Zscaler: безопасность “в облаке”

Компания Zscaler предлагает одноименный набор интегрированных услуг безопасности “в облаке”, охватывающих веб-трафик, мгновенный обмен сообщениями, пиринговые сети, Webmail и электронную почту на базе SMTP — и всё это без установки какого-либо оборудования или ПО у заказчика. Вся нагрузка распределяется на сорок ЦОДов компании, а администратор при этом получает функционально насыщенную, гибкую веб-консоль управления.

Меня весьма впечатлили возможности сервиса Zscaler по защите пользователей от HTTP- и SMTP-угроз, которые разрослись как никогда раньше, особенно в виде составного вредоносного ПО. (К примеру, фишинг через электронную почту приводит пользователя на сайт, откуда внедряется “троянец” на его компьютер, используя уязвимость в браузере.)

Предлагаемые сервисом возможности конфигурирования политик и отчетности — максимум того, что можно желать, и мне представляется, что эта услуга может стать сильным дополнением к существующим средствам защиты точек подключения и периметра для организаций. Кроме того, являясь SaaS-решением, Zscaler имеет дополнительную ценность, позволяя администратору исследовать потенциально опасный трафик “на расстоянии”, до того как он достигнет периметра сети или, еще хуже, придет с подключенных к ней устройств.

Zscaler в тестах

Являясь хостинговым решением, Zscaler очень прост в установке. Всё, что нужно сделать, это изменить пароль администратора, согласиться на условия предоставления услуги и не забыть сохранить изменения политик. Я отметил, что при этом гарантируется уровень готовности лишь 99,99%, но представитель компании заверил: “Помимо регулярного планового сопровождения, затрагивающего лишь консоль администратора, Zscaler обеспечивал 100%-ную доступность с момента его запуска в августе 2008 г.”

Zscaler использует полосу пропускания от нескольких операторов и имеет выделенное пространство в многочисленных ЦОДах, обслуживаемых разными провайдерами. Чтобы интегрироваться со службой каталогов или для импорта пользователей потребовалось чуть больше усилий. Кроме того, нужно сконфигурировать браузеры для использования Zscaler в качестве прокси и переконфигурировать межсетевые экраны, чтобы они пропускали веб-трафик только от Zscaler и через него.

Интерфейс администратора представляет собой ясную, легко читаемую “приборную панель” с хорошо заметными контекстно-зависимыми опциями Logout, Support, Getting Started, Help и Concept. Опция Concept (и маленькие пиктограммы, которые, как оказалось, изображают лампочки) выводит на экран Flash-демо, дающее кое-какую полезную информацию, хотя явно с маркетинговым прицелом.

Help открывается в новом окне и действительно помогает, хотя в ней отсутствуют указатель и возможность поиска. Щелкнув на Support, я попал на страницу, где можно было заполнить и послать сообщение о неполадках. Опция Getting Started открывает новое окно, где перечислены шаги конфигурирования и даны ссылки, помогающие быстро пройти их. Я легко отправил на Zscaler логотип eWeek и настроил уведомления для пользователей о том, что тот или иной файл заблокирован.

Конфигурация политики безопасности по умолчанию скорее всего устроит большинство организаций. Я нашел, что очень просто задать политики для анализа входящего и исходящего трафика, сканирования различных типов файлов и даже задания “белых списков” для сайтов (списков URL), с которых будет разрешаться доступ ко всему контенту.

Шпионское ПО также можно блокировать по категориям. К примеру, я мог разрешить перехват паролей, но блокировать всё остальное (хотя не очень понятно, зачем это кому-то может понадобиться). Контроль браузера довольно интересен. Я легко мог задать политику, чтобы блокировать старые браузеры с ненадежной защитой или полностью заблокировать браузер. В моих тестах Zscaler блокировал примерно три четверти вредоносного ПО, которое я пытался загрузить по http.

В опции Advanced Threats я обнаружил множество настроек, предназначенных для отражения новейших угроз. Здесь можно настроить блокирование трафика “ботнетов” к известным командным серверам, элементов управления ActiveX, известных и подозрительных сайтов фишинга, туннелирования IRC, анонимайзеров, межсайтового скриптинга (CSS), а также трафика, направляемого в определенные страны и регионы. (Заранее задана блокировка трафика в Китай, а я легко добавил Россию и Бразилию.)

Есть также обширные возможности разрешить либо запретить обмен файлами в пиринговых сетях, в частности BitTorrent и eDonkey, а также P2P-анонимайзеры (Tor и т. п.) и пиринговую IP-телефонию, включая Skype и Google Talk. По непонятной причине вся эта пиринговая прелесть разрешена по умолчанию, но сделав несколько движений мышью, я всё прикрыл.

Одна вещь, которая мне особенно понравилась, это напоминание сохранить и актуализировать сделанные изменения; слишком многие веб-консоли позволяют легко покинуть страницу, не сохранив новые настройки.

С такой же легкостью я мог задать политики, чтобы блокировать различные категории контента с веб-сайтов. Есть возможность задать разные конфигурации для различного местоположения пользователя, так что я мог заблокировать игорные сайты на рабочих местах, но разрешить доступ к ним вне офиса. Можно также блокировать либо разрешить доступ к разнообразным сайтам Webmail. То же самое относится к сайтам потокового аудио-, видео и к “социальным сетям” и блогам.

Правила могут быть весьма сложными. Например, вместо того чтобы полностью заблокировать Twitter, я мог сконфигурировать Zscaler, чтобы разрешать чтение, но не постинг. Впрочем, фильтрация контента работала примерно так же, как в других продуктах этой категории, то есть по-прежнему остаются слабые места идентификации сайтов и правильного их категорирования по контенту, а не по URL. К примеру, блоги, несущие мини-изображения с сайтов порнографии, не классифицировались должным образом (и не блокировались).

Контроль полосы пропускания

Когда я углубился в управление полосой пропускания, стало еще интереснее. Zscaler уже сконфигурирован с семью классами приложений, включая “обычный серфинг” и “большие файлы”, но можно добавить новые классы.

В рамках политики полосы пропускания я мог задать минимальную и максимальную полосу по классам приложений. Например, выделить 100% полосы пропускания для веб-конференций, но лишь 10% для потокового контента. С этой функцией было бы интересно повозиться, однако она не позволяет назначить полосу пропускания по пользователям, что делает ее практически бесполезной, поскольку все мы знаем, что администратор никогда не посадит главного управляющего на те же правила полосы пропускания потокового видео, что и рядового служащего. Я обошел эту недоработку, создав пользователей и группы и применив разные правила полосы пропускания в зависимости от сайта.

Затем я щелкнул опцию Administration и добрался до учетных записей администратора и пользователей. От пользователей можно потребовать аутентификации на основе хостинговой базы данных, Active Directory или OpenLDAP. Я мог задать приемлемую политику использования на каждый сеанс, день или неделю — либо “Никогда”.

Мне понравились опции системных администраторов на основе ролей, которые позволили мне ограничить доступ к ГИП-консоли и определенным настройкам. Понравилась и возможность задать различные уведомления в реальном времени, например, такое: “Если в течение пяти минут сделаны три попытки загрузить вирус, то отправить предупреждение по электронной почте и/или RSS”.

В опции Comply я задал политики DLP (предотвращения потери данных) и варианты их реализации. Zscaler использует термин “словарь” для описания правил DLP. Есть восемь уже готовых словарей, в том числе “утечка кредитных карт” и “утечка карт соцобеспечения”. Я создал свои словари, щелкнув Edit > Add Dictionary и введя строки символов для поиска в качестве ключевых слов DLP и их “удельный вес”.

После этого словари группируются в поисковые механизмы DLP. Например, “движок” HIPAA (Закон о переносимости и подотчетности документации о страховании здоровья) содержит словари утечки медицинской информации и утечки карт соцобеспечения.

Всё это сводится воедино в рамках политики соблюдения регулятивных требований (Compliance), где я включил либо выключил “движки”, задал очередность их использования, а также пользователей и приложения, к которым могли применяться эти правила. Моя попытка послать сообщение на Facebook, содержащее номер карты соцобеспечения, была отловлена, зафиксирована в журнале и указана в отчете.

Опция Analyze позволяет приблизиться к анализу в реальном времени трафика, который можно сортировать по пользователям или транзакциям и затем фильтровать по подразделениям, местоположению, классификации URL, угрозам безопасности и временнóму интервалу, который вы хотите охватить в отчете. Я легко мог видеть, что мой тестовый “пользователь” провел последние полчаса в поисках рецепта шашлыка из грудинки. В качестве инструмента анализа это очень полезно для ответа на вопросы типа “Так что же всё-таки произошло?”

Гибкая отчетность

Отчетность — сильная сторона Zscaler. Одна из моих любимых функций — это возможность включить любой отчет в группу “Избранное” (Favorite), а потом организовать это избранное и выбирать напрямую в “приборной панели”. Функции отчетности очень гибки. Я мог группировать и делить на подгруппы, выделять подмножества и анализировать, дважды щелкнув мышью практически на чем угодно, чтобы получить более подробную информацию. Любой отчет можно генерировать в виде PDF, просто щелкнув на соответствующей пиктограмме рядом с заголовком отчета.

Важно отслеживать веб-трафик по каждому пользователю, что можно сделать посредством интеграции с LDAP или AD. Я создал учетные записи пользователей и потребовал аутентификации, однако этого не происходило, пока я не включил ее в настройках шлюза. (Кстати, в этом же окне находится и флажок “Включить управление полосой пропускания”.) В большинстве случаев административная консоль Zscaler обеспечивала необходимую простоту и действенность, но здесь мне пришлось провести разыскания.

Службы SMTP — новое в версии 3.0 — дают столь же всесторонний, многоуровневый набор функций проверки и доставки электронной почты. Как можно было ожидать, защита от спама/вредоносного ПО/фишинга обследует почту до того, как она достигнет ваших почтовых серверов. Опции защиты почты и Web-безопасности находятся рядом. Такая интеграция управления обеспечивает бóльшую согласованность политик безопасности, чем если бы они задавались отдельными продуктами.

Фильтрация спама работала нормально: настройки задаются ползунком (“Дросселируй спам!”), но я счел их слишком обобщенными. Можно задать разные настройки по доменам, пользователям или группам, но не по типу контента. Так что это просто прикрытие спама вместо сброса предложений ссуд под низкий процент.

В течение 24 часов конфигурация по умолчанию принесла мне больше спама, чем хотелось бы, но не было и ложных срабатываний. Наверное, можно подвигать ползунок, чтобы найти оптимальную точку, но у самих пользователей нет доступа к настройкам защиты от спама. В более зрелых продуктах пользователи могут сами задать свои настройки и просмотреть содержимое на карантине.

Есть возможность задать политики для содержимого входящей и исходящей почты. Я легко дал задание, чтобы вся почта, адресованная на info@mattsarrel.com, доставлялась мне лично. DLP работает не только с веб-трафиком, но и с почтой. Я заблокировал для себя отправку писем, содержащих номер карты соцобеспечения, на сторонний адрес. Они действительно не пропускались, и мне пришло персональное уведомление, объясняющее, почему почта не отправлена.

Zscaler может также осуществлять шифрование SMTP между шлюзами и проверку доставки. Отчетность служб защиты SMTP столь же полезна и проста в использовании, как и для Web-безопасности.

Последняя версия 3.0 сводит воедино почти все функции безопасности, какие можно предложить через прокси, в виде простого и понятного ГИП, и всё же некоторые шероховатости остаются.