Крок: Управление сервисами информационной безопасности (Cisco Powered Managed Security)

Продукт
Разработчики: Крок
Дата последнего релиза: 2015/12/12
Технологии: IaaS - Инфраструктура как услуга,  Центры обработки данных - технологии для ЦОД

Управление сервисами информационной безопасности (Cisco Powered Managed Security) - комплекс технологических решений, направленных на обеспечение безопасности сетевой инфраструктуры.

В состав услуги управления сервисами информационной безопасности (Cisco Powered Managed Security) входит установка и конфигурирование компонентов системы информационной безопасности:

  • межсетевые экраны;
  • система обнаружения вторжения.

Особенности сервиса:

  • быстрое разворачивание и настройка услуги;
  • возможность гибкого масштабирования услуги под меняющиеся требования заказчика;
  • отсутствие расходов на поддержку и сервис;
  • использование проверенных и сертифицированных решений для обеспечения безопасности.


Межсетевые экраны

В качестве программного обеспечения действуют устройства компании Cisco c модулями межсетевого экранирования, каждый из которых осуществляет обработку мульти-протокольного трафика на скорости 10 Гбит/с. Для повышения отказоустойчивости работы серверных приложений используется дублирование шасси устройств и модулей. Все интер- и интра- шасси модули межсетевых экранов Cisco объединяются в кластер. Кластер интерфейсы соединяются с коммутаторами ядра сети Заказчика по технологии Etherchannel. Для взаимодействия участников кластера между собой используется изолированная VLAN сеть, которая объявляется как на модулях межсетевого экранирования, так и на устройствах ядра сети. Все участники кластера находятся в активном режиме балансируя проходящий трафик между собой. При выходе из строя одного из шасси Cisco ASA, трафик прозрачно переходит на рабочее шасси Cisco ASA; при выходе из строя одного из модулей ASA трафик переадресовывается на менее загруженный работоспособный ASA модуль одного из шасси Cisco ASA тем самым обеспечивая высокую доступность и избыточность сетевых сервисов.

Прохождение трафика через кластер устройств ASA, (2015)
Прохождение трафика через кластер устройств ASA, (2015)

В момент выхода из строя одного из модулей кластера, все последующие пакеты переадресовываются оставшимся модулям, балансируя нагрузку между собой. Для трафика используются 10 Гбит/с интерфейсы, которые также соединяются с коммутаторами ядра сети, используя технологию Etherchannel по протоколу LACP, согласно рекомендациям производителя. Кластеризация межсетевых экранов обеспечивает высокую избыточность и агрегированную пропускную способность. Так один модуль осуществляет обработку трафика на скорости 10 Гбит/с в мультипротокольном режиме, а кластер модулей межсетевых экранов в целом обеспечивает скорость до 28 Гбит/с.

Межсетевой экран выполняет маршрутизацию трафика, используя статическую маршрутизацию и динамическую маршрутизацию EIGRP. Сеть доступа каждой системы доступна через соответствующий интерфейс VLAN коммутатора ядра. Межсетевой экран защищает внутреннюю сеть Заказчика от неавторизованного доступа и различного рода атак. С целью анализа настраивается инспекция трафика на уровне приложений (Application Inspection). Весь трафик, который проходит через межсетевой экран анализируется с помощью адаптивного алгоритма безопасности. В рамках анализа трафика межсетевой экран также может выявлять угрозы безопасности сети предприятия.


Средствами межсетевого экрана обеспечивается функционал:

Поддержка Network Address Translation (NAT)

Позволяет заказчику использовать неуникальные адреса и скрывать своё внутреннее адресное пространство за одним или несколькими публичными адресами. Таким образом, у атакующего нет возможности получить доступ к этим устройствам, узнав приватный адрес. Также сервис NAT позволяет приватной ip сети (local unicast) получать доступ в интернет оттранслировав адреса в IP-header.

Поддержка De-Militarized Zone (DMZ)

Сервис используется, когда заказчику необходимо защитить серверы, опубликованные в интернете. Обычно сеть разделена на различные сегменты, каждый со своим уровнем защиты. Например, внутренняя зона имеет наивысший уровень защиты, а интернет — наименьший. Стандартная политика защиты разрешает подключения изнутри-наружу, но не наоборот. Пользователи внутреннего и внешнего интерфейса должны иметь доступ к серверам, находящимся в DMZ сегменте, который обычно имеет средний уровень защиты, т.е. ниже, чем у внутреннего интерфейса, но выше чем у внешнего. DMZ не может инициировать сессию во внутреннюю сеть.

Поддержка stateful firewall inspection

Stateful firewall inspection отслеживает состояние трафика или соединений, чтобы в свою очередь разрешить легитимного трафику «прийти» из интернета в корпоративную сеть. Это обеспечивается за счет мониторинга установленных сессий изнутри-наружу и только в этом случае обратные пакеты могут вернуться. Проверяется не только уровень, с которого пришёл пакет, но также состояние трафика и соединений. Пример этому, механизм TCP, когда при установлении сессии посылается SYN,в ответ приходит SYN-ACK, если сессия установлена.

Поддержка authentication proxy

Опция, позволяющая сетевым администраторам в случае необходимости создать политики безопасности (индивидуальные для каждого пользователя), позволяющие предоставить доступ к сети только после прохождения аутентификации. Если аутентификация не пройдена или подгружаемые правила для данного пользователя не разрешают специфичный трафик, то пользователь не получит доступ к запрашиваемому ресурсу.

Поддержка transparent firewall

При необходимости внедрения межсетевых экранов без нарушения маршрутизации (т.е. межсетевые экраны должны быть прозрачными и не требовать изменения настроек остального оборудования). Для этого межсетевые экраны поддерживают специальный режим прозрачности, единственным условием которого является то, что входящий и исходящий интерфейсы для трафика должны быть различными.

Поддержка stateful inspection для зашифрованного трафика

Если для предоставления внешних сервисов используется шифрование (VPN или HTTPS), межсетевой экран не увидит содержимое трафика. Для проверки трафика на соответствие политикам безопасности используется специальный дизайн, позволяющий сначала произвести дешифровку трафика (VPN- или SSL-decryption). В случае необходимости трафик можно снова зашифровать и переслать дальше.

Идентификация пользователей и обеспечение доступа

Межсетевой экран отслеживает состояние сессий и их количество. Это гарантирует защиту от переполнения памяти устройства и от повышенной загрузки CPU (как межсетевого экрана, так и конечных устройств). Листы ограничения доступа (ACL) позволяют сегментировать пользователей при работе с ресурсами (как внешним, так и внутренним), а применение технологии раздельного туннелирования описывает правила, по которым следует шифровать/не шифровать пользовательский трафик.

Контроль приложений

Технология инспектирования содержимого пакетов позволяет межсетевому экрану обнаруживать трафик систем передачи мгновенных сообщений и точка-точка, а также блокировать его при необходимости. Содержимое пакетов проверяется на соответствие заголовков пакетов их наполнению для известных форматов (HTTP, SMTP и т.д.) и если, например, внутри пакета TCP/80 присутствует не HTTP-трафик, а другой, или заголовок HTTP не корректно сформирован, то такой трафик отбрасывается, чтобы исключить влияние такого нежелательного трафика на сервер.

Контроль Internet Control Message Protocol (ICMP)

Межсетевые экраны способны отслеживать работу протокола ICMP. В частности ICMP ответы извне будут разрешены только в том случае, если был послан запрос изнутри, при этом будут ожидаться только пакеты echo-reply, time-exceeded, destination unreachable и timestamp reply.

Блокировка Java

Технология инспектирования содержимого пакетов позволяет межсетевому экрану обнаруживать Java в HTTP-трафике. Так как выполнение кода Java может нанести вред, то можно сбросить трафик HTTP с Java-кодом, чтобы исключить влияние такого нежелательного трафика на сервер или на конечного пользователя.

Контроль Session Initiation Protocol (SIP)

Межсетевой экран инспектирует содержимое SIP-пакетов, отвечающих за сигнализацию голосового трафика. Так как заголовок SIP-пакета содержит информацию об IP-адресах участников, а прохождение через NAT меняет только заголовки IP-пакета, то прохождение через NAT нарушает работу SIP. Контроль SIP позволяет менять заголовок SIP-пакета и проверять его на корректность и соответствие RFC.

Поддержка протокола H.323

Контроль протоколов SCCP и H.323 позволяет контролировать работу сигнализации и медиатрафика. Это позволяет выполнять подмену IP-адресов в заголовках пакетов, а также динамически открывать разрешающие правила для медиатрафика, если в сигнализации обнаружена инициализация голосового трафика.

Отказоустойчивость межсетевых экранов

Для обеспечения отказоустойчивости на аппаратном уровне используется решение High Availability, позволяющее резервному межсетевому экрану подменить вышедший из строя активный межсетевой экран, при этом вся информация о состоянии сессий активного межсетевого экрана постоянно реплицируется на резервный, что позволяет не сбрасывать текущие сессии и не переустанавливать их заново.

Резервное копирование конфигурации

Межсетевой экран имеет возможность экспортировать конфигурацию оборудования не только локально на flash, но и на внешнее хранилище. Также для восстановления системы имеется возможность импорта с внешней системы хранения конфигурации. Для экспорта и импорта поддерживаются протоколы TFTP, FTP, HTTP, HTTPS, SCP.

Система обнаружения вторжения

Средствами системы обнаружения вторжений обеспечивается функционал: Возможности обнаружения вторжений Поскольку любое вредоносное ПО имеет характерное поведение, которое возможно описать неким шаблоном, то IPS ведет обнаружение трафика, соответствующего подобным шаблонам, заранее описанным в системе (такие шаблоны называются сигнатурами).

Профилирование сервиса

Поскольку проверка трафика на сигнатуры - ресурсоемкий процесс, то правильный подход - анализ сети заказчика и трафика в сети, определение необходимости включения тех или иных сигнатур.

Мониторинг вторжений

Для описания поведения вредоносного ПО в сигнатурах используются так называемые движки, отвечающие за принципиально разное поведение данного ПО. Выбор корректного движка при описании сигнатуры определяет, как именно будет отслеживаться трафик: по содержимому одного пакета, по набору символов, присутствующему в наборе пакетов, по количеству конечных устройств, участвующих в обмене трафиком, по направлению атаки и т.д. При срабатывании сигнатуры генерируется сообщение с информацией о типе угрозы и ее рейтинге.

Управление сигнатурами

База сигнатур постоянно обновляется с сайта Cisco.com. Есть возможность создания собственной сигнатуры, описывающей поведение трафика с использованием одного из движков. Сигнатуры можно включать/выключать, менять реакцию в случае срабатывания (оповещать, сбрасывать, выполнять TPC reset, менять содержимое и пр.).

Обработка инцидентов

Поведение некоторого ПО направлено на продолжительность действий или на группу конечных устройств. В этом случае, если одна и та же угроза повторится 100 раз в течение некоторого времени или будет направлена на 100 конечных устройств, то IPS определит это как 100 срабатываний сигнатур. Такое поведение усложняет анализ проблемы и увеличивает количество сообщений в журнале. Для избежания избыточности сообщений используется функционал суммаризации (Summarizer) и генерации метасобытий (Meta Event Generator). Суммаризатор генерирует только одно событие, в котором сообщается о количестве аналогичных срабатываний, а генератор метасобытий позволяет объединить несколько событий в одно. Например, если сработали сигнатуры A, B, C и D, и все они описывают работу одного и того же вируса, который работает используя различные технологии, то будет создано только одно событие E=A+B+C+D, описывающее групповое поведение данных сигнатур.

Резервирование IPS

Так как IPS является независимым модулем в Cisco ASA и отказ в работе данного модуля может вызвать прекращение передачи трафика, то разработан специальный механизм, при котором активная Cisco ASA отслеживает состояние модуля IPS и в случае его отказа переходит на резервную Cisco ASA с рабочим IPS модулем. Это позволяет избежать потерь данных в случае нарушения работы IPS.



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (1)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

  VMware (45, 84)
  Cisco Systems (44, 54)
  Крок (2, 22)
  Dell EMC (45, 21)
  IBM (44, 21)
  Другие (548, 262)

  VMware (2, 6)
  Крок (2, 5)
  Bull (Atos IT Solutions And Services) (2, 3)
  Булат НИЦ (2, 3)
  Stack Group (Стек Групп) (1, 3)
  Другие (30, 34)

  VMware (4, 15)
  Утилекс (Utilex) (6, 6)
  Крок (1, 4)
  Mellanox Technologies (2, 3)
  Teradata (2, 2)
  Другие (19, 22)

  Cisco Systems (6, 12)
  Крок (1, 7)
  Stack Group (Стек Групп) (1, 6)
  VMware (1, 5)
  SAP SE (1, 3)
  Другие (31, 33)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2016 год
2017 год
2018 год
Текущий год

  Cloud4Y (ООО Флекс) (1, 18)
  Microsoft (1, 10)
  Техносерв (1, 9)
  SAP SE (3, 7)
  Крок (1, 7)
  Другие (23, 42)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2016 год
2017 год
2018 год
Текущий год

  Microsoft Azure - 82 (62, 20)
  Cloud4Y IaaS - 53 (51, 2)
  IT-Grad Cloud IaaS - 53 (53, 0)
  CorpSoft24: Виртуальный сервер - 26 (26, 0)
  Техносерв Cloud - 23 (23, 0)
  Другие 277

  Cloud4Y IaaS - 25 (23, 2)
  IT-Grad Cloud IaaS - 9 (9, 0)
  CorpSoft24: Виртуальный сервер - 7 (7, 0)
  Техносерв Cloud - 6 (6, 0)
  Microsoft Azure - 5 (5, 0)
  Другие 43

  Техносерв Cloud - 6 (6, 0)
  Microsoft Azure - 5 (5, 0)
  Cloud4Y IaaS - 3 (3, 0)
  De Novo: Облака - 2 (2, 0)
  Oracle Cloud - 2 (2, 0)
  Другие 17