В этом году Gartner поместила Fortinet в квадрат лидеров рынка в сегменте корпоративных межсетевых экранов следующего поколения. Как указывается в отчете, решения этого вендора пользуются спросом, поскольку предоставляют востребованную функциональность по схожей цене и обладают лучшей — по сравнению с аналогичными продуктами конкурентов — производительностью. Однако рынком МСЭ амбиции компании не ограничиваются: в прошлом году она предложила концепцию открытой фабрики безопасности — Fortinet Security Fabric, нацеленной на реализацию непрерывной защиты (от конечных устройств, в том числе IoT, до центров обработки данных и облаков), эффективность которой повышается благодаря взаимодействию различных средств ИБ. О преимуществах организации такой защиты рассказывает Михаил Родионов, глава представительства Fortinet в России и Казахстане.
Журнал сетевых решений/LAN: На протяжении многих лет специалисты по безопасности говорят о необходимости создания эшелонированной обороны. Весной прошлого года Fortinet представила концепцию фабрики безопасности Fortinet Security Fabric. В чем ее особенность?
Михаил Родионов: Границы и барьеры стираются: сегодня уже невозможно выделить какой-либо конкретный периметр, который нужно защищать, поэтому речь идет, скорее, о непрерывной сегментации и непрерывной защите. Концепция фабрики безопасности ориентирована на создание адаптивной всеобъемлющей комплексной системы. Она позволяет блокировать все возможные векторы атак, во всяком случае наиболее популярные из них. Для этого устройства безопасности — межсетевой экран, система защиты почты, система эмуляции кодов, агенты на клиентской рабочей станции — должны постоянно взаимодействовать, обмениваясь информацией об угрозах.
Например, проверка почтовой системой вложений на предмет спама воспринимается как нечто само собой разумеющееся. Однако такая проверка не позволяет выявить таргетированную атаку, когда во вложении присутствует скрытый вредоносный код. При взаимодействии же с системой эмуляции кодов такое вложение можно отфильтровать, запустив его в песочнице. Или другой пример. Межсетевой экран настраивается таким образом, чтобы подозрительные файлы направлялись в песочницу для анализа, по результатам которого будет приниматься решение, пропускать или не пропускать их дальше.
В итоге создается универсальная платформа, которая позволяет работать с самыми разными кубиками корпоративной системы безопасности, и за счет этого достигается синергетический эффект.
Заказчики, безусловно, всегда стремятся к тому, чтобы защита их инфраструктуры была на высоком уровне, Но другим немаловажным аспектом, безусловно, является стоимость владения. Различные не связанные между собой компоненты, которые друг от друга не зависят и не общаются между собой, дороже в использовании и менее эффективны, чем те, которые постоянно взаимодействуют.
Например, песочница может служить и для анализа файлов на файловых серверах Windows: днем она задействуется для разбора почты, а вечером ее можно переключить на проверку файловых хранилищ. В результате заказчики получают систему, которая благодаря синергии не только функционально эффективна, но и экономически привлекательна.
Многие производители предлагают различные решения для противодействия разным векторам атак. Если необходимо защититься сразу от нескольких, в сумме затраты оказываются очень высоки. Поэтому фабрика безопасности, которая внедряется по всему миру, в том числе и в России, показала себя очень эффективной. Она позволяет действовать на опережение и блокировать вредоносы до их попадания в сеть компании.
LAN: Одному вендору вряд ли по силам «закрыть» все векторы атак. Это означает, что в фабрику необходимо интегрировать решения других производителей?
Родионов: Вы правы, нельзя все делать одинаково хорошо. Именно поэтому наша фабрика является открытой, и партнеров у нас много. Например, систему управления событиями и информацией безопасности (SIEM) производства IBM можно бесшовно интегрировать с решениями Fortinet посредством специального коннектора. Если используются другие инструменты, скажем для анализа ситуации на рабочих станциях клиентов, то у нас есть целый ряд партнеров, с которыми мы работаем и в этом направлении.
Иначе говоря, фабрика реализована таким образом, чтобы ее можно было интегрировать с любым продуктом. Для этого разработчикам предоставляются открытые интерфейсы, а в качестве элементов фабрики безопасности могут рассматриваться не только средства защиты. Так, сейчас обсуждаются возможности партнерства с одной из российских компаний, которая занимается SDN.
LAN: Раньше Fortinet продвигала идею микросегментации, теперь говорится о непрерывной сегментации. Чем различаются эти понятия?
Родионов: В области безопасности сегодня не обойтись без микросегментации: она реализована в том или ином виде во всех решениях. Fortinet продолжает поддерживать этот подход: он называется Internal Segmentation Firewall и предусматривает реализацию внутренней сегментации. Из-за того что разграничения выполняются во внутренней сети, требования, предъявляемые к применяемым здесь межсетевым экранам, отличаются от тех, которые свойственны для МСЭ, установленных на границе сети.
Почему мы говорим о непрерывной безопасности? У нас вроде бы уже есть микросегментация, которая на практике хорошо себя зарекомендовала. Когда в какой-либо компании задумываются о том, как обеспечить эффективность бизнеса, все чаще приходят к выводу, что надо либо строить собственный облачный ЦОД, либо пользоваться облачными услугами. И вот здесь уже возникают нюансы, потому что данные надо защищать как в ЦОДе, так и в облаке.
Чтобы обеспечить информационную безопасность бизнеса крупной распределенной компании, необходимо защитить и все остальные сегменты ее информационного пространства: в штаб-квартире, филиалах, розничных точках продаж. Непрерывная безопасность достигается за счет использования целого ряда решений. Так, в нашем портфеле продуктов около 30 моделей межсетевых экранов и довольно многочисленный набор решений из других областей, таких как системы эмуляции кодов, системы защиты почты и т. д. — вплоть до SIEM.
LAN: Если мы говорим о сегментации, то это означает необходимость установки, условно говоря, множества перегородок, то есть множества средств безопасности. А все это стоит денег…
Родионов: В недавно опубликованном рейтинге Next Generation IPS аналитического агентства NSS Labs, специализирующегося на проведении исследований рынка информационной безопасности, приводятся в числе прочего данные о стоимости владения системами обнаружения вторжений. Надо сказать, что из-за многообразия используемых экономических моделей ценовая политика вендоров существенно различается: у одних оборудование может стоить дороже, чем сервис, а у других ощутимый вес имеет обслуживание. Так вот, NSS Labs рассматривает именно общую стоимость владения.
Один из наиболее важных факторов — так называемая эффективность затрат на безопасность. Fortinet показала наилучший результат: минимальная стоимость владения при максимальной эффективности. За счет чего этого удалось добиться? В первую очередь благодаря применению во всех сегментах сети единообразных решений для обеспечения непрерывной безопасности. На всех устройствах используется одна и та же операционная система; и не важно, сколько стоит межсетевой экран — 500 долларов или миллион.
Соответственно, управление становится проще, потому что специалист по ИБ хорошо знает особенности функционирования решения на базе Fortinet. В результате, по сравнению с предложениями наших конкурентов, совокупная стоимость владения оказывается довольно невысокой.
LAN: Но это происходит в том случае, если решение реализовано только на базе продуктов Fortinet. Вы же не будете предлагать заказчикам выбросить то оборудование, которое у них уже установлено…
Родионов: Совершенно верно. Конечно, это идеалистическая картина. Будучи мировым лидером, Fortinet довольно поздно вышла на российский рынок. Однако у меня сложилось впечатление, что многие заказчики как будто ждали нас: спрос появился практически сразу. Естественно, у многих в сети были установлены решения других производителей, но они хотели их заменить, причем мотивов было несколько.
Часто приходилось слышать жалобы на то, что, например, у того или иного решения по информационной безопасности слишком высокая стоимость на продление сервиса. Обновление системы обнаружения вторжений или антивирусных сигнатур иногда обходилось в половину первоначальной стоимости оборудования.
Наши межсетевые экраны базируются на чипсетах собственной разработки (у нас свои ASIC), благодаря чему оборудование Fortinet обладает высокой производительностью при умеренной стоимости. Нередко мы предлагали заказчикам приобрести у нас оборудование по цене предоставляемой им сторонней техподдержки и в дальнейшем экономить на операционной составляющей.
Но, безусловно, другим фактором успеха, помимо финансового, была эффективность обеспечения безопасности. Даже несмотря на то, что у заказчиков имелись МСЭ и антивирусы известных производителей, при установке нашего оборудования были детектированы невыявленные вредоносы, а зачастую и компьютеры — участники ботнет-сети прямо внутри компании. Это позволило продемонстрировать, насколько полезным оказывается развертывание дополнительного эшелона защиты на базе Fortinet.
Конечно, новые проекты — совсем другая история. Там действительно наше оборудование сравнивается с решениями других вендоров: тестирование «вживую» с запуском вредоносного кода для проверки эффективности. Это полноценная конкурентная среда.
LAN: Что можно сказать об опыте реализации фабрики безопасности российскими клиентами? Что им потребовалось изменить в своей сети? От чего пришлось отказаться, а что удалось интегрировать? Насколько полно реализованы фабрики?
Родионов: Заказчики, которые к нам обращались, изначально хотели ограничиться одним межсетевым экраном. Они подбирали решение по межсетевому экранированию, однако, узнав о нашей концепции, вспоминали, что у них есть и другие проблемы с обеспечением безопасности: скажем, используется Windows Forefront TMG, который уже не поддерживается. Многие начинали задумываться о замене установленных у них систем, о необходимости защиты почты и т. д.
Между тем 99,9% функций, реализованных в упомянутом решении Microsoft, можно обеспечить с помощью одного или двух компонентов Fortinet Security Fabric в зависимости от нужных функций: средства защиты Web-приложений Web Application Firewall и межсетевого экрана FortiGate. В результате возрос интерес к другим нашим продуктам. Мы были готовы предоставить их все разом для пилотных проектов, что, вообще говоря, довольно затратно. Однако это позволяло продемонстрировать преимущества предложений Fortinet.
Если взять типовую инсталляцию, то это около 2000 рабочих станций с установленным на них программным обеспечением для защиты конечных точек FortiClient, которое тоже интегрируется с Security Fabric. Кроме того, для защиты сети, приложений и узлов используются Web Application Firewall, система эмуляции кодов FortiSandbox и, конечно же, межсетевые экраны. Причем МСЭ устанавливаются как аппаратные, так и виртуальные, потому что защищать приходится не только физическое сегменты, но и различные сервисы в центрах обработки данных на платформах виртуализации. Для таких сред у нас имеется отдельный спектр решений.
К слову сказать, непрерывная безопасность — это то, что сейчас требуется российским заказчикам. Как только какая-то часть фабрики внедряется, дальнейшее расширение системы оказывается очень легким: добавив еще один компонент, заказчик получает более мощную систему защиты, которая значительно превышает возможности, предоставляемые другими компаниями из сегмента межсетевого экранирования. Мы видим очень позитивную динамику заинтересованности в фабрике безопасности.
LAN: Выступая на Fortinet Security Day, Джо Сарно, вице-президент Fortinet по международным развивающимся рынкам, назвал безопасность критической инфраструктуры одним из наиболее важных направлений ИБ. Насколько фабрика Fortinet готова к решению этой задачи, ведь способы ее решения здесь иные, чем в корпоративной среде?
Родионов: У Fortinet есть целый ряд решений, предназначенных для защиты информационных систем на промышленных предприятиях, — например, межсетевые экраны для работы в расширенном температурном диапазоне и агрессивных окружающих средах. Их можно установить и не волноваться о том, что оборудование выйдет из строя из-за неподходящих условий эксплуатации.
Что касается функциональности, то для защиты критической инфраструктуры уже есть готовые решения и сигнатурная аналитика, которую можно внедрять. На протяжении нескольких лет на решения по защите АСУ ТП предоставляется отдельная подписка, поскольку обеспечение безопасности АСУ ТП требует анализа специфичных протоколов — в частности, Modbus. Это, наверное, самый популярный протокол в области промышленных систем.
Со следующего года в Российской Федерации вступают в силу законодательные требования к критической инфраструктуре. К этому надо, безусловно, готовиться: провести дополнительную сертификацию устройств, чтобы их можно было использовать на соответствующих объектах. Наши сетевые экраны сертифицированы ФСТЭК, предназначены в первую очередь для коммерческих и государственных организаций. В целом с ФСТЭК мы ведем активное взаимодействие ввиду высокого класса защиты наших межсетевых экранов: на текущий момент Fortigate — единственный межсетевой экран иностранного производства, сертифицированный по четвертому классу, и мы активно ищем возможных партнеров для локализации производства.
LAN: По статистике, около половины всего интернет-трафика проходит через шифруемые соединения. Как вы смотрите на перспективу борьбы с угрозами в таком трафике? Какие методы представляются наиболее эффективными?
Родионов: Возможны два варианта развития событий. При использовании первого подхода устанавливаются межсетевые экраны с хорошей пропускной способностью для обработки именно зашифрованного SSL-трафика. Кроме этого очевидного метода, есть второй, когда перед межсетевым экраном размещают дешифратор, а после него — шифратор: межсетевой экран будет видеть трафик в незашифрованном виде и соответствующим образом его обрабатывать.
Второй подход позволяет немного сэкономить при больших объемах расшифровки трафика. Балансировщик нагрузки FortiADC обеспечивает гораздо более высокую производительность при расшифровке SSL-трафика, чем межсетевой экран. Поэтому, если заказчику необходимо высокопроизводительное решение, мы предлагаем и вариант с использованием балансировщика нагрузки. Таким образом, специализированные решения по дешифровке и повторному шифрованию уже имеются, и, возможно, мы скоро увидим их в действии, потому что трафик будет только расти.
LAN: У Fortinet есть контроллеры и точки беспроводного доступа. Неожиданное предложение для компании, специализирующейся в области ИБ…
Родионов: Беспроводные решения в нашей линейке появились в ответ на запросы заказчиков. Массовая инсталляция межсетевых экранов нужна, как правило, тем компаниям, у которых имеются розничные точки продаж или небольшие офисы. Им хотелось бы иметь одно устройство для небольшого офиса, позволяющее обеспечить и подключение к сети, и безопасность.
Именно поэтому межсетевые экраны FortiGate, помимо необходимых функций безопасности, обладают еще и сетевыми возможностями как для маршрутизации трафика, так и для организации беспроводных подключений. Иначе говоря, они оснащены встроенным контроллером, а точку доступа можно поставить рядом с межсетевым экраном. Впрочем, у нас есть и модели с интегрированной точкой доступа: антенна встраивается в корпус межсетевого экрана. Таким образом, покрытие офиса посредством Wi-Fi обеспечивается без излишних сложностей.
Около двух лет назад мы приобрели компанию Meru Networks, что привело к значительному расширению линейки беспроводных продуктов. Это решение выходит за пределы нашей первоначальной бизнес-идеи, но зато теперь мы можем предложить решения и для крупных компаний, строящих большие распределенные сети. При этом те, кто отвечает за безопасность, зачастую воспринимают Wi-Fi как одну из потенциальных точек проникновения в сеть компании. Но если инфраструктурой Wi-Fi управляет межсетевой экран, это автоматически делает ее самой безопасной в мире!
Беседовал Дмитрий Ганьжа, главный редактор «Журнала сетевых решений/LAN»