Контакты
Подписка
МЕНЮ
Контакты
Подписка

Средства сетевой защиты: актуальные тенденции

Средства сетевой защиты: актуальные тенденции

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Средства сетевой защиты: актуальные тенденции

Сегодня Интернет превращается из источника информации в виртуальное сообщество, и как в любом обществе, здесь появляются люди, которые незаконным путем пытаются получить чужую информацию для собственной выгоды. Отсюда вытекают два основных вопроса: как обезопасить конфиденциальную информацию от тех, кто не имеет прав доступа к ней, и какие средства для этого использовать?
Ирина Момчилович
управляющий директор Rainbow Security

Технологии Firewall

Необходимость защиты  информации  стала причиной создания отдельного направления в  компьютерной  индустрии,   немаловажную роль в котором играет развитие технологии Firewall. Сегодня ни один компьютер, имеющий доступ в сеть Интернет, не может обойтись без межсетевого экрана (файрвола) и антивируса. Файрвол сегодня – это фундамент системы ИБ, именно поэтому необходимо знать об    актуальных    тенденциях в мире ИБ, о том как развивался файрвол, какие изменения претерпел на своем эволюционном пути, как сегодня применяется в современных технологиях и каковы его дальнейшие перспективы.

Развитие технологии

Технологии файрволов первоначально строились на фильтрации пакетов, которая осуществлялась на основе статических данных в заголовках. Каждый IP-пакет проверялся на соответствие информации в заголовке с допустимыми правилами, записанными в файрволе. Если заголовок пакета не удовлетворял заданным критериям, он не пропускался в защищенную сеть. Данный метод фильтрации был довольно несовершенен, поскольку не давал возможности проверять содержимое пакетов. Поэтому со временем появились межсетевые экраны на основе прокси-фильтров, способные анализировать не только заголовки пакетов, но и пересылаемые данные. Это дало возможность управлять информацией о сессии передачи данных и контролировать ее.

Полноценное UTM-устройство должно в первую очередь обеспечивать многоуровневую защиту сети, для чего в нем должны быть реализованы функции межсетевого экрана и системы обнаружения вторжений, позволяющие проводить глубокий анализ потока данных и передавать информацию о подозрительном трафике различным уровням устройства.

Список опасностей, угрожающих сетям, расширялся, угрозы становились сложнее и постоянно изменялись. Защита от них, безусловно, была, но реализовывалась она в виде независимых друг от друга решений, каждое из которых необходимо было устанавливать, настраивать и обслуживать в отдельности. Чтобы увеличить производительность систем защиты и облегчить управление ими, были разработаны специальные устройства для объединенного управления угрозами – универсальные аппаратные решения, которые могли защитить локальную сеть от большинства угроз. Такой класс оборудования для защиты сетевых ресурсов получил название UTM-решений (Unified Threat Management) – многофункциональные программно-аппаратные комплексы, в которых совмещены функции различных устройств: межсетевого экрана с функциями антивирусного фильтра, системы предотвращения вторжений, системы борьбы со спамом, системы URL-фильтрации, а также VPN-технологии.

Угрозы и защита

Другой обязательной функцией является антивирус, проверяющий трафик на вирусы, черви, шпионское ПО и прочие вредоносные коды на основе базы данных сигнатур. Опасный трафик определяется и останавливается в режиме online, прежде чем он сможет повредить сеть.


Отдельно стоит отметить дополнительные возможности по защите от небезопасных Web-сайтов и спама. Служба URL-фильтрации позволяет запретить сотрудникам компании посещать небезопасные сайты, которые могут быть источниками различного вида угроз.

Изначально файрвол сформировался как комплекс программных средств, стоящий между сетевым адаптером и операционной системой. Но проблемы совместимости аппаратных компонентов, операционной системы и программного обеспечения файрвола привели к тому, что параллельно с программными межсетевыми экранами стали развиваться программно-аппаратные комплексы защиты, которые представляли собой аппаратные устройства с предварительно установленным и сконфигурированным на них программным обеспечением межсетевого экрана и операционной системой. Эти устройства обладали гораздо более стабильными параметрами производительности, расширенными сетевыми возможностями, усиленными функциями безопасности, а также значительно увеличенной надежностью.

Если говорить о спаме, то он не только может нести в себе потенциальную опасность, но также способен перегрузить сетевые ресурсы и снизить производительность труда сотрудников. Использование выделенной службы блокирования спама позволяет остановить лишний трафик на сетевом шлюзе, прежде чем он достигнет внутреннего почтового сервера.

Преимущества

Необходимо отметить, что по сравнению с использованием отдельных систем работа с комплексом UTM имеет целый ряд преимуществ, первым из которых является стоимость его внедрения. Интегрированные системы используют намного меньше оборудования в отличие от решений многоуровневой безопасности, которые строятся с помощью множества отдельных устройств. Это, безусловно, отражается на итоговой стоимости.

Программно-аппаратные комплексы сегодня являются основой для построения защиты корпоративной сети, в то время как программные в большей мере используются для обеспечения безопасности частных пользователей.

Вторым преимуществом использования концепции UTM является то, что остановка вторжений осуществляется на сетевом шлюзе, а не на сервере или рабочей станции. Таким образом, скорость трафика не снижается, и чувствительные к скорости приложения остаются доступными для работы.

В-третьих, простота установки и конфигурации защиты. Управление устройствами и службами легко настраивается с помощью интегрированных систем с централизованным управлением, что значительно упрощает работу администраторов и сокращает количество требуемых человеческих  ресурсов.

Ответ вызовам времени

Концепция UTM-устройств для построения системы ИБ на сегодняшний день является стандартной и общепризнанной. Подобные решения рассчитаны на сети различного масштаба и дают возможность многим компаниям перейти на более высокий уровень защиты своих сетей. Но современные тенденции в развитии UTM-устройств таковы, что сегодня рынку требуются решения следующего поколения с расширенными функциями управления и обеспечения безопасности, повышенным уровнем производительности, масштабируемости, надежности и экономичности.

Файрвол (firewall; брандмауэр или межсетевой экран) – это один из основных компонентов, необходимых для организации защиты периметра сети и персональных компьютеров отдельных пользователей. Функция файрвола заключается в том, чтобы контролировать взаимодействие внешней и внутренней сети с помощью фильтрации всего входящего и исходящего трафика, основываясь на заданных правилах.

Поэтому некоторые разработчики расширили понятие комплексной защиты компьютерных сетей от угроз, дополнив категорию UTM новым определением XTM (eXtensible Threat Management) – расширяемое управление угрозами. Расширяемость подразумевает возможность добавления отдельных компонентов, то есть устройства XTM адаптируются к динамичному сетевому окружению и одновременно защищают сеть от ранее неизвестных угроз. В концепции XTM улучшен и расширен ряд функциональных характеристик UTM. XTM-устройства способны проводить глубокую проверку HTTPS-трафика, перехватывая, обрабатывая и перестраивая потоки данных HTTPS с применением контентной фильтрации, создавая списки исключений для посещения потенциально опасных сайтов. Кроме того, в связи с распространением технологии VoIP в бизнес-секторе XTM-устройства предложили встроенную защиту VoIP-протокола.

Новые функции

В решения XTM добавлены средства анализа репутации интернет-сайтов, реализованные на основе облачных технологий – функция Reputation Enabled Defense (RED). Служба RED основана на технологии облачной среды, которая представляет собой специализированные серверы хранения репутационных оценок публичных хостов. Если пользователь пытается установить соединение с сайтом с низкой репутацией, RED передает команду сервису URL-фильтрации на выполнение блокировки доступа. Если же осуществляется подключение к сайту с положительной репутацией, то данные, передаваемые между пользователем и сайтом, не подвергаются антивирусной проверке, что ускоряет Web-доступ к ресурсу. Подобная функция позволяет оптимизировать пропускную способность и освободить сетевые ресурсы для обработки только законного, безвредного трафика.

Средствами Application Control можно разрешить использование программы Google Talk для обмена мгновенными сообщениями, но запретить в данном приложении передачу файлов между пользователями. Файрвол с функцией Application Control способен также выявлять все приложения, пытающиеся проникнуть в сеть, в том числе и зашифрованные – специально разработанные для обхода стандартных мер безопасности.

Новейшая и перспективная функция, реализованная в устройствах серии XTM, – это контроль приложений (Application Control). Новый сервис позволяет отследить, какие приложения используются в компании, кто их использует и когда.

Теперь межсетевой экран получает дополнительные функции: с его помощью можно не только управлять доступом в сеть, но и выборочно разрешать или запрещать работу определенных сетевых приложений или даже отдельных их функций, разграничивая доступ по отделам компании, должностным обязанностям сотрудников и времени суток.

Сервис Application Control дает возможность создавать отчеты с отображением хронологии запуска приложений, что позволяет проверять соблюдение политики безопасности и оценивать потребности пользователей.

Это позволит компаниям избежать значительной доли рисков и обеспечить безопасность локальной сети. Кроме того, обладая полным отчетом об использовании приложений, организация имеет возможность регулировать расходы на ПО: если приложение не используется сотрудниками, то не имеет смысла продлевать на него лицензию. А поскольку приобретение лицензионного программного обеспечения зачастую связано со значительными финансовыми вложениями, то с помощью Application Control организации смогут минимизировать свои затраты на лицензионную политику. Сегодня вложения в ИБ становятся не расходами, а инструментами, помогающими сэкономить средства с целью вложения их в дальнейшее развитие бизнеса.

Что в итоге?

Таким образом, развитие технологий постепенно приходит к тому, что средства сетевой защиты начинают отслеживать не периметр сети, а сами данные, проходящие через него. Подобные изменения связаны с тем, что сегодня сеть уже не имеет четких границ: многие организации предоставляют своим сотрудникам и партнерам удаленный доступ к корпоративной сети, обеспечивая им свободу и мобильность. Но повсеместное распространение мобильных компьютеров подвергает ИБ компании большому риску, поскольку контроль за периметром сети становится очень сложной задачей, для решения которой традиционных методов защиты уже недостаточно. Именно поэтому одной из самых актуальных тенденцией в сфере ИБ на сегодняшний день является управление данными и контроль за всей перемещаемой информацией с помощью технологии Application Control, предоставляющей беспрецедентный уровень контроля приложений в едином, экономически выгодном решении для обеспечения сетевой безопасности, которое и определяет будущее систем ИБ.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2011
Посещений: 10265

Приобрести этот номер или подписаться
  Автор

Ирина Момчилович

Ирина Момчилович

Управляющий директор Rainbow Security

Всего статей:  2

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций