8 ноября в онлайн формате прошел вебинар компании Nubes. Встречу провел Дмитрий Шкуропат, руководитель направления защиты информации компании Nubes. Он рассказал о том, как защитить корпоративную инфраструктуру максимально эффективно с помощью решений NGFW, которые сегодня доступны для российских компаний.
Использование системы NGFW
Дмитрий Шкуропат рассказал об особенностях деятельности компании Nubes в условиях изменившегося рынка. В связи с уходом иностранных компаний и введением ограничений вырос спрос на отечественные решения, в частности, ведутся разработки Kaspersky и Positive Technologies. За долгую историю NGFW, многие компании, в сфере цифровой безопасности, обзавелись определенными функциями, которые присутствуют в каждом продукте. Например, такие решения как: контроль приложений, антивирус, VPN, инспектирование SSL, антиспам. Помимо этого, были названы другие функции, которые может выполнять система NGFW: фильтрация по URL, IDS/IPS, Application Control, аутентификация пользователей, DPI.
Как правило, бюджет у компаний ограничен, а от продукта требуется максимум пользы. Здесь нужен разумный подход. Чем больше нагружается система, тем больше ресурсов она потребляет. Необходимо выбирать только востребованные модули (Web Application Firewall, OWASP-10, удаленный доступ, Anti-DDoS).
Многие компании сегодня работают в удаленном формате. Сотрудники, работающие из дома, подключаются со своих устройств, на которые не распространяется корпоративная защита. Следовательно, отследить работу антивируса и последние обновления операционной системы пользователю достаточно сложно. Для решения таких задач стоит присмотреться к зарубежным предложениям. Если нет необходимости в сертификации продукта, можно по-прежнему использовать зарубежные разработки, но не стоит забывать о сложностях, возникающих при организации документации для ИС.
Если требуется простой VPN, тогда лучше использовать сертифицированные отечественные продукты. Компаниям, работающим с государственными информационными системами, также необходимо работать с отечественными разработками.
Виртуальная модель – более гибкая и удобная, если нагрузка непостоянная, в таком случае выгоднее добавить пару ядер для дополнительных модулей. При выборе продукта нужно помнить о совместимости с платформой виртуализации. Вендоры регулярно публикуют информацию о совместимости своих продуктов. Кроме того, стоит проанализировать соотношение ресурсов и производительности NGFW в виртуальной среде. На данный момент зарубежные решения более оптимизированы. Выбор виртуального NGFW оправдан, если сложно прогнозировать нагрузку, при активном росте компании и неравномерной нагрузке в течение года (сезонные пики). Аппаратный NGFW рекомендуется, когда необходимы высокая производительность (от 20 гб/с), обработка трафика между несколькими площадками (например, свои дата-центры), и не используется виртуализация. Для того чтобы убедиться в рациональности решения, Дмитрий Шкуропат предложил запустить пилотный проект с поэтапным переходом к виртуальному NGFW.
Этапы внедрения
При выборе модели межсетевого экрана необходимо учитывать количество площадок, пропускную способность и требования к проверке трафика. Нужно понимать, какие модули безопасности требуется подключить на каждой из площадок. Не стоит забывать о том, что чем больше трафика необходимо прокачать, тем мощнее должен быть межсетевой экран.
Дмитрий рекомендует кластерную конфигурацию. Если с одним модулем что-то случится, произойдет переключение, и потерь для бизнеса можно избежать. Логи необходимо оформлять централизованно. Существует целый ряд отечественных и зарубежных стандартов по гарантированному хранению логов в течение определенного промежутка времени. Кроме того, следует учитывать, что часть оборудования может не иметь встроенного жесткого диска под хранение логов.
Далее необходимо взять виртуальный NGFW по подписке у сервис-провайдера и разместить в облаке. Организовать подключение сетевых устройств. Частично или полностью переключить внешний трафик на новый файрвол. При этом происходит минимальное изменение настроек. При необходимости можно оперативно вернуть все настройки – например, решение ушло с рынка, техподдержки нет, обновления не поступают. Можно взять виртуальный NGFW, разместить его в облаке, тогда система NGFW станет временным решением. При необходимости можно также легко отключить старый NGFW.
Прежде всего проводится аудит настроек текущего оборудования. Проверяются сетевые настройки, модули безопасности, маршрутизация, логирование и т. д.
Затем осуществляется перенос настроек на новые NGFW. При необходимости они адаптируются, так как функционал у разных компаний может быть разным. Следующий этап – тестирование. Выполняются корректировки в настройках, и трафик переключается на новое оборудование. NGFW – решение, состоящее из различных модулей, которые тоже нужно настраивать. Например, модуль IPS включается в режим мониторинга, анализируется продуктивность трафика. Ориентировочно в течение двух недель проводится мониторинг логов, при необходимости вносятся исключения в текстовых файлах. После этого IPS переводится в режим блокировки. Вначале корректируются настройки, затем выполняются действия по предотвращению нарушений безопасности. Возможны как самостоятельное управление продуктом – по лицензии, так и работа с сервисом NGFW – с администрированием компании Nubes.
В целом переход на NGFW не выглядит особо сложным. Достаточно грамотно подойти к выбору функциональных модулей и определиться с моделью использования NGFW – облачное хранение или корпоративное.
