Межсетевые экраны российского производства: виды, типы и нюансы использования
Разбираем, зачем нужны межсетевые экраны и что означает МЭ ФСТЭК, а также как выбрать решение для вашей компании.
Последнее десятилетие информационные системы играют ключевую роль в жизни большинства компаний. Они позволяют решать задачи государственных учреждений и коммерческих предприятий, автоматизировать системы управления производством и пр. Вместе с тем — подвергаются угрозам, связанным с несанкционированным доступом к данным, кражей конфиденциальной информации, нарушением работоспособности и т. д. Все это влечет для компаний финансовые и репутационные риски.
Для минимизации возможного ущерба особое внимание нужно уделять защите сетевого периметра. Говоря о сетевой безопасности, стоит отметить необходимость межсетевых экранов.
Зачем нужны межсетевые экраны
Все еще встречаются компании, которые до сих пор не используют межсетевые экраны для защиты сетевого периметра или внедрили их относительно недавно. Это чревато проблемами с несанкционированным доступом и неконтролируемым трафиком. Поэтому вопрос о необходимости межсетевых экранов — скорее риторический.
За формулировками «межсетевые экраны» (МЭ, МСЭ), или «файрвол», часто скрываются функции и задачи, которые встречаются у нескольких отличающихся классов решений. Одни из наиболее востребованных на сегодня — это межсетевые экраны нового поколения (NGFW, Next Generation Firewall) и криптошлюзы. Об их отличиях расскажем ниже.
Также не менее востребованы решения класса WAF (Web application firewall, межсетевой экран для веб-приложений), промышленные и хостовые файрволы. В тексте рассмотрим первые два — NGFW и криптошлюзы (они же «VPN-концентраторы»).
Виды межсетевых экранов
NGFW
Если говорить о возможностях NGFW, то кроме классического функционала межсетевого экранирования и VPN (что такое VPN, рассказываем ниже) его можно использовать в режиме IPS/IDS — обнаружения и предотвращения вторжений, который есть на борту многих NGFW «из коробки».
Кроме того, можно использовать продукт в режиме прокси и реверс-прокси. Первый позволяет выпускать пользователей в интернет из сети компании согласно ролевой модели прав доступа, второй — публиковать ресурсы наружу.
Также есть возможность высокоуровневой фильтрации трафика — L7-фильтрация (инспектирование SSL, URL-фильтрация и пр). Именно NGFW позволяет управлять трафиком на уровне приложений. Как правило, подобные опции предоставляются в виде подписок дополнительно к основной лицензии. Пользователи могут выбрать ряд функциональных возможностей, которые будут использовать на своих аппаратных или программных NGFW.
Криптошлюзы (VPN-концентраторы)
Второй класс решений, который часто рассматривается в рамках защиты сети, — криптошлюзы, они же VPN-концентраторы. Это более узконаправленный, но не менее востребованный класс решений. У криптошлюзов нет большей части высокоуровневого функционала фильтрации, который есть у NGFW, например L7-фильтрация.
Зато у отечественных криптошлюзов есть поддержка «ГОСТовых» алгоритмов шифрования, что является популярным запросом у большинства отраслевых компаний. Часто используемый функционал криптошлюзов — межфилиальный VPN (для соединения офисов) и клиентский VPN (простыми словами «удаленка»). Для закрытия некоторых требований регуляторов шифрование такого канала должно быть с использованием ГОСТ-алгоритмов.
Что такое VPN
У каждого NGFW и криптошлюза в базовый функционал входит VPN (Virtual Private Network, или виртуальная частная сеть). Как отметили чуть выше, VPN бывает двух видов: межфилиальный (site-to-site) и клиентский (client-to-site). Рассмотрим их подробнее.
Site-to-site VPN — это туннель, настраиваемый между разными офисами, филиалами одной компании или до сети партнеров. По-другому его могут называть IPSec VPN или межфилиальный VPN. Часто одной из задач МЭ является организация межфилиального взаимодействия.
Важно учитывать, что не у всех МЭ есть возможность строить межфилиальные туннели с сетевым оборудованием других производителей. Большинство российских МЭ работают только в своих экосистемах, т. е. строят туннели только с оборудованием своего производителя.
Секрет, позволяющий туннелю «приземляться» на оборудование других производителей, — поддержка протокола IKEv2. Если чуть углубиться в теорию, IKE (Internet Key Exchange) — стандартный протокол набора протоколов IPsec, который обеспечивает защищенное взаимодействие при настройке межфилиального VPN. Часто встречаются две версии протокола — v1 и v2. И именно IKEv2 более быстрый, стабильный и защищенный, чем IKEv1.
Например, текущие релизы отечественного NGFW Континент 4 от производителя Код Безопасности, либо ViPNet Coordinator HW 5 от вендора ИнфоТеКС работают только в своей экосистеме. Соответственно, для настройки межфилиального туннеля на обеих сторонах нужно оборудование одного вендора: если на одной стороне Континент 4, то и на другой стороне обязательно должен быть Континент 4, иначе схема просто не будет работать.
Кстати говоря, вендор Код Безопасности обещает в ближайших релизах добавить в Континент 4 возможность строить туннель с оборудованием других производителей (поддержку протокола IKEv2). Это позволит использовать продукт еще в большем количестве сценариев при интеграциях в различные инфраструктуры.
Client-to-site VPN — клиентский VPN, по-другому «удаленка», для пользователей и сотрудников компании, которым необходимо иметь доступ в сеть со своего удаленного места работы. Сотрудник может быть в командировке, работать из дома, находиться в любых локациях, перемещаясь по городам и странам в рамках бизнес-задач.
VPN-клиенты — это специальное ПО, которое ставится на конечную рабочую станцию, например пользовательскую машину или мобильное устройство. Решение позволяет удаленно подключаться к корпоративному VPN-шлюзу и получать безопасный доступ к сети компании, а также пользоваться корпоративными ресурсами и выполнять свои служебные обязанности.
Практически у каждого производителя МЭ есть свои VPN-клиенты, но с определенными тонкостями и различиями, которые нужно учитывать при выборе МЭ. Подробнее об этом мы рассказываем ниже.
Каким организациям необходим МЭ
Одним из первых шагов при формировании комплексной системы защиты является «закручивание гаек» на границе своей инфраструктуры. А именно — построение системы защиты сетевого периметра, настройка правил фильтрации трафика, а также организация перманентного анализа трафика, детектирования и реагирования при любых аномальных активностях.
Государственные учреждения, финансовый сектор, медицина, операторы связи — организации данных сфер наиболее подвержены атакам на инфраструктуру и информационные системы. Злоумышленники пытаются получить доступ к критичным объектам, секретной и чувствительной информации, персональным данным и т. д.
Нельзя сказать, что у коммерческих компаний меньше угроз и рисков. Атакам подвергаются и представители ритейла, искусства и культуры, рекламы, спорта и т. д. У каждой организации есть критичные для бизнеса информационные системы и сервисы, в которых циркулирует чувствительная информация, персональные данные сотрудников и клиентов. Потеря доступа к таким системам, безусловно, несет риск простоя компании, а значит финансовые и репутационные убытки. Поэтому межсетевые экраны необходимы любым организациям вне зависимости от отрасли.
Зачем нужна сертификация ФСТЭК
В рамках соответствия требованиям российских регуляторов наиболее востребованными являются межсетевые экраны ФСТЭК (Федеральная служба по техническому и экспортному контролю). Сертификат ФСТЭК у межсетевых экранов означает, что решение прошло определенный регламентированный процесс оценки соответствия требованиям, установленным нормативными документами.
Технические требования к МЭ определяются на основании профиля защиты. Профиль защиты устанавливается в соответствии с типом МЭ и классом защиты, зависящим от области применения.
Сертификат соответствия решения требованиям выдается производителю (заявителю) на основании технического заключения, которое оформляется аккредитованной испытательной лабораторией по результатам сертификационных испытаний.
После успешного завершения процедуры сертификации МЭ уже подходит под один из самых популярных запросов — «МЭ ФСТЭК».
Типы межсетевых экранов ФСТЭК
Согласно ФСТЭК выделены следующие типы межсетевых экранов.
- Тип «А» (уровня сети). МЭ, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Может иметь только программно-техническое исполнение.
- Тип «Б» (Уровня логических границ сети). МЭ, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Может иметь программное или программно-техническое исполнение.
- Тип «В» (Уровня узла). МЭ, применяемый на узле (хосте) информационной системы. Устанавливается на мобильных или стационарных технических средствах конкретного узла информационной системы. Может иметь только программное исполнение.
- Тип «Г» (Уровня веб-сервера). МЭ, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Может иметь программное или программно-техническое исполнение.
- Тип «Д» (Уровня промышленной сети). МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами. Может иметь программное или программно-техническое исполнение. МЭ типа «Д» должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных.
Классы защиты
Помимо типа каждому межсетевому экрану присваивается один из шести классов защиты. Чем выше класс защиты МЭ, тем больше требований, предъявляемых к нему. Классификация идет от шестого, как самого низкого, до первого, самого высокого.
Согласно ФСТЭК выделены следующие классы защиты.
- МЭ, соответствующие 6 классу защиты, применяются в государственных информационных системах (ГИС) 3 и 4 классов защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 3 и 4 уровней защищенности персональных данных (ПДн).
- МЭ, соответствующие 5 классу защиты, применяются в ГИС 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности ПДн.
- МЭ, соответствующие 4 классу защиты, применяются в ГИС 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности ПДн, в информационных системах общего пользования II класса.
- МЭ, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Профили защиты
Для каждого профиля защиты разработан методический документ «Профили защиты», утвержденный ФСТЭК России. Документ детализирует и определяет взаимосвязи требований и функций безопасности МЭ, которые установлены требованиями к межсетевым экранам, утвержденными приказом ФСТЭК России от 9 февраля 2016 г. № 9.
Всего есть 24 Методических документа «Профили защиты». При этом для типов «А», «Б» и «В» рассматриваются все шесть классов защиты, а для «Г» и «Д» — только три класса (4, 5 и 6).
Пример: если у МЭ тип «А» и четвертый класс защиты, то решение должно соответствовать требованиям Методического документа «Профиль защиты межсетевого экрана типа А четвертого класса защиты». При этом должны быть реализованы перечисленные в документе функции безопасности — например, контроль и фильтрация; идентификация и аутентификация; регистрация событий безопасности (аудит) и т. д.
Некоторые Методические документы представлены в открытом доступе на официальном сайте ФСТЭК России.
Как выбрать МЭ для своей организации
Чтобы выбрать подходящий МЭ, нужно четко понимать бизнес-задачу своей компании и учитывать несколько дополнительных вводных.
- Нужно ли строить межфилиальные туннели или туннели до партнерских инфраструктур?
- Какое сетевое оборудование установлено или будет установлено на другой стороне (т. е. в другом филиале или партнерской инфраструктуре)?
- Нужна ли возможность удаленного подключения для ваших сотрудников или подрядчиков?
- Нужно ли ГОСТ-шифрование?
- Должен ли МЭ иметь сертификат ФСТЭК?
- Нужен ли функционал прокси в интернет, возможность URL-фильтрации и т. д?
Вводных может быть больше, но ответы на этот небольшой список вопросов позволят сузить выбор до нескольких решений из множества, представленных на рынке.
Краткий обзор сертифицированных МЭ: популярные решения
NGFW
Рассмотрим NGFW UserGate 7 версии и выше. Решение имеет сертификат ФСТЭК, на борту есть поддержка протокола IKEv2, что дает возможность строить туннели до сетевого оборудования разных производителей. Например, если в инфраструктуре имеются импортные решения и любое сетевое оборудование, которое поддерживает протокол IKEv2.
В рамках экосистемы UserGate SUMMA, куда входит UserGate Client, можно повышать безопасность конечных устройств. UG Client позволяет подключаться по VPN даблкликом, собирает дополнительную информацию с удаленного устройства, позволяет контролировать его внутри и за пределами периметра.
Поддержка IKEv2 также есть у таких сертифицированных российских решений, как IDECO и Traffic Inspector.
CheckPoint (Израиль) доступен на российском рынке и имеет широкую экосистему. Можно «обвешивать» и усиливать свой NGFW различными функциональными модулями, а также интегрировать с другими смежными классами ИБ-решений в рамках единой экосистемы.
Криптошлюзы
Если есть требование передавать данные только по каналу с использованием ГОСТ-алгоритмов шифрования, то нужно выбирать решения, у которых есть сертификаты ФСБ и ФСТЭК. Большая часть таких решений работает только в своей экосистеме.
Рассмотрим наиболее популярные на сегодня криптошлюзы (VPN-концентраторы). Также подчеркнем нюансы, которые нужно учитывать при выборе решения.
ViPNet Coordinator HW 4 от компании «ИнфоТеКС». Криптошлюз работает только в своей экосистеме — в ViPNet-подсетях. Построить межфилиальное соединение можно только с оборудованием данного производителя, т.е. ViPNet строит туннель только с ViPNet.
АПКШ (аппаратный криптошлюз) Континент 3.9 от компании «Код безопасности». Функциональные возможности кардинально отличается от NGFW Континент 4. Также работает только в своей экосистеме: Континент 3.9 может построить туннель только с Континент 3.9.
КриптоПро NGate от производителя «КриптоПро». Поддерживает режимы VPN и TLS-сервера, работает аналогично только в своей экосистеме.
С-Терра шлюз от производителя «С-терра». Решение поддерживает ГОСТ-шифрование. Отметим, что у С-терра Cisco-подобный интерфейс. Производитель отмечает возможность построения туннелей и с другими сетевыми устройствами, в том числе с некоторыми моделями оборудования Cisco.
VPN-клиенты устанавливаются на конечные хосты, централизованно управляются и «приземляются» на VPN-концентратор, поднятый в сети компании. Роль VPN-концентратора может выполнять как NGFW, так и криптошлюз. Однако есть правило: клиенты и шлюз должны быть продуктами одной экосистемы, одного вендора.
Например, нельзя приземлить ViPNet-клиенты на шлюз КриптоПро NGate — такая схема просто не будет работать. Поэтому первоначально нужно определиться с вендором. Если под задачу вы решили использовать шлюз ViPNet Coordinator, то для клиентского подключения нужно использовать ViPNet-клиенты. Если в качестве шлюза решили использовать КриптоПро NGate, то под подобные задачи нужно докупать клиенты от этого же производителя.
В каждом конкретном кейсе важно смотреть на вводные при постановке бизнес-задачи. У некоторых вендоров VPN-клиенты только готовятся к выпуску в официальные продажи, а функция клиентского VPN реализуется штатными средствами операционных систем. Такие решения пока не позволяют автоматизировать ряд задач при настройке «удаленки» для десятков или сотен пользователей и увеличивает нагрузку на инженеров при администрировании.
При выборе VPN-клиента и вендора, в экосистеме которого будет развернут VPN, важно обращать внимание, под какие операционные системы разработаны данные клиенты, и примерять их под свои задачи.
Если проанализировать аналогичные запросы, одним из частых требований у многих компаний является VPN-клиент под телефоны или планшеты с поддержкой iOS, экспресс-настройкой для пользователя и возможностью скачивания в AppStore. Стоит отметить, что на российском рынке уже появились решения для ПК под Windows и Linux, а также решения, которые покрывают запросы на пользовательский VPN для устройств на iOS, Android, ОС Аврора и пр.
К примеру можно рассмотреть Континент ZTN — ПО для установки на конечные устройства. Решение «приземляется» на NGFW Континент 4 от вендора Код Безопасности. По функционалу продукт немного напоминает любимый многими Cisco AnyConnect. Доступна опция «комплаенса конечного устройства», централизованное администрирование, удобная установка из магазинов приложений, VPN даблкликом и т. д. ПО разработано практически под все популярные операционные системы: Windows и Linux, iOS, macOS, Аврору и пр. Соответственно, может рассматриваться для закрытия широкого спектра запросов.
Чем может помочь Selectel
Межсетевой экран в аренду
Для реализации ваших бизнес-задач на базе нашей инфраструктуры мы предоставляем аренду межсетевых экранов. Выбрать можно как аппаратную, так и виртуальную реализацию.
Аппаратные МЭ
Межсетевой экран Selectel и оборудование вендоров UserGate, Код Безопасности, Fortinet. Подходят для высоких нагрузок и обеспечивают стабильный VPN. МЭ от UserGate и Код Безопасности прошли сертификацию ФСТЭК.
Виртуальные МЭ
Готовый образ виртуального межсетевого экрана UserGate, который запускается в облаке. Он позволяет масштабироваться быстрее и экономить на инфраструктуре.
Если не готовы тратить силы, чтобы разбираться с внедрением и дальнейшим сопровождением межсетевого экрана, — мы можем помочь. Настроим правила и политики МЭ, проследим за обновлениями и обеспечим мониторинг работоспособности 24/7.
Сервис ГОСТ-VPN на базе оборудования ViPNet
ГОСТ-VPN — это сервис по организации защищенного канала с вашей сетью или с сетью вашего партнера. Шифрование канала осуществляется с использованием ГОСТ-алгоритмов.
Настроим сертифицированный аппаратный криптошлюз ViPNet Coordinator на стороне вашей инфраструктуры в Selectel и возьмем на себя его администрирование. Важным условием является наличие ViPNet-сети на стороне вашей инфраструктуры или инфраструктуры вашего партнера.
Собственные МЭ
Если вы уже выбрали и закупили подходящий под ваши требования межсетевой экран, то можете разместить его в дата-центрах Selectel. Мы обеспечим бесперебойное питание, оптимальный микроклимат для работы оборудования и круглосуточную охрану.
