Подсистема межсетевого экранирования

Система межсетевого экранирования (МЭ) обеспечивает:

· защиту от атак;

· защищенное соединение между офисами;

· защищенный удаленный доступ сотрудников к корпоративным ИТ-ресурсам.

Защита периметра корпоративной сети - первичная задача обеспечения информационной безопасности. Внутри периметра обычно функционируют наиболее критичные для компании системы - серверы с программными приложениями и базами данных, рабочие места пользователей, активное сетевое оборудование и др. Извне сеть компании должна быть абсолютно непрозрачной, иметь регламентированные интерфейсы и протоколы взаимодействия с "внешним миром".

Решая эту задачу, необходимо оградить компанию от сетей с низкой степенью доверия и при этом обеспечить легитимным пользователям удаленный доступ к внутренним ИТ-ресурсам компании.

Территориально распределенные офисы компании должны взаимодействовать через защищенные (доверенные) каналы связи, которые защищены от внешних угроз физически или средствами криптографии. Практикой доказано, что экономически выгодно и эффективно использование технологии виртуальных частных сетей (VPN). VPN позволяют скрывать структуру и передаваемый в защищенном канале трафик, поэтому их можно включать в защищенный периметр сети.

Создание непрозрачной сферы, ограждающей сеть компании, реализуется средствами межсетевого экранирования. Такое решение называется шлюзом безопасности. Один из лидирующих на рынке продуктов по обеспечению безопасности периметра - решение Check Point FireWall-1. У шлюзов безопасности есть и другие полезные возможности: балансировка нагрузки на внутренних серверах сети и использование аппаратных ускорителей криптографических операций.

Выбор конкретного решения для обеспечения безопасности периметра, естественно, зависит от размера компании. Для малого офиса, филиала компании или удаленной группы пользователей, не имеющих выделенных сотрудников для управления МЭ, требуется надежное и недорогое решение, реализующее технологии шлюза безопасности, балансировку трафика, поддержку резервирования провайдера и автоматическую кластеризацию (например, Check Point Safe@Office). Для компаний или филиалов среднего масштаба, имеющих более полусотни пользователей и несколько МЭ, необходимы решения другого класса, предоставляющие возможности удобного, оперативного и централизованного управления всеми шлюзами безопасности периметра. Также желательно, чтобы в состав защищаемой сети включались VPN-клиенты мобильных пользователей. Предлагаемые таким компаниям решения должны быть отказоустойчивыми и поддерживать возможность балансировки нагрузки по требованиям к качеству обслуживания (QoS). Это решение необходимо и в случае, если компания использует антивирусы разных производителей (например, по рекомендации стандарта ЦБ РФ).

Крупным компаниям нужны решения, обеспечивающие максимальную гибкость и производительность, централизованное управление всеми подсистемами ИБ.

Кроме того, существуют специализированные решения для крупных компаний, имеющих потребность в применении и централизованном администрировании нескольких десятков шлюзов безопасности. Виртуальный шлюз безопасности представляет собой распределенную структуру, которую можно масштабировать и наращивать, обеспечивая требуемую производительность и гибкость.

Необходимо упомянуть еще один класс продуктов - средства обнаружения/предотвращения вторжений (IDS/IPS). Эти инструменты считаются обязательной составляющей любой системы ИБ и получили в последнее время широкое распространение. Лучшие решения этого класса позволяют проводить глубокий анализ активности на всех сетевых уровнях, обновлять в реальном времени базы признаков вторжений, оперативно оповещать администраторов о новых видах вторжений. Кроме того, предоставляются руководства, шаблоны конфигураций и инструменты противодействия вторжениям.

Подсистема защиты Web-ресурсов

Сегодня большинство компаний так или иначе используют Интернет, и с этим связаны проблемы защиты удаленных и мобильных пользователей информационных систем компании, защиты корпоративных Web-ресурсов (Интранет-сайта и любого приложения компании, работающего по http-протоколу). Интернет - это зона повышенного риска. Соответственно требуются и специальные средства защиты при работе удаленных пользователей с Web-приложениями по SSL-протоколу.

Таким образом, подсистема защиты Web-ресурсов решает следующие задачи:

· обеспечение "единой точки входа" к приложениям;

· интегрированный контроль доступа к корпоративным Web-ресурсам;

· защиту клиентских браузеров;

· защиту Web-ресурсов.

Внутренняя безопасность

Средства обеспечения безопасности внутренних ресурсов сегодня востребованы многими компаниями. Статистика свидетельствует, что около 80% всех инцидентов ИБ возникают по вине или при содействии сотрудников компании. Существуют стратегии (Check Point Total Acess Protection, Cisco NAC) и разработки (Microsoft NAP), направленные на противодействие внутренним угрозам. Чтобы снять нагрузку с МЭ и разделить системы защиты периметра и внутренних ресурсов (это также позволяет избежать создания единственной "точки компрометации"), а также снизить стоимость системы защиты, можно использовать решения по защите внутренних ресурсов.

Внутри сети есть множество приложений и сервисов, зачастую написанных собственными силами, в разное время, слабо документированных. Как правило, при их создании разработчики не уделяли должного внимания средствам безопасности, предполагая, что с этими приложениями будут работать только "свои" сотрудники, которым можно доверять. К сожалению, системные администраторы и администраторы безопасности обычно не имеют исчерпывающих сведений о том, какие приложения функционируют в сети, как они взаимодействуют, кто и как пользуется этими ресурсами. Казалось бы, достаточно просто выделить серверы в отдельный сегмент сети, применить какой-нибудь межсетевой экран и определить права доступа пользователей. Однако на практике создать четкие правила, разрешающие и запрещающие доступ внутри сети, почти невозможно. Обязательно кто-нибудь из пользователей что-то забудет, и реализованная политика разграничения доступа заблокирует что-то лишнее и нарушит предоставление каких-то ИТ-сервисов. А в большинстве организаций предъявляются повышенные требования к постоянной работоспособности систем. В результате непрерывность ИТ-процессов становится первоочередной задачей, гораздо более приоритетной, чем безопасность. И это различие подходов к обеспечению безопасности периметра и внутренних ресурсов приводит к тому, что для периметра используется политика по умолчанию - "запрещено все, что не разрешено", в то время как внутри сети принят диаметрально противоположный подход - "разрешено все, что не запрещено".

Подсистема защиты внутренних ресурсов обеспечивает решение следующих задач:

· сегментацию сети;

· превентивные меры защиты;

· защиту рабочих станций;

· защиту серверов;

· защиту данных.

Внутренние шлюзы безопасности должны блокировать распространение сетевых червей, внутренние атаки, проводить сегментацию сети по уровням доверия, иметь развитые средства мониторинга и отчетности о сетевой активности. На рынке пока немного таких решений, хотя потребность в них очень высока.

Еще один аспект обеспечения внутренней безопасности связан с необходимостью у некоторых компаний предоставлять мобильным пользователям доступ к внутренним ИТ-ресурсам. Основная задача системы ИБ в этом случае - обеспечить безопасность рабочего места пользователя и безопасное его соединение с информационной системой компании. При этом мобильный пользователь находится в зоне с пониженным уровнем доверия.