Межсетевые экраны нового поколения

Межсетевые экраны давно вошли в нашу жизнь и стали неотъемлемой частью защиты любой сети. Однако межсетевые экраны нового поколения появились на рынке уже не так давно. Само понятие межсетевого экрана нового поколения впервые было предложено новым игроком на рынке ИБ, компанией Palo Alto Networks. Несмотря на молодость компании, ее создатели и сотрудники имеют за плечами огромный опыт работы в широко известных компаниях на рынке ИБ, таких как Checkpoint, Juniper, Cisco и др.

Не секрет, что обычные межсетевые экраны, как правило, идентифицируют приложение по используемому TCP-порту. Так, например, FTP-клиент обычно работает через порт TCP/21, MySQL — TCP/3306 и т. д. Пользователи идентифицируются исходя из IP адреса источника. Однако современные приложения уже давно не используют одни и те же статические порты, более того, некоторые программы динамически меняют номера портов во время коммуникационной сессии. За пользователями сегодня вовсе не обязательно закреплен один и тот же IP-адрес.

Понимая данную специфику, компанией был разработан с нуля межсетевой экран нового поколения, в основу которого входит идентификация приложений, пользователей и угроз. Основная часть межсетевого экрана – политики безопасности, создаются на основе пользователей и приложений.

Другие производители МЭ также стали смотреть в сторону идентификации приложений, выпустив на рынок новые модели своих существующих межсетевых экранов, назвав их «межсетевым экраном нового поколения». Однако они в корне отличаются от разработки Palo Alto Networks PAN и вот почему. Как поступили основные производители существующих на рынке межсетевых экранов – они стали использовать существующий у них движок IPS для идентификации приложений, что согласитесь, вполне логично. С несколькими оговорками:

Движок IPS имеет негативный режим работы, то есть он не может что-то разрешить. Таким образом, чтобы разрешить какое-то одно приложение, нужно запретить все остальные. Но и это не все – даже запретив все приложения, кроме требуемого, мы не можем быть на 100% уверены, что мы разрешили требуемое, потому что помимо этого будут также разрешены и все неизвестные коробке приложения.

Рис: 1. Логика работы МЭ с движком IPS для идентификации приложений

Рис: 2. Логика работы МЭ Palo Alto Networks

В случае решения PAN - вначале идентифицируется приложение, а затем трафик пропускается только в том случае, если он разрешен политикой безопасности. И только если данный трафик разрешено политикой ИБ на него накладываются дополнительные проверки IPS/Antivirus/etc.

Ещё одним важным недостатком других производителей межсетевых экранов и UTM является применение так называемых “помощников” МЭ, таких как функционалы URL-фильтрации, IPS и т.д. Несмотря на то, что весь этот функционал находится в одной коробке, его настройки часто находятся в различных вкладках, различных политиках, что затрудняет процесс написания политик ИБ, плюс трафик проходит через все эти «помощники» поочередно, что увеличивает задержки.

Стоит отметить, что в решении PAN пакет обрабатывается только один раз, таким образом увеличивается производительность оборудования, снижается время обработки пакетов. И, что немаловажно, заявленная производительность поддерживается вне зависимости от того, какие проверки и какие политики включены.

Каким же должен быть современный межсетевой экран нового поколения?

Он должен обладать следующими возможностями:

• Идентификация приложений, а не только портов

Необходимо обеспечить точную идентификацию приложения независимо от используемых портов, протоколов, средств шифрования (SSL или SSH) и тактики обхода средства анализа трафика. Результаты идентификации приложения должны стать основой всех политик безопасности.

• Идентификация пользователей, а не только IP-адресов

Использование информации о пользователях и группах из корпоративных каталогов для мониторинга, создания политик, формирования отчетов и расследования инцидентов в сфере информационной безопасности независимо от местоположения пользователя.

• Анализ контента в режиме реального времени

Защита сети от попыток использования эксплойтов для известных уязвимостей и распространения вредоносных программ в трафике уровня приложений независимо от источника.

• Упрощение управления политиками

Обеспечение безопасной работы приложений с помощью удобных графических интерфейсов, которые позволяют сформировать унифицированную политику безопасности.

• Формирование логического периметра

Защита всех пользователей, включая сотрудников, находящихся в командировке, и удаленных работников, с помощью согласованных механизмов обеспечения безопасности, формирующих не физический, а логический периметр сети.

• Обеспечение мультигигабитной пропускной способности

Сочетание специализированного оборудования и программного обеспечения для достижения мультигигабитной производительности с низкими задержками при всех включенных службах.

Если вы все еще используете свой старый межсетевой экран – задумайтесь, наступило время приложений и стоит выбрать новое современное решение.

Источник: Information Security
Автор: Андрей Гольдштейн