Шлюзы безопасности: новая волна

Устройством информационной безопасности обычно называют специализированный сервер, предназначенный для защиты сети от нежелательного трафика — последний блокируется средствами встроенного межсетевого экрана, посредством фильтрации контента или с помощью антивируса, при этом система обнаружения вторжений (IPS) может выводить отчет о попытке «взлома» или инициировать предписанные правилами защитные меры. Для защиты трафика используются технологии SSL VPN/IPSec VPN и шифрование.

Такие устройства служат в качестве шлюзов безопасности, однако некоторые могут использоваться и для оценки уязвимости сети, а также предотвращения утечек данных (DLP) и контроля доступа пользователей к ресурсам корпоративной сети и Интернета. В унифицированных устройствах (Unified Threat Management, UTM) объединяются несколько средств безопасности (межсетевой экран, VPN, антивирус и др.). UTM — самый крупный сегмент рынка устройств безопасности (см. Рисунок 1). По мнению экспертов компании Leta IT, системы комплексной безопасности — прогнозируемая эволюция разрозненных решений ИБ.

ВСЕ В ОДНОМ

UTM должны быть просты в настройке и использовании, предусматривать централизованное управление. Ввиду ограниченной производительности и функциональности UTM больше всего подходят для использования в малых/средних компаниях или филиалах распределенного предприятия. Как сообщают специалисты компании Juniper, решения UTM позволяют значительно сократить расходы и в то же время обеспечить защиту филиала, при этом в одном устройстве сочетаются сервисы маршрутизации, функции коммутации и межсетевое экранирование. В России рынок UTM только начинает набирать обороты. По данным Leta IT, хотя всплеск интереса к UTM наметился еще в 2008 году, он не привел к существенному росту продаж этого оборудования, несмотря на увеличение доли подобных продуктов. Однако с возобновлением роста российского рынка ИТ в целом и рынка ИБ в частности ситуация может измениться.

По данным Trend Micro, UTM в России востребованы в среднем бизнесе (предприятия с числом сотрудников до нескольких тысяч человек): компании этого сегмента уже имеют достаточные бюджеты на ИБ, но все же не могут себе позволить лучшие в своем классе выделенные решения. Как считает Дениc Безкоровайный, технический консультант Trend Micro в России и СНГ, представители тех сегментов, где критичны производительность и надежность, например операторы связи, вряд ли в ближайшее время станут активно приобретать UTM, несмотря на то что производители разрабатывают специальные линейки для ISP. Что касается крупных корпораций и холдингов, применение в них UTM может быть сопряжено с организационными сложностями.

Виктор Солодков, региональный директор Juniper по России и СНГ, отмечает, что зачастую на предприятии обеспечением информационной безопасности занимается отдельный департамент, предпочитающий не зависеть от смежных подразделений и не отвечать за работу устройств, которые помимо функций ИБ выполняют ряд иных задач и контролируются другими подразделениями. Однако, как заявил Михаил Башлыков, руководитель направления информационной безопасности компании «Крок», если функции обеспечения сетевой безопасности передаются сетевым администраторам, последние отдают предпочтение универсальным устройствам.

UTM изначально создавались в виде решения «все в одном» для небольших компаний. Заказчики зачастую предпочитают внедрить единую платформу — это снижает TCO и количество ошибок в работе оборудования и облегчает управление системой, но у такого подхода есть и подводные камни. Каждый вендор силен в определенных областях, поэтому его комплексные решения могут обладать слабыми местами, предостерегают специалисты «Крок». Готовые к компромиссу заказчики применяют UTM, но для защиты критичных систем и ЦОД наиболее подходят автономные высокопроизводительные решения.

СМЕНА ФОРМ-ФАКТОРА?

Некоторые эксперты говорят о «смене форм-фактора» — переходе от систем безопасности, которые ранее реализовывались программно, к аппаратным решениям, что помогает снизить расходы, упростить управление и администрирование, а также консолидировать поддержку. Однако, по мнению Татьяны Белей, руководителя отдела технического и маркетингового сопровождения продуктов Eset Nod32, тотального перехода на аппаратные решения в отрасли не будет: при всех их преимуществах существующие недостатки (прежде всего отсутствие гибкости, свойственной программной логике, и сложность масштабирования) не позволяют отказаться от полностью программных продуктов. Рыночные доли продуктов могут варьироваться, но радикального изменения соотношения в ближайшие годы ожидать не приходится (см. Рисунок 2).

Виктор Солодков отмечает, что указанная тенденция характерна лишь для определенных сегментов рынка, например финансового и телекоммуникационного секторов, а выбор между программными и аппаратными решениями определяется экономической целесо-образностью и зависит от задач бизнеса, рисков и требуемой функциональности. «Заранее предсказать, по какому пути пойдет рынок, невозможно», — предостерегает Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems.

Наряду с UTM, шлюзы безопасности сегментируют на другие классы решений: на нередко комбинируемые с VPN межсетевые экраны, собственно устройства VPN, IPS и системы защиты контента (Security Content Management, SCM; Content Management Appliances, CMA или Content Security Gateway, CSG), предохраняющие сети от таких угроз, как вредоносное ПО, спам, фишинг и нежелательный Web-контент.

В SCM выделяют подклассы устройств для защиты систем электронной почты, Employee Internet Management (EIM) для контроля использования сотрудниками ресурсов Интернета и корпоративной сети (в частности, продукты Websense), системы безопасности для средств обмена сообщениями и Web (Web And Messaging, WAM).

Как считает Дениc Безкоровайный, для задач анализа контента и протоколов, например при глубоком пакетном анализе (Deep Packet Inspection) в системах DLP или IDS/IPS, у операторов и провайдеров оправдано применение специальных ускорителей и микросхем ASIC, а потребности среднего и даже крупного (по российским меркам) бизнеса вполне могут покрываться стандартным аппаратным обеспечением.

По мнению Михаила Башлыкова, у аппаратных средств есть свои недостатки: во-первых, наличие определенного вендором срока их «жизни», а во-вторых, невозможность гарантировать достаточный уровень масштабируемости для всех реализуемых проектов. В этой связи вслед за все более широким применением технологий виртуализации набирают популярность виртуальные устройства безопасности (Virtual Security Appliance, VSA). По существу, в случае VSA можно говорить об обратном переходе на уровень ПО.

ВИРТУАЛЬНЫЕ ШЛЮЗЫ БЕЗОПАСНОСТИ

Многие шлюзы безопасности могут устанавливаться не только на физических, но и на виртуальных серверах (VMware, XenServer, Microsoft Windows Server с Hyper-V) или разрабатываются специально для виртуальной среды. Нередко они реализуются на уровне гипервизора и применяются для обеспечения безопасности внутри самой виртуальной среды, контролируя трафик между виртуальными машинами (ВМ). Это относительно новый и быстро развивающийся сегмент.

Например, интернет-шлюзы eSafe компании Aladdin сертифицированы VMware, и любой желающий может загрузить ВМ с предустановленным eSafe из соответствующего раздела сайта VMware. Trend Micro применяет в продуктах подход Software Virtual Appliance, оставляющий заказчику право выбора наиболее актуальных для него преимуществ физического или виртуального решения. Практически каждый продукт Trend Micro можно развернуть на стандартном физическом сервере (из образа ISO) или как Virtual Appliance для виртуальной среды VMware ESX или Infrastructure. В первом случае заказчик получает настроенный программно-аппаратный комплекс с защищенной ОС и продуктом Trend Micro (Software Appliance).

По словам Алексея Андрияшина, консультанта российского офиса Check Point по безопасности, продукты этой компании предусматривают, кроме прочего, реализации для VMware и могут контролировать трафик между ВМ, не пропуская его через внешний коммутатор. Компания Barracuda объявила в июле о планах выпуска в ближайшие месяцы полной линейки виртуализированных систем, начиная с продуктов Spam & Virus Firewall Vx и SSL VPN Vx. Заказчики смогут приобретать их в разных вариантах, включая традиционные и виртуальные устройства безопасности, SaaS и гибридные версии.

Как пояснил Алексей Лукацкий, в случае VSA речь идет о двух сценариях. Первый — применение на одной аппаратной платформе нескольких виртуальных средств защиты, позволяющих контролировать определенное число сетевых сегментов с различными правилами доступа и управлением, благодаря чему удается сэкономить на стоимости средств защиты. Второй сценарий подразумевает защиту самих виртуализированных инфраструктур с учетом их особенностей, однако реализация такого решения — очень непростая задача.

Дениc Безкоровайный уверен, что если рассматривать проблему с точки зрения форм-фактора, то будущее — за виртуальными устройствами. По мере развертывания частных «облаков» преимущества VSA начнут приобретать все большую значимость. Благодаря виртуальному форм-фактору покупатели смогут выбирать лучшие в своем классе решения и не соглашаться на компромисс в виде UTM. Однако Виктор Солодков считает, что VSA — лишь еще один тип продуктов ИБ, причем его одного недостаточно: необходим контроль трафика как между виртуальными, так и между физическими серверами. Например, совместное решение Juniper и Altor Networks позволяет организовать комплексную защиту виртуальных сред с использованием традиционных аппаратных средств обеспечения ИБ и VSA.

Trend Micro в ближайшее время планирует выпустить Deep Security 7.5 — продукт для защиты физических, виртуальных и «облачных» систем. В новой версии защитные модули IDS/IPS, межсетевого экрана, контроля целостности и анализа журналов событий дополнены модулем антивирусной защиты для ВМ. Антивирусная проверка осуществляется через VMware API VMsafe (Seraph) на уровне гипервизора и работает без установки агента в ВМ. А вышедшая в конце августа версия Office Scan 10.5 призвана решить проблемы производительности при антивирусной защите в среде VDI.

IBM ISS предлагает решения для защиты ВМ «снаружи и изнутри»: IBM Proventia Server IPS и IBM Virtual Server Security for VMware vSphere, где используется интерфейс VMware VMsafe. Некоторые вендоры рассматривают VSA лишь как первое поколение средств защиты виртуальной среды, указывая на необходимость более глубокой интеграции функций безопасности в среду виртуализации.

Тем временем, по данным опроса IDC, более 70% организаций разных форм собственности и размеров уже развернули VSA или планируют сделать это. Основными факторами роста данного рынка служат увеличение количества угроз безопасности, быстрое распространение виртуализации серверов и новые, специфические для виртуальной среды, проблемы ИБ. По данным Infonetics Research, в прошлом году в мировом масштабе этот рынок вырос на 64% — до 203,8 млн долларов, а в первом квартале текущего года — на 119% относительно того же периода 2009 года. Аналитики прогнозируют и дальнейший его рост (см. Рисунок 3).

ВОЗВРАЩЕНИЕ К РОСТУ

По оценке IDC, в 2009 году оборот мирового рынка безопасности ИТ достиг 60 млрд долларов. Ожидается, что в ближайшие три года среднегодовые темпы его роста составят 12%, причем для рынка шлюзов безопасности этот показатель прогнозируется на уровне 13% — лучшие результаты лишь у сегментов ПО безопасности (44%) и услуг (14%). Как сообщает IDC, в прошлом году российский рынок программных средств безопасности вырос примерно на 10%, и на фоне спада продаж оборудования ИТ спрос на шлюзы безопасности увеличился на 40%.

Как ожидают аналитики Infonetics Research, в этом году наилучшим результатом для мирового рынка шлюзов безопасности станет сумма в 4,3, а в 2013 году — 5,5 млрд долларов, что станет возможным благодаря растущей осведомленности компаний об угрозах ИБ и увеличению рисков при использовании мобильных устройств и сетей. По данным IDC, в 2009 году в Западной Европе оборот этого рынка составил 1,66 млрд долларов, что означает снижение на 3%, тогда как североамериканский рынок шлюзов безопасности впервые преодолел миллиардную отметку и достиг 1,15 млрд долларов.

В текущем году, обещает IDС, в Европе данный сегмент полностью восстановит высокие темпы роста, которые в 2008 году превысили 14%. В I квартале 2010 года его оборот уже почти достиг 400 млн долларов (см. Таблицу 1). В единицах продукции поставки выросли на 1,3% — примерно 133 тыс. устройств. На продукцию «первой пятерки» (Cisco, McAfee, Juniper, Fortinet и Check Point) приходится около половины рынка (в денежном выражении).

Рост рынка ИБ в целом связывают, прежде всего, с двумя типами устройств безопасности — UTM и SCM/CMA. По мнению экспертов IBM, унификация средств обеспечения ИБ на одной платформе помогает организациям эффективнее управлять сетевой безопасностью, клиентскими приложениями, безопасностью данных и приложений Web. Что касается специфики российского рынка, то Алексей Лукацкий не рекомендует заказчикам рассматривать варианты покупки решений UTM с функциональностью VPN на базе зарубежных криптографических алгоритмов. В текущей ситуации ввоз решений VPN с шифрованием TripleDES и AES — задача очень проблематичная. Фактически, большинство производителей ввозит такое оборудование незаконно, что чревато рисками для поставщиков и потребителей. Единственное решение — не просто встраивание российской криптографии в зарубежные решения VPN, а сертификация изделия целиком (не только криптоядра).

В сегменте межсетевых экранов у лидеров европейского рынка Cisco, Check Point и Juniper тоже наблюдается значительный рост продаж, но оборудование младшего класса сдает свои позиции устройствам UTM. По прогнозам Leta IT, в России сегмент межсетевых экранов будет расти в среднем на 15% в год, причем тройка лидеров не меняется уже много лет (Cisco, Check Point, Microsoft). На долю этих вендоров приходится до 70% рынка, а доля отечественных межсетевых экранов не превышает 5%.

Некоторые вендоры снабжают свои шлюзы функциями DLP. Например, разработчики Aladdin считают реализацию встроенных механизмов DLP ключевой особенностью новой версии платформы операторского класса eSafe SmartSuite 8.5, предназначенной для защиты от Web-угроз, и планируют активно развивать эти функции. В свою очередь, McAfee дополнила линейку сетевых устройств новой версией защиты от утечки данных на сетевом уровне — Network DLP 9.0.

Интерес к DLP не случаен и является, в частности, реакцией отрасли на наметившуюся тенденцию перехода к системам безопасности, ориентированным на контроль данных. Однако многие эксперты полагают, что современные решения DLP, по сути, не справляются со своей задачей. Как замечает Алексей Лукацкий, они способны бороться со случайными утечками, но оказываются бесполезными, если необходимо противостоять умышленным действиям.

К тому же ряд производителей предлагают бесплатные решения DLP для привлечения внимания к другим своим продуктам. Наконец, успех бизнеса DLP во многом зависит от уровня консалтинга в этой области.

По мнению Дениcа Безкоровайного, ценность DLP как самостоятельного класса решений будет снижаться. DLP станет частью инфраструктуры, почтовых и Web-шлюзов, систем защиты конечных устройств. Уже сейчас такая интеграция реализована у некоторых вендоров, в том числе у Trend Micro. Он считает, что следует ожидать роста спроса на системы фильтрации контента и защиты от Web-угроз, а также на специализированные решения для выявления аномалий в сетевом трафике и поведении программ, поскольку стандартным средствам защиты все сложнее справляться с возрастающим количеством угроз.

Еще одна тенденция последних лет — переход от систем обнаружения вторжений (IDS) к системам их предотвращения (IPS), которые имеют не только функции мониторинга и отчетности, но и программируются на определенные действия при разных сценариях атак. Наиболее известные мировые поставщики таких систем — Cisco, IBM и TippingPoint (последняя теперь входит в состав HP). На российском рынке IDS/IPS с большим отрывом лидирует Cisco, и, как отмечает Leta IT, конкурента, способного сдвинуть компанию с этого места, пока так и не появилось.

По мнению Михаила Башлыкова, все направления рынка шлюзов безопасности будут показывать сопоставимые темпы роста, и динамика будет зависеть от процесса модернизации корпоративных инфраструктур ИТ, обновления парка телекоммуникационного оборудования, систем ИТ и т. д. Однако за счет растущей популярности технологий виртуализации приоритет сейчас за виртуальными устройствами безопасности.

Как считает Владимир Бычек, руководитель направления контентной фильтрации компании Aladdin, каждый из классов устройств (UTM, FW, VPN, IPS, SCM) занимает свою нишу, выполняет свою функцию и будет востребован на рынке в равной степени — объемы их продаж будут расти. Однако к перспективам дальнейшего распространения виртуальных устройств безопасности он относится скептически, поскольку виртуальная среда накладывает серьезные, часто критичные, ограничения на функциональность.

Более перспективными могут оказаться другие направления ИБ, считает Алексей Лукацкий. В первую очередь это решения Identity Management (IdM), доверенные системы, системы измерения ИБ, средства борьбы с инсайдерами, ситуационного анализа атак и т. п. По мнению Виктора Солодкова, наряду с SCM, IAM, UTM и VSA будут развиваться интеллектуальные решения наподобие Security Information and Event Management/Network Behavior Anomaly Detection (SIEM/NBAD), что вызвано ростом требований в отношении готовности к аудиту и обеспечению соответствия нормативным актам, а также стремлением к улучшению показателей операционной эффективности.

По словам Татьяны Белей, в перспективных направлениях развития средств ИБ сложно выделить какой-то конкретный класс решений — границы между ними довольно условны. Но корпоративный рынок движется в сторону комплексных систем безопасности, позволяющих не только решить узкую задачу защиты данных от какой-либо угрозы, но и управлять жизненным циклом конфиденциальной информации.

БЕЗОПАСНАЯ СЕТЬ

В новых разработках значительное внимание уделяется средствам автоматизации и повышению производительности шлюзов безопасности. Вендоры используют возможности виртуализации, SaaS, «облачных» вычислений и репутационных сервисов, объединяя усилия для создания комплексных, интегрированных продуктов.

У Cisco Systems устройства безопасности являются частью архитектуры Secure Borderless Network (безопасная сеть без границ), нацеленной на защиту корпоративной сети в ее пределах, на уровне конечных устройств и в ЦОД. Как поясняет Алексей Лукацкий, в данной архитектуре не делается различий между вариантами доступа к тем или иным ресурсам. Пользователь может находиться в корпоративной сети под защитой классических шлюзов безопасности, пользоваться дома услугами безопасности Managed Security Services или обращаться в командировке к нужным ему ресурсам через Интернет и получать доступ посредством «облака». При этом принципы защиты и механизмы контроля трафика на предмет поиска следов подозрительной или вредоносной активности едины.

Именно возможность активной защиты пользователя, где бы он ни находился, отличает концепцию Cisco Secure Borderless Network от ее предыдущей реинкарнации — Self Defending Network. Имея в своем арсенале практически все возможные технологии сетевой безопасности, компания сконцентрировала усилия именно на «облачной» и интернет-безопасности. Одна из разработок — решение Cisco AnyConnect Secure Mobility, объединяющее функции безопасного доступа с клиентских мобильных устройств (AnyConnect Secure Mobility Client), устройств Web-безопасности (IronPort S-Series Web Security Appliance) и межсетевого экрана (Adaptive Security Appliance, ASA). Еще одним важным направлением стала технология контроля доступа TrustSec.

Свои ранее выпускавшиеся продукты безопасности Cisco развивает в соответствии с потребностями заказчиков. Это увеличение производительности межсетевых экранов и IPS, еще более тесная интеграция с сетевой инфраструктурой, новые технологии контроля трафика, ускорение реакции на новые интернет-угрозы. Усовершенствования в устройствах Cisco IronPort Web Security Appliance касаются управления приложениями, унифицированных политик и отчетов, усиления защиты, доступа к сервисам SaaS.

Cisco планирует развивать свои устройства безопасности в направлении создания гибридных систем соблюдения правил (с помощью IronPort S-Series) и защиты «облачной» среды (с помощью платформы ScanSafe). Обеспечение безопасности конечных устройств, корпоративной сети и внешнего «облака» достигается за счет комплексного масштабируемого решения.

Характерный пример интеграции средств ИБ в сетевое оборудование — подход Enterasys (подразделение Siemens Enterprise Communications) к «встраиванию» средств обеспечения ИБ во все устройства сети, получивший название Secure Networks. Сеть, построенная на оборудовании Enterasys, способна в автоматическом режиме оценить вероятность угроз и выбрать адекватный ответ в зависимости от степени опасности. Важную роль играет контроль доступа к сети (NAC) для анализа, аутентификации и авторизации пользователей, устройств, приложений и сервисов.

Идентификации пользователей и контролю доступа придается большое значение в модели «динамической безопасности» Juniper, которая предусматривает гибкое масштабирование услуг безопасности без серьезных изменений сетевой инфраструктуры или замены оборудования, обеспечение безопасности приложений в масштабе ЦОД, контроль доступа на базе ролей, шаблонов и профилей пользователей, а также централизованное автоматическое управление данной инфраструктурой. Решение Juniper Adaptive Threat Management способно предоставлять информацию о том, кто, когда и где получает доступ к приложениям, и к каким именно. Чтобы обезопасить ЦОД от утечек информации, целенаправленных атак и вредоносного ПО, Juniper заключила партнерское соглашение с FireEye — разработчиком средств защиты от вредоносных программ.

В текущем году Juniper обновила аппаратные платформы линейки продуктов STRM (STRM 500, STRM2500 и STRM5000), продуктов Network and Security Manager (NSM Series), дополнила линейку SRX моделью SRX220, представила унифицированный клиент безопасности JunOS Pulse и расширила возможности своих сервисных шлюзов серии SRX с помощью нового ПО AppTrack (см. Рисунок 4). Основываясь на недавно представленном пакете приложений AppSecure, обеспечивающем защиту от атак DDoS, AppTrack реализует тесную интеграцию сервисов. ПО Junos Space Security Design призвано помочь заказчикам мигрировать с традиционных архитектур безопасности на высокопроизводительные архитектуры ЦОД с идентификацией пользователей.

Решение McAfee под названием Network Threat Behavior Analysis Appliance (модели T-200 и T-500) осуществляет с помощью технологии NetFlow мониторинг внутреннего трафика корпоративной сети, выявляя «червей», вирусы и активность ботнетов. При обнаружении заражения соответствующие клиентские системы блокируются или администратору отправляется предупреждение. Такие средства помогают автоматизировать реакцию сетевой среды на угрозы безопасности. NTBA можно встраивать в коммутатор или маршрутизатор. Cтандартный протокол NetFlow позволяет подключать к NTBA сетевое оборудование разных производителей и использовать для получения данных развернутую инфраструктуру McAfee Network Security Platform (комплекс по предотвращению сетевых вторжений).

Эволюция средств ИБ привела к тому, что компании могут развертывать различные варианты решений, включая автономные специализированные устройства, универсальные решения «все в одном» (UTM), аппаратные модули (для коммутаторов и маршрутизаторов) или программные модули, что позволяет гибко подбирать требуемые функции безопасности.

Например, в прошлом году Check Point представила архитектуру безопасности под названием «программные блейды». Благодаря независимым централизованно управляемым програм-мным модулям, на каждом компоненте ИТ можно устанавливать только необходимую функциональность — тем самым упрощается система защиты и снижается влияние на производительность. Наряду с программным обеспечением Check Point предлагает широкий спектр устройств безопасности — от решений для SMB до мощных межсетевых экранов/VPN и UTM. Стратегия Check Point Total Security предполагает создание унифицированного шлюза безопасности и системы централизованного управления безопасностью.

Новый программный блейд Check Point Application Control способен контролировать более 50 тыс. приложений Web 2.0 и виджетов социальных сетей, а также позволяет индивидуально настраивать политики использования приложений. Кроме того, у Check Point появилось решение DLP, а устройства начального и среднего уровня (UTM-1 130, 270, 570, 1070 и 2070) стали производительнее. В августе компания представила систему UTM Check Point Series 80 Appliance с производительностью 1,5 Гбит/с для филиалов компаний, причем разработчики постарались превзойти конкурентов по соотношению цена/производительность и по плотности портов. Еще одна разработка Check Point — Multi-Domain Security Management — нацелена на создание гибкой иерархической системы управления сетевой безопасностью за счет объединения шлюзов в виртуальные домены.

Решение компании Aladdin предоставляет возможность управлять любым количеством серверов eSafe из одной консоли. Как рассказывает Владимир Бычек, уже осуществлено немало проектов, где реализовано централизованное управление шлюзами безопасности для компаний с разветвленной филиальной структурой. Администраторам доменов (филиалов) можно назначать необходимые административные права.

Кроме того, сетевое оборудование становится более интеллектуальным и многофункциональным. По словам Михаила Башлыкова, базовые задачи обеспечения сетевой безопасности все чаще возлагаются на телекоммуникационные устройства. Причем эти устройства обладают достаточно широким функционалом ИБ и не вызывают сложностей в администрировании. В дальнейшем основные функции ИБ, такие как антивирусная защита, системы IDS, IPS и т. д., будут еще активнее включаться в арсенал средств сетевого оборудования.

Виктор Солодков считает, что, хотя сетевое оборудование, безусловно, будет дополняться определенными функциями ИБ, с точки зрения экономии не всегда целесообразно обслуживать сеть, где каждый элемент требует настройки и управления; а по мнению Дениcа Безкоровайного, встроенные в сетевое оборудование средства защиты не могут в полной мере обеспечить решение серьезных прикладных задач ИБ, поэтому на рынке всегда будут востребованы отдельные устройства безопасности.

ГИБРИДНЫЕ РЕШЕНИЯ И РЕПУТАЦИОННЫЕ СЕРВИСЫ

Все больше вендоров предлагают комбинированные системы: к физическим и виртуальным шлюзам безопасности добавляются функции DLP, SCM, управления трафиком и др. И все же, как считает Михаил Башлыков, наиболее привлекательное решение основано на «облачных» технологиях. Вполне можно создать «облако», которое предоставляет сервисы ИБ с использованием технологий разных вендоров, и построить на его основе систему ИБ с гарантированным уровнем отказоустойчивости, надежности и масштабируемости.

По данным Osterman Research, организации могут сэкономить от 55 до 70% средств, направляемых на ИБ, за счет перехода от стандартных систем к интегрированным гибридным решениям защиты электронной почты, сочетающим внешнюю и локальную обработку. В июне Trend Micro объявила о дальнейшем развитии платформ SaaS — внешней защиты для небольших и средних организаций, гибридных платформ для крупных организаций и провайдеров, — а также анонсировала новую версию InterScan Messaging Security Virtual Appliance (IMSVA). IMSVA 8.0 — гибридное решение для обеспечения безопасности электронной почты, объединяющее возможности «облачной» защиты и локальных виртуальных устройств на базе VMware.

В представленном решении по гибридной защите электронной почты входящий трафик проходит предварительную очистку на «облачных» сервисах Trend Micro, после чего поступает на почтовый шлюз IMSVA для дополнительной обработки. В распоряжение администратора предоставляется единая консоль управления параметрами «облачного» сервиса и локального продукта. По словам Дениcа Безкоровайного, получая основные плюсы SaaS, заказчик избавляется от связанных с этим рисков: сообщения электронной почты не хранятся в «облаке», а лишь проходят первичную фильтрацию и отправляются на IMSVA. Для снижения затрат на обслуживание локального продукта IMSVA его можно развертывать как VSA в среде VMware или как Software Appliance на сервере заказчика.

Данная гибридная система обеспечивает защиту на базе общей для всех продуктов инфраструктуры Trend Micro Smart Protection Network, обслуживающей более 5 млрд запросов в сутки. На основе данных о репутации в ходе предварительной очистки отфильтровывается спам; служба оценки репутации сайтов сканирует встречающиеся в сообщениях адреса URL и определяет, не ведет ли ссылка на фишинговый сайт или сайт с вредоносными программами. Технология репутации файлов применяется во всех продуктах Trend Micro и предусматривает передачу лишь контрольных сумм файлов на специальный сканирующий сервер, который может находиться в локальной сети или в «облаке», поэтому система безопасности незначительно увеличивает трафик.

Основная проверка осуществляется в ЦОД Trend Micro, что позволяет разгрузить клиентские системы, произвести удаленный анализ и обеспечить своевременные обновления. Похожую технологию можно реализовать и на уровне корпоративной сети. Недавно Trend Micro выпуcтила локальный сервер Web-репутации, который синхронизируется с глобальной базой данных «облачного» сервиса и дополняет локальный сервис репутации файлов. Этот продукт востребован предприятиями из жестко регулируемых отраслей и организациями из государственного сектора, где использование «облачных» сервисов сталкивается с законодательными ограничениями. В компании считают, что интеграция «облачных» сервисов в шлюзы безопасности дает больше свободы выбора: в зависимости от требований к решению и степени доверия к модели SaaS компания выбирает приемлемый для себя вариант.

McAfee Firewall Enterprise v8.0 (линейка из восьми моделей шлюзов с производительностью межсетевого экрана от 0,5 до 12 Гбит/c) комбинирует множество функций по защите периметра сети и расширяет возможности защиты на уровне приложений. Шлюзы взаимодействуют в режиме реального времени с системой анализа глобальных угроз McAfee Global Threat Intelligence, базирующейся на «облачной» обработке данных со всего мира, что обеспечивает выявление новых угроз (см. Рисунок 5). Шлюз McAfee Firewall Enterprise объединяет в себе решения McAfee AppPrism (выявление и контроль приложений), IPS, глобальный анализ репутации с помощью TrustedSource, фильтрацию URL с использованием технологий McAfee SmartFilter, фильтрацию зашифрованных приложений, антивирусные, антишпионские функции и защиту от нежелательной почты.

На основе данных от миллионов сенсоров оборудование McAfee в реальном времени создает профили подозрительной активности и контента. Эти возможности используются и в устройстве McAfee E-mail and Web Security Appliance. По мнению разработчиков, оно хорошо справляется с двумя основными задачами — блокированием вредоносных программ и фильтрацией спама. Его отличает малая задержка (28 мсек) и точность распознавания вредоносного кода (заявленный уровень 99%).

Aladdin использует репутационные механизмы в своем решении для защиты почты от спама и вредоносного кода. Без использования репутаций в том или ином виде сегодня невозможно дать адекватный рейтинг при приемлемом быстродействии, уверен Владимир Бычек. В планах компании — включение репутации и в решение для фильтрации трафика Web.

Некоторые эксперты уверены, что решения, основанные на «облачных» технологиях с привлечением репутационных рейтингов, уже в ближайшее время сменят традиционные средства борьбы с интернет-угрозами. Михаил Башлыков согласен с этим мнением: у «Крок» уже сейчас есть ряд проектов, в рамках которых защита от интернет-угроз обеспечивается с помощью «облачных» технологий. Например, «облако», созданное для крупного телекоммуникационного провайдера, заказчик может использовать как для своих нужд, так и для предоставления с его помощью услуг другим операторам.

Перенос части функций обеспечения безопасности в «облако» снижает требования к пропускной способности сети и серверам заказчика. Михаил Чернышов, технический консультант McAfee по России и СНГ, рассматривает защиту с использованием «облачных» сервисов как очень перспективное и эффективное направление: «Сомневаться в ее будущем пока не приходится». Этот класс защиты постепенно вытесняет традиционные подходы (например, сигнатуры антивируса). Вместе с тем, очень важно обезопасить саму виртуальную среду, поскольку в основе «облачных» решений лежат те или иные среды виртуализации (гипервизоры). Средства защиты виртуальных сред — одно из наиболее интересных и перспективных направлений в ИБ на ближайшее время.

Впрочем, как отмечает Виктор Солодков, не все клиенты способны довериться «облаку», да и сетевая инфраструктура должна быть готова к «облачным» вычислениям. В сегменте шлюзов безопасности это решение может иметь перспективы в случае предоставления услуг домашним пользователям, но вряд ли это направление станет мейнстримом для коммерческих или государственных организаций.

По мнению Дениcа Безкоровайного, вынос сервисов в «облако», в том числе и сервисов ИБ, — закономерное отражение общей тенденции к виртуализации и перехода на «облачную» архитектуру. К тому же традиционные методы борьбы с современными угрозами уже не столь эффективны, и «облачные» технологии являются ответом на современные вызовы.

Владимир Бычек указывает на то, что делегирование функций обеспечения безопасности оператору, обладающему необходимой платформой и специалистами, может быть интересно для сегмента SMB и частных пользователей, получающих «безопасность как услугу». Это перспективное направление будет активно развиваться.

Рост количества все более усложняющихся атак, увеличение разнообразия сетевых устройств и способов доступа к информационным ресурсам требуют адекватных средств защиты и изменения подходов к обеспечению ИБ. Шлюзы безопасности стали важным элементом концепций «тотальной защиты» и «безопасных сетей», они находят свое место в системах защиты среды виртуализации, а с развитием «облачных» вычислений и сервисов обретают новые формы.

Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.