16.05.2025 12:32
Solar_webProxy 0 179 Источник

В современном мире киберугрозы становятся все более изощренными, поэтому сетевой периметр организации требует все больше внимания. Многие компании привыкли выстраивать защиту с помощью продвинутых межсетевых экранов нового поколения (next generation firewall, NGFW). Такие решения действительно обеспечивают широкий спектр функций: от фильтрации сетевых пакетов до предотвращения вторжений. Однако на практике NGFW не всегда оптимален и эффективен для борьбы с угрозами, скрытыми в легитимном веб-трафике. В этой колонке я – Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар, – хочу поговорить о работе с веб-трафиком — области, где возможности NGFW лучше всего дополнить с помощью системы класса SWG (Secure Web Gateway).

Какова разница между NGFW и SWG

Оба типа решений предназначены для фильтрации и мониторинга сетевого трафика, но они работают на разных уровнях сетевого взаимодействия, обрабатывая различные сущности, а потому применяются в разных сценариях. NGFW, выполняя фильтрацию сетевых пакетов, сочетает в себе традиционные возможности межсетевого экрана (фильтрация трафика по IP-адресам, портам и протоколам) с дополнительными опциями: глубокой проверкой пакетов (DPI), предотвращением вторжений (IPS), анализом трафика. В результате компания может анализировать входящий и исходящий трафик, обнаруживать аномалии и блокировать потенциальные атаки: активность вредоносное ПО, применение эксплойтов, попытки несанкционированного доступа.

SWG в свою очередь обрабатывает запросы и ответы пользователей и действует как промежуточный сервер между пользователями и веб-ресурсами, обеспечивая фильтрацию HTTP(S)-трафика, контроль доступа к сайтам, защиту от вредоносных ресурсов и предотвращение утечек данных. Основное назначение SWG — обеспечение контролируемого и безопасного доступа сотрудников к интернет-ресурсам. Благодаря высокой степени детализации политик, система позволяет управлять доступом на глубоком уровне: с учетом категорий и конкретных URL, типов контента, времени, устройств и других параметров. Такой гранулярный подход обеспечивает не просто фильтрацию, а точное соответствие требованиям безопасности, включая предотвращение утечек данных и блокировка фишинговых атак.

В сегодняшних условиях возможности SWG выходят на первый план — с эволюцией ландшафта киберугроз все больше рисков связано с активностью веб-приложений и интернет-контентом. Злоумышленники научились маскировать свои действия в легитимном веб-трафике, активно применяют фишинг и социальную инженерию. По отраслевым данным, доля зашифрованного веб-трафика в общем объеме уже превышает 70%: такой масштаб требует дополнительных инструментов контроля и безопасности, чтобы избежать проникновения ВПО в инфраструктуру таким способом, устранить риски утечек или злонамеренных инсайдерских действий.

Предоставлено ГК "Солар"
Предоставлено ГК "Солар"

Нагружать NGFW задачами глубокого анализа веб-трафика зачастую неэффективно, поскольку это может значительно нагрузить ресурсы системы. В результате организации рискуют столкнуться с с рисками финансовых и репутационных потерь, связанные с возможными инцидентами безопасности и заражением инфраструктуры, что может негативно сказаться на бизнес-процессах.

Именно поэтому Gartner называет SWG обязательной частью комплексной архитектуры безопасности. Эти системы проверяют и блокируют нежелательный контент еще до того, как он попадает к пользователю, и автоматически регулирует доступ к веб-ресурсам согласно корпоративным политикам.

Как SWG дополняет NGFW

Главный вклад SWG в корпоративную безопасность — это возможность продвинутой интернет-фильтрации и гибкая настройка интернет-доступа для пользователей с различными способами подключения, будь то обычные офисные сотрудники, работающие за ПК или ноутбуками, либо удаленный персонал, мобильные пользователи, сотрудники, работающие с личных устройств и т.п.

По данным исследований, у современного SWG должны быть следующие возможности:

  • Продвинутая веб-фильтрация: анализ и проксирование веб-трафика HTTP(S), FTP(S) и SOCKS, глубокий анализ веб-страниц, включая динамические и зашифрованные, категоризация веб-контента, инспекция зашифрованного трафика без снижения производительности и с поддержкой динамических исключений для чувствительных сервисов (например, банковских приложений).

  • Встроенные механизмы безопасности: проверка и блокировка файлов в трафике по разным параметрам, интеграция с DLP, антивирусами и песочницами, блокировка фишинговых ресурсов, С2С и других вредоносных ресурсов (URL, домены и IP).

  • Профилирование пользователей: гибкие политики доступа к веб-ресурсам по конкретным URL, IP-адресам, категориям, репутации и контенту, контроль доступа по геолокации, устройству и времени суток, поддержка удаленных пользователей, в том числе при работе с собственных устройств.

  • Аналитика и расследование инцидентов: сбор, хранение и анализ логов, взаимодействие с платформами киберразведки для регулярного получения данных об актуальных угрозах (IoCs), удобная отчетность с визуализацией данных.

Архитектура SWG-решения на примере Solar webProxy
Архитектура SWG-решения на примере Solar webProxy

По этому списку видно, что SWG может существенно сократить нагрузку на NGFW, забирая на себя задачу инспекции зашифрованного пользовательского трафика и его детальной проверки. Однако еще важнее тот факт, что при совместном использовании NGFW и SWG дополняют друг друга, позволяя компании добиваться качественно нового уровня защищенности.

Как NGFW и SWG обеспечивают синергию

Объединение функций SWG и NGFW в рамках единой архитектуры безопасности дает компании максимальный уровень контроля над трафиком. В такой архитектуре NGFW обеспечивает фильтрацию сетевых пакетов и рассматривает угрозы сетевого уровня, а SWG обеспечивает фильтрацию запросов и ответов, выявляя угрозы именно в них. Разделение контроля пользовательского трафика позволяет более эффективно использовать NGFW для решения задач поиска угроз на сетевом уровне, отдавая противодействие атакам на уровне приложений (L7 по модели OSI), а также детальное логирование событий, связанных с доступом пользователей в Интернет, на откуп SWG.

Компания может не просто блокировать сетевую активность, но и изучать, чем интересуются и занимаются в интернете сотрудники, а также анализируя, какие данные пытаются публиковать вовне. Традиционно для подобных целей используются DLP-системы, однако они ограничивают обзор внутренней сетью, в то время как SWG предоставляет дополнительную информацию для создания полной картины.

Возможности и ограничения NGFW и SWG
Возможности и ограничения NGFW и SWG

SWG располагается за межсетевым экраном в DMZ. Веб-трафик пользователей и приложений посредством прокси направляется на SWG, откуда поступает на межсетевой экран.  После проверки трафика SWG, разрешенный трафик может маршрутизироваться на NGFW и проходить по сокращенному набору правил политики, разгружая NGFW от непрофильных проверок и при этом высвобождая ресурсы для анализа наличия сетевых атак и аномалий.

Фильтрующие сервера SWG можно масштабировать горизонтально, добавляя новые узлы с помощью балансировщиков нагрузки. Это позволяет распределять трафик между инстансами и повышать отказоустойчивость. Система класса SWG позволяет существенно снизить затраты на фильтрацию трафика при выходе пользователей в интернет. Это достигается за счёт того, что такие решения, как правило, поставляются в виртуальном исполнении и ориентированы на решение более узкого круга задач. В результате для целей обеспечения безопасного доступа в интернет SWG становится более доступной альтернативой по сравнению с NGFW.

Архитектура безопасности при совместном использовании NGFW и SWG
Архитектура безопасности при совместном использовании NGFW и SWG

При совместном использовании SWG и NGFW задачи распределяются оптимально: SWG обрабатывает веб-трафик, освобождая NGFW для защиты сетевого периметра. Это не только повышает эффективность каждого компонента, но и делает инфраструктуру более экономически выгодной, обеспечивая максимальную отдачу от инвестиций в безопасность.

Заключение

Напоследок рассмотрим выбор, с которыми сталкиваются многие компании: внедрять выделенный SWG или использовать нативные функции NGFW, которые зачастую включают опции веб-прокси.

По опыту очевидно, что специализированный инструмент всегда справляется с задачей лучше, чем решение-комбайн. Если забрать часть ресурсов NGFW на контроль действий пользователей, ему не хватит мощностей для контроля сетевых пакетов. Это сразу скажется на производительности корпоративных интернет-каналов.

На графике ниже — приближенные к реальным данные одной компании, которая столкнулась с такой ситуацией. После запуска NGFW скорость выхода в интернет планомерно снижалась с ростом атак на инфраструктуру. Решению не хватало ресурсов, чтобы качественно выполнять все функции, и это быстро почувствовали сотрудники.

Как рост кибератак влияет на пропускную способность прокси-сервера
Как рост кибератак влияет на пропускную способность прокси-сервера

При использовании выделенного SWG такая динамика не наблюдается — скорость интернет-доступа остается стабильной вне зависимости от объема атак. В этой архитектуре SWG позволяет отслеживать действия пользователей, в то время как NGFW может эффективно отражать атаки на сетевую инфраструктуру. А если потребуется  масштабирование, реализовать его с помощью SWG проще, тогда как масштабирование NGFW, как правило, требует внедрения дополнительных аппаратных ресурсов и продуманной настройки маршрутизации.

Комментарии (0)