Борьба за кибербезопасность с каждым днем становится все более напряженной для компаний, и иметь представление о ее основных инструментах сегодня нужно не только специалистам по информационной безопасности. Данная статья – попытка рассказать в упрощенной форме об одном из таких инструментов, а именно NGFW. Что это за решение и кому оно подходит, ИБ-эксперты знают хорошо, а вот новички в данной сфере, надеюсь, почерпнут из этого материала что-то полезное для себя.
NGFW – дословно «межсетевой экран следующего поколения» – это решение для обеспечения безопасности, которое сочетает в себе традиционные возможности брандмауэра с дополнительными функциями, такими как системы предотвращения вторжений (IPS), контроль приложений и глубокая проверка пакетов. Эти возможности позволяют NGFW обеспечивать защиту от сложных угроз и детальный контроль над сетевым трафиком.
Расширенный функционал
Решения NGFW выполняют все основные задачи межсетевого экрана с проверкой состояния (фильтрация пакетов, IPSec, поддержка SSL VPN, мониторинг сети и возможности сопоставления IP-адресов), а также предлагают расширенные функции проверки содержимого, которые позволяют обнаруживать и блокировать атаки, вредоносное ПО и другие угрозы.
NGFW оснащены функциями проверки SSL, контроля приложений, предотвращения вторжений и расширенными возможностями отслеживания полноповерхностных атак.
В сравнении с традиционными межсетевыми экранами, этот тип решений идентифицирует трафик и привязывает его к конкретному пользователю, также он способен идентифицировать приложения. Для этого используются службы репутации или идентификации, такие как Active Directory.
Процесс происходит следующим образом: все данные, передаваемые по сети или через интернет, разбиваются на более мелкие части – «пакеты». Затем NGFW подробно проверяет каждый из них – исходные и конечные IP-адреса, порты и протоколы, откуда приходит каждый пакет, куда он направляется, и как он туда попадет.
По итогам этой оценки система либо блокирует, либо пропускает пакет данных. В результате точность распознавания и скорость предотвращения инцидентов значительно повышаются в сравнении с традиционными инструментами.
Традиционный межсетевой экран осуществляет защиту от 2 до 4 уровня (канального, сетевого и транспортного) по сетевой модели OSI, а в NGFW сверх того реализована защита уровней 5-7 (управление сеансом связи, представление и шифрование данных, уровень приложений).
NGFW как продукт
NGFW может быть «упакован» в формат готового продукта для предоставления его функциональных возможностей бизнесу. Это упрощает развертывание, настройку и дальнейшую поддержку работы инструмента в ИТ-периметре компании.
«NGFW-как-сервис» может включать в себя:
готовый образ виртуальной машины (виртуальное приложение) с NGFW;
дополнительные модули и компоненты для расширения области проверки трафика;
услуги по сопровождению и настройке (или ИТ-консалтинг) – специалисты проводят работы по анализу топологии инфраструктуры клиента и разворачивают NGFW;
техническую поддержку, помощь с регулярными обновлениями и настройкой.
Одним из преимуществ NGFW является возможность существенного расширения функционала за счет дополнительных модулей, например:
проверкой почтового трафика с помощью модуля антиспама;
модулем расширенной защиты с белым и черным списками сайтов, включая списки Роскомнадзора, списком фишинговых сайтов, морфологическими базами;
модулем веб-безопасности (блокировка рекламы, история поиска, безопасный поиск, блокировка приложений социальных сетей);
кластером отказоустойчивости для обеспечения непрерывной работы;
потоковым антивирусом;
модулем для уменьшения нагрузки на шлюз за счет перекладывания обработки журналов, создания отчетов и процессинга других статистических данных на внешний сервер;
центром управления, в котором администратор может выполнять мониторинг управляемых устройств, применять необходимые настройки, создавать политики, применяемые к группам устройств для обеспечения безопасности корпоративной сети.
Как правило, в продукт NGFW включаются и вспомогательные компоненты типа анализатора записи журнала событий и центра управления инцидентами. Виртуальные межсетевые экраны поставляются в виде готового образа для VMware, Hyper-V, SharxDC и прочих систем виртуализации.
Потенциальные пользователи
Для того, чтобы провести грамотную настройку NGFW, специалисты облачных провайдеров проводят анализ ИТ-инфраструктуры клиента. Наш опыт показывает, что на российском рынке сегодня можно выделить три группы компаний, для которых решения NGFW, предоставляемые по сервисной модели, наиболее актуальны на сегодняшний день.
Группа 1. Компании сегмента малого и среднего бизнеса с общим количеством пользователей до 200. Такие компании зачастую уже использует межсетевой экран. При анализе ситуации, как правило, выявляется ряд проблем, например:
проблема с производительностью используемого решения. С развитием бизнеса растет и потребление трафика, старые решения, которые применяет компания, не справляются;
неудобство администрирования в силу разрозненности панелей управления и их интерфейсов;
отсутствие необходимого функционала;
ограниченные возможности или неготовность компании держать в штате ИБ-специалистов для постоянной поддержки решения.
Группа 2. Компании, которые в силу специфики своей деятельности и ряда требований, предъявляемых со стороны регулирующих органов, используют исключительно сертифицированные решения отечественных и зарубежных вендоров. Чаще всего эти компании решают с помощью межсетевых экранов такие задачи, как:
межсетевое экранирование;
система обнаружения вторжений;
защита периметра от вредоносного контента и скриптов;
контроль интернет-пользователей;
интернет-фильтрация;
фильтрация по категориям, блокировка доступа к запрещенным сайтам из списков Роскомнадзора, а также экстремистских материалов из списка министерства юстиции РФ (ФЗ-114 «О противодействии экстремистской деятельности»);
мониторинг использования интернета, статистика и отчетность.
Группа 3. Пользователи зарубежных решений. Для таких компаний особенно остро стоит вопрос поиска альтернативных решений среди российских вендоров, так как решения от зарубежных производителей из-за отсутствия поддержки практически потеряли актуальность в России. Основные проблемы, связанные с продолжением эксплуатации этих решений:
высокая стоимость продления;
невыполнение требований по импортозамещению;
ограниченная поддержка русского языка;
слабая адаптация к требованиям российского законодательства;
невозможность адаптации к специфическим требованиям клиента (например, поддержки российских DLP-систем);
отсутствие сертификатов ФСТЭК и невозможность их получения по новым требованиям;
сложности с обновлением или продлением доступа к решению, связанные с уже состоявшимся уходом поставщика решения с российского рынка или риском ухода.
Для всех описанных выше групп пользователей NGFW-как-сервис несет в себе определенные преимущества, в частности:
более продвинутый уровень защиты инфраструктуры по сравнению с традиционными сетевыми экранами;
повышение скорости внедрения: не требуется проводить масштабный проект внедрения и закупки оборудования и программного обеспечения, при этом риски кибератак, утечек данных и других инцидентов безопасности, которые могут иметь катастрофические последствия для их деятельности и репутации, снижаются в разы;
снижение совокупной стоимости владения: клиент не несет затраты на покупку отдельного сервера, OS, поддержку и обновления. NGFW он получает не как ПО, устанавливаемое на операционную систему, а как готовое к использованию приложение;
оптимизация ресурсов персонала: расширенная поддержка решений, предоставляемых по модели «как услуга», сокращает потребность компании в выделении собственных экспертов для эксплуатации сервиса (что, безусловно, не отменяет потребности в собственных ИБ-специалистах в штате как таковых – речь идет о наиболее эффективном использовании их рабочего времени).
amarhgil
Контроль интернета и доступа в него решаются с помощью SWG, а не NGFW
bratspb Автор
Приветствую. NGFW, как правило, объединяет функциональность SWG (Security Web Gateway) с классическими брандмауэрами, антивирусами и IDS. Основная идея - объединение функций фильтрации на разных уровнях модели OSI в один шлюз.