BIS Journal №1(48)2023

16 февраля, 2023

NGFW как ключевой элемент системы кибербезопасности предприятия

В материале приводятся характеристики и краткое описание мирового и российского рынков межсетевых экранов следующего поколения (NGFW), а также обзор новой версии Zecurion NGFW для замены продуктов, ориентированных на сегменты Enterprise и крупных государственных заказчиков.

Идея вынесения средств кибербезопасности как можно дальше на внешний край периметра не нова. Можно сказать, что рынок движется к её реализации с момента своего зарождения, когда в светлые головы создателей локального антивируса впервые пришла идея проверок по сети. В XXI веке роль форпоста информационной безопасности долгое время выполняли классические межсетевые экраны, фильтрующие пакеты на основании заголовков, проверяемых по стоп-листам или спискам доверенных ресурсов. Тактика простая и надёжная, но эффективная лишь для самых простых, массовых атак. Как фильтр первичной очистки трафика, но не более.

В основе Next Generation Firewall (NGFW) лежит логичное развитие идеи межсетевого экрана — выявить и заблокировать как можно больше вредоносного (или просто ненужного) контента ещё до того, как он попадёт в доверенный сегмент сети. Для этой цели файрвол не только смотрит заголовки, но и анализирует, разбирает рабочую нагрузку пакета. Понимание того, что конкретно содержит входящий и исходящий сетевой трафик, открывает широкие возможности для его фильтрации — от типового сигнатурного анализа до контроля данных на уровне веб-приложений.

Перспективный подход впервые предложила компания Palo Alto Networks, которая до сих пор считается одним из лидеров рынка NGFW, однако за прошедшие с 2008 года 15 лет в этом сегменте стало весьма тесно — только лишь «Магический квадрант» Gartner сейчас насчитывает 17 игроков, среди которых такие гиганты, как Microsoft, Amazon, Alibaba и Huawei.

К наиболее продвинутым решениям аналитики Gartner относят следующие разработки:

  • FortiGate: Next Generation Firewall (NGFW) компании Fortinet;
  • Check Point Quantum компании Check Point;
  • Аппаратные (PA-Series), виртуальные (VM-Series), облачные и контейнерные файрволы компании Palo Alto Networks;
  • Cisco Secure Firewall компании Cisco.

Это «универсальные солдаты» рынка, комплексные решения, нацеленные на покрытие потребностей как можно более широкого числа заказчиков.

Другая сторона медали представлена нишевыми игроками, пытающимися как можно более точно заточить свой продукт под нужды определённого сектора рынка:

  • Sophos, нацеленный на предприятия среднего размера, делает ставку на глубокую интеграцию с собственным EDR;
  • SonicWall, предлагает встроенные в файрвол функции SD-WAN и работает по сервисной модели обслуживания (FWaaS, Firewall as a Service);
  • WatchGuard, ориентируется на территориально-распределённые сети и работу с публичными облачными средами.

 

ОСОБЕННОСТИ РОССИЙСКОГО РЫНКА NGFW

Если же говорить о российском рынке Next Generation Firewall, то, несмотря на популярность и где-то даже перегретость темы, можно отметить некоторые типовые проблемы, свойственные отечественным решениям этого сегмента. В первую очередь речь идёт о качестве и полноте защиты от внешних угроз. К сожалению, несмотря на громкие декларации, некоторые системы не так уж далеко ушли от классических межсетевых экранов, представляя собой не более чем гибрид последних с обыкновенным антивирусом. Между тем NGFW должен не только выполнять сигнатурный анализ, но и хорошо ловить боты, рекламу, разбираться с фишингом, выявлять неизвестные угрозы, а также обрабатывать исполняемые файлы и блокировать нежелательный контент.

Ещё одна точка роста для российских систем — недостаточная производительность. Технологии вообще играют ключевую роль в сфере NGFW, поскольку разбор и фильтрация на лету огромного массива данных — задача, безусловно, нетривиальная. Если учесть, что большая часть трафика ещё и зашифрована, то отдельные файрволы способны «положить сеть» даже при относительно небольшой нагрузке. Крупным компаниям с большим числом филиалов требуется NGFW, обладающий передовыми технологиями обработки трафика и балансировки нагрузки, без запредельных системных требований, что особенно важно в свете нынешних сложностей с поставкой аппаратных средств.

 

ZECURION NGWF — НОВЫЙ ИГРОК В СЕГМЕНТЕ

В 2023 году компания Zecurion выпускает NGFW Enterprise-уровня. Продукт, нацеленный на замену топовых мировых решений в крупнейших организациях. Важно, что он разрабатывался на протяжении нескольких лет в рамках долгосрочной продуктовой стратегии Zecurion, а не является быстрым ответом на потребность, возникшую на российском рынке в 2022 году с уходом зарубежных ИБ-вендоров. Разберём его подробнее.

Zecurion NGFW является логическим развитием Zecurion SWG (Secure Web Gateway). Эта система появилась на рынке под названием Zproxy ещё в 2014 году и была призвана заменить отживший своё Microsoft Forefront Threat Management Gateway. Помимо классических функций прокси-сервера, Zproxy умел идентифицировать пользователей Active Directory, поставлял в DLPданные разбора зашифрованного трафика и имел механизм контроля доступа к интернет-ресурсам на основе правил.

Вышедший тремя годами позже Zecurion SWG проверяет трафик по базе URL, насчитывающей более полумиллиарда сайтов, разбитых на сто с лишним категорий, а также способен контролировать использование интернета сотрудниками компании, запрещая доступ к веб-ресурсам определённых тематик. Помимо этого, что уже не совсем укладывается в функции классического файрвола, Zecurion SWG обладает базовыми возможностями систем обнаружения вторжений (IDS) и работает с внешними решениями для проверки трафика, обмениваясь с ними данными по протоколу ICAP. Продукт пользуется спросом и хорошо зарекомендовал себя при работе в крупнейших российских организациях на нагрузке в десятки тысяч рабочих мест как средство контроля доступа в интернет и защиты от ряда угроз и один из элементов эшелонированной системы безопасности предприятия.

Новый Zecurion NGFW несёт на борту все функции SWG и дополнительно предоставляет заказчику:

  • полноценный межсетевой экран уровня L7;
  • встроенную систему СОВ (IDS/IPS);
  • технологии и архитектуру, рассчитанные на работу в крупных распределённых информационных системах;
  • антивирус с возможностью выбора из нескольких доступных решений российских разработчиков;
  • функции защиты почты от спама и внешних угроз;
  • криптошлюз и безопасный удалённый доступ (VPN);
  • базовые инструменты Web Application Firewall;
  • механизм управления доступом, интегрированный с различными службами каталогов.

По сути, функциональные возможности системы соответствуют уровню ведущих средств защиты периметра от внешних угроз из правой верхней четверти квадранта Gartner — Check Point Quantum, Fortinet NGFW, разработки Palo Alto Networks. Безусловно, приведённым выше перечнем список возможностей Zecurion NGFW не исчерпывается.

 

ИНТЕРФЕЙС И ПОЛИТИКИ ZECURION NGFW

Управление и настройка всех элементов Zecurion NGFW осуществляется из единой консоли, которую можно открыть в любом браузере. Эта консоль едина для всех продуктов вендора, что обеспечивает быстрый старт и привычное рабочее место для администратора системы. Логика отчётов и уведомлений, расположение элементов управления и другие блоки будут понятны и знакомы тем, кто уже работал с продуктами Zecurion. Однако внешним сходством дело не ограничивается, NGFW встроен в экосистему безопасности разработчика. Продукты могут обмениваться данными по ICAP, а также взаимно обогащают информацию сведениями об угрозах, собираемыми со своих сенсоров.

Отдельного упоминания заслуживает многослойная система политик безопасности на основе правил. В качестве условий правила могут выступать веб-ресурсы, геолокация, параметры авторизации, протоколы, сотрудники и другие объекты. Для удобства работы они упакованы в отдельные справочники. Задание параметров правил через единые сущности — справочники объектов — стандартизирует и существенно облегчает формирование политик вне зависимости от области их применения внутри системы.

Реакцию правила на выполнения условия, в свою очередь, формируют действия — по сути, список технологий, которыми обладает NGFW. Таким образом, при наступлении определённого события система может включить режим фильтрации контента, активировать антивирус или IPS, отправить уведомление, подключить WAF — администратору доступно почти два десятка различных вариантов реагирования.

Последовательность выполнения правил определяется политиками. Каждая политика содержит несколько слоёв, по сути, веток выполнения правил, что позволяет создавать весьма сложные сценарии работы системы, основанные на выполнении множества условий. Получается стройная, понятная и прозрачная модель конфигурирования даже при нескольких сотнях правил — объекты и действия являются основой правил, которые, в свою очередь, формируют политики. Такая система построения обеспечивает удобство создания и поддержания актуальности сложных политик, прозрачность их использования и будет особенно востребована службами информационной безопасности крупных организаций. Естественно, администратор может выбирать область действия политики, ограничивая её отдельным шлюзом или же распространяя её на группу и всю сеть полностью.

 

ТЕХНОЛОГИИ

Zecurion NGFW несёт на борту полный спектр технологий защиты от внешних угроз. В первую очередь это мощный межсетевой экран, способный работать на седьмом уровне OSI (разбор протоколов приложений), а также обрабатывать зашифрованный трафик на уровне как глобальных (SSL/TSL), так и отечественных (ГОСТ) криптопротоколов. Всего же на вооружении системы глубокого разбора пакетов данных (DPI) Zecurion более трёх сотен протоколов — от стандартных и общеупотребимых, включая мессенджеры и VPN, до экзотических вроде Disney Plus и Florensia.

Система отрабатывает маркеры DDoS-атак на основании обновляемых в режиме реального времени справочников с использованием настраиваемой системы квот и ограничений. Встроенный IDS/IPS распознаёт сигнатуры вредоносного трафика на базе правил, подгружаемых с онлайн-серверов или сформированных пользователем. Помимо сигнатурного анализа, используются данные об аномалиях трафика, что позволяет выявлять и блокировать ранее неизвестные вектора атаки. Ещё одним вариантом реакции NGFW может быть активация модуля блокировки рекламы, который удаляет промобаннеры со страниц сайтов, снижает вероятность взаимодействия пользователя с фишинговым объявлением и экономит трафик. Zecurion NGFW фильтрует контент по нескольким направлениям:

  • стандартный сетевой трафик проверяется на наличие объектов, подпадающих под действия отечественных и зарубежных регламентов (152-ФЗ, PII, GDPR и другие);
  • трафик на уровне приложений «из коробки» разбирается для более чем 2000 наиболее распространённых отечественных и зарубежных веб-сервисов (включая Yandex, Zoom, Office 365, Mail.ru, Telegram и другие);
  • почтовый шлюз контролируется антивирусом и системой блокировки спама с возможностью реагирования как по адресным базам, так и по составу вложений.

Не каждый зарубежный продукт, успешно продвигаемый на глобальном рынке, может похвастаться таким набором технологий «под капотом». С учётом высокой планки по производительности и архитектуры решения Zecurion NGFW сможет стать ориентиром в своём классе для крупного бизнеса.

 

АРХИТЕКТУРА СИСТЕМЫ

Пару слов об архитектуре Zecurion NGFW. Как мы уже писали выше, она изначально заточена на работу в территориально распределённой инфраструктуре крупной организации. Балансировка системы настраивается через уже знакомый нам механизм правил — администратор создаёт кластер, состоящий из набора узлов, и, выбирая параметры реагирования на определённые действия, описывает, как по ним будет распределяться нагрузка. При перегруженности или временной недоступности отдельных узлов кластера нагрузка может быть перераспределена на другие ноды. Администратор может в режиме реального времени получать данные о загрузке серверов и, при необходимости, самостоятельно переводить трафик на резервные узлы.

Вся сетевая инфраструктура, задействованная в работе файрвола, управляется централизованно, журналы могут храниться как на едином сервере, так и на разных хостах. Для ускорения настройки администратор может задавать для отдельных узлов и целых кластеров заранее предопределённые роли, такие как шлюз безопасности, лог-сервер, сервер управления и другие.

В качестве ещё одной фишки Zecurion NGFW отметим возможность построения на его основе виртуальной защищённой сети и каналов связи между офисами. Встроенный криптошлюз даёт возможность прокидывать Site-to-Site тоннель третьего уровня OSI на базе IPsec. Для шифрования используются алгоритмы AES-128/256, 3DES 168, CAST 128 и другие, в том числе и отечественные криптоключи на базе различных серий ГОСТ. Точно также как и с обычным трафиком: шифрованный канал может оперативно распределять нагрузку между несколькими аппаратными платформами и в случае сбоя переключаться на резервные каналы. В данный момент Zecurion NGFW использует сторонний VPN-клиент, однако ближе к концу года разработчик планирует выпустить собственное кроссплатформенное решение для установки на конечных точках.

Zecurion NGFW поставляется как в виде программно-аппаратного комплекса (ПАК), так и в варианте Virtual Appliance с возможностью развёртывания в различных инфраструктурах, в том числе на гипервизорах VMware или Microsoft Hyper-V. Насколько нам известно, вендор активно работает в сторону портирования файрвола на отечественные ОС, а также готовит обновление аппаратной платформы с учётом максимально возможного в текущих условиях уровня импортозамещения — уже проводится расширенное тестирование на российских процессорах и доводка под перспективное отечественное железо.

 

ПЕРСПЕКТИВНЫЙ ПРОДУКТ С СИЛЬНЫМ БЭКГРАУНДОМ

В заключение отметим ещё раз наиболее интересные особенности Zecurion NGFW:

  • архитектура системы, рассчитанная на работу в Enterprise-сегменте;
  • широкие возможности кластеризации и балансировки нагрузки в сетях с сотнями тысяч рабочих мест;
  • удобная и понятная система многослойных политик на основе правил, объектов и действий;
  • контроль трафика на уровне приложений для более чем 1000 отечественных и зарубежных сервисов, от «ВКонтакте» до Skype;
  • встроенная система обнаружения вторжений с возможностью оперативного реагирования на события;
  • мониторинг почтового трафика с использованием антивируса и антиспам-модуля.

В ближайших планах Zecurion — существенное расширение наборов протоколов балансировщика нагрузки с кратным увеличением пропускной способности системы. Возможность объединения шлюзов безопасности в собственное приватное облако для автоматизации и повышения скорости распределения нагрузки. Система маршрутизации Zecurion NGFW в ближайшем будущем, несмотря на «безопасный фокус» решения, будет расширяться.

Zecurion NGFW уже включён в реестр российского ПО Минцифры. 28 декабря 2022 года было подписано постановление Правительства № 2461, предполагающее добавление в реестр и ПАК, в связи с чем в 2023 году можно ожидать добавления туда доступных конфигураций. Продукту также предстоит сертифицироваться по перспективным требованиям ФСТЭК, что не препятствует пилотированию системы у первых клиентов.

Подытожим. Российский рынок сетевой безопасности получил перспективного и сильного игрока с продуктом, разработанным на технологическом фундаменте вендора с мировой репутацией (продукты Zecurion ранее включены аналитиками Gartner, IDC, Forrester в число ведущих мировых в своих сегментах). По своим возможностям Zecurion NGFW сможет стать достойной заменой ведущим мировым продуктам. Соответственно, основным целевым сегментом продукта будет enterprise-бизнес и крупные государственные заказчики с высокими требованиями по производительности и функциональности. Впрочем, с учётом широкой линейки и разных вариантов поставки для Zecurion будет открыт и сегмент СМБ, особенно если цена окажется ненамного выше уровня российских конкурентов.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

21.02.2024
«Не являлся значимым кредитором реального сектора экономики». Регулятор лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер
20.02.2024
Китай считает кибератаки из-за рубежа
20.02.2024
«Тинькофф» выявляет скамерский след в кредитных заявках
20.02.2024
Из банков утекает всё больше ПДн россиян
20.02.2024
В январе в открытый доступ попали 62 базы данный
20.02.2024
Национальная база генетической информации уже вот-вот…

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных