В предыдущей статье об экосистеме UserGate SUMMA описывался UGaaS (UserGate as a Service) – сервис комплексной защиты информационного периметра организации. В этой статье рассмотрим парадигму использования, порядок выбора и настройки межсетевого экрана нового поколения UserGate NGFW, разворачиваемого на облачной платформе.
Довольно долго российский рынок ИБ был чрезвычайно консервативен в своём отношении к облачным средам: туда выносились только незначительные, вспомогательные или тестовые сервисы. Всё критичное – как данные, так и инфраструктурные элементы – находилось исключительно на серверах внутри организаций. Однако, постепенно это положение изменилось. Внешние сервисы анализа уязвимостей, облачные антивирусные песочницы, antiDDoS-системы теперь используются почти повсеместно. А в связи с развитием облачной обработки и хранения данных развиваются и облачные межсетевые экраны.
Компания UserGate, поддерживая эту тенденцию, предоставляет UserGate NGFW в маркетплейсах популярных облачных провайдеров. Можно быстро создать виртуальную машину, выделить ей нужные ресурсы и начать пользоваться. Не нужно долго подбирать железо и проводить закупочные процедуры. Защита информационного периметра становится более оперативной и гибкой.
Возможности облачного UserGate NGFW
UserGate NGFW в облачных средах по функционалу ничем не уступает привычному программно-аппаратному комплексу:
- Межсетевое экранирование.
В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров. Не говоря о стандартных IP получателя, IP источника, протоколе и т. д., в UserGate NGFW определяется также инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение (например, мессенджер Skype, сайт Яндекс.Диск – всего более 1200 приложения и протоколов). Также проверяются и приложения, работающие по протоколу HTTPS. Всё это позволит настроить доступ к определённым сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик в/из «опасной» страны.
- Предотвращение вторжений (IPS).
Поиск и блокировка подозрительных соединений – следов вирусной активности, попыток эксплуатации уязвимостей – с возможностью гибко настроить включённые сигнатуры и реакцию UserGate на них.
- Защита от вирусов и zero-day.
Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочнице – чтобы обезвредить вредоносное ПО, для которого ещё не написаны сигнатуры.
- Защита веб-трафика и почты.
UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вложения в поисках вирусов, но и само письмо – чтобы пресечь фишинговые и спамерские атаки на вашу организацию.
- VPN-каналы и защищённый удалённый доступ.
UserGate NGFW могут создавать VPN-соединения между собой, шифруя передаваемый между разными филиалами трафик. Если же потребуется обеспечить защищённый доступ для работника, находящегося за пределами периметра организации, то тут на помощь придут, во-первых, клиентский VPN, а, во-вторых, можно воспользоваться безопасной публикацией приложений. При этом UserGate NGFW будет идентифицировать пользователей и предоставлять им доступ до нужного файлового сервера или CRM, блокируя остальные неразрешённые соединения.
Мы также подробно разбирали интерфейс UserGate NGFW в прошлой статье.
Бизнес-кейсы применения облачного UserGate NGFW
В каких случаях облачный межсетевой экран будет уместнее, чем обычный?
- При изменении информационной инфраструктуры организации – например, при подключении нового филиала. Зачастую согласование закупки и настройки новых межсетевых экранов занимает непозволительно много времени. В этом случае облачный межсетевой экран обеспечит защиту новых пользователей, позволит провести необходимые закупочные процедуры. Или будет защищать инфраструктуру в постоянном режиме, если это будет выгоднее покупки нового устройства.
- Исходя из финансовых соображений, крупным или средним организациям бывает выгодно уменьшить капитальные затраты (CAPEX) в пользу операционных (OPEX). Например, для уменьшения налогооблагаемой базы, или перед прохождением финансового аудита.
- Когда компания активно использует облачные ресурсы и системы, логично для их защиты применять также и облачный межсетевой экран. Сервисы будут надёжно защищены от атак на провайдера услуг и целевых атак на конкретную инфраструктуру.
- Малым или средним предприятиям с высокими требованиями к безопасности информации. Чаще всего у таких организаций нет избыточных серверных стоек для размещения межсетевых экранов; нет и персонала, который требуется для обслуживания. Для разворачивания облачного NGFW затраты будут гораздо меньше. К тому же он выступит в роли «швейцарского ножа», обеспечив защиту от вторжений, антивирус, защиту и фильтрацию интернет-трафика, блокировку спама и фишинга.
Эти кейсы можно свести к двум основным вариантам интеграции с существующей инфраструктурой:
1. Защита локальной сети центрального офиса или филиала.
Устанавливается VPN-туннель между облачным UserGate NGFW и выходным маршрутизатором локальной сети. Весь трафик во внешние сети маршрутизируется на UserGate NGFW, который осуществляет полную защиту входящего и исходящего трафика. Такой вариант аналогичен обычному размещению межсетевого экрана – в разрыв между пользователями и Интернетом.
2. Защита облачных ресурсов.
Можно, как и в предыдущем варианте, установить VPN-туннель с основной сетью; можно ограничиться назначением на UserGate NGFW публичного IP-адреса. Затем на UserGate настраиваются корректные маршруты для обращения к защищаемым облачным сервисам и включаются необходимые защитные правила. Таким образом блокируются атаки на облачную инфраструктуру, обеспечивается фильтрация входящего трафика. Можно настроить ролевой доступ – чтобы, к примеру, только авторизованные администраторы компании могли обращаться к SSH-портам сервисов.
Порядок настройки UserGate NGFW в облаке
1. Прежде всего принимается решение, какой из двух описанных выше вариантов будет использоваться – от этого будет зависеть пропускная способность UserGate NGFW и необходимые мощности.
2. При наличии такой возможности рассчитываются текущие объемы обычного и зашифрованного трафика, количество пользователей.
3. Затем по этим данным выбирается конфигурация облачного межсетевого экрана. При подборе можно опираться на возможности и аппаратные конфигурации ПАК UserGate NGFW. Сводные рекомендации указаны в таблице ниже.
Впрочем, чаще всего конфигурацию устройства при необходимости можно поменять и во время эксплуатации.
4. В консоли облачного провайдера создаётся виртуальная машина с нужными характеристиками, запускается образ UserGate NGFW. После первой загрузки можно будет войти в консоль ОС и задать IP-адрес (стандартный логин Admin, пароль utm).
5. Затем по IP-адресу облачного UserGate NGFW производится вход в веб-интерфейс и первоначальная настройка: установка правил межсетевого экрана и обнаружения вторжений, создание администраторов, добавление правил межсетевого экранирования и фильтрации интернет-трафика.
6. Настраивается VPN-канал (L2TP или IPsec) с маршрутизатором локальной сети (при необходимости), на UserGate NGFW и на маршрутизаторе создаются соответствующие IP-маршруты.
Для настройки VPN нужно включить правило «VPN for Site-to-Site to Trusted and Untrusted».
И добавить правило VPN, которое будет инициировать подключение к VPN-серверу (раздел «VPN» – «Клиентские правила»).
7. Трафик теперь может идти через облачный UserGate NGFW с помощью маршрута (перенаправляющего трафик от всех подсетей на IP-адрес UserGate NGFW) или с помощью системного прокси, установленного с помощью доменной политики безопасности (для настройки интернет-фильтрации).
8. Для безопасного подключения удалённых пользователей к защищаемым сервисам создаётся портал безопасной публикации приложений. Есть поддержка двухфакторной аутентификации входа на портал – например, OTP. После перехода на этот портал трафик между пользователем и приложением будет защищён SSL – создаётся VPN-подключение, не требующее специального ПО.
Заключение
Примечательно, что среди межсетевых экранов «как сервис» теперь есть представитель российского вендора ИБ. Облачный межсетевой экран нового поколения от компании UserGate необходим для обеспечения безопасности сети передачи данных как в облаке, так и за его пределами. В целом облачный UserGate NGFW может быть очень полезен компаниям из-за большой гибкости при выборе конфигураций и скорости настройки защиты: от принятия решения о новом фаерволе до полностью настроенного устройства может пройти всего несколько часов!
Преимуществом является и то, что при использовании нет никаких подводных камней по политике лицензирования, нет недоступных модулей. В стоимость облачного UserGate NGFW включены все модули обычного UserGate, без дополнительной платы.
Кроме этого, к UserGate NGFW можно подключить другие модули из экосистемы SUMMA, и вы получите единый комплекс управления, мониторинга и обеспечения безопасности информации.
Отдельным плюсом является наличие сертификата ФСТЭК России и высокий уровень технической поддержки клиентов UserGate.
