2023/04/20 18:14:01

На что способны и кому нужны межсетевые экраны нового поколения. Разбор концепции NGFW

Межсетевые экраны являются основой сетевой безопасности корпоративных сетей. Первые экраны позволяли контролировать сетевой трафик на уровне портов и создания VPN-соединений, но в 2023 году потребности в сетевой защите куда шире. Актуальные технологии межсетевого экранирования собираются в так называемые межсетевые экраны следующего поколения (Next Generation Firewall - NGFW), однако на самом деле они объединяют в одном устройстве множество самых разнообразных механизмов защиты. По оценкам экспертов, именно на эти устройства приходится свыше 60% рынка сетевой безопасности России.

Содержание

Эволюция межсетевых экранов

Изначально межсетевые экраны были предназначены для создания периметра предприятия, организации демилитаризованных зон (DMZ), сегментирования внутренних сетей и подключения филиалов с помощью VPN-туннелей. Такие экраны полностью закрывали от посторонних все сетевое взаимодействие, оставляя открытыми только порты для веб (HTTP - 80 порт) и почты (25 порт). Предполагалось, что контроль защиты этих протоколов будут выполнять специальные приложения-посредники - прокси, расположенные в DMZ. Удаленные же подключения по зашифрованным VPN-каналам можно было организовать на уровне самих устройств.

Хотя современная защита работает примерно так же, однако оказалось, что все вредоносные программы умещаются в два указанных выше сетевых протокола, поскольку большинство вредоносов передается либо в почтовых сообщениях, либо загружается с веб-сайта. Именно поэтому разработчики средств сетевой защиты сконцентрировали внимание на тщательном разборе этих протоколов, чтобы максимально подробно анализировать ссылки, файлы, программы и другие фрагменты данных, которые по ним передаются, и выявлять в них признаки сетевой атаки. При этом анализируется репутация файлов и ссылок, действия пользователей в сети, загружаемые файлы и многие другие элементы сетевого потока.

Следует отметить, что еще в 2004 году компания IDC представила концепцию универсального устройства управления угрозами (Unified threat management - UTM), которая предполагала дополнение функций межсетевого экрана возможностями подробного разбора трафика конкретных приложений, фильтрацией вредоносных ссылок (антиспам), выявлением в трафике вирусных сигнатур и появлением встроенной системы обнаружения вторжений (IPS). Однако в UTM по прежнему не было контроля отдельных пользовательских сессий с возможностью составления правил по ним и подтверждения наиболее опасных действий с помощью дополнительной процедуры аутентификации - динамической авторизации.

После выпуска и распространения UTM были обнаружены так называемые целенаправленные атаки (advanced persistent threat - APT), которые позволяли обойти сложные правила межсетевого экранирования для выпущенных на тот момент межсетевых экранов. Проблема была в том, что и антивирусы, и антифишинг, и IPS, встроенные в UTM, использовали сигнатурные методы атаки и не могли качественно защитить от постоянно меняющихся атак, которые использовали APT-группировки для проникновения сквозь межсетевые экраны. Начались поиски возможных средств защиты, которые обрели черты в виде интеграции инструментов песочницы, контроля утечек (DLP), идентификации устройств и контроля сетевых протоколов на уровне сессий отдельных пользователей с возможностью выявления аномального их поведения. В результате, аналитики Gartner в 2008 году сформулировали концепцию межсетевых экранов нового, уже третьего поколения, которая и получила наименование NGFW.

NGFW должен обеспечивать многоуровневую защиту на сетевом периметре и между внутренними сегментами сети организации, объединяя в себе такие инструменты, как фильтрация трафика, системы предотвращения и обнаружения вторжений и вредоносных программ, системы, распознающие типы приложений за счет глубокого пакетного анализа, инспекция трафика TLS, проксирование пользовательского трафика к веб-ресурсам и многие другие

В целом, можно отметить, что концепции NGFW уже 15 лет, и ее определение используют в том числе и разработчики отечественных продуктов для защиты корпоративных сетей. Вот как этот термин по просьбе TAdviser определил руководитель управления сетевых решений кибербезопасности BI.ZONE Алексей Кудрявцев:

«
NGFW представляет из себя класс СЗИ, позволяющих обеспечить многоуровневую защиту на сетевом периметре и между внутренними сегментами сети организации. Он объединяет в себе такие инструменты, как фильтрация трафика вплоть до прикладного уровня OSI-модели, системы предотвращения и обнаружения вторжений и вредоносных программ, системы, распознающие типы приложений за счет глубокого пакетного анализа, инспекция трафика TLS, проксирование пользовательского трафика к веб-ресурсам, интеграция с песочницами и многие другие.
»

В целом же концепция NGFW подразумевает наличие в шлюзовом устройстве следующего набора функций:

  • Традиционный межсетевой экран. Он предполагает как управление сетевым трафиком в соответствии с политикой доступа компании и скрытие внутренней сетевой инфраструктуры с помощью трансляции адресов (NAT), так и организацию защищенного подключения к корпоративной сети по VPN, например, с помощью TLS.
  • Аутентификация пользователей/инспекция SSL. Прежде чем предоставить доступ к тем или иным сервисам инфраструктуры NGFW проводит самостоятельную аутентификацию пользователей. Причем, чем более ответственные протоколы и операции задействуют служащие, тем более тщательно система проводит их аутентификацию. Например, для систем доступа к веб-приложениям достаточно использовать обычные SSL-сертификаты, но уже для удаленного администрирования или RDP-подключения система может потребовать и двухфакторную аутентификацию, и даже аппаратные идентификаторы.
  • Системы обнаружения/предотвращения вторжений (IPS/IDS). Это системы, которые позволяют в случае обнаружения признаков вторжения злоумышленников в инфраструктуру менять на более консервативные правила фильтрации сетевого трафика. При этом признаки компрометации (IoC) инфраструктуры обычно поставляются информационными TI-сервисами.
  • Антивирус/песочница. В концепции UTM использовался потоковый антивирус, который собирает передаваемый внутренним пользователям поток в файлы и уже к ним применяются сигнатуры вредоносных программ, подготовленные антивирусными компаниями. Однако со временем антивирусные компании разработали так называемые песочницы - это специальные виртуальные машины, в которых элементы потока анализируются на подозрительную активность. Именно в этом виде они и попали в NGFW.
  • Предотвращение утечек (DLP). Система контроля утечек данных сейчас наиболее важна в связи с ужесточением законодательства по персональным данным, однако она должна эффективно работать и на сетевом уровне - предотвращать передачу важных данных во-вне корпоративной сети. Однако для этого подобная система должна быть развернута в самом предприятии - NGFW выступает только в виде исполнительного устройства, которое блокирует неразрешенную передачу данных через себя.
  • URL-фильтрация/WAF. Выявление и блокировка потенциально опасных ссылок выполняет функции антиспама, антифишинга, антивируса, а, кроме того, входящий поток веб-запросов к корпоративным веб-приложениям также нужно фильтровать от вредоносных включений и эксплойтов различных уязвимостей.

Из определения NGFW видно, что на самом деле одно устройство этого класса позволяет заменить целый набор средств защиты, что может оказаться удобно и экономически оправдано. Однако верно и обратное - если вам нужно поставить NGFW, но они недоступны, например, поскольку есть требование использовать только отечественные продукты, а отечественных NGFW не так много, то можно просто использовать набор из нескольких устройств в зависимости от потребностей - классический межсетевой экран можно дополнить DLP, IDS/IPS и даже песочницей, подключенных к SPAN-порту межсетевого экрана.

Впрочем, технологии виртуализации позволяют сделать "виртуальный NGFW" - собрать виртуальные образы всех перечисленных средств защиты, поместить их в один гипервизор и настроить передачу данных внутри этой виртуальной системы. Поскольку уже есть сертифицированный гипервизор, а для большинства средств защиты есть их образы в виде виртуальных машин, то любая компания может самостоятельно собрать NGFW из разрозненных компонент и системы виртуализации уже сейчас, правда, для этого нужны достаточно высокие компетенции как в системах виртуализации, так и во взаимодействии средств защиты.

Так место NGFW в корпоративной системе защиты для TAdviser определил директор по продуктам компании «Гарда Технологии» Павел Кузнецов:

«
В эшелонированной современной системе безопасности специалистами подразделения security operations на NGFW, как правило, возлагается роль одного из основных средств реагирования на инциденты. Именно на уровне межсетевого экрана специалист может выполнить изоляцию скомпрометированного узла или сетевого сегмента от внешнего атакующего и дать время командам мониторинга и расследований разобраться в ситуации внутри. Атакующий лишается канала управления и вынужден использовать иные, еще не обнаруженные, либо, в лучшем для службы информационной безопасности случае, искать новые точки проникновения. Также функциональные возможности NGFW позволяют детектировать вредоносные воздействия на периметре инфраструктуры с помощью довольно широкого набора технологий и являются одним из основных источников информации для службы мониторинга.
»

Роль NGFW в архитектуре с нулевым доверием

Чем дальше развивались технологии межсетевого экранирования, тем понятнее становилось, что основной проблемой является не столько контроль протоколов, сколько управление политикой безопасности предприятия на сетевом уровне. Да, межсетевые экраны предлагали службам ИБ самые разнообразные механизмы защиты: антивирусы, антиспам, антифишинг, анти-APT, DLP, системы обнаружения вторжений и многое другое, однако нужна была концепция для управления всем этим богатством возможностей, которая могла бы систематизировать управление всеми сетевыми средствами защиты, а также оптимизировать их использование за счет исключения дублирования.

И такая концепция была сформулирована Gartner в виде сетевого доступа с нулевым доверием (Zero Trust Network Access - ZTNA). Она предполагает, что нельзя доверять ни одному элементу сетевого взаимодействия, но всем устройствам нужно доказывать отсутствие компрометации. Причем, чем более потенциально опасная операция запрашивается, тем больше подтверждений от пользователя она должна требовать.

По словам Алексея Кудрявцева:

«
ZTNA — это набор практических шагов для реализации подхода нулевого доверия при обеспечении сетевого доступа пользователей к современным сетевым приложениям. Реализация подхода нулевого доверия уменьшает поверхность потенциальной атаки, снижает риски киберугроз, а также лучше защищает сетевую инфраструктуру и повышает ее доступность. Практические шаги ZTNA включают в себя NGFW. Его использование помогает системам кибербезопасности подстраиваться под актуальные требования компании. Однако какой бы насыщенной ни была функциональность NGFW, если он не является простым в управлении и автоматизации, то не сможет слаженно работать с другими частями периметра сети.
»

Необходимость использования именно NGFW для реализации принципов ZTNA будет очевидной, если рассмотреть три основные задачи, которые этой концепцией должны решаться:

  • Контроль устройств. Все устройства внутри корпоративной системы должны постоянно проверяться, чтобы исключить их подмену или просто перехват трафика. Причем процедура проверки должна проходить не только для работающих в данный момент сетевых устройств, но и для временных подключений, мобильных устройств связи и даже IoT-оборудования, поскольку их могут использовать для атаки на остальные элементы информационной системы. Обычно взаимная аутентификация устройств предусмотрена различными механизмами безопасности, такими как TLS или сетевой маршрутизации. Важно это все правильно настроить и оптимизировать.
  • Контроль пользователей. Все пользователи внутри корпоративной сети должны быть так или иначе идентифицированы - это выполняется с помощью процедуры динамической аутентификации при входе в корпоративную сеть. Это требование предназначено для того, чтобы упростить расследование инцидентов - в записях журналов должны содержаться все сведения о пользователях, чтобы в дальнейшем можно было поднять архив и посмотреть кто, как и откуда выполнил ту или иную операцию.
  • Контроль облаков/теневых ИТ-сервисов. Сейчас достаточно большая часть цифровых активов предприятия находится за пределами корпоративной инфраструктуры, однако даже при нахождении их во-вне взаимодействие с ними изнутри инфраструктуры нужно строго контролировать и всячески пресекать их несанкционированное использование. Это же касается и контроля несанкционированных приложений, установленных внутри инфраструктуры, таких как игры, VPN-сервисы, майнеры и множество других программ. Инфраструктура с ZTNA должна выявлять подобные установки и блокировать их использование.

Понятно, что важно обеспечить полное покрытие этими механизмами всей инфраструктуры предприятия, и именно на NGFW, как наиболее низкоуровневый элемент сетевой защиты, должна возлагаться обязанность по полному контролю устройств, пользователей и теневых ИТ-ресурсов. Достигается подобный контроль за счет механизмов разметки сетевого трафика с помощью специальных тегов - очень похоже на технологию программно-определяемых сетей SD-WAN. Управление этими метками позволяет средствам защиты привязать каждый отдельный пакет к конкретному приложению, пользователю или сервису - это используется как для оптимизации сетевой коммутации, так и для ускорения механизмов безопасности. Так понимание на уровне NGFW разметки сетевого трафика в рамках всеобъемлющей инфраструктуры ZTNA на предприятии позволяет максимально ускорить его обработку на границах зон - именно за счет этого и достигается производительность в иностранных межсетевых экранах нового поколения.

Следует отметить, что NGFW по мнению Павла Кузнецова является одним из важных элементов построения ZTNA:

«
Понять место NGFW в архитектуре ZTNA можно, изучив предложенный Gartner фреймворк SASE (Secure access service edge). Наряду с иными средствами управления сетью, такими как SD-WAN, NGFW используется в рамках фреймворка как средство мониторинга и ограничения доступа к сегментам, узлам и приложениям. Причем, в том числе и NGFW операторского уровня, применяемый по сервисной модели.
»

Каким категориям пользователей необходим экран следующего поколения?

Межсетевые экраны - это основа сетевой безопасности корпоративной сети. Они ставятся как на каналах связи компании и всех филиалов с Интернетом, так и между различными сегментами. Они обеспечивают как подключение удаленных пользователей, так и создание защищенных каналов связи между удаленными сегментами корпоративной сети по технологии виртуальных частных сетей (Virtual Private Network - VPN). Также межсетевые экраны используются для создания демилитаризованных зон - DMZ, в которых располагаются корпоративные веб-приложения, которые должны передавать данные во внешние сети. Разберем каким категориям пользователей нужны межсетевые экраны нового поколения.

  • Персональные данные. Практически все компании по состоянию на 2023 год должны выполнять требования закона №152-ФЗ `О безопасности персональных данных` как минимум по защите персональных данных своих клиентов и сотрудников. Поэтому им уже недостаточно иметь классический межсетевой экран, но как минимум нужен функционал DLP и системы обнаружения вторжения, который потребуется для расследования инцидентов, если они произойдут. Закон требует при обнаружении утечки персональных данных предоставить результаты внутреннего расследования в течении недели.
  • Владельцы критической инфраструктуры. Для владельцев критической инфраструктуры, в принципе, достаточно и классического межсетевого экрана, поскольку им важно, чтобы это устройство было отечественного производства. Однако требования закона №187-ФЗ "О безопасности КИИ" достаточно обширны, чтобы задействовать все компоненты NGFW. Поэтому у владельцев объектов КИИ есть огромная потребность именно в NGFW, но только отечественного производства. Такое устройство поможет им не собирать набор из нескольких средств сетевой защиты, которые в целом обеспечивают функциональность NGFW. Конечно, они уже сейчас могут использовать виртуальные NGFW, однако здесь уже нужны компетенции в создании такого типа решений, а удобнее было иметь целостный, протестированный и сертифицированный продукт на отечественной платформе.
  • Промышленные предприятия. Для большинства промышленных предприятий, которые являются владельцами объектов КИИ, рассуждения абзацем выше также актуальны, однако у них есть и другая потребность - сегментация внутренней системы на промышленную зону и офисную. Обычно для этого используют межсетевой экран, однако с учетом повышенной опасности атак на промышленные сегменты для вывода их из строя, лучше использовать все-таки NGFW для сегментации, чтобы усложнить работу хакерам, которые рассчитывают зашифровать промышленный сегмент.
  • Небольшие компании. Для малых предприятий, естественно, лучше использовать комплексный продукт, поэтому NGFW им также окажется полезен, поскольку позволяет с помощью одного устройства сделать защиту своей компании и особенно филиалов достаточно надежной. Причем в этом случае, скорее всего, можно будет отдать на аутсорсинг обеспечение корпоративной безопасности - коммерческим SOC, которые будут круглосуточно следить за безопасностью клиентов, удобнее будет взаимодействовать именно с NGFW.
  • Пользователи мультиоблачных сервисов. При использовании облачных сервисов важно контролировать использование посторонних облачных приложений внутри корпоративной сети и передачу в облака ценных для компании данных. Именно NGFW позволяет решить обе эти задачи за счет централизованного контроля трафика установленных внутри компании приложений и DLP-модуля, который будет контролировать передачу ценных данных во внешние сервисы. Сейчас, когда компании несколько ограничены в развитии собственной информационной инфраструктуры, многие задумываются о более активном использовании облачных сервисов и приложений, обслуживание в которых перекладывается на плечи провайдеров. Однако мультиоблачная конфигурация требует от компаний использования более интеллектуальных средств контроля сетевого взаимодействия - здесь есть хорошая ниша для NGFW.

Иногда указывают, что NGFW используется и для организации работы удаленных пользователей, однако на текущем развитии технологий для этого вполне достаточно и классического межсетевого экрана, который включает в себя VPN-подключение клиентов. Для дистанционных пользователей функциональные возможности NGFW могут пригодиться в случае параллельного использования облаков и внутрикорпоративных приложений.

Отечественные NGFW

Следует отметить, что на российском рынке достаточно много разработчиков классических межсетевых экранов. Продуктов UTM, как второе поколение сетевых средств защиты, уже не так много, но они появились - проблемы возникали с тем, чтобы собрать в едином устройстве достаточно широкий функционал и заставить его работать совместно. Однако реализацию межсетевых экранов третьего поколения - NGFW - смогли реализовать единицы. Они оказались достаточно сложны и не очень могли конкурировать с аналогичными решениями иностранных производителей.

«
В прошлом году после известных событий стало очевидно, что NGFW-сегмент рынка решений в области кибербезопасности отечественными производителями проработан исторически слабо, - пояснил TAdviser Павел Кузнецов. - По различным причинам, в том числе, потому как многие клиенты предпочитали использовать решения в области сетевой безопасности, производимые компаниями с мировым именем. Причем именно с серьезной экспертизой в части глубокого анализа сетевого трафика и разбора большого его объема «на лету». Поэтому число таких решений невелико. Однако соответствующая экспертиза в части разработки решений, в том числе операторского уровня, требующаяся для решения иных задач, например, производства Network Traffic Analysis и Anti-DDoS продуктов, имеется.
»

Следует отметить, что уход с российского рынка разработчиков иностранных продуктов, которые как раз и пропагандировали использование NGFW, заставил российских разработчиков приступить к созданию собственных решений подобного класса. В частности, о планах на разработку NGFW заявили такие компании как Positive Technologies и «Гарда Технологии». Пока их разработки сложно оценить - они находится в процессе создания и тестирования, то есть прорабатываются совместно с заказчиками, чтобы максимально удовлетворить их потребности. При этом на рынке есть достаточно много решений, которые даже и заявляются производителями как NGFW, но все-таки ими не являются.


Можно много спорить о том, какой же именно функционал необходим в NGFW, но с практической точки зрения важно, чтобы в продукте были не только наборы различных функций, но и существовала методика как их правильно использовать для обеспечения корпоративной безопасности. В этой связи важным оказывается скорее не отдельные функции, но поддержка современных концепций сетевой защиты, и ZTNA вполне можно использовать как своеобразную лакмусовую бумажку для их сопоставления. Собственно, межсетевых экранов, которые поддерживают ZTNA немного - это UserGate, BI.ZONE Secure SD-WAN и выпущенный недавно Solar NGFW. Подходы этих компании мы и разберем подробнее.

UserGate

Компания UserGate специализировалась на разработке интеллектуальных межсетевых экранов, и она одной из первых заявила о реализации функций NGFW. Компания даже предлагает рынку достаточно высокопроизводительные устройства UserGate NGFW F8000, которые предназначены для защиты масштабных и географически распределенных сетей и решения сложных задач по защите информационной инфраструктуры. Именно решения UserGate реализовали поддержку концепции ZTNA в виде дополнительного модуля, что и позволяет говорить об этих продуктах как о межсетевом экране третьего поколения.

"Код Безопасности"

Еще одна компания, которая производит отечественные UTM-устройства, "Код безопасности" также занялась разработкой межсетевых экранов нового поколения. Продукты "Континент 4" и "Континент TLS" позиционируется компанией как NGFW, однако поиск по сайту компании по ключевому слову ZTNA не дал результатов. Возможно, концепция и поддерживается разработчиками компании, однако как именно - нам выяснить не удалось.

BI.Zone

Компания BI.ZONE пошла с другой стороны - она реализовала на сетевом уровне программно контролируемую среду предприятия на протоколах семейства SD-WAN, которая традиционно является основой для ZTNA. Свои устройства для этой технологии компания дополнила возможностями межсетевого экранирования третьего поколения. Знания о методах нападения готовит коммерческий SOC компании, что и позволяет считать решение BI.Zone межсетевым экраном нового поколения.

"Ростелеком-Солар"

Интересно, что компания "Ростелеком-Солар" подошла к решению проблемы NGFW со стороны DLP. Дело в том, что именно решения подобного класса хорошо разбираются в пользователях и приложениях - их и разрабатывают для их контроля. Для DLP достаточно реализовать только контроль сетевого трафика и детектирование атак. Так же как и в предыдущем случае знание об атаках предоставляет коммерческий Solar JSOC компании, специалисты которого готовят для Solar NGFW необходимые признаки компрометации и вредоносной активности в инфраструктуре клиента. Однако у Solar NGFW разметкой трафика могут заниматься DLP-агенты на местах, которые знают много о пользователях и приложениях - интеграция этих решений выполняется через единое досье. Она-то и позволяет оптимизировать обработку сетевых потоков на межсетевых экранах нового поколения.

Перспективы

В целом, можно отметить, что рынок NGFW в России развивается очень активно. Первые игроки на нем уже появились, однако они все еще не дотягивают по функциональности и удобству до иностранных продуктов - только соответствуют формальным требованиям аналитиков. Когда продуктов будет больше, и клиенты смогут выбрать подходящий для них продукт, тогда заработает процесс рыночной конкуренции по отбору действительно необходимых и оптимально реализованных продуктов. Точно одно - до 2025 года этот процесс должен привести к определенным результатам, поскольку именно на этот срок назначен отказ субъектов КИИ от иностранных продуктов для защиты объектов КИИ. Для стимулирования этого процесса ФСТЭК даже разрабатывает свой руководящий документ, в котором планирует перечислить требования к межсетевым экранам нового поколения - возможно, он будет принят и опубликован уже в 2023 году. Когда появятся первые сертификаты ФСТЭК по межсетевым экранам нового поколения, тогда и можно будет окончательно ответить на вопрос, кто из отечественных производителей действительно являются NGFW, но уже по отечественным нормам.

Читайте также

«Слабое звено» рынка ИБ: ФСТЭК и Минцифры педалируют развитие сегмента российских межсетевых экранов нового поколения

ФСТЭК совместно с экспертным сообществом выработали требования к межсетевым экранам нового поколения. Теперь они проходят различные юридические процедуры, уже получены замечания от юристов Минюста, рассказал 19 мая 2023 года на PHDays заместитель директора ФСТЭК Виталий Лютиков. Когда этот процесс будет завершён, требования вступят в действие. А Минцифры активно взаимодействует с разработчиками, чтобы синхронизировать их с заказчиками: сделать так, чтобы в России появилось несколько продуктов в сегменте NGFW, которые удовлетворяли бы большее количество заказчиков. Подробнее здесь.

Гид по NGFW. 10 наиболее заметных продуктов, доступных на российском рынке

TAdviser собрал гид по NGFW от наиболее заметных отечественных разработчиков этого класса средств защиты. Подробнее здесь.