Миграция на облачный сервис UserGate (Security-as-a-Service)

Дата: 31.03.2022. Автор: CISOCLUB. Категории: Главное по информационной безопасности, Обзоры средств защиты информации, Статьи по информационной безопасности
Миграция на облачный сервис UserGate (Security-as-a-Service)

Многие пользователи таких средств сетевой защиты как Cisco, Fortinet, Palo Alto Networks, Symantec BlueCoat, McAfee, ForcePoint столкнулись с остановкой бизнес-операций и ограничением предоставления технической поддержки со стороны производителей. Список иностранных компаний, покидающих рынок России, постепенно расширяется. К острым вопросам информационной безопасности сегодняшнего дня можно также отнести проблемы с логистикой и дефицитом аппаратных платформ, микроэлектронных компонентов. Системные интеграторы признаются, что работа с иностранными компаниями, оставшимися в России, действительно затрудняется нехваткой оборудования, длительными сроками поставок, необходимостью стопроцентной предоплаты. В социальных сетях специалисты широко обсуждают способы и механизмы миграции с западного сетевого оборудования на отечественное: все хочется сделать в кратчайшие сроки, с минимальными затратами и без потери качества.

В этот статье мы расскажем, на что нужно обратить внимание при выборе нового решения, чтобы максимально смягчить процесс.

Импортозамещение 

Тема импортозамещения появилась далеко не сегодня (смотрите интервью с директором UserGate Дмитрием Курашевым про импортозамещение). Однако в 2022 году миграция на отечественное ПО стала безотлагательной. 

Можно ли пробовать использовать Open Source-решения в качестве альтернативы западными решениям? Конечно, но есть 2 основных риска:

  1. Достаточно ли производительности Open Source?
  2. Что делать с уязвимостями в Open Source?

Функционал Open Source «из коробки», как показывает практика, достаточен для решения задач небольших предприятий, но не более. Вы сэкономите на лицензии, найдете помощь в решении проблем у сообщества, но придется столкнуться с проблемами стабильности и непредсказуемостью работы при масштабировании системы или росте инфраструктуры. Отсутствие гарантированной технической поддержки может сыграть роковую роль при неполадках эксплуатируемых средств.

Наличие уязвимостей в Open Source – отдельная проблема. Преимущество свободного ПО – синергетический вклад множества независимых разработчиков. Оно же и «мина замедленного действия» – сложно контролировать добросовестность и безошибочность разработчиков сообщества. В таких проектах используются также целые цепочки сторонних зависимостей и библиотек, для которых крайне сложно провести тщательный аудит безопасности. Более того, аудит просто невозможно провести без понимания внутренней логики и методологии программирования. Также изначально безопасное ПО может стать вредоносным в результате хакерской атаки или планового обновления. Недавно Сбер обратился к российским пользователям с рекомендацией, согласно которой банк призывает их временно прекратить обновлять используемый софт. Причина: огромное количество кибератак и сомнительных обновлений даже со стороны «проверенных» разработчиков. 

Однако полный отказ от обновления создает риски для эксплуатации zero-day уязвимостей. Таким образом, при использовании и эксплуатации продуктов на базе Open Source необходимо не только следовать принципам безопасной разработки (SDLC), но и заниматься Threat Hunting и проводить периодические тестирования безопасности приложений, что влечет дополнительные расходы на экспертизу опытных ИБ-специалистов или оплату услуг компаний, оказывающих подобные услуги.

Таким образом, Open-source в ИТ – мера возможная, но крайне нежелательная, если речь идет о средствах защиты информации (СЗИ).

В любом случае отталкиваться нужно прежде всего от задач организации и функционального заказчика. Если вам необходимо настроить правила межсетевого экранирования на конкретной Linux-машине, iptables будет достаточно. Однако если задача шире, и необходимо, например, мигрировать с одного или нескольких NGFW, стоит задуматься о стабильном решении, предоставляющем техническую и консультационную поддержку на территории РФ.

Что предлагает UserGate в рамках программы импортозамещения сегодня:

  • Решения UserGate не содержит в себе компоненты Open-Source;
  • Продукция компании UserGate NGFW на рынке с 2018 года и положительно зарекомендовала себя на крупных распределенных сетях в плотном взаимодействии с заказчиками;
  • Все необходимые инструменты для комплексной защиты современной IT-инфраструктуры в рамках экосистемы продуктов кибербезопасности UserGate SUMMA;
  • Виртуальные платформы и программно-аппаратные комплексы на базе собственной операционной системы UGOS, а также дополнительные продукты компании, обеспечивающие гибкое и целостное управление безопасностью IT-сетей;
  • Продукты, соответствующие требованиям ФСТЭК России к профилям защиты межсетевых экранов типа А и Б 4 класса защиты, системам обнаружения вторжений 4 класса защиты и по 4 уровню доверия, находящиеся в реестре российского ПО (№1194).

Переход на UserGate актуален для:

  • Организаций, которые больше не могут закупать, получать обновления и поддержку ранее внедренных решений зарубежных производителей;
  • Органов государственной власти, муниципального управления и бюджетных организаций;
  • Госкорпораций, крупных вузов, операторов связи, дата-центров, промышленных предприятий;
  • Организаций критической информационной инфраструктуры (финсектор, медицина, ТЭК и т.д.);
  • Организаций любого масштаба, которым необходимо использовать сертифицированные средства защиты информации.

Модель предоставления услуг UserGate

On-premise или UGaaS

Как мы писали выше, на сегодняшний день ИТ-рынок испытывает проблемы с оборудованием и непредсказуемыми сроками поставок. Оставшееся в России телекоммуникационное оборудование и вычислительные компоненты распродаются быстро, по высокой цене и предоплате. Даже компании, имеющие финансовые резервы, могут просто не успеть закупить необходимое оборудование из-за сложных и длительных закупочных процедур. Поэтому всё больше компаний при проектировании ИБ-систем смотрят в сторону виртуализации и облаков.

Среди преимуществ модели потребления «безопасность как сервис» стоит отметить отсутствие капитальных затрат, времени и ресурсов на ввод в эксплуатацию и самостоятельную поддержку аппаратных средств и ПО, возможность гибко оплачивать текущую конфигурацию или даже отказаться в случае выбора другого поставщика. 

Возникает закономерный вопрос – достаточно ли у современных российских провайдеров ЦОД вычислительных мощностей? Ответ – да. Ещё до 2022 года эксперты спрогнозировали рост рынка облачных технологий на 17,5% ежегодно; к 2025 году он вырастет более чем до $832,1 млрд. Стоит поторопиться, так как развитие российского рынка облачных услуг должно было опережать общемировой темп: по оценке IDC, к 2025 году он должен был вырасти в 2,5 раза. В современных же реалиях рост облачных технологий будет более значительным и значимым. Минцифры уже предложило компаниям мигрировать в отечественные облачные платформы, а также создать единое облако для работы бизнеса. В ведомстве заявили, что заинтересованы в ускорении процесса импортозамещения, и предложили отменить ввозные пошлины на вычислительное оборудование, жесткие диски, накопители, СХД, а также оказать и другие меры поддержки IT-отрасли.

Если говорить конкретно об облачных решениях от компании UserGate, то она представила свой флагманский продукт – межсетевой экран нового поколения UserGate – в маркетплейсах популярных облачных провайдеров. В рамках UserGate-as-a-Service (UGaaS) достаточно создать виртуальную машину, выделить ей нужные ресурсы и начать пользоваться.

Отдельно можно отметить, что многие облачные провайдеры помимо своих мощностей предлагают компетентную помощь в построении ИТ/ИБ-архитектуры. С помощью UGaaS можно не только снизить затраты на заработную плату ИТ/ИБ-специалистов, но и сэкономить при миграции с зарубежных решений, так как все платежи реализуются в виде регулярных подписок. Также некоторые MSSP-провайдеры (партнеры компании UserGate) предлагают бесплатный тестовый период для бесшовного переезда и определения рабочей продуктивной конфигурации.

Возможности облачного UserGate NGFW

UserGate NGFW в облачных средах по функционалу ничем не уступает привычному программно-аппаратному комплексу:

Межсетевое экранирование

В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров. Не говоря о стандартных IP получателя, IP источника, протоколе и т. д., в UserGate NGFW определяется также инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение (например, мессенджер Skype, сайт Яндекс.Диск – всего более 1200 приложения и протоколов). Также проверяются и приложения, работающие по протоколу HTTPS. Всё это позволит настроить доступ к определённым сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик в/из «опасной» страны.

Предотвращение вторжений (IPS)

Поиск и блокировка подозрительных соединений – следов вирусной активности, попыток эксплуатации уязвимостей – с возможностью гибко настроить включённые сигнатуры и реакцию UserGate на них.

Защита от веб и почтовых угроз

UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вложения в поисках вирусов, но и само письмо – чтобы пресечь фишинговые и спамерские атаки на вашу организацию.

VPN-каналы и защищённый удалённый доступ

UserGate NGFW могут создавать VPN-соединения между собой, шифруя передаваемый между разными филиалами трафик. Если же потребуется обеспечить защищённый доступ для работника, находящегося за пределами периметра организации, то тут на помощь придут, во-первых, клиентский VPN, а, во-вторых, можно воспользоваться безопасной публикацией приложений. При этом UserGate NGFW будет идентифицировать пользователей и предоставлять им доступ до нужного файлового сервера или CRM, блокируя остальные неразрешённые соединения.

Мы также подробно разбирали интерфейс UserGate NGFW в прошлой статье.

Производительность виртуального UserGate NGFW

Производительность виртуального межсетевого экрана нового поколения от UserGate представлена в таблице ниже.

МодельVE100VE250VE500VE1000VE2000VE4000VE6000
Пользователей100250500100020004000
FW, Гбит/c800160018002000280030003200
IPS (СОВ), Мбит/c600130013501400180021002400
DCI, Мбит/c150130015001700200024002700
Контроль Приложений L7, Мбит/c700150017001800250028003100
Инспектирование SSL, Мбит/c50300320600620650700
IDS (СОВ), Мбпс800170020002500300032003400

Повышенная производительность виртуальных UserGate NGFW достигается за счет оптимизации прогрaаммного кода под различные гипервизоры и аппаратное обеспечение. Перечень поддерживаемых гипервизоров представлен на картинке ниже.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Сценарии использования облачного UserGate NGFW

Сценарий 1. Создание VPN-туннеля с локальной сетью

Для защищённого обмена данными создаётся Site-to-Site VPN по протоколу L2TP (если со стороны локальной сети шлюзом будет другой UserGte NGFW) или IPSec (если маршрутизатором локальной сети будет устройство Cisco). Настроить UserGate NGFW, установленный со стороны локальной сети, можно по документации, роль VPN-сервера.

Для настройки VPN на облачном UserGate NGFW активируем правило «VPN for Site-to-Site to Trusted and Untrusted».

Миграция на облачный сервис UserGate (Security-as-a-Service)

В разделе «VPN» – «Клиентские правила» добавляем правило VPN, которое будет инициировать подключение к VPN-серверу.

Миграция на облачный сервис UserGate (Security-as-a-Service)

В дальнейшем, если понадобится разорвать VPN-соединение, нужно будет отключить это клиентское правило.

Сценарий 2. Переключение трафика на облачный UserGate NGFW

Теперь, когда облачный UserGate NGFW готов, можно переключать трафик на него. Переключение можно сделать несколькими способами:

  • Создать маршрут на корневом маршрутизаторе, направляющий трафик от всех подсетей на IP-адрес UserGate NGFW;
  • Для защиты только облачных ресурсов – установить туннельный IP-адрес UserGate NGFW в качестве next-hop для маршрута к этим облачным ресурсам;
  • Установить IP-адрес UserGate NGFW в качестве системного прокси для пользователей с помощью доменной политики безопасности (для настройки интернет-фильтрации). 

Сценарий 3. Подключаем удаленных пользователей. SSL VPN через гостевой портал 

Для удалённых пользователей можно настроить SSL VPN – это защищенный доступ к внутренним ресурсам, для которого нужен только браузер. Алгоритм настройки, следующий:

Заходим в раздел «Настройки», пролистываем до строки «Адрес веб-портала».

Миграция на облачный сервис UserGate (Security-as-a-Service)

В открывшемся окне включаем веб-портал, указываем DNS-имя UserGate NGFW, по которому он будет доступен из внешней сети. Нажимаем «Сохранить».

Миграция на облачный сервис UserGate (Security-as-a-Service)

Определяем зону, которая соответствует интерфейсу для выхода в Интернет (чаще всего это Untrusted). В настройках зоны во вкладке «Контроль доступа» отмечаем чекбокс «Веб-портал».

Миграция на облачный сервис UserGate (Security-as-a-Service)

В разделе «Профили MFA» нажимаем кнопку «Добавить MFA через TOTP» и заполняем создаваемый профиль.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Далее создаем профиль, по которому будут авторизоваться удалённые пользователи при подключении к порталу (раздел «Профили авторизации», кнопка «Добавить»). Заполняем имя профиля, указываем профиль MFA, созданный на предыдущем шаге, и во вкладке «Методы аутентификации» добавляем доменное подключение (или локального пользователя, при необходимости). Нажимаем «Сохранить».

Миграция на облачный сервис UserGate (Security-as-a-Service)

В настройках веб-портала («Настройки» – «Адрес веб-портала») в строке «Профиль авторизации» указываем созданный профиль.

Настройка закончена. Теперь пользователи, пройдя двухфакторную аутентификацию, могут попасть на портал, на котором публикуются внутренние ресурсы. Доступ к ресурсам осуществляется по SSL VPN.

Сценарий 4.  Блокировка нежелательного контента

С помощью UserGate NGFW включаем SSL-инспекцию, это позволит расшифровать HTTPs-траффик.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Указываем необходимые параметры контроля доступа на нужной зоне.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Далее переходим в раздел «Фильтрация контента» и добавляем следующие правила:

  • Проверка антивирусом
  • Запрет по контенту
  • Запрет по URL списку
  • Морфология по словарю (запрещаем слово «ляляля»).
Миграция на облачный сервис UserGate (Security-as-a-Service)

Переходим на главную страницу поисковой системы и вводим запрещенный морфологическим правилом поисковый запрос.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Срабатывает правило блокировки по морфологическому словарю.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Заблокированный поисковый запрос записывается в журнал.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Возвращаемся в поисковую систему и пытаемся посмотреть контент для взрослых. Срабатывает правило блокировки по категориям.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Обращение к заблокированной категории контента записывается в журнал.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Копируем URL-адрес сайта с контентом для взрослых и вставляем его в адресную строку браузера. Срабатывает правило блокировки по черному списку.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Обращение к заблокированному URL из черного списка записывается в журнал.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Пробуем перейти на страницу с вредоносным программным обеспечением. Обращение в URL с вирусом заблокировано.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Обращение к URL, содержащему вирус, записывается в журнал.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Сценарий 5.  Блокировки команд в консоли при удаленном администрировании 

В качестве примера рассмотрим блокирование удаленного запуска утилиты ping по протоколу SSH. Начальное состояние – команда ping не запрещена.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Включаем контроль доступа на нужной зоне.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Переходим в раздел «Инспектирование SSH» и создаем правило, в котором указываем команду, которую хотим заблокировать (ping). Так же включаем журналирование правила.

Миграция на облачный сервис UserGate (Security-as-a-Service)
Миграция на облачный сервис UserGate (Security-as-a-Service)

Правило создано. Пробуем запустить утилиты ping и получаем ошибку «Команда не найдена».

Миграция на облачный сервис UserGate (Security-as-a-Service)

Результат блокировки команды записывается в журнал.

Миграция на облачный сервис UserGate (Security-as-a-Service)

Мы также подробно разбирали порядок настройки UserGate NGFW в облаке в прошлой статье.

Заключение

На российском рынке не так много производителей средств сетевых средств защиты информации, которые бы могли конкурировать с западными аналогами. Однако компания UserGate смогла не только сделать достойный конкурентоспособный межсетевой экран нового поколения UserGate, но и запустила целую экосистему продуктов кибербезопасности UserGate SUMMA, с помощью которой можно построить комплексную систему управления, мониторинга и обеспечения информационной безопасности.

Развернуть UserGate NGFW в облаке достаточно просто. Если у вас нет ресурсов, вы можете воспользоваться услугами MSSP-провайдеров, которые помогут обеспечить безопасность сети передачи данных как в облаке, так и за его пределами.

Решения UserGate позволят быстро мигрировать с решений западных производителей и обеспечить должный уровень безопасности организации. Компания создала сообщество пользователей и партнеров на GitHub, там можно найти утилиты для переноса настроек со сторонних решений на UserGate.

Схема поставки решений UserGate по модели «безопасность как услуга» позволяет оптимизировать CAPEX организации, временные и человеческие ресурсы. Вы оплачиваете услуги в рамках Security as a Service ровно столько, сколько ими пользуетесь, и исходя из текущей нагрузки на собственную и облачную инфраструктуры.

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован.