задачами, связанными с автоматизированным развертыванием и удалением виртуальных машин. Динамический характер виртуализированного центра обработки данных предполагает, что защита трафика, проходящего в виртуальной среде (трафик «восток-запад»), должна также осуществляться динамически и автоматически. Межсетевой экран нового поколения должен поддерживать одинаковый набор функциональных возможностей как в аппаратном, так и виртуальном форм-факторе. Он должен легко интегрироваться в среду виртуализации для обеспечения гарантированного применения политик на уровне приложений, с учетом постоянного появления и удаления виртуальных машин.

Заключение

От выбора и работы приложений зависит, насколько эффективно пользователи будут выполнять свою работу и насколько успешно компания будет конкурировать в своей отрасли. Однако пользователи постоянно применяют новые приложения и технологии, непреднамеренно открывая двери перед новыми угрозами сетевой безопасности. Разрешить им пользоваться всем, что бы они не пожелали, было бы неразумно. В то же время, запретив внедрение нового, можно создать препятствия для развития бизнеса. Именно поэтому безопасное разрешение приложений становится все более важным атрибутом любой политики безопасности. Безопасное разрешение приложений будет наиболее эффективным при систематическом и последовательном определении задач и сценариев их использования, документальном оформлении требуемой модели использования и формирования соответствующей политики, а также при реализации этой модели использования с помощью выбранной технологии. Эта статья поможет выбрать все необходимые средства и инструменты управления особенно в условиях невероятного разнообразия и огромного числа приложений и угроз. Без создания инфраструктуры сетевой безопасности, способной управлять подобным многообразием, невозможно обеспечить безопасное разрешение необходимых приложений и управлять рисками. С этими задачами может успешно справиться межсетевой экран нового поколения, обладающий всеми 10 функциями, о которых говорилось в этой статье.

Более подробную информацию о межсетевых экранах нового поколения, стоимости, условиях тестирования Вы сможете получить, обратившись по адресу info@sovit.net, заполнив форму обратной связи или позвонив по телефону +7 (495) 120-2530, +7 (499) 265-02-09.



СОВИТ

Аналитика

Архив

Новости

Архив