Руслан Рахметов, Security Vision
При выполнении проектов по защите информации традиционным большим направлением является обеспечение сетевой безопасности, т.е. защиты данных, передающихся по каналам связи, и защита непосредственно сетевого оборудования, которое обеспечивает сетевую связность узлов, обрабатывающих информацию. Сетевая безопасность является одним из старейших и ключевых направлений кибербезопасности - без защиты современных каналов коммуникаций невозможно представить ни работу офиса крупной компании, ни предоставление услуг через Интернет, ни облачных инфраструктур. Сегодня уже практически не осталось устройств обработки информации, которые не подключены к локальным или глобальным сетям, за исключением изолированных, автономных (standalone) решений для обработки особо чувствительных сведений. Для обеспечения сетевой безопасности используются разнообразные сетевые СЗИ - межсетевые экраны, системы обнаружения и предотвращения вторжений, анализаторы сетевого трафика, прокси-серверы и прочие решения, которые зачастую объединяются под единым термином шлюз безопасности (англ. Security Gateway) или под современной аббревиатурой SWG (Secure Web Gateway, шлюзы сетевой безопасности), которым и посвящена данная статья.
Итак, в соответствии с определением из стандарта ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1», шлюз безопасности – это точка соединения между сетями, между сегментами сетей или между программными приложениями в различных доменах безопасности, предназначенная для защиты сети в соответствии с существующей политикой безопасности. Как указано в стандарте ISO/IEC 27033-4:2014 "Network security - Part 4: Securing communications between networks using security gateways" («Сетевая безопасность - Часть 4: Защита коммуникаций между сетями с помощью шлюзов безопасности»), шлюзы безопасности размещают на границе между двумя (или более) сетевыми сегментами для фильтрации проходящего через неё трафика в соответствии с заданными политиками сетевого доступа, а также для разделения сетевых сегментов при их использовании разными организациями (например, разными тенантами в облачной инфраструктуре).
В соответствии со стандартом ISO/IEC 27033-4:2014 основными угрозами, от которых защищают шлюзы безопасности, являются:
- Отказ в доступе для авторизованных пользователей;
- Несанкционированное разглашение или изменение данных;
- Несанкционированное изменение конфигурации системы;
- Несанкционированное использование ресурсов и активов организации;
- Воздействие ВПО;
- Отказ в доступе для авторизованных пользователей;
- DDoS-атаки на шлюз безопасности.
Следовательно, шлюзы безопасности должны обладать следующими функциями безопасности:
- Обеспечивать логическую сетевую сегментацию;
- Анализировать и ограничивать трафик, проходящий между логическими сетями;
- Контролировать доступ к корпоративной сети и из корпоративной сети с помощью сетевой инспекции или проксирования сетевых соединений;
- Обеспечивать реализацию корпоративной политики сетевого доступа;
- Журналировать трафик для последующего аудита;
- Скрывать архитектуру внутренней сети, устройств и приложений;
- Предоставлять возможность управления сетью, в том числе для защиты от DDoS-атак.
Решения для сетевой безопасности непрерывно эволюционируют, и в последнее время все чаще встречается аббревиатура SWG (Secure Web Gateway) - это шлюз сетевой безопасности, обладающий расширенным защитным функционалом. В соответствии с определением исследовательской компании Гартнер, SWG-решения защищают устройства от вирусных заражений, выполняют фильтрацию трафика от ВПО, обеспечивают выполнение корпоративных политик сетевого доступа и соответствие регуляторным требованиям. Функционал SWG, как правило, включает в себя фильтрацию интернет-трафика, выявление и фильтрацию вредоносного кода, контроль популярных сетевых приложений (браузеры, мессенджеры), защиту от утечек данных. Системы класса SWG могут устанавливаться как в инфраструктуре компании (on-prem) в виде программных и аппаратных решений, так и работать как облачный сервис. Проверки, выполняемые SWG-шлюзом сетевой безопасности на предмет соответствия внутренним корпоративным политикам и регуляторным нормам, заключаются в анализе веб-страниц и приложений, к которым обращаются пользователи - посещаемые ресурсы не должны содержать запрещенную информацию и не должны негативно влиять на производительность сетевого оборудования (т.е. не «забивать» канал связи объемным трафиком), в некоторых случаях под корпоративный запрет могут попасть социальные сети, мессенджеры, видеохостинги, игры и т.д.. Важной опцией SWG-шлюзов сетевой безопасности является возможность выполнения анализа зашифрованного интернет-трафика - подобный способ называется инспекцией и заключается в расшифровывании трафика "на лету" сетевым оборудованием с использованием сертификатов безопасности, выданных корпоративным центром сертификации. Данный способ является эффективным для выявления утечек данных, ВПО и признаков вредоносной активности (например, соединений зараженных устройств с хакерскими серверами управлениями), поскольку в современном киберпространстве практически 100% трафика передается в зашифрованном виде.
Рассмотрим еще несколько важных функциональных особенностей SWG-шлюзов сетевой безопасности:
- Фильтрация URL-адресов: категорирование и фильтрация обращений к интернет-доменам обеспечивает ограничение доступа пользователей к потенциально опасным или незаконным веб-ресурсам, например, с азартными играми, нелицензионным ПО, опасными программами, а также блокирует доступ к фишинговым и вредоносным ресурсам;
- Обнаружение вторжений: модуль обнаружения и предотвращения сетевых вторжений распознает в трафике признаки ВПО, эксплойтов, инструментов совершения кибератак, а также позволяет выявлять аномалии в трафике;
- Контроль приложений: модуль выявления трафика, характерного для определенных программ (мессенджеры, системы совместной работы, облачные хранилища и т.д.), позволяет применять гранулированные правила сетевого доступа для различных групп пользователей и различных приложений;
- Выявление вредоносного содержимого: модуль позволяет выявить ВПО разных типов (вирусы, сетевые черви, трояны, программы-шпионы и т.д.) с помощью различных методов обнаружения (сигнатурный анализ, анализ в «песочнице») и заблокировать скачивание опасных файлов;
- Обеспечение безопасности DNS: модуль анализа и защиты DNS позволяет выявить запросы к подозрительным доменам (методы DGA и DNS Fast Flux), обнаружить соединения зараженных устройств с C&C-серверами атакующих, выявить скрытые каналы утечки информации (техника DNS-туннелирования);
- Обеспечение защищенной удаленной работы: возможность направить веб-трафик удаленных сотрудников через точку фильтрации в виде облачного SWG-шлюза сетевой безопасности позволяет обеспечить безопасность интернет-коммуникаций персонала при работе не из офиса;
- Защита от утечек данных: встроенный модуль DLP (Data Loss Prevention, предотвращение утечек данных) позволяет анализировать сетевой трафик на наличие конфиденциальной корпоративной информации и выявить или заблокировать утечку таких данных по каналам сетевых коммуникаций.
Развитием концепции защищенного доступа к корпоративным ресурсам стали платформы безопасного пограничного доступа (SASE, Secure Access Service Edge), представляющие собой комплексное решение для обеспечения сетевой безопасности облачного и удаленного доступа за счет совместного применения SWG-шлюзов сетевой безопасности и брокеров безопасного доступа в облачную инфраструктуру (CASB, Cloud Access Security Broker), а также применения сетевых технологий ZTNA (Zero Trust Network Access, средства предоставления сетевого доступа с нулевым доверием) и SD-WAN (программно-определяемая сеть). Такие продвинутые продукты позволяют предоставлять безопасный удаленный доступ работников к различным ресурсам компании (включая on-prem и облачные ресурсы), проводить глубокий анализ подключающихся устройств и сущностей для выявления киберугроз, обеспечивать соблюдение корпоративных политик обработки конфиденциальной информации.
При интеграции в информационную инфраструктуру шлюзов безопасности, включая SWG-решения и SASE-платформы, важно обеспечить бесшовное и полноценное взаимодействие между данными решениями и другими СЗИ в составе системы управления корпоративной кибербезопасностью. Для этого при выборе шлюза безопасности необходимо руководствоваться не только реализованными в нем функциями безопасности, но и интеграционными возможностями: отправка событий ИБ по протоколам syslog, eStreamer, OPSEC, NetFlow, передача сообщений в форматах CEF, LEEF, EMBLEM, ELFF, взаимодействие по API. Важно также обеспечить возможность централизованного управления шлюзами безопасности - как правило, это реализуется либо через SSH-подключение к устройствам, либо через API-интеграцию, что позволяет предпринимать оперативные действия по реагированию на киберинциденты в случае использования решений класса IRP/SOAR, например, блокировать IP-адреса злоумышленников, выполнять сетевую изоляцию атакованных устройств или помещать их в карантин, перенастраивать правила сетевого доступа.