В настоящей заключительной части статьи рассмотрим лучшие практики проектирования архитектуры для обеспечения информационной безопасности при помощи межсетевых экранов
В первой части статьи были описаны подходы обеспечения всесторонней безопасности с использованием межсетевых экранов:
– на границе сети Интернет;
– в ядре центра обработки данных, локальной сети и выделенного сегмента управления инфраструктуры ИТ;
– на границе зон ответственности и в качестве решения IDS.
В настоящей заключительной части статьи рассмотрим лучшие практики проектирования архитектуры для обеспечения информационной безопасности при помощи межсетевых экранов:
– в качестве решения по микросегментации в программно-определяемых сетях;
– при защите облачных сред, в виде облачного сервиса и в качестве решения SD-WAN.
Также будут рассмотрены критерии выбора межсетевых экранов, лучшие практики по настройке и аудиту сервисов безопасности.
Современные сети, особенно в дата центрах, становятся все более программно-определяемыми. Самым известным решением SDN является продукт NSX от компании VMware. Рассмотрим архитектуру обеспечения микросегментации на его примере.
С точки зрения информационной безопасности, применение SDN порождает следующие проблемы:
– Недостаточная видимость горизонтального (east-west) трафика (информационные потоки между VM не выходят за пределы SDN и не попадают на периметровые средства защиты, а также на IDS и остаются невидимым для инженеров ИБ) (no visibility).
– Слабая адаптивность, вызванная ручной настройкой параметров сетевой безопасности для существующих и новых бизнес-приложений (информационные потоки между VM не выходят за пределы SDN, что ограничивает возможности по категоризации и ограничению трафика в части используемых приложений и сетевой активности) (no control).
Благодаря интеграции решений NGFW и VMware NSX можно получить следующий набор функций:
– Расширенные функции безопасности, подразумевающие видимость трафика на уровне приложений с возможностью инспекции, обнаружение и предотвращение вредоносных активностей.
– Упрощение операционных действий. Функции безопасности автоматизированы и прозрачны, не требуют дополнительных действий при установке новых виртуальных машин и добавлении хостов виртуализации.
– Более быстрое внедрение критически важных бизнес-приложений и применение к ним соответствующих политик безопасности.
– Централизованное управление политиками безопасности на всех хостах кластера.
Для обеспечения информационной безопасности необходимо развернуть межсетевой экран в качестве службы на кластере серверов VMware ESXi, где был включен NSX, и перенаправлять весь необходимый трафик со встроенного компонента VMware NSX Distributed Firewall (DFW) на NGFW.
Принцип взаимодействия NGFW и VMware NSX:
1) Система управления межсетевыми экранами регистрирует NGFW в качестве сервиса на VMware NSX.
2) VMware NSX автоматически устанавливает NGFW на все хосты кластера ESXi.
3) Система управления межсетевыми экранами отправляет на установленные NGFW конфигурации и политики безопасности.
4) VMware NSX включает на NSX DFW политику перенаправления трафика на NGFW.
5) NSX DFW отправляет необходимый трафик для глубокого анализа на NGFW.
6) Если в полученном трафике угроз не обнаружено, NGFW возвращает его на NSX DFW.
7) NSX DFW отправляет проверенный трафик дальше в SDN VMware NSX для дальнейшей маршрутизации.
8) При изменении структуры SDN (IP-адреса VM и группы безопасности) VMware NSX передает эти данные на систему управления межсетевыми экранами, которая, в свою очередь, автоматически повторяет пункт 3 данной процедуры.
Схема реализации решения обеспечения всесторонней безопасности с точки зрения виртуальной инфраструктуры выглядит следующим образом:
С точки зрения практического применения основными будут следующие два архитектурных подхода:
1) Микросегментация для трехуровневой архитектуры: выделим 3 группы VM SDN: представление (SG-WEB), обработка (SG-APP) и хранение данных (SG-DB). Каждая группа VM находится в одном L2-домене. При прохождении трафика между выделенными группами он инспектируется межсетевым экраном VM-Series, что позволяет проверить трафик на наличие угроз. Логическое представление прохождения трафика от пользователя до продуктивных виртуальных машин представлено на рисунке:
2) Обеспечение безопасности внутри сегмента: Архитектура NGFW VM-Series с VMware NSX дает возможность обеспечивать безопасность прохождения трафика внутри одного L2-сегмента SDN. Логическое представление прохождения трафика между виртуальными машинами одного сегмента представлено на рисунке:
Совместное использование VMware NSX и NGFW VM-Series обеспечивает следующие преимущества:
– Отсутствие привязки к сетевой топологии: политики безопасности применяются к трафику конкретной VM, вне зависимости от ее расположения на физическом хосте.
– Автоматизированная установка и конфигурация: NSX Manager регистрирует систему управления межсетевыми экранами в качестве платформы управления безопасностью и производит установку NGFW VM-Series на каждый ESXi-хост, зарегистрированный в vCenter.
– Динамические политики безопасности на основе приложения, пользователя, контента или группы VM: NSX использует для VM логическое понятие security group, которое коррелируется с Dynamic address group в системе управления межсетевыми экранами. Эта связка позволяет применять правила политики для всех объектов внутри контейнеров security group без привязки к IP-адресам.
– Применение современных механизмов защиты от киберугроз для виртуализации: благодаря использованию различных профилей безопасности, трафик внутри ЦОД инспектируется на наличие вредоносных активностей, эксплойтов, вирусов, утечек конфиденциальной информации и угроз нулевого дня.
– Линейное масштабирование без операционных расходов: при добавлении нового гипервизора, он автоматически будет обеспечен необходимым сервисом безопасности.
– Однородность представления политик и управления: политики безопасности имеют одинаковое представление и логику работы как для обеспечения безопасности east-west трафика SDN, так и для north-south физической сети.
– Функциональность журналов событий безопасности: расширенные возможности по контролю и видимости событий и угроз информационной безопасности, используя тот же инструмент мониторинга, что и для физических межсетевых экранов.
– Поддержка большинства функций hardware NGFW: использование User-id, App-id, Content-id (Threat Prevention, URL filtering и File blocking).
– Разделение зон ответственности: NGFW VM-Series позволяет перевести задачу в части обеспечения ИБ внутри SDN из зоны ответственности администраторов NSX в зону ответственности профильных инженеров ИБ и четко разграничить эти зоны.
Кроме возможности обеспечить всестороннюю безопасность решения NSX, нельзя обойти стороной и архитектурный подход использования межсетевых экранов для защиты облачных сред. Виртуальные межсетевые экраны VM-Series предназначены для повышения эффективности сетевой безопасности в публичных и приватных облаках. Все основные поставщики облачных сервисов Google Cloud Platform (GCP), Amazon Web Services (AWS) и Microsoft Azure имеют возможность интегрировать в свою инфраструктуру NGFW VM-Series. Виртуальные межсетевые экраны VM-Series также рекомендуется использовать и в частных облаках как решение виртуализации функций сетевой безопасности.
Мир, который нужно обезопасить, претерпевает огромные изменения: глобальная экспансия, мобильная рабочая сила и облачные вычисления меняют местоположение ваших приложений, данных и пользователей. Эти изменения открывают новые возможности для бизнеса, но они также создают ряд рисков кибербезопасности.
Для обеспечения безопасности с эксплуатационной эффективностью и защиты постоянно расширяющегося периметра организации необходимо:
– признать, что периметр организации, фактически, находится везде;
– определить основные проблемы безопасности организации;
– придерживаться трех принципов для надлежащей безопасности – Coverage, Visibility и Enforcement.
Coverage – защита должна последовательно применяться для всех приложений сети, в облаке, и где бы ни находились пользователи и офисы. Visibility – необходимо иметь возможность видеть весь трафик для принятия обоснованных решений по безопасности. Enforcement – необходимо быть в состоянии остановить угрозы внутри сетевого трафика, а также адаптироваться к новым угрозам.
Для соответствия этим вызовам и требованиям предлагается подход Security (Firewall) as a Service, который предполагает использовать межсетевой экран как облачный сервис всесторонней безопасности:
– для удаленных сетей – облачный межсетевой экран защищает трафик удаленных филиалов к облачным приложениям и приложениям центров обработки данных, а также обеспечивают надежную связь с головным офисом;
– для мобильных пользователей – облачный сервис предоставляет сеть межсетевых экранов, к которой могут подключаться пользователи, за счет чего трафик и приложения защищены целым набором функций NGFW.
Основными преимуществами такой архитектуры являются:
– обеспечение бескомпромиссной защиты всего периметра;
– упрощение администрирования средств межсетевого экранирования;
– уменьшение капитальных затрат путем преобразования их в операционные расходы;
– простое добавление или удаление точек межсетевого экранирования при возникновении необходимости;
– возможность обеспечения полносвязной топологии VPN без необходимости сложных настроек на стороне удаленной сети;
– подключение к ближайшей точке терминирования IPsec/SSL VPN со стороны мобильного пользователя.
И, в заключение, рассмотрим новейший подход к обеспечению всесторонней безопасности – решения SD-WAN для NGFW. Программно-определяемая сеть (SD-WAN) для NGFW – это технология, которая позволяет использовать несколько частных и интернет-сервисов для создания интеллектуальной и динамической сети, которая помогает снизить затраты, максимально повысить качество и предоставить все сервисы сетевой безопасности.
Основными преимуществами такой архитектуры являются:
– объединенное управление сетями и безопасностью;
– выбор пути для каждого приложения на основе данных о Jitter, Drop и Delay на каналах связи;
– автоматический QoS и Traffic Shaping;
– возможность использования Zero Touch Provisioning для оборудования филиалов;
– постоянный мониторинг пропускной способности и состояния безопасности на сети передачи данных в интерфейсе, удобном для администраторов и понятном для менеджмента.
Выбрав конвергентную платформу SD-WAN для межсетевого экранирования, организация избегает добавления лишних точек отказа и значительно повышает надежность, качество и информационную безопасность на сети передачи данных.
Кроме выбора архитектурного решения при обеспечении всесторонней безопасности, критически важным также является и выбор конкретного межсетевого экрана.
Кроме стандартных функциональных требований для любого современного NGFW, таких как Threat Prevention, Application-identification, User-identification, SSL/TLS decryption, URL filtering, File blocking, Routing, VPN, NAT, Logging, Clustering и QoS, необходимо обращать внимание на:
– возможность разрешить одним правилом работу приложений и их подприложений только по их стандартным портам;
– проверку приложений на нестандартных портах;
– возможность расшифровки TLS 1.3 и HTTP/2;
– наличие единого встроенного user friendly веб-интерфейса с широким функционалом по настройке, мониторингу, отладке и отчетности на межсетевом экране без необходимости в отдельно устанавливаемом софте или устройстве;
– маршрутизацию трафика различных приложений по различным маршрутам передачи данных;
– встроенное средство оптимизации политик безопасности (Policy Optimizer);
– средство усиления защищенности системы от производителя (Hardening – Best Practices Analyzer);
– средство анализа статистики межсетевого экрана от производителя (Security Lifecycle Review);
– наличие функционала Virtual Router и Virtual System;
– обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности, без отключения части проверок при высокой нагрузке на процессор;
– параллельное аппаратное ускорение функций безопасности на специальных процессорах;
– базовые возможности DOS Protection;
– наличие функционала Credential Phishing Prevention;
– разделение Management и Data Plane;
– синхронизацию сессий в кластере на всех 7 уровнях модели OSI/ISO;
– поддержку специализированных приложений сети (АСУТП и т.п.);
– наличие логичного и структурированного Command Line Interface;
– максимальное количество новых одновременных подключений через межсетевой экран и формируемых записей логов в секунду;
– наличие инструмента миграции от производителя для переноса правил безопасности (firewall policy) и правил трансляции (NAT);
– поддержку функционала Application Override для пользовательских приложений и приложений, использующих функционал ALG (Application Level Gateway), таких как SIP, H.323, FTP и т.п.;
– возможность глубокого анализа сетевых сессий, проходящих через межсетевой экран, и их ручного сброса при необходимости.
Также правильным подходом будет не верить данным из Datasheet, а провести тестирование NGFW на своем трафике.
В процессе эксплуатации NGFW рекомендуется периодически проводить проверки по настройкам безопасности и качеству работы. В эти аудиты должны входить:
– проверка утилизации Management CPU и при выявлении высокой нагрузки – отключение логирования начала сессий некритичных правил безопасности и автоматизированных отчетов;
– оптимизация политик безопасности и удаление неиспользуемых правил;
– анализ защищенности и тестирование на проникновение;
– проверка необходимости и корректности правил NAT и VPN, а также статических маршрутов и анонсируемых сетей в VPN;
– проверка наличия и срока действия лицензий и сервисов поддержки;
– проверка срока действия необходимых сертификатов SSL/TLS;
– установка рекомендуемой версии программного обеспечения межсетевого экрана и обновлений модулей безопасности;
– создание резервных копий по схеме «3-2-1»;
– тестирование резервирования блоков питания, нод кластера и каналов связи;
– регулярная смена пароля локального администратора и проверка удаления уволенных администраторов из групп доступа к управлению;
– наличие необходимых ограничений на Management Plane (ssh, login idle timeout, login attempt count, login banner, https, snmp, management network ACL и т.п.);
– проверка наличия SYN flood и других DOS protection на внешних интерфейсах;
– включение NetFlow на необходимых интерфейсах;
– проверка свободного места на дисках и состояния внутренних датчиков;
– проверка всех логов на сообщения уровня warning и выше.
Существует большое количество различных подходов к проектированию архитектуры для обеспечения информационной безопасности при использовании межсетевых экранов. Выбор наилучшего для организации варианта зависит от особенностей имеющейся архитектуры сети передачи данных и определяется как требованиями департаментов информационной безопасности, так и возможностями отделов информационных технологий.
Надеемся, что информация, приведенная в статье, окажется полезной для специалистов в области обеспечения информационной безопасности на сети передачи данных. Наряду с этим, отметим, что одним из наиболее эффективных подходов к проектированию и внедрению комплексных решений по обеспечению информационной безопасности является привлечение профессиональных команд исполнителей.
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
validccshopsu crdone
Categories