Нужны ли традиционные средства защиты на периметре?

Page 1

Нужны ли традиционные средства защиты на периметре? Выбор межсетевого экрана как одного из основных и зачастую единственных средств защиты периметра — непростая задача, которая требует очень серьезного предварительного анализа всех бизнес- и технических требований.

В

Реклама

мире корпоративных информационных систем межсетевые экраны давно уже стали стандартом сетевой безопасности. Согласитесь, что сегодня невозможно представить современный комплекс по защите корпоративной сети, который бы не включал в себя так называемый брандмауэр . Однако условия работы на рынках с каждым днем становятся все более жесткими, и способность компаний сохранять конфиденциальность накопленной информации является одной из приоритетных, а подчас и важнейшей из задач. В связи с этим основной функции классического межсетевого экрана — фильтрации трафика по ограниченному набору правил — стало уже недостаточно. Политики информационной безопасности постепенно мутировали из разряда «можно» или «нельзя» в сторону «иногда можно» или «почти всегда нельзя». И современные устройства должны уметь под эти политики подстраиваться. Администраторы должны иметь возможность легко отслеживать и вносить изменения, контролировать соответствие правил установленным шаблонам, проводить аудит операций. Если говорить про защиту периметра в крупной организации (это и филиалы, и дополнительные офисы, и мобильные рабочие места) то здесь немаловажным становятся еще и средства управления (которые, к слову сказать, тоже должны относиться к категории средств «следующего поколения», то есть обладающих расширенными функциональными возможностями). Раньше достаточно было удаленного подключения к устройству и конфигурирования политики ИБ. В современном мире это далеко не так. Все аналитики отмечают, что все более востребованными становятся средства автоматизированного управления и централизованного администрирования решений по ИБ с автоматической верификацией политик безопасности, базовыми шаблонами и рекомендациями по защите, модулями оптимизации политик, ведения инцидентов, создания отчетов, визуализации потоков. Да и просто с возможностью создания правил на достаточно высоком уровне с целью максимально простой трансляции «высокоуровневых» политик ИБ в «конкретные» правила межсетевого экрана.

Все вышеперечисленное обусловило появление концепции Next Generation Firewall. В ее рамках межсетевые экраны становятся мощным инструментом, с помощью которого компания может решать широкий спектр задач в области защиты информации. Три года назад был обнародован доклад специалистов исследовательской и консалтинговой компании Gartner, специализирующейся на рынках информационных технологий, под названием Defining the Next Generation Firewall. В этом докладе аналитики констатировали насущную необходимость появления NGFW — устройства, развивающего традиционный межсетевой экран в части дополнительных сервисов инспекции и контроля пользователей и приложений. Таким образом, в стандартной трактовке экран следующего поколения — это, по большому счету, межсетевой экран и система IPS с механизмами динамического слежения за сетевыми потоками. Все в одном. Next Generation Firewall обладает рядом достоинств, суть которых сводится к наличию большого числа агрегированных функций в самом устройстве защиты. Это позволяет заказчику сэкономить при развитии и построении защищенной инфраструктуры. Так, например, не придется покупать, настраивать, интегрировать несколько устройств, а можно обойтись одним «шестируким семикрылом» — главное, чтобы заложенные функции были качественно и в полном объеме реализованы. Более того, присутствующие в таком устройстве средства контроля трафика позволят в большинстве случаев корректно работать с сервисами, обслуживающими бизнес-процессы. «Постоянное совершенствование атак делает неизбежным переход от стандартных межсетевых экранов (МСЭ) к межсетевым экранам нового поколения, — подчеркивают в Gartner. — Заказчики должны обращать внимание не на количество, а на качество функций МСЭ и на инвестиции производителя в разработку нового функционала». Современные межсетевые экраны, предназначенные для использования на периметре сети средней организации, перешагнули рубеж простого межсетевого экранирования и явля-

Дмитрий Ушаков, руководитель отдела по подготовке и внедрению технических решений Stonesoft Russia ются на сегодняшний день сложными устройствами. Они играют роль периметрового экрана, шлюза удаленного доступа, системы контроля утечек, системы обнаружения вторжений, антивирусного шлюза и др. Это уже многокомпонентные сложные устройства. Выбор межсетевых экранов нового поколения достаточно широк, однако не стоит забывать, что российская специфика накладывает необходимость выбора сертифицированных средств защиты (говоря другими словами, прошедших в установленном порядке оценку соответствия). Компания Stonesoft уже достаточно давно выпустила межсетевой экран нового поколения, который позволяет контролировать и пользователей, и приложения, имеет встроенную систему обнаружения вторжений, функции для подключения удаленных сотрудников. Наши устройства классифицируют трафик не только по порту и протоколу, но также по приложению и пользователю, который его использует, и по типу передающегося содержимого. Все это помогает ИТ-департаментам и службам ИБ более эффективно контролировать риски, связанные с работой современных сетевых приложений. Например, по результатам независимых тестов компании NSS Labs решение Stоnesoft FW-1301 получило статус «Рекомендовано» с максимально возможными показателями по целому ряду параметров. При этом следует учесть, что сравнительных тестах принимали участие 7 известных вендоров с решениями из класса NGFW. Более того, Stonesoft Firewall подтвердил свой непревзойденный уровень защиты против техник обхода, а также отсутствие утечки трафика и общую стабильность работы. Показатели 100-процентной защиты от эксплойтов последних годов позволяют уверенно применять данное решение при высоких нагрузках даже в условиях сетевых атак. Основываясь на отзывах клиентов Stonesoft во всем мире, NSS Labs так прокомментировал способности Stonesoft NGFW по управлению в своем отчете: «Интерфейс управления продуктов Stonesoft хорошо спроектирован и интуитивно понятен. Пользователям межсетевого экрана Stonesoft не потребуется длительного обучения, поскольку настройка и обслуживание просты и хорошо продуманы». В заключение следует отметить тот немаловажный факт, что серийное производство решений StoneSoft FW/VPN сертифицировано ФСТЭК по 4-му уровню контроля отсутствия недекларированных возможностей, 2-му классу как межсетевой экран и разрешено к использованию в автоматизированных системах до 1Г включительно. А нашим российским заказчикам будет приятно узнать, что входящие в состав шлюза StoneSoft FW/VPN функции удаленного доступа и шифрования трафика в настоящее время завершают сертификацию по линии ФСБ России как СКЗИ классов КС1/КС2.

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.