- сервисы
Next-Generation Firewall или межсетевой экран следующего поколения (NGFW) — пятое поколение устройств безопасности. У нас они защищают ЦОД и периметр публичного облака, но вообще NGFW работают и с SDN, и в виртуализации, и в облачных хранилищах. Немного расскажем об общих для всех NGFW моментах и остановимся на решении одного из наших вендоров — Sangfor NGAF. Это NGFW+ WAF со зрелым функционалом, адекватной стоимостью и высоким уровнем детектирования вредоносного трафика.
Основной функционал NGFW
В базовый набор большинства NGFW входят стандартные функции защиты: DPI, IPS, фильтрация по URL, Application Control и «песочница», аутентификация, DLP.
DPI
DPI или глубокая проверка пакетов — это основное, чем NGFW отличается от предыдущих поколений фаерволов. Технология контролирует и управляет сетевым трафиком на уровне приложений. Проще говоря, когда DPI проверяет пакеты трафика, она оценивает их не только по названию, но и по содержанию. Если содержимое пакета соответствует настройкам безопасности, заданным администратором, DPI пропускает пакет. Если нет — перенаправляет или блокирует его.
IDS/IPS
Системы обнаружения и предотвращения вторжений. Как только IPS/IDS
обнаруживают признаки компрометации инфраструктуры, они блокируют вредоносный трафик в реальном времени. При этом система предотвращения вторжений следует концепции «запрещено все, что не разрешено». То есть, если ей не удается идентифицировать приложение или она обнаруживает, что сервис ведет себя нетипично, приложение блокируется.
Фильтрация по URL
Чтобы предотвратить загрузку данных с подозрительных сайтов, NGFW фильтрует сайты по URL. У разных производителей эта функция реализована по-разному: где-то в виде прокси-сервера, где-то через проверку и фильтр адресов ресурсов в прозрачном режиме.
Application Control
Контроль приложений (Application Control) мониторит метки сетевых приложений. Как только пользователь запускает неизвестное ПО, срабатывает метка, и межсетевой экран блокирует запуск. Параллельно администратор получает соответствующее уведомление.
Когда новое ПО или непроверенное приложение все-таки нужно запустить, NGFW позволяет сделать это в «песочнице». Безопасная копия сети изолирована от основной, поэтому если что-то пойдет не так, сеть организации не пострадает.
Аутентификация
Эта функция аутентифицирует пользователей, прежде чем дать им доступ к веб-приложениям или другим сервисам инфраструктуры. При этом варианты аутентификации напрямую зависят от сложности и ответственности операций. Так, для удаленного администрирования сети система потребует аппаратный идентификатор или инициирует двухфакторную аутентификацию. Для доступа к веб-ресурсу, система проверит SSL-сертификаты.
DLP
DLP отслеживает потоки данных, уходящие за периметр локальной сети. Если в потоке обнаруживается конфиденциальная информация, поток блокируется. Критерии конфиденциальности в каждом конкретном случае настраиваются индивидуально: сигнальные слова, типы файлов, номера банковских карт или телефонов. Функция полезная, но у разных межсетевых экранов реализована в разном масштабе.
Помимо базовых возможностей в набор некоторых NGFW включаются дополнительные механизмы. От антифишинга до автоматической оценки бизнес-рисков. Однако без единой концепции управления, корректных и регулярно актуализируемых настроек ИБ все это «богатство» малоэффективно.
Чтобы каждая из функций работала на корпоративную безопасность, межсетевой экран должен стать частью концепции нулевого доверия (ZTNA). На текущий момент одним из NGFW, который соответствует концепции и поддерживает ее принципы, является Sangfor NGAF.
База Sangfor NGAF
Разработчик решения — компания Sangfor Technologies. Это крупный китайский вендор систем сетевой безопасности и оптимизации сети. У компании 22 года экспертизы в сфере кибербезопасности, впечатляющий портфель решений и масса наград, в том числе и от легендарного Gartner.
Например, в 2022 году Sangfor попал в «магический квадрант» Gartner для сетевых брандмауэров. Причем компания второй год занимает в Magic Quadrant Gartner позицию визионеров.
Sangfor Technologies пришла на российский рынок в прошлом году и быстро запустила русскоязычную поддержку по своим продуктам. Что очень показательно, особенно на фоне многочисленных отказов большинства западных вендоров.
Что может Sangfor NGAF
Производитель позиционирует Sangfor NGAF как первый в мире NGFW с поддержкой потокового антивируса на базе искусственного интеллекта Engine Zero. ИИ обучали на миллионах образцов вредоносных программ, поэтому он реагирует даже на новые варианты носителей вируса.
В 2017 году именно Engine Zero идентифицировал и классифицировал программу-вымогателя BadRabbit, не используя базу сигнатур. На данный момент антивирус Sangfor обнаруживает и устраняет более 99,76% внешних угроз на периметре сети.
Помимо базовых функций NGFW, которые мы разбирали выше, и потокового антивируса Engine Zero, в набор сервисов Sangfor NGAF включены:
- Аналитика угроз, интегрированная с облачной платформой Neural-X. Платформа собирает и классифицирует данные по индикаторам компрометации, подозрительным адресам и тактикам злоумышленников.
- Брандмауэр веб-приложений. Sangfor NGFW интегрирован с NG-WAF для защиты веб-приложений. WAF работает на базе семантического анализа и встроенной виртуальной системы выполнения (Virtual Execution System – VES). В зоне ответственности WAF защита веб-приложений от SQL-инъекций, межсайтового скриптинга и других сложных атак.
- Встроенная защита от программ-вымогателей. Система собирает данные из сети и конечных устройств, визуализируя процесс и позволяет прервать его одним кликом. Причем процесс не только прерывается — Endpoint Secure и Cyber Command, интегрированные с NGAF Sangfor, уничтожают приложение, контролирующее шифрование.
Как показали наши тесты с аппаратным Sangfor NGAF M5300, это решение закрывает большинство потребностей в защите периметра облака Nubes. Для нас это первостепенно, поскольку защищая свою инфраструктуру, мы защищаем и наших клиентов.
Для заказчиков, которые пользуются нашими сервисами SaaS и Managed Security Service (MSS), мы предлагаем Next Generation Firewall Sangfor NGAF для защиты сетевого корпоративного периметра. Решение доступно для тестирования или пилотного проекта, по результатам которого у вас будут объективные результаты эффективности сервиса.