Почему все переходят на системы защиты нового поколения – Firewall: Next Generation

Какие же функции отличают NGFW от межсетевых экранов предыдущего поколения? Прежде всего, это функциональность по распознаванию и контролю приложений. Также сюда можно отнести следующие функции:

• предотвращение вторжений (IPS);
• наличие средства глубокой проверки пакетов (DPI);
• URL-фильтрация (оценка репутации Web-ресурсов);
• распознание контента и форматов данных;
• распознавание и использование учетных записей пользователей и групп;
• дешифрование и инспекция SSL-трафика.

Возможно, вы скажете, что необходимо расширить список таким функционалом, как возможность подключения антивирусных движков, наличие средств защиты от бот-сетей, реализация шлюза удаленного доступа, поддержка виртуальных маршрутизаторов и зон безопасности. Не буду спорить. Современные межсетевые экраны – это не просто устройства, реализующие правила сетевого взаимодействия между двумя сетями, это даже не "два в одном флаконе", это 8–10 функций в одном устройстве. Этакие комбайны сетевой безопасности.

Но важно не то, какой функционал есть в устройстве, а какой функционал нужен вам для решения стоящих перед вами задач и насколько реализация этих функций в конкретном устройстве межсетевого экранирования вас устраивает.

А что на практике?

Когда в 2013 г. перед Банком "Санкт-Петербург" встала задача замены морально устаревших средств межсетевого экранирования на новые современные устройства, мы, естественно, посмотрели оценку компании Gartner по данному направлению Magic Quadrant for Enterprise Network Firewalls. Как вы думаете, сколько производителей межсетевых экранов находились в правом верхнем квадрате (Квадрат лидеров)?.. Два! Мы тоже были сильно удивлены. Казалось бы, при таком количестве громких имен производителей, с такой давней и славной историей производства сетевого оборудования, включая межсетевые экраны, можно было ожидать значительно большего. К слову, по оценкам Gartner, в 2014 г. ситуация не изменилась – в правом верхнем квадранте все те же две компании: Check Point Software Technologies и Palo Alto Networks. Компании Fortinet; Cisco и Juniper Networks располагались в квадрате Претендентов (левый верхний), а все остальные производители сгрудились в левом нижнем углу Нишевых игроков. Судя по тому, что квадрат Провидцев (правый нижний) оказался пустым, каких-то революционных изменений в данной сфере в ближайшее время нас не ожидает.

Мы для своего тестирования выбрали 4 компании, к озвученным ранее лидерам мы добавили StoneSoft и McAfee. К моменту проведения основных тестов компания McAfee уже приобрела Stonesoft, но на рынке предлагались линейки межсетевых экранов от обеих компаний.

Не буду погружать вас в технические подробности проведения тестирования, отмечу только, что у нас не стояла задача проверки всей функциональности тестируемых устройств. В основном интересовала классическая функциональность, реализация IPS и отказоустойчивость. Следует понимать, что в любой достаточно крупной компании, уделяющей внимание вопросам информационной безопасности, используется целый набор специализированных продуктов для решения задач по информационной безопасности, и решения типа "все-все в одном" не очень востребованы. К тому же любой дополнительный функционал существенно сказывается на производительности устройства. Тот же самый функционал по распознаванию и контролю приложений, значительно облегчающий написание правил межсетевого экранирования и обеспечивающий гибкость настроек, требует значительно более мощных ресурсов, чем фильтрация по IP-адресам и портам. А если вы включите на том же устройстве IPS, инспекцию SSL-трафика и URL-фильтрацию, стоит быть готовым к тому, что производительность устройства (в части обрабатываемого потока данных) "просядет" в разы.

По итогам тестирования все устройства показали себя достаточно зрелыми, и по большому счету любая из компаний была способна представить устройство, которое решало бы стоявшие перед нами задачи. В таких условиях на первый план выходят ценовые показатели, вопросы интеграции в имеющуюся IТ-инфраструктуру и систему ИБ, опыт имеющихся IТ-специалистов по работе с оборудованием конкретных производителей. Стоит обратить внимание на политику лицензирования модулей NGFW. Нет смысла платить за функциональность, которую вы не используете, в то же время полезно иметь возможность при необходимости быстро получить требуемые функции устройства, оплатив их стоимость.

NGFW: панацея от всех бед?

Существует мнение, что NGFW могут защитить от уязвимостей нулевого дня и целевых (таргетированных) атак. На мой взгляд, возможности NGFW в этой части сильно преувеличены.

Проведу небольшую аналогию. Вы поставили на даче крепкий, высокий и надежный забор. Он достаточно неплохо защищает вас от обычных хулиганов, бродячих собак и любопытных подростков. Но если кто-то задастся целью проникнуть к вам на территорию, он это сделает. Практически под любой забор можно сделать подкоп, любой забор при наличии соответствующих навыков и снаряжения можно перелезть, вряд ли забор устоит против тяжелой строительной техники. Наконец, на территорию можно попасть под видом электрика или водопроводчика, применив метод социальной инженерии.

В части защиты от уязвимостей нулевого дня и целевых (таргетированных) атак стоит рассматривать NGFW как один из элементов комплексной защиты, который должен хорошо интегрироваться с другими элементами системы.

Безусловно, на данный момент нельзя обеспечить высокую эффективность межсетевого экранирования без наличия у производителя соответствующих облачных сервисов – пополняющихся в реальном времени баз знаний – и постоянного взаимодействия NGFW с такими сервисами.

Считаю необходимым обсудить еще один аспект. Классический вариант организации демилитаризованной зоны (ДМЗ) предполагает наличие двух разнесенных устройств межсетевого экранирования для защиты демилитаризованной зоны от атак из сети Интернет и для защиты внутрикорпоративной сети от возможных атак из ДМЗ. Функционал современных NGFW направлен не только на ограничение возможностей внешних злоумышленников, но и на разумное ограничение возможностей работников организации при использовании современных IТ-сервисов. Такой функционал, как распознавание и контроль приложений, URL-фильтрация, распознавание и использование учетных записей пользователей, дешифрование и инспекция SSL-трафика, используется прежде всего для анализа исходящего из корпоративной сети трафика. Большинство же IТ-специалистов и специалистов по ИБ привыкло рассматривать межсетевые экраны как устройства анализа входящего трафика. Возвращаясь к классической схеме организации ДМЗ, получается, что для анализа входящего трафика NGFW необходимо ставить на внешнюю границу ДМЗ, а для анализа исходящего трафика целесообразней ставить NGFW на внутреннюю границу. Если бюджет позволяет, вопрос решается достаточно просто, в противном случае необходимо решить, какие из задач приоритетней. В своей организации основные функции по анализу исходящего трафика мы решаем на специализированных прокси-серверах.

Немаловажный вопрос – кто у вас в организации будет администрировать вновь установленное современное оборудование? Даже если интегратор, поставляющий вам оборудование, сможет на этапе внедрения реализовать большинство ваших пожеланий (что происходит далеко не всегда), за достаточно короткий срок эффективность работы оборудования может существенно снизиться. Современная IТ-инфраструктура достаточно динамична: регулярно появляются новые IТ-сервисы, бизнес генерирует идеи с пугающей быстротой, внутренние и внешние злоумышленники от них тоже не сильно отстают. Все это потребует адекватного изменения настроек NGFW, без наличия обученного персонала сделать это будет невозможно.

Более того, не понимая, как работают те или иные механизмы NGFW, под предлогом обеспечения работоспособности и производительной вычислительной сети сетевые администраторы будут отключать "лишний" на их взгляд функционал. Поэтому обучению и дальнейшему поддержанию необходимой квалификации IТ-персонала необходимо уделить пристальное внимание. Если же содержание собственных специалистов высокой квалификации вам не по карману, стоит задуматься о передаче этого функционала на аутсорсинг.

Преимущества NGFW

В завершение давайте еще раз отметим преимущества, которые предоставляет использование NGFW по сравнению с классическими межсетевыми экранами. Помните две деревни Вилларибо и Виллабаджо из рекламы моющего средства Fairy? В Вилларибо все еще корпят над сотнями правил классического Firewall (FW), а в Виллабаджо давно празднуют, у них Firewall: Next Generation.

В реальности, конечно, все не так однозначно, но в NGFW многие правила настраиваются значительно проще и гибче, чем в классическом FW. Ряд вещей, например в части использования приложений, работающих по принципу peer-to-peer, в классическом FW в принципе нереализуем.

Ну и значительно более богатый функционал, позволяющий заменить одним устройством несколько систем безопасности.