Анализ тенденций развития средств обеспечения межсетевой защиты

Александр Павлов
Ведущий инженер отдела связи и телекоммуникаций,
департамент информационных технологий банка “СГБ"

Потенциальные угрозы

Специалисты в области обеспечения сетевой безопасности могут отметить увеличивающуюся с каждым годом техническую сложность угроз, с которыми приходится сталкиваться, сложность их выявления и устранения. Неприятной особенностью является тот факт, что некоторые случаи нарушения политики безопасности организации могут оставаться без внимания продолжительное время, поскольку не обязательно влекут какие-либо изменения в функционировании сети, однако стоимость последствий несанкционированного доступа растет с течением времени инкрементально. Отметим некоторые ключевые виды и особенности наиболее характерных угроз:

• замена модели внешнего злоумышленника угрозой несанкционированного инсайдерского доступа;
• угроза отказа в обслуживании в связи с ростом сетевой нагрузки, в том числе за счет DDоS-атак;
• увеличение вероятности ошибки администратора при управлении сложно структурированной сетью;
• большое количество прикладных приложений, как работающих внутри корпоративной сети, и использующих облачную инфраструктуру;
• возможность динамического развития сети с ростом количества узлов, изменением архитектуры;
• увеличение количества мобильных устройств, использующихся для работы внутри корпоративной сети.

Как реагировать?

Большинство ведущих производителей межсетевых экранов, такие как Cisco Systems, Check Point, Stonesoft, Juniper, Palo Alto и др., достаточно оперативно отреагировали на изменение тенденций и выпустили свои реализации так называемых межсетевых экранов нового поколения, включающих средства для устранения отмеченных угроз. Рассмотрим использующиеся технологии.

Управление пользовательскими и групповыми учетными записями, а не адресами узлов и подсетей, реализованное, например, в устройствах Palo Alto, устраняет угрозу замены корпоративным пользователем IP-адреса, способную повлечь нарушение установленного для данного пользователя режима доступа к определенным узлам сети. Межсетевые экраны Cisco ASA содержат средства для интеграции с корпоративной инфраструктурой Active Directory, что позволяет минимизировать угрозу несанкционированного инсайдерского доступа.

Опасность роста сетевой нагрузки заключается не только в задержке трафика, но также и в невозможности управления устройством, например для ограничения входящего потока. Реакцией Palo Alto на эту угрозу стало физическое отделение шины управления от шины данных. А вот Check Point пошел по другому пути и реализовал локальный режим управления устройствами, в котором для обеспечения отказоустойчивости можно управлять не только самим устройством, но и соседним. Еще одной тенденцией в данном аспекте является реализация средств защиты от DDoS-атак практически всеми крупными игроками.

Сложность управления большой сетью, связанная с возможностью ошибки администратора, также учитывается в большинстве устройств межсетевой защиты нового поколения. Используемые графические интерфейсы управления, как правило, хорошо продуманы, включают средства для ограничения выполнения критических операций. Stonesoft, например, реализовал отдельную систему управления Security Management Center.

Широкое использование прикладных приложений, использующих сетевой доступ, привело к расширению анализируемых межсетевыми экранами уровней модели OSI – сейчас производится анализ уровней с третьего по седьмой. В качестве примера можно привести решения HP TippingPoint, позволяющие в режиме реального времени определять состояние подключений на уровне приложений. Работая на верхнем уровне, такие файрволы, как StoneGate, понимают логику работы того или иного приложения, разбирая последовательность отправки приложением команд на установление соединения и фильтруя нехарактерные команды. Cisco, в свою очередь реализовал компонент (WSE) для ограничения использования интернет-ресурсов и Web-приложений на основе данных о репутации сайта.

В результате масштабирования компаниями своих сетей, разработчики решений обеспечения безопасности столкнулись с необходимость реализации принципа модульности. Межсетевые экраны HP предполагают использование модулей портов и питания с возможностью "горячей" замены. Check Point, SonicWALL, Forti-net, StoneGate используют технологию кластеризации, позволяющую не только обеспечить отказоустойчивость, но и повысить скорость обработки трафика.

Рост мобильных устройств обусловил необходимость реализации обеспечения безопасности их доступа в корпоративную сеть. Большинство современных межсетевых экранов поддерживает такие технологии, как VPN-доступ на устройство с использованием того или иного вида шифрования. В качестве примера можно привести известную и достаточно широко распространенную Cisco AnyConnect.

Что дальше?

Проведенный обзор использующихся в файрволах нового поколения технологий позволяет сделать некоторые выводы о направлениях развития средств межсетевой защиты. Очевидно, что, помимо обеспечения безопасности периметра, возрастает важность защиты от легитимных пользователей, то есть от злоупотребления имеющимися правами. В этом плане будут набирать популярность как технологии обнаружения вторжений, уже реализованные во многих устройствах, так и статистические способы выявления аномальной активности, находящиеся во многом на этапе исследования. Рост числа узлов в укрупняющихся сетях приводит к необходимости повышения удобства администрирования, в том числе за счет принципа модульности. Сетевые приложения, генерирующие трафик, вынуждают обеспечивать в продуктах для малого и среднего бизнеса производительность, характерную ранее разве что для телекоммуникационных компаний. Разрозненные способы обеспечения безопасности на местах: сетевые антивирусы, системы ограничения доступа в Интернет, вероятно, будут сконцентрированы на центральных устройствах, для того чтобы обеспечивать однократный сквозной анализ проходящего трафика сразу по нескольким критериям.

Таким образом, мы видим продолжающиеся совершенствование и усложнение технологий обеспечения сетевой безопасности как реакцию на изменение особенностей угроз.