В 2015 году мы оказались в новой реальности, в которой слово кризис превратилось из чего-то далекого и маловероятного в осязаемую проблему, влияющую на решения всех экономических субъектов, будь то государство, частные компании, или простые граждане. На фоне снижения реальных доходов населения, секвестра государственных расходов на 10% и удорожания кредитов происходит сокращение бюджетов практически всех подразделений, особенно таких сервисных направлений, как информационные технологии и информационная безопасность. При этом проблема защиты корпоративной сети никуда не делась, напротив — с каждым годом для этого требуется все больших ресурсов. Согласно отчету международной консалтинговой компании PwC (The Global State of Information Security Survey, 2015), каждый день в мире совершается 117 339 кибератак (рост за прошлый год — 48%). Возможно, это лишь вершина айсберга — так, например, решения «Лаборатории Касперского» в конце 2014 года ежедневно обнаруживали порядка 325 000 новых образцов вредоносного кода.
В таких условиях перед специалистами, отвечающими за защиту корпоративной сети, как никогда остро встает вопрос — как обеспечить приемлемый уровень защиты при максимально эффективном расходовании каждого рубля, выделяемого на эти цели? В этой статье мы рассмотрим один из возможных способов оптимизации расходов на информационную безопасность — использование относительно нового класса средств защиты, получивших название UTM-устройств (Unified Threat Management, средства унифицированной защиты от угроз), иногда также называемые шлюзами безопасности или межсетевыми экранами нового поколения.
Традиционная защита сети строится по принципу эшелонированной обороны, создаваемой путем использования организационных мер и нескольких специализированных устройств: межсетевых экранов, криптографических шлюзов, антивирусных и антиспам-решений, веб-фильтров, а также систем обнаружения и предотвращения вторжений. У такого подхода есть не только неоспоримые достоинства, но и существенные недостатки. Самый главный из них — внушительная стоимость устройств и обслуживающих их специалистов, которая может быть неподъемной даже для достаточно больших организаций, не говоря уже о малом бизнесе и бюджетных учреждениях. Кроме этого, такая комплексная система безопасности требует существенных затрат на обновление своей программной и аппаратной частей, так как зачастую она состоит из продуктов разных разработчиков. В условиях, когда IT- и ИБ-отделы готовятся к существенному сокращению бюджетов, поддержание адекватного уровня информационной безопасности при использовании описанного выше подхода становится крайне нетривиальной задачей.
Одним из ответов на проблемы, возникающие при эксплуатации разнородной комплексной системы безопасности, стало объединение самых распространенных функций для защиты сети в одном устройстве. Задачу упрощает то, что современные аппаратные платформы достигли достаточного уровня производительности и могут одновременно справляться с несколькими функциями, обеспечивая комплексную фильтрацию трафика на скорости в несколько десятков Гбит/с. В результате на рынке появились UTM-решения, позволяющие снизить издержки на защиту информации и в то же время повысить уровень информационной безопасности. Их программные и аппаратные элементы уже изначально отлажены и оптимизированы для одновременного выполнения нескольких функций. Востребованность и правильность такого подхода подтверждают данные международной исследовательской компании IDC, согласно которым в третьем квартале 2014 года сегмент UTM устройств вырос на 19,8% (год к году), в то время как продажи криптошлюзов за этот же период упали на 6,9%.
Стоит отметить, что на российском рынке сегмент UTM-устройств до последнего времени почти на 100% принадлежал иностранцам. Такое положение вещей объясняется двумя основными факторами: во-первых, иностранные вендоры значительно раньше начали разрабатывать свои продукты и оперируют несравнимо большими бюджетами на разработку и продвижение своих устройств. Во вторых, на российском рынке информационной безопасности в силу его специфики особенно сильно влияние регулирующих органов, что заставило российских разработчиков сосредоточиться на создании криптографических шлюзов, рынок которых надежно защищен от конкуренции со стороны иностранных игроков из-за необходимости получения сертификатов ФСБ. В результате российские решения значительно (иногда на порядки) отстают от западных продуктов в производительности и лишены UTM-функций, зачастую ограничиваясь возможностями простой пакетной фильтрации и создания VPN туннелей. Тем не менее, на рынке присутствуют несколько российских разработчиков, позиционирующих свои продукты как UTM-решения, но они не выдерживают критики ни по функциональности, ни по масштабируемости. Процесс сертификации этих продуктов также не продвинулся дальше соответствия базовым требованиям регуляторов, поэтому их нельзя использовать для многих задач, требующих сертификатов ФСТЭК.
По этой причине в настоящее время на российском рынке сложилась уникальная ситуация — сейчас на нем действует только одна российская компания, предлагающая полноценное сертифицированное UTM-решение на специализированной сетевой платформе. Эта компания располагается в Санкт-Петербурге, называется «АльтЭль» и продает свое UTM-устройство ALTELL NEO с 2010 года. За это время ассортимент предлагаемых ею UTM-устройств вырос до 5 моделей, старшая из которых может фильтровать трафик в режиме stateful inspection со скоростью до 18 000 Мбит/сек. Таким образом, в условиях, когда падение курса рубля увеличило стоимость и так весьма дорогих иностранных средств для защиты сети более чем в два раза, ALTELL NEO превратился в наиболее доступный инструмент для организации комплексной защиты периметра корпоративной сети.
Итак, рассмотрим, что же может предложить ALTELL NEO и во сколько раз можно сократить расходы на безопасность с его помощью. Начнем с функций межсетевого экрана. В ALTELL NEO поддерживаются все режимы фильтрации трафика, в том числе фильтрация по заголовкам пакетов, заданного контекста, состояния соединений и т. д., а также фильтрация на прикладном уровне модели OSI (всего более 100 протоколов). Кроме этого реализованы: преобразование сетевых адресов (NAT), статическая и динамическая (OSPF, BGP, RIP) маршрутизация, маршрутизация многоадресного (multicast) трафика, маршрутизация на основе политик (PBR), а также блокирование/ограничение полосы пропускания для IM/P2P-приложений: ICQ, MSN, Jabber, GTalk, Yahoo, IRC, BitTorrent, eMule и др. Для обеспечения стабильности обработки приоритетного трафика поддерживаются иерархический QoS, управление полосой пропускания, балансировка нагрузки между несколькими внешними каналами и резервирование WAN-канала (WAN-failover).
Для создания защищенных каналов связи между филиалами или удаленными сотрудниками и корпоративной сетью через Интернет ALTELL NEO позволяет использовать протоколы OpenVPN или IPSec с поддержкой шифрования ГОСТ
Для обеспечения защиты от вредоносного ПО и спама используются решения Kaspersky Anti-Virus и Kaspersky Anti-Spam, позволяющие надежно защитить корпоративную сеть непосредственно в момент попадания в нее вредоносного кода и предотвратить повторное заражение. Если один из сегментов корпоративной сети все же был заражен, ALTELL NEO не позволит инфицировать другие ресурсы корпоративной сети. Для борьбы со спамом реализованы «черные», «белые» и «серые» списки, проверка наличия DNS-записи о сервере-отправителе, технологии SPF, DKIM, Razor; также поддерживается DNS Black List. В результате применение функций антивирусного шлюза позволяет существенно повысить защищенность сети и одновременно снизить нагрузку на пользовательские рабочие станции и сеть организации.
Для защиты сети и пользователей при работе с Интернетом в ALTELL NEO реализован веб-фильтр, позволяющий блокировать доступ по 25 категориям адресов, в том числе с использованием уникальной базы DBL. Возможна блокировка по точному URL, создание собственных списков блокировок, а также установка гибких политик доступа по времени, адресу, имени пользователя или группе.
Для выявления и блокировки хакерских атак и вредоносного ПО в ALTELL NEO также встроена IDS/IPS, основанная на открытом проекте Suricata, поддерживающая работу на многоядерных процессорах. За счет этого ALTELL NEO превосходит традиционные российские системы обнаружения вторжений, использующие исходные коды проекта Snort. Для предотвращения обнаружения злоумышленником IDS/IPS может работать в прозрачном режиме, т. е., ее невозможно заметить злоумышленнику, находящемуся за периметром сети и пытающемуся обнаружить ее присутствие. Возможности IDS/IPS позволяют анализировать HTTP и FTP-трафик, а также осуществлять декодирование туннелей IPv4-in-IPv6 и IPv6-in-IPv6.
Управление ALTELL NEO может осуществляться тремя способами: с помощью консоли управления, посредством полнофункционального веб-интерфейса, или с помощью «Системы мониторинга и управления». Последняя поддерживает управление и настройку всего парка ALTELL NEO, задействованного в сети организации, а также учет трафика с помощью протоколов NetFlow и sFlow. В старших моделях, предназначенных для крупных организаций, реализована поддержка удаленного управления с помощью IPMI. Удаленное управление осуществляется по защищенным каналам. Обновления системного ПО и баз сигнатур осуществляются автоматически в PUSH-режиме.
Для создания отказоустойчивых конфигураций с помощью двух ALTELL NEO можно создать кластер, работающий в режиме Active/Passive, или объединить несколько устройств в виртуальный маршрутизатор (технология VRRP).
Начальное устройство ALTELL NEO с возможностями UTM позволяет фильтровать трафик на скорости 1,2 Гбит/сек, что более чем достаточно для многих организаций. Стоимость такой модели — 130 000 рублей, что примерно в 4−6 раз ниже стоимости комплекса из межсетевого экрана, системы обнаружения вторжений, антивирусов и веб-фильтра, или же иностранного UTM-решения со схожей пропускной способностью и функциональностью. В условиях, когда за каждый рубль приходится отчитываться, приобретение ALTELL NEO является, возможно, единственным способом обеспечить бескомпромиссную защиту сети при минимальных затратах.
НА ПРАВАХ РЕКЛАМЫ
