Security as a Service: Как безболезненно перейти на отечественные ИБ-решения, оптимизировать расходы и не потерять функционал
Артур Салахудинов, руководитель направления MSSP UserGate
Содержание |
Введение
С уходом иностранных компаний с отечественного рынка информационных технологий вопрос импортозамещения встал наиболее остро. Компании Cisco, Fortinet, Palo Alto Networks, которые долгое время являлись лидерами рынка сетевого оборудования, приостановили бизнес-операции и ограничили техническую поддержку. Список иностранных компаний, покидающий рынок России, постепенно расширяется. В принятии решения о приостановке деятельности немаловажную роль играет не только политическая повестка, но и высокая волатильность курса рубля и логистические проблемы. Специалисты системных интеграторов признаются, что работа с иностранными компаниями, оставшимися в России, затрудняется нехваткой оборудования, длительными сроками поставок, необходимостью стопроцентной предоплаты в валюте. Кроме того, специалисты опасаются, что западные вендоры, ещё не приостановившие бизнес в РФ, в какой-то момент всё же могут покинуть рынок по решению головных офисов. В телеграм-каналах специалисты обсуждают способы и механизмы миграции с западного сетевого оборудования на отечественное в кратчайшие сроки с минимальными затратами и без потери качества.
В этот статье мы расскажем, как безболезненно перейти на отечественные решения для информационной безопасности, оптимизировать расходы и не потерять привычный функционал.
Импортозамещение сегодня
Тема импортозамещения появилась далеко не сегодня (смотрите интервью с директором UserGate Дмитрием Курашевым про импортозамещение). Однако в 2022 году миграция на отечественное ПО перешла в разряд безотлагательных.
Можно попробовать использовать Open Source-решения в качестве альтернативы западными решениям сфере зашиты информации? Да, но в части Open Source есть 3 основных вопроса:Метавселенная ВДНХ
1. Достаточно ли функционала Open Source?
2. Кто будет заниматься обслуживанием Open Source?
3. Что делать с уязвимостями в Open Source?
Функционала Open Source «из коробки», как показывает практика, достаточно только для решения каких-то краткосрочных задач, но не более. Вы сэкономите на лицензии, но придется дополнительно потратиться на зарплату дорогостоящих ИТ-специалистов, готовых заниматься доработкой и обслуживание вашего Open Source-продукта в условиях кадрового голода (по подсчетам Минцифры, в 2021 году в России не хватало от 500 000 до 1 000 000 специалистов в различных сферах информационных технологий).
Наличие уязвимостей в Open Source – отдельная проблема. В преимуществе свободного ПО – синергетический вклад множества независимых разработчиков – заложен и сильный недостаток – сложно контролировать добросовестность и безошибочность этих разработчиков. В этих проектах используются также целые цепочки сторонних зависимостей и библиотек, для которых вряд ли кто-то проводит аудит безопасности. Изначально безопасное ПО может стать вредоносным в результате хакерской атаки или непродуманного обновления. Недавно Сбер обратился к российским пользователям с рекомендацией, согласно которой банк призывает их временно прекратить обновлять используемый софт. Причина: огромное количество кибератак, идущих из разных стран мира.
Однако полный отказ от обновления создает риски для эксплуатации zero-day уязвимостей. Таким образом, при использовании и эксплуатации продуктов на базе Open Source необходимо не только следовать принципам безопасной разработки (SDLC), но и заниматься Threat Hunting и проводить периодические тестирования безопасности приложений, что влечет дополнительные расходы на зарплату опытных ИБ-специалистов или оплату услуг компаний, оказывающих подобные услуги.
Еще одной острой проблемой в части использования Open Source является их неоптимальная производительность, а также необходимость самостоятельной подготовки оборудования и ИТ-инфраструктуры.
Отталкиваться нужно прежде всего от задач организации и функционального заказчика. Если вам необходимо настроить правила межсетевого экранирования на конкретной Linux-машине, iptables будет достаточно. Однако если задача шире, и необходимо, например, мигрировать с одного или нескольких NGFW (Межсетевые экраны нового поколения, Next-Generation Firewall), стоит задуматься о стабильном решении, предоставляющим техническую и консультационную поддержку на территории РФ.
Что предлагает UserGate в рамках программы импортозамещения сегодня:
- Все необходимые инструменты для комплексной защиты современной ИТ-инфраструктуры в рамках экосистемы продуктов кибербезопасности UserGate SUMMA;
- Виртуальные платформы и программно-аппаратные комплексы на базе собственной операционной системы UGOS, а также дополнительные продукты компании, обеспечивающие гибкое и целостное управление безопасностью IT-сетей;
- Продукты, соответствующие требованиям ФСТЭК России к профилям защиты межсетевых экранов типа А и Б 4 класса защиты, системам обнаружения вторжений 4 класса защиты и по 4 уровню доверия, находящиеся в реестре российского ПО (№1194).
Переход на UserGate актуален для:
- Организаций, которые больше не могут закупать, получать обновления и поддержку ранее внедренных решений зарубежных производителей;
- Органов государственной власти, муниципального управления и бюджетных организаций;
- Госкорпораций, крупных вузов, операторов связи, дата-центров, промышленных предприятий;
- Организаций критической информационной инфраструктуры (финсектор, медицина, ТЭК и т.д.);
- Организаций любого масштаба, которым необходимо использовать сертифицированные средства защиты информации.
Модель предоставления услуг UserGate
- On-premise (развертывание в инфраструктуре заказчика);
- Security as a Service (ПО предоставляется по подписке).
On-premise или Security as a Service
Как мы писали выше, на сегодняшний день на ИТ-рынке наблюдаются проблемы с нехватками оборудования и длительными сроками поставок. Оставшееся в России телекоммуникационное оборудование и вычислительные компоненты распродаются быстро, по высокой цене и стопроцентной предоплате. Даже компании, имеющие финансовые резервы, могут просто не успеть закупить необходимое оборудование из-за сложных и длительных закупочных процедур. Поэтому всё больше компаний при проектировании ИБ-систем, смотрят в сторону облаков.
Среди преимуществ модели потребления услуг Security-as-a-Service (SecaaS) стоит отметить сокращение капитальных затрат, времени и ресурсов на ввод в эксплуатацию и самостоятельную поддержку аппаратных средств и ПО.
Возникает закономерный вопрос – достаточно ли у современных ЦОД вычислительных мощностей? Ответ – да. Ещё до 2022 года эксперты спрогнозировали рост рынка облачных технологий на 17,5% ежегодно; к 2025 году он вырастет более чем до $832,1 млрд. При этом развитие российского рынка облачных услуг должно было опережать общемировой темп: по оценке IDC, к 2025 году он должен был вырасти в 2,5 раза. В современных же реалиях рост облачных технологий будет более значительным и значимым. Минцифры уже предложило компаниям мигрировать в отечественные облачные платформы, а также создать единое облако для работы бизнеса. В ведомстве заявили, что заинтересованы в ускорении процесса импортозамещения, и предложили отменить ввозные пошлины на вычислительное оборудование, жесткие диски, накопители, СХД, а также оказать и другие меры поддержки IT-отрасли.
Если говорить конкретно об облачных решениях от компании UserGate, то она представила свой флагманский продукт – межсетевой экран нового поколения UserGate – в маркетплейсах популярных облачных провайдеров. В рамках Security as a Service достаточно создать виртуальную машину, выделить ей нужные ресурсы и начать пользоваться.
Отдельно можно отметить, что многие облачные провайдеры помимо своих мощностей предлагают компетентную помощь в построении ИТ/ИБ-архитектуры. С помощью Security as a Service можно не только снизить затраты на заработную плату ИТ/ИБ-специалистов, но и сэкономить при миграции с зарубежных решений, так как все платежи реализуются в виде регулярных подписок. Также некоторые MSSP-провайдеры (партнеры компании UserGate) предлагают бесплатный тестовый период для бесшовного переезда и определения рабочей продуктивной конфигурации.
Возможности облачного UserGate NGFW
UserGate NGFW в облачных средах по функционалу ничем не уступает привычному программно-аппаратному комплексу:
Межсетевое экранирование
В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров. Не говоря о стандартных IP получателя, IP источника, протоколе и т. д., в UserGate NGFW определяется также инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение (например, мессенджер Skype, сайт Яндекс.Диск – всего более 1200 приложения и протоколов). Также проверяются и приложения, работающие по протоколу HTTPS. Всё это позволит настроить доступ к определённым сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик в/из «опасной» страны.
Предотвращение вторжений (IPS)
Поиск и блокировка подозрительных соединений – следов вирусной активности, попыток эксплуатации уязвимостей – с возможностью гибко настроить включённые сигнатуры и реакцию UserGate на них.
Защита от вирусов и zero-day
Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочнице – чтобы обезвредить вредоносное ПО, для которого ещё не написаны сигнатуры.
Защита веб-трафика и почты
UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вложения в поисках вирусов, но и само письмо – чтобы пресечь фишинговые и спамерские атаки на вашу организацию.
VPN-каналы и защищённый удалённый доступ
UserGate NGFW могут создавать VPN-соединения между собой, шифруя передаваемый между разными филиалами трафик. Если же потребуется обеспечить защищённый доступ для работника, находящегося за пределами периметра организации, то тут на помощь придут, во-первых, клиентский VPN, а, во-вторых, можно воспользоваться безопасной публикацией приложений. При этом UserGate NGFW будет идентифицировать пользователей и предоставлять им доступ до нужного файлового сервера или CRM, блокируя остальные неразрешённые соединения.
Мы также подробно разбирали интерфейс UserGate NGFW в прошлой статье.
Производительность виртуального UserGate NGFW
Производительность виртуального межсетевого экрана нового поколения от UserGate представлена в таблице:
Модель | VE100 | VE250 | VE500 | VE1000 | VE2000 | VE4000 | VE6000 |
Пользователей | 100 | 250 | 500 | 1000 | 2000 | 4000 | - |
FW, Гбит/c | 800 | 1600 | 1800 | 2000 | 2800 | 3000 | 3200 |
IPS (СОВ), Мбит/c | 600 | 1300 | 1350 | 1400 | 1800 | 2100 | 2400 |
DCI, Мбит/c | 150 | 1300 | 1500 | 1700 | 2000 | 2400 | 2700 |
Контроль Приложений L7, Мбит/c | 700 | 1500 | 1700 | 1800 | 2500 | 2800 | 3100 |
Инспектирование SSL, Мбит/c | 50 | 300 | 320 | 600 | 620 | 650 | 700 |
IDS (СОВ), Мбпс | 800 | 1700 | 2000 | 2500 | 3000 | 3200 | 3400 |
Повышенная производительность виртуальных UserGate NGFW достигается за счет оптимизации программного кода под различные гипервизоры и аппаратное обеспечение. Перечень поддерживаемых гипервизоров представлен на картинке ниже.
Сценарии использования облачного UserGate NGFW
Сценарий 1. Создание VPN-туннеля с локальной сетью
Для защищённого обмена данными создаётся Site-to-Site VPN по протоколу L2TP (если со стороны локальной сети шлюзом будет другой UserGte NGFW) или IPSec (если маршрутизатором локальной сети будет устройство Cisco). Настроить UserGate NGFW, установленный со стороны локальной сети, можно по документации, роль VPN-сервера.
Для настройки VPN на облачном UserGate NGFW активируем правило «VPN for Site-to-Site to Trusted and Untrusted».
В разделе «VPN» – «Клиентские правила» добавляем правило VPN, которое будет инициировать подключение к VPN-серверу.
В дальнейшем, если понадобится разорвать VPN-соединение, нужно будет отключить это клиентское правило.
Сценарий 2. Переключение трафика на облачный UserGate NGFW
Теперь, когда облачный UserGate NGFW готов, можно переключать трафик на него. Переключение можно сделать несколькими способами:
- Создать маршрут на корневом маршрутизаторе, направляющий трафик от всех подсетей на IP-адрес UserGate NGFW;
- Для защиты только облачных ресурсов – установить туннельный IP-адрес UserGate NGFW в качестве next-hop для маршрута к этим облачным ресурсам;
- Установить IP-адрес UserGate NGFW в качестве системного прокси для пользователей с помощью доменной политики безопасности (для настройки интернет-фильтрации).
Сценарий 3. Подключаем удаленных пользователей. SSL VPN через гостевой портал
Для удалённых пользователей можно настроить SSL VPN – это защищенный доступ к внутренним ресурсам, для которого нужен только браузер. Алгоритм настройки, следующий: Заходим в раздел «Настройки», пролистываем до строки «Адрес веб-портала».
В открывшемся окне включаем веб-портал, указываем DNS-имя UserGate NGFW, по которому он будет доступен из внешней сети. Нажимаем «Сохранить».
Определяем зону, которая соответствует интерфейсу для выхода в Интернет (чаще всего это Untrusted). В настройках зоны во вкладке «Контроль доступа» отмечаем чекбокс «Веб-портал».
В разделе «Профили MFA» нажимаем кнопку «Добавить MFA через TOTP» и заполняем создаваемый профиль.
Далее создаем профиль, по которому будут авторизоваться удалённые пользователи при подключении к порталу (раздел «Профили авторизации», кнопка «Добавить»). Заполняем имя профиля, указываем профиль MFA, созданный на предыдущем шаге, и во вкладке «Методы аутентификации» добавляем доменное подключение (или локального пользователя, при необходимости). Нажимаем «Сохранить».
В настройках веб-портала («Настройки» – «Адрес веб-портала») в строке «Профиль авторизации» указываем созданный профиль.
Настройка закончена. Теперь пользователи, пройдя двухфакторную аутентификацию, могут попасть на портал, на котором публикуются внутренние ресурсы. Доступ к ресурсам осуществляется по SSL VPN.
Сценарий 4. Блокировка нежелательного контента
С помощью UserGate NGFW включаем SSL-инспекцию, это позволит расшифровать HTTPs-траффик.
Указываем необходимые параметры контроля доступа на нужной зоне.
Далее переходим в раздел «Фильтрация контента» и добавляем следующие правила:
- Проверка антивирусом
- Запрет по контенту
- Запрет по URL списку
- Морфология по словарю (запрещаем слово «ляляля»).
Переходим на главную страницу поисковой системы и вводим запрещенный с помощью морфологического правила поисковый запрос.
Срабатывает правило блокировки по морфологическому словарю.
Заблокированный поисковый запрос записывается в журнал.
Возвращаемся в поисковую системы и пытаемся посмотреть контент для взрослых. Срабатывает правило блокировки по категориям.
Обращение к заблокированной категории контента записывается в журнал.
Копируем URL-адрес сайта с контентом для взрослых и вставляем его в адресную строку браузера. Срабатывает правило блокировки по черному списку.
Обращение к заблокированному URL из черного списка записывается в журнал.
Пробуем перейти на страницу с вредоносным программным обеспечением. Обращение в URL с вирусом заблокировано.
Обращение к URL, содержащему вирус, записывается в журнал.
Сценарий 5. Блокировки команд в консоли при удаленном администрировании
В качестве примера рассмотрим блокирование удаленного запуска утилиты ping по протоколу SSH. Начальное состояние – команда ping не запрещена.
Включаем контроль доступа на нужной зоне.
Переходим в раздел «Инспектирование SSH» и создаем правило, в котором указываем команду, которую хотим заблокировать (ping). Так же включаем журналирование правила.
Правило создано. Пробуем запустить утилиты ping и получаем ошибку «Команда не найдена».
Результат блокировки команды записывается в журнал.
Сценарий 6. ГОСТ TLS
В использовании TLS с поддержкой ГОСТ алгоритмов шифрования есть две основные проблемы:
Проблема инфраструктуры.
Облачный UserGate NGFW позволяет принять сертификат, совместимый с ГОСТ, расшифровать трафик и отдать внутрь сети уже по понятным внутрикорпоративным сертификатам. Таким образом, отпадает необходимость использовать специальные браузеры для доступа к ресурсам. Пользователи могут не мигрировать с привычных продуктов.
Проблема безопасности.
К сожалению, наличие сертификата гарантирует только то, что портал организации относится действительно к той организации, которую он представляет. Сайт может быть скомпрометирован, сертификаты сайта могут быть украдены. Или с легитимного сайта по защищенному соединению передаётся зловредный файл. Во всех трёх случаях, если соединение защищено ГОСТ TLS, зарубежные средства безопасности разрешат соединение и пропустят вредоносный файл (так как не расшифровывают трафик с отечественными алгоритмами шифрования для анализа содержимого). UserGate NGFW умеет работать с таким трафиком, проводить глубокую инспекцию и выявлять опасные, подозрительные и зловредные элементы даже внутри защищенного трафика.
Мы также подробно разбирали порядок настройки UserGate NGFW в облаке в прошлой статье.
Заключение
На российском рынке не так много производителей средств сетевых средств защиты информации, которые бы могли конкурировать с западными аналогами. Однако компания UserGate смогла не только сделать достойный конкурентоспособный межсетевой экран нового поколения UserGate, но и запустила целую экосистему продуктов кибербезопасности UserGate SUMMA, с помощью которой можно построить комплексную систему управления, мониторинга и обеспечения информационной безопасности.
Развернуть UserGate NGFW в облаке достаточно просто. Если у вас нет ресурсов, вы можете воспользоваться услугами MSSP-провайдеров, которые помогут обеспечить безопасности сети передачи данных как в облаке, так и за его пределами.
Продукция компании UserGate позволит быстро мигрировать с решений западных производителей и обеспечить должный уровень безопасности организации. Коллеги создали сообщество пользователей и партнеров на GitHub, там вы можете найти утилиты для переноса настроек со сторонних решений на UserGate.
Приобретая продукцию по Security as a Service, вы экономите драгоценное время и деньги. Вы оплачиваете услугу Security as a Serviceровно столько, сколько ей пользуетесь, и исходя из текущей нагрузки на собственной и облачной инфраструктуре.