Переход на межсетевые экраны следующего поколения

Александр Шахлевич
руководитель направления ИБ
компании NETWELL

Межсетевые экраны следующего поколения – новое слово среди систем безопасности или очередной маркетинговый слоган?

Изменение подходов к ведению бизнеса и развитие технологических решений требуют пересмотра традиционного подхода к защите сети с помощью межсетевого экрана. Пользователям требуется возможность работы в любой точке мира – в офисе, дома, в номере гостиницы или в кафе, – и традиционное понятие периметра уходит в прошлое. Более того, современные приложения легко обходят традиционные межсетевые экраны путем динамической смены портов, использования протоколов SSL и SSH, туннелирования своего трафика через порт 80 или использования нестандартных портов.

Чрезмерная рекламация продукции научила многих специалистов быть аккуратными в выборе производителя и читать информацию между строк. Новомодный тег "следующее поколение" для современных межсетевых экранов и UTM-устройств не является оправданным, в отличие от решений класса Web Application Firewall (WAF, межсетевой экран для Web-приложений). Когда они впервые появились, своей возможностью работать на всех 7 уровнях сетевой модели OSI они кардинально отличались от своих предшественников – пакетных брандмауэров. Они-то и стали той вехой, которая определила дальнейший вектор развития многих средств защиты.

Сейчас функции анализа трафика на 7-м уровне сетевой модели OSI (Application-layer) декларируют все кому не лень – производители систем обнаружения и предотвращения вторжений, сетевых антивирусов, систем Web-фильтрации и др. Разработчики межсетевых экранов следующего поколения вовремя уловили тенденции рынка и реализовали необходимый защитный функционал в самом логичном месте инспекции трафика – на межсетевом экране. Это не только единая точка входа трафика в сеть, но и популярное средство зонирования сети, а соответственно наиболее удобное место применения политик безопасности.

Что же это все-таки за решения и насколько действительно в них существует потребность?

В Wikipedia точного определения новому классу систем нет, зато классификация брандмауэров включает в себя 3 семейства: первое поколение – пакетные фильтры, второе поколение – МСЭ с поддержкой сессий (statefull firewall), и 3-е поколение – системы WAF. При этом для последних дается следующее определение: "Межсетевые экраны уровня приложения (Application-layer Firewall) работают так же, как и пакетные фильтры, но применение политик безопасности (разрешить/запретить) происходит отдельно для каждого процесса или приложения, а не только на основе знания портов", что достаточно похоже на современные межсетевые экраны следующего поколения.

Компания Gartner дает свое определение в документе Defining The Next-generation Firewall (Определение межсетевого экрана следующего поколения) – межсетевой экран следующего поколения должен как минимум обладать следующим функционалом:

• поддержка конфигурации "в разрыв" в режиме virtual wire;
• единая платформа для инспекции трафика и применения политик безопасности;
• более глубокая интеграция с IPS (система предотвращения вторжений);
• поддержка всего функционала традиционных пакетных МСЭ (пакетная фильтрация, NAT, VPN и др.);
• полный контроль приложений и анализ всего трафика с возможностью управления качеством сервиса;
• защита от угроз нулевого дня и возможность анализа неизвестного трафика в облаке в режиме реального времени;
• возможность интеграции с внешними системами и базами (в частности, со службами каталогов для определения пользователей).

При этом межсетевыми экранами следующего поколения, по мнению аналитиков Gartner, не являются:

• многофункциональные устройства защиты (multifunction firewall или UTM);
• DLP-cистемы;
• Web-фильтры;
• системы контроля обмена мгновенными сообщениями.

Еще     раз обращаясь   к аналитике Gartner, можно отметить, что межсетевые    экраны следующего поколения уже достаточно сильно    потеснили основных игроков рынка корпоративных межсетевых экранов. На врезке приведены магические квадранты Gartner для сегмента корпоративных МСЭ за 2010–2011 гг.: Magic Quadrant for   Enterprise Network Firewalls.

Похожая ситуация отмечается в классе систем предотвращения вторжений, DLP-систем и систем Web-фильтрации из-за того, что заказчики все чаще выбирают межсетевые экраны нового поколения в качестве альтернативы традиционным решениям.

Требования к функциональности новых систем вполне оправданы, а значит, несмотря на громкое название нового класса решений, тренд перехода на межсетевые экраны следующего поколения будет жить.