10 обязательных функций межсетевого экрана нового поколения

Критерии выбора межсетевого экрана обычно делятся на три основные области:

• функции безопасности,
• удобство управления,
• производительность.

Функциональные элементы системы безопасности влияют на эффективность системы защиты и способность вашей команды управлять рисками, связанными с работой различных приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам? В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность?
Каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора межсетевого экрана. Чтобы помочь в этом, мы решили четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:

1. Идентификация и контроль приложений по любому порту
2. Идентификация и контроль попыток обхода защиты
3. Расшифрование исходящего SSL и управляющего SSH трафика
4. Контроль функций приложений и их подприложений
5. Управление неизвестным трафиком
6. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
7. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
9. Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений
10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

1. Ваш новый межсетевой экран должен обеспечивать постоянную идентификацию и управление приложениями на всех портах.

Реальный пример. Разработчики приложений больше не следуют методологии разработки приложений, основанных на использовании стандартных портов и протоколов. Все большее число приложений может работать через нестандартные порты или переключаться между портами (например, приложения мгновенного обмена сообщениями, пирингового обмена файлами или VoIP: Skype, Bittorent, H.248, Lync, Aim и т.д.). Кроме того, все большее число пользователей умеет направлять работу приложений через нестандартные порты (например, RDP, SSH). Чтобы внедрить политики межсетевого экрана для конкретных приложений, которые все чаще работают без привязки к портам, ваш новый межсетевой экран должен быть готов к тому, что каждое приложение может работать с любым портом. Концепция поддержки любого приложения, работающего на любом порте, является одним из фундаментальных изменений в работе приложений, которое заставляет переходить от межсетевых экранов, контролирующих трафик через определенные порты, к межсетевым экранам нового поколения. Принцип поддержки любого приложения, работающего по любому порту, еще раз показывает, что негативная модель управления (разрешение по умолчанию) не позволяет решить проблему. Если приложение может переключаться на любой порт, то в случае использования продукта, основанного на негативном управлении, он должен либо заблаговременно получить необходимую информацию, либо постоянно отслеживать все сигнатуры по всем портам. Иначе он пропускает и не видит атаки, поскольку по умолчанию пропускает все, что не знает. Позитивная модель (блокирование по умолчанию) подразумевают классификацию всего трафика, тогда как негативная модель (разрешение по умолчанию) подразумевают классификацию только определенного трафика и пропуск неизвестного.

Требования. Требование простое — необходимо исходить из того, что каждое приложение может работать по любому порту, поэтому ваш новый межсетевой экран по умолчанию должен постоянно классифицировать трафик по приложению по всем портам. Это требование нужно предъявлять ко всем современным средствам защиты. Проблема классификации трафика по всем портам будет снова возникать при обсуждении всех оставшихся требований. В противном случае мы по-прежнему будем наблюдать обход средств контроля на основе портов с помощью все тех же приемов, которые существуют много лет: хакер перемещает приложение на другой порт и сетевое средство защиты перестает его видеть. С этим пора разобраться в вашей сети.

Комментарий из жизни: в реальных продуктах идентификация и управление приложениями — это три разных операции: определять приложения, блокировать приложения и безопасно разрешать приложения. Бывает, что производитель может верно определять конкретное приложение, но может не уметь его блокировать. Современные приложения настроены работать, для того, чтобы обходить блокировки, то есть если вы его заблокировали одним способом, то приложение начинает пользоваться вторым, третьим и так далее, пока вообще есть хоть один вариант — современные приложения очень инвазивны. Это говорит о том, что блокировка приложений должна тщательно проверяться при тестировании. Определение приложения — это всего лишь начало пути. Если вы разрешили приложение, но не проверили его контент, то это опять же небезопасно, поэтому для безопасного разрешения нужно еще проверить контент, например, сигнатурами IPS, антивируса, ant-spyware, DLP и другими. Также трафик браузеров часто сверяют с категориями URL, по которым ходят сотрудники и автоматизированные приложения.

Управлением приложениями на одном IP и порту. C появлением облачных технологий, все больше приложений стало работать на одном и том же сервере, то есть трафик разных совершенно приложений направляется на один и тот же IP адрес и 80 или 443 порт и с него. На одном сервере находится сотня разных приложений, они принимают и отправляют файлы и сотрудникам ИБ нужно управлять этими файлами и приложениями. Что делать? Ведь простой межсетевой экран не может отличить эти приложения друг от друга, у него нет такого критерия в правиле: приложение? На помощь приходят межсетевые экраны нового поколения, которые уже имеют такой критерий, поскольку отличают приложения по передаваемому контенту или по заголовкам HTTP запросов и могут внутри сессии видеть файлы и управлять ими: блокировать различные типы файлов опять же по его содержимому, например проверять там вирусы, эксплойты, утечки конфиденциальных данных.

Проверка механизма управления приложениями. Если вы хотите проверить умеет ли ваш межсетевой экран работать с приложениями, пройдите простой тест: настройте два правила для управления двумя приложениями на этом портале: http://basic.ngfw-test.com/ В трафике первого приложения нужно заблокировать только передачу PDF файлов, во втором только передачу вирусов, то есть две разных операции два двух приложений на одном и том же сервере, но никак не одновременно.

2. Ваш межсетевой экран нового поколения должен идентифицировать и контролировать инструменты, позволяющие обходить средства обеспечения безопасности.

Реальный пример. Сегодня программисты специально пишут приложения, чтобы они обходили межсетевые экраны. Это им нужно для так называемого User Experience.

Программисты хотят, чтобы вам было удобно! Чтобы вы поставили skype и он сразу "засветился зелененьким". Вы получите удовольствие от того факта, что вам не потребовалось уговаривать администратора прописать правила на межсетевом экране, поскольку такие приложения находят и используют уже открытые поты для других приложений. Такими портами являются часто порты 80, 53, 123, 25, 110. Или же программа забирает и использует настройки прокси-сервера из браузера.
Современные средства защиты не идеальны. Их тоже пишут программисты. 20 лет назад при создании Интернет договорились, что для идентификации приложений будут использоваться порты. 80 — HTTP, 25 — SMTP, 21 — FTP и так далее. Ситуация изменилась: внутри этих портов могут ходить любые приложения. Изменились ли средства защиты? Могут ли они определить что по стандартному порту для HTTP (порт 80) сейчас идет другое приложение, отличное от HTTP?

Сейчас существует достаточный набор приложений в вашей сети которые можно использовать для целенаправленного обхода политик безопасности, защищающих вашу организацию. Как вы это контролируете?
К инструментам обхода средств безопасности относятся приложения двух классов — приложения, изначально разрабатываемые для обхода средств защиты (например, внешние прокси и зашифрованные туннельные приложения (не VPN)), и приложения, которые можно адаптировать для выполнения этой задачи (например, инструменты управления удаленным сервером/рабочим столом).

• Внешние прокси и зашифрованные туннельные приложения (не VPN), оснащенные рядом методик маскировки, специально используются для обхода средств обеспечения защиты. Поскольку эти приложения изначально создаются для обхода средств безопасности и поэтому способствуют рискам для бизнеса и защиты, они не имеют для вашей сети никакой бизнес-ценности.

  
  
• Инструменты управления удаленным сервером/рабочим столом, такие как RDP и Teamviewer, обычно используются работниками служб поддержки и ИТ-специалистами в целях повышения эффективности работы. Они также часто используются сотрудниками организаций для подключения к домашним и другим компьютерам за пределами корпоративной сети в обход межсетевого экрана. Злоумышленники прекрасно знают об использовании таких приложений, и в официально публикуемых отчетах Verizon Data Breach Report (DBIR) сообщалось о том, что эти инструменты удаленного доступа использовались на одном или нескольких этапах сетевых атак. И до сих пор используются.

Несут ли стандартные приложения в сети какой-то риск? Ведь и приложения для удаленного доступа, и многие зашифрованные туннельные приложения могут использоваться администраторами и сотрудниками. Однако эти же инструменты все чаще используются злоумышленниками на разных этапах в их сложных атаках. Примером такого инструмента в 2017 году является Cobalt Strike. Если организации не смогут контролировать использование этих инструментов обхода средств безопасности, они не смогут успешно выполнять политики безопасности и подвергнут себя всем рискам, для защиты от которых эти средства безопасности предназначены.

Существуют различные типы приложений обхода средств защиты, и методики, которыми оснащаются приложения каждого из этих типов, слегка различаются. Существуют публичные и частные внешние прокси, которые могут использовать и HTTP, и HTTPS. Например крупная база данных публичных прокси представлена на сайте proxy.org (запрещен на территории РФ и должен быть запрещен в вашей корпоративной сети) Частные прокси часто настраиваются на базе не классифицируемых IP-адресов (например, домашних компьютеров) с такими приложениями, как PHProxy или CGIProxy. Такие приложения удаленного доступа, как RDP, Teamviewer или GoToMyPC, имеют законное применение, однако из-за дополнительного риска, который они вносят, должны строго контролироваться. Большинство других приложений для обхода защиты (например, Ultrasurf, Tor, Hamachi) не имеют никакого бизнес-значения для вашей сети. Независимо от состояния вашей политики безопасности, ваш межсетевой экран нового поколения должен быть оснащен специальными методиками, позволяющими идентифицировать и контролировать все перечисленные приложения, не привязываясь к конкретному порту, протоколу, методу шифрования или другой тактике обхода.
И еще один важный момент: приложения, обеспечивающие обход средств защиты, регулярно обновляются, что еще больше затрудняет их выявление и контроль. Поэтому очень важно знать, как часто выполняется обновление и обслуживание функций контроля приложений, которыми оснащен ваш межсетевой экран.

Реальный пример. Используются ли стандартные протоколы на нестандартных портах в ваше сети? Может ли администратор переместить RDP со стандартного порта 3389 на другой порт? Может. Может ли HTTP ходить по другому порту отличному 80? Не только может, но и ходит. Может ли FTP сервер в Интернет работать на другом порту отличном от 21 — да таких огромное количество. Видят ли это ваши средства защиты. Если нет, то для сотрудника компании или хакера это стандартный ход для уклонения от проверок политик. Просто переместить FTP на порту 25 — окажется что ваше средство защиты думает, что это SMTP. Ваши сигнатуры IPS или антивируса работают только для порта 80 или 110 (POP3)? Злоумышленник передаст трафик на любой другой порт. Например 10000.

Требования. Ваш новый межсетевой экран должен проверять тип трафика по реальному контенту который передается внутри пакетов. Мир изменился: даже на входе в театр сейчас стоят рамки металлоискателей: показать свой номер ряда и кресла уже недостаточно. То же самое и в корпоративных сетях: нужно проверять содержимое сетевых пакетов, а не их заголовки. Ваш новый межсетевой экран должен уметь определять приложения по содержимому поля данных, причем на любых портах.

3. Ваш межсетевой экран нового поколения должен обеспечивать расшифровку и проверку SSL, а также контролировать управление SSH.

Реальный пример. Реальный пример. В настоящее время 30% приложений в современных корпоративных сетях тем или иным образом, в той или иной форме, используют протокол SSL. Принимая во внимание тот факт, что конечные пользователи все чаще применяют HTTPS для многих востребованных приложений с высокой степенью риска (таких как Gmail, Facebook), а также могут применять SSL на многих веб-сайтах, ваши специалисты службы безопасности сталкиваются с тем, что им становится неподвластна все большая часть сетевого трафика, и они теряют возможность расшифрования, классификации, контроля и сканирования трафика, зашифрованного с помощью SSL. Естественно, межсетевой экран нового поколения должен быть достаточно гибким, чтобы оставлять как есть трафик определенных типов, зашифрованный с помощью SSL (например, веб-трафик от финансовых служб или организаций здравоохранения), и расшифровывать трафик других типов (например, SSL на нестандартных портах, HTTPS с не классифицируемых веб-сайтов), прибегая согласно к установленной политике. Использование SSH носит практически универсальный характер, и конечные пользователи могут легко настраивать этот протокол для своих личных целей, как и любой другой инструмент для управления удаленным рабочим столом. Тот факт, что данные, передаваемые по SSH, зашифрованы, делает этот протокол эффективным средством для скрытия действий нерабочего характера.

Требования. Возможность расшифрования SSL — это основополагающий фактор выбора решения по защите сети. И не только из-за того, что речь идет о значительной части корпоративного трафика, но и из-за того, что эта возможность повышает эффективность других ключевых функций, которые без расшифрования SSL будут неполными или неполноценными. К другим ключевым факторам можно отнести выявление и расшифрование SSL на любом порте, как на входе в сеть, так и на выходе; управление политиками расшифрованным трафиком, а также набор аппаратных и программных средств, необходимых для перешифрования SSL в рамках десятков тысяч одновременных подключений SSL с предсказуемой производительностью. Еще одним важным требованием является возможность идентификации и контроля за использованием SSH. Если говорить конкретно, то контроль за SSH подразумевает возможность определения для чего используется протокол SSH: переадресация портовтуннелирование трафика (локальная, удаленная, X11) или предназначенное использование по назначению (SCP, SFTP и доступ к оболочкеshell). Сведения о целях и характере использования SSH можно затем преобразовать в правила политики безопасности.

Презентация "Смотрим в HTTPS трафик" https://www.slideshare.net/ksiva/https-75840362

4. Безопасное разрешение приложений. Ваш межсетевой экран должен осуществлять контроль за работой приложений.

Реальный пример. Разработчики платформ приложений, таких как Google, Facebook, Salesforce.com или Microsoft, предлагают пользователям богатейший набор компонентов и функций, которые повышают лояльность пользователей, но при этом представляют сложнейшие профили риска. Возьмем, к примеру, приложение Webex, которое является эффективнейшим бизнес-инструментом. Однако функция совместного доступа к рабочему столу (Webex Desktop Sharing), позволяющая осуществлять доступ к рабочим столам ваших сотрудников с внешнего источника, способствует нарушению внутренних политики или нормативных требований. Другим примером могут служить приложения Google Mail (Gmail) и Google Talk (Gtalk). Как только пользователь входит в систему Gmail, что может быть разрешено политикой, он может легко переключить контекст на Gtalk, что может быть запрещено той же политикой. Ваш межсетевой экран нового поколения должен уметь распознавать и разграничивать отдельные компоненты и функции — только в этом случае можно будет внедрить соответствующие политики.

Требования. Ваш межсетевой экран нового поколения должен постоянно осуществлять классификацию каждого приложения, отслеживая все изменения, которые могут указывать на использование той или иной функции этого приложения. Концепция «однократной» классификации трафика не является выходом из положения, поскольку при этом игнорируется тот факт, что различные приложения могут использовать одни и те же сетевые сессии или выполнять несколько функций. Если в данной сессии будет идентифицирована другая функция или приложение, межсетевой экран должен зафиксировать этот факт в таблицах состояния сессий и выполнить проверку на основе политики. Непрерывный мониторинг состояния с целью выявления различных функций, которые может поддерживать каждое приложение, а также связанных с ними рисков, — это важнейшее требование к вашему межсетевому экрану нового поколения.

Проверка. Традиционные способы контроля приложений предполагают блокировку всего трафика приложений с помощью постоянно растущего списка точечных технологий, используемых в дополнение к межсетевым экранам, что может усложнить работу предприятия, или же разрешение доступа всем приложениям, что в равной степени неприемлемо в свете роста угроз для бизнеса и безопасности. Проблема состоит в том, что традиционный межсетевой экран, работающий на основе портов, даже с дополнительной функцией блокировки приложений не может использоваться в качестве альтернативы ни для одного из отмеченных подходов. Чтобы найти баланс между «разрешением всего» и «запрещением всего», необходимо обеспечить безопасное разрешение доступа приложениям, используя в качестве основных критериев политики безопасности межсетевого экрана такие элементы, как удостоверение приложений, пользователь приложения и тип контента, в зависимости от потребностей предприятия. Поскольку все больше приложений работает на одном и том же оборудовании и серверах, то требуется чтобы новый межсетевой экран умел их различать. Попробуйте настроить свой межсетевой экран нового поколения различать два разных приложения, работающих на одном и том же IP адресе и порту одного сервера. И посмотрите работают ли разные политики для разных приложений в вашем межсетевом экране.
В данном примере требуется развести профили проверки для скачивания PDF файлов и вирусную проверку.
http://basic.ngfw-test.com/

Безопасное разрешение приложений. Для безопасной работы приложений и технологий, а также для обеспечения основанных на них бизнес-процессов, специалистам сетевой безопасности требуется внедрить не только соответствующие политики, но и средства, контролирующие их соблюдение. Такими средствами являются межсетевые экраны нового поколения.

5. Ваш межсетевой экран нового поколения должен осуществлять систематическое управление неизвестным трафиком.

Реальный пример. В сети существует трафик, который не получается идентифицировать по его содержимому. Будем называть его неизвестным трафиком. В небольших количествах неизвестный трафик присутствует в каждой сети, при этом даже незначительный неизвестный трафик представляет существенный риск для вашей организации. Нам нужно понимать кто этот трафик создает и зачем! Существует целый ряд важных факторов, имеющих отношение к неизвестному трафику, которые следует учитывать: можно ли его хоть как-то классифицировать, можно ли сократить его до минимума, используя политики безопасности, может ли ваш межсетевой экран легко определять самописные пользовательские приложения так, чтобы они переходили в категорию известных приложений и могли указываться в вашей политике безопасности, и способен ли ваш межсетевой экран определить, представляет ли неизвестный трафик угрозу? Неизвестный трафик тесно связан с сетевыми угрозами. Злоумышленники часто модифицируют потоки данных, чтобы воспользоваться недостатками нужного приложения.
Например, для атаки на веб-сервер злоумышленнику может потребоваться изменение заголовка HTTP, в результате которого трафик больше не будет идентифицироваться как веб-трафик. Подобная аномалия может служить ранним свидетельством атаки. Вредоносное ПО также часто использует свои собственные или модифицированные протоколы для связи с командным центром, что позволяет специалистам по безопасности ликвидировать любые проникновения неизвестного вредоносного ПО.

Требования. Ваш межсетевой экран нового поколения по умолчанию должен классифицировать весь трафик на всех портах — это тот критерий, который должен обязательно учитываться при разработке архитектуры и модели управления средствами безопасности.
Существует два поведения при написании правил межсетевого экрана.
Позитивная модель (блокирование по умолчанию всего неизвестного) подразумевают классификацию всего трафика, чтобы мы блокировали только неизвестный, тогда как негативная модель (разрешение по умолчанию всего неизвестного) подразумевают классификацию только определенного трафика, поскольку, если мы не знаем какой-то протокол или приложение, то мы просто его пропускаем.
Классификация всего трафика и выявление неизвестного — это только первая задача для вашего межсетевого экрана. Ваш межсетевой экран нового поколения должен обеспечить видимость всего неизвестного трафика, на всех портах. Он должен уметь быстро выполнять анализ этого трафика и определять его природу —

1. внутреннее или самописное приложение,
2. коммерческое приложение без готовой сигнатуры или
3. угроза.

Кроме того, межсетевой экран должен уметь:

• создавать пользовательскую сигнатуру для трафика,
• собирать и отправлять PCAP трафика коммерческого приложения в лабораторию для проведения дальнейшего анализа или проведения аналитического исследования, которое позволит определить, не является ли трафик угрозой.

6. Ваш межсетевой экран нового поколения должен проверять угрозы в файлах на всех портах, определяя все приложения.

Реальный пример. Организации постоянно внедряют все новые и новые приложения, повышающие эффективность бизнеса. Эти приложения могут находиться как внутри сети, так и за ее периметром. Будь то SharePoint, Box.net, Google Docs, Microsoft Office365 или даже приложение, размещенное у вашего партнера. Многие организации должны использовать приложения, способные работать через нестандартные порты, использовать SSL или иметь совместный доступ к файлам. Другими словами, эти приложения могут повышать эффективность бизнеса, но при этом служить вектором сокрытия киберугроз. Более того, некоторые из этих приложений (например, SharePoint) зависят от поддержки технологий, которые являются регулярной мишенью для компьютерных атак (например, IIS, SQL Server). В этом случае блокировка приложения не устраняет угрозу. Однако полное разрешение всех приложений, несет за собой риски для бизнеса и является благотворной средой для атак киберпреступников. Существует растущий тренд передачи вредоносного ПО по нестандартным портам, что представляет для сотрудников ИБ острую проблему. Поскольку вредоносное ПО соединяется со своим центром управления изнутри сети, то злоумышленник может использовать любую комбинацию портов и протоколов, поскольку для внутренних сотрудников обычно разрешены все соединения наружу по любым портам. В ходе анализа одной из сетей за три месяца 97% всего неизвестного вредоносного ПО, проникшего через FTP, использовались только нестандартные порты. Определяют ли ваши средства защиты такой протокол как FTP на портах отличных от стандартного 21? Например мы видим соединения FTP по порту 25, который, тоже часто открыт наружу.

Требования. В процесс безопасного разрешения приложений по любым портам входит и политика определения приложения и сканирование файлов передаваемых приложением на наличие различных известных и неизвестных угроз. Эти приложения могут осуществлять связь, используя различную комбинацию протоколов (например, приложение SharePoint использует протоколы CIFS, HTTP и HTTPS и требует применения более сложной политики межсетевого экрана, чем просто «блокировка приложений»). Первым шагом является идентификация приложения (независимо от порта или типа шифрования), определение функций, которые будут разрешаться или отклоняться, и последующее сканирование разрешенных компонентов на наличие угроз — эксплойтов, вирусов/вредоносного ПО или шпионского ПО… или даже конфиденциальной или секретной информации. Например, межсетевой экран может определить, что была выложена конфиденциальная презентация на сервис SlideShare.

7. Ваш межсетевой экран нового поколения должен обеспечивать непрерывный контроль над всеми пользователями, независимо от их местоположения или типа устройства.

Реальный пример. Ваши пользователи все чаще работают вне офиса, получая доступ к корпоративной сети со своих смартфонов или планшетов по VPN. Значительная часть ваших сотрудников имеет возможность работать удаленно. Работая за столиком в кафе, у себя дома или на встречах у клиентов — ваши сотрудники считают само собой разумеющимся, что они могут подключаться к своим рабочим приложениям через WIFI или LTE/3G. Независимо от местоположения пользователя или даже самого приложения, межсетевой экран должен применять один и тот же стандарт контроля доступа. Если ваш межсетевой экран обеспечивает визуализацию и контроль приложений только в пределах стен организации, но не за ними, он в может упустить трафик, представляющий огромный риск.

Требования. Ваш NGFW должен обеспечивать постоянную визуализацию и контроль трафика любого авторизованного пользователя, независимо от его местоположения. Это не означает, что в вашей организации будет применяться одна и та же политика для трафика в пределах и за пределами территории. Например, некоторые организации допускают использование сотрудниками Skype, но не разрешают ее использовать на рабочем месте. Согласно политике других организаций, вне офиса сотрудники не могут загружать вложения salesforce.com, если только у них не активировано шифрование жесткого диска. Все это должен обеспечить ваш межсетевой экран нового поколения, причем при этом интерфейс должен быть добным для сотрудников и быстро управляться сетевыми администраторами.

8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений.

Реальный пример. Многие организации постоянно создают новые сервисы для сотрудников, реализуют новые политики и вводят новые средства управления, в то время как их специалисты в области информационной безопасности уже сильно перегружены, управляя текущим множеством процессов защиты. Другими словами, если ваши сотрудники не справляются со своими текущими задачами, то добавление устройств и управление новыми сервисами, а также соответствующими политиками и обработкой новой информации, не позволит разгрузить ваших специалистов, равно как и не ускорит процесс обработки инцидентов. Чем сложнее политика (например, межсетевой экран на базе портов разрешает трафик через порт 80, система предотвращения вторжений выявляет/блокирует угрозы и приложения, шлюз для веб-защиты выполняет контроль URL-запросов), тем тяжелее этой политикой управлять. А какую политику в отношении WebEx используют ваши специалисты по безопасности? Как они определяют и решают конфликты политики на различных устройствах? Если предположить, что для типичных межсетевых экранов на основе портов определены базы правил, включающие тысячи всевозможных правил, то при добавлении тысяч сигнатур приложений в рамках десятков тысяч портов сложность будет возрастать в десятки раз. Поэтому разрешив какое-то новое приложение в своей сети, необходимо сразу же позаботиться о его безопасности и это должно быть реализовано в рамках одного правила межсетевого экрана.

Требования. Работа вашей организации основана на приложениях, пользователях и файлах, поэтому ваш межсетевой экран нового поколения должен позволять использовать политики, напрямую поддерживающие все ваши бизнес-инициативы. Упростить защиту – это мечта любого сотрудника. Политика межсетевого экрана, основанная на портах и IP-адресах, а затем добавленная сверху политика для управления приложениями внутри портов, системами обнаружения вторжений поверх всех правил и защиты от вредоносного ПО внутри конкретных приложений, только усложнит процесс управления на базе политик и, в конечном счете станет препятствием развитию бизнеса. Требуйте функционал безопасности в устройствах контроля за приложениями нового поколения.

Пример приложений: researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014

9. При полной активации функций управления приложениями ваш межсетевой экран нового поколения должен обеспечивать такую же пропускную способность и производительность, как прежде.

Реальный пример. Многие организации стремятся добиться оптимального баланса между производительностью и безопасностью. Не секрет, что активация дополнительных функций безопасности на вашем межсетевом экране означает, что пропускная способность устройства будет существенно снижена. Если ваш межсетевой экран нового поколения разработан правильно, вам не потребуется переживать за это.

Требования. При рассмотрении этого требования также становится очевидным значение архитектуры, только в несколько ином ключе. Поспешный выбор межсетевого экрана работающего только на транспортном уровне c портами TCP и UDP или множества других средств обеспечения информационной безопасности от разных производителей обычно выливается в чрезмерное количество защит на каждом из сетевых уровней, механизмов сканирования и политик, что приводит к снижению производительности. Межсетевой экран должен быть сделан под эти задачи еще при разработке архитектуры ПО. Более того, если считать, что вам требуется выполнять ресурсоемкие вычислительные задачи (такие как расшифрование SSL, идентификация приложений, предотвращение угроз на всех портах) в среде высокоинтенсивного трафика, не допускающей малейшие задержки в работе критически важной инфраструктуры, ваш межсетевой экран нового поколения должен быть оснащен специальными выделенными аппаратными компонентами для выполнения таких задач.

10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе.

Реальный пример. Стремительное распространение виртуализации и облачных технологий приводит к появлению новых задач в области безопасности, и с помощью старых межсетевых экранов, для которых характерна несогласованная работа внутренних компонентов, разрозненность механизмов управления ими и отсутствия интеграции с виртуализированной средой, решить эти задачи сложно или вообще невозможно.

Появились мощные ИТ системы, где на одном WEB сервере по одному 80 порту и по одному IP адресу находятся сотни различных приложений. Как их различает ваш межсетевой экран? Например, проверьте фильтры безопасности вашего межсетевого экрана на примере задачи защиты двух веб-приложений по этому адресу basic.ngfw-test.com.

Чтобы защитить входящий и исходящий трафик ЦОД, трафик внутри виртуальных сред вашей организации ваш межсетевой экран нового поколения должен предлагать абсолютно одинаковый функционал как в аппаратных, так и виртуальных форм-факторах.

Требования. Постоянное создание и настройка различных стандартных и нестандартных приложений в среде виртуального ЦОД еще больше усложняет задачи идентификации и контроля приложений. Сегодня это невозможно сделать на основе правил выполняемых на основе двух критериев: порт и IP-адрес.
Кроме тех девяти функций, которые уже описаны ранее, следующая обязательная функция межсетевого экрана нового поколения: важно, чтобы ваш межсетевой экран нового поколения поддерживал всестороннюю интеграцию со средой виртуализации. Это позволит создавать политики безопасности, основанные на приложениях, даже для динамической среды современного центра обработки данных, где не прекращается процесс создания и изменения виртуальных машин и приложений в них.
Создание межсетевого экрана для систем виртуализаци — единственный способ, который гарантирует поддержку развития современных центров обработки данных, обеспечивает гибкость администрирования и защиту от рисков и позволяет соблюдать стандарты и нормативы, такие как стандарты PCI DSS или ЦБ РФ.

Межсетевые экраны должны обеспечивать безопасную работу приложений — и всецело поддерживать ваш бизнес