Next generation firewall: отличия, проблемы внедрения, специфика управления.
Как подсчитали в Ponemon, утечка данных обходится американским компаниям в сумму $6–8 млн, причем с момента атаки до обнаружения утечки проходит до 206 дней. Это данные за 2017 год, а с тех пор ценность персональных данных только выросла. В 2011 г., чтобы эффективнее бороться с такими угрозами, разработали новое поколение файрволов. Однако компании все еще не спешат пользоваться их возможностями в полной мере, хотя прошло уже 10 лет. Ниже мы рассмотрим особенности NGFW, разберемся, какие проблемы могут возникнуть при их внедрении, дадим рекомендации по управлению ими
Как появились next generation firewall
Компания Palo Alto разработала брандмауэр, способный мониторить трафик одновременно на нескольких процессорах и контролировать доступ пользователей к приложениям еще в 2008 г.
Palo Alto Networks и исследовательская компания Gartner окрестили его Next Generation Firewall — файрвол следующего поколения. Тогда же вышли два аналитических Gartner Magic Quadrants: отдельно для NGFW и отдельно для UTM-систем, доказывающих, что первые защищают существенно эффективнее, чем вторые. На протяжении девяти лет в аналитических отчетах NGFW удерживают первую строчку, а Palo Alto NGFW «Гартнер» всячески рекламирует.
В чем их основное отличие?
Согласно определению «Гартнер», ключевая особенность NGFW в возможности контролировать трафик на уровне внутрисетевых приложений, т. е. за пределами связи «порт — протокол». Кроме того, они могут проводить глубокую проверку пакетов, распознавать формат данных, контент и пользователей, оценивать репутацию интернет-ресурсов, предупреждать и распознавать вторжения. Проще говоря, next generation firewall обладает всеми возможностями межсетевых экранов предыдущих поколений, а в дополнение к этому обеспечивает проактивную защиту и более глубокий анализ трафика.
Благодаря этому межсетевые экраны следующего поколения защищают приложения, компьютеры и сети от вредоносного ПО, незащищенного доступа, программ-вымогателей, уязвимостей нулевого дня и других атак и угроз, в том числе устойчивых. Более подробно их возможности мы рассмотрим ниже.
Принцип работы
Атаки становятся все сложнее, а объем данных внутрикорпоративных сетей увеличивается с огромной скоростью. Например, если в 2011 г., по данным IDC, этот показатель достигал одного зеттабайта, то через 6 лет он вырос уже в 20 раз — до 20 Збайт. Корректно настроенный файрвол под регулярным управлением защищает компанию от утечек, несанкционированного доступа и сопутствующих финансовых издержек. Достигается полная видимость сети, а использование автоматических правил позволяет экономить ресурсы организации.
Чтобы внедрить файрвол следующего поколения, не понадобится никакое дополнительное оборудование. Однако важно иметь в виду, что ПО не получится просто установить и забыть о нем, как это было с брандмауэрами предыдущих поколений. Специалистам по информационной безопасности нужно держать next generation firewall под контролем, обновляя и время от времени внося изменения в настройки в соответствии с трансформациями самой сети. Таким образом, корректное функционирование NGFW требует дополнительных трудовых ресурсов. Но хорошая новость в том, что ведущие разработчики NGFW выпускают продукты, которые можно очень точно настраивать под различные задачи корпоративной сети, чтобы ее можно было легко администрировать, а угрозы обнаруживались максимально быстро.
Какими функциями обладают NGFW
1. Глубокая проверка пакетов (DPI). Одна из важнейших возможностей файрволов нового поколения — глубокая проверка пакетов на уровне приложений, а не только протоколов и портов.
2. Фильтрация URL. Данные с ресурсов, имеющих подозрительную репутацию, блокируются в автоматическом режиме, не загружаясь.
3. DLP. Система инспектирует все потоки данных, выходящих за пределы корпоративной сети. Если в потоке обнаруживаются конфиденциальные данные, их передача блокируется. Тут нужно учитывать, что западный регламент GDPR ограничивает возможности DLP, поэтому отечественные решения в данной области выигрывают по сравнению с иностранными. Так что для предотвращения утечек данных разумно внедрять дополнительные российские решения.
4. IDS/IPS. IPS блокирует приложения, которые выполняют нетипичные действия или не идентифицированы системой (принцип: что не разрешено — запрещено). IDS, используя сигнатуры, анализирует весь трафик и блокирует вредоносный. В базе обновляются данные о выявленных угрозах и поступают на устройства next generation firewall в течение 10–60 мин. Окончательное решение в данном случае остается за администратором.
5. VPN. Функция для создания корпоративной виртуальной частной сети.
6. Инспектирование SSL. Решения для анализа и дешифрования SSL-трафика.
7. Антивирус. Анализирует трафик на наличие вредоносного ПО. Сигнатуры обновляются в режиме реального времени.
8. Антиспам. В рамках этой опции администратор может устанавливать настройки защиты e-mail-сервисов от спама.
9. Контроль приложений. Система мониторит метки приложений, используемых в сети. Если кто-то из пользователей предпринимает попытки запустить неизвестное ПО, то оно блокируется, а администратор получает уведомление.
10. Контроль веб-приложений (Web Application Firewall). Аналогичная опция для контроля запуска веб-сервисов.
11. Аутентификация пользователей. Опция нужна для того, чтобы администратор мог настроить права доступа для отдельных пользователей, ограничивая их действия в корпоративной сети.
12. «Песочница» (Sandbox). Копия сети для безопасного запуска подозрительных приложений и тестирования настроек.
Всеми перечисленными функциями обладают любые NGFW.
Что важно учесть при внедрении?
1. Способ шифрования внутрисетевых данных. В 2012 г. трафик шифровало менее трети вредоносного ПО, к 2019 г. уже более двух третей. В 2021 году шифровать трафик внутри сети критически необходимо. Без дополнительных настроек брандмауэры игнорируют защищенные протоколами TSL, SSL и SSH данные. Это серьезная угроза безопасности. В next generation firewall инспектирование зашифрованного трафика проводится также с помощью DLP, чтобы исключить утечки важных данных.
2. Микросегментация сети. Для особо важных подсетей (например, тех, где хранится финансовая информация или данные уникальных разработок) создается дополнительный уровень защиты. Palo Alto NGFW и другие позволяют постоянно мониторить нагрузку на такие подсети и оперативно их изолировать при выявлении атаки. Для грамотной микросегментации важно иметь продуманную стратегию безопасности с четко определенными важными сегментами сети. Решить эту задачу могут аутсорс-специалисты: выявить ключевые риски, расставить приоритеты в защите информации, разработать карты связей между частями сети, рабочими средами, приложениями.
3. Фундаментальные ошибки архитектуры безопасности. При автоматической миграции такие ошибки могут перетекать из настроек старых файрволов в настройки файрволов следующего поколения. В результате они будут негативно влиять на эффективность NGFW. Внешние консультанты помогают отследить такие слабые места, выявить проблемы, пропущенные сотрудниками из-за человеческого фактора.
4. Риски интернета вещей. Интернет вещей все чаще становится точкой взлома корпоративных сетей. NGFW отлично шифруют такой трафик — главное, не забывать об обновлениях политики безопасности и анализировать меняющиеся угрозы.
5. Производительность next generation firewall. Независимый центр валидации межсетевых экранов NSS Labs обращает внимание на то, что иногда реальная пропускная способность файрволов на 80% меньше заявленной. Чтобы не столкнуться с нехваткой ресурсов NGFW во время атаки, стоит перманентно тестировать свободные мощности файрвола.
6. Стоимость внедрения и эксплуатации. Далеко не в каждой компании есть ресурсы, чтобы содержать IT-департамент, способный установить и поддерживать эффективную работу NGFW. По оценкам аналитиков, это может обходиться до $200 000 ежегодно. Аутсорсинг данной услуги позволяет значительно сэкономить, повысив уровень информационной безопасности.
Подведем итоги
Если вашей компании есть что терять, то сегодня NGFW — безусловный must have. Тем более, если в организации используется интернет вещей. Ни один межсетевой экран предыдущих поколений не сможет обеспечить защиту от сложных атак, продуманно сегментировать ценные данные. Для профессиональной проработки архитектуры безопасности, качественного внедрения NGFW, продуманной настройки и управления ими имеет смысл привлекать профильных специалистов, которые ориентируются в многочисленных нюансах NGFW и следят за актуальными трендами в защите информации. Продукция Palo Alto Networks полностью удовлетворяет современным требованиям безопасности и их безоговорочно можно назвать одними из лучших файрволов следующего поколения.
В компании Meliorit можно не только приобрести межсетевые экраны Palo Alto по лучшим ценам, но и взять оборудование на тест, получить исчерпывающую техническую поддержку, заказать настройку устройства. Наши специалисты всегда рады помочь и поделиться уникальными знаниями всей линейки межсетевых экранов следующего поколения Palo Alto.