Хотя понятие периметра корпоративной сети за последние годы претерпело значительные изменения, его защита остается обязательным элементом информационной безопасности организации и важной составляющей многоуровневой системы, помогающей свести к минимуму внешние угрозы. Однако ее уже недостаточно: современные «сети без границ», облачная модель вычислений и мобильность пользователей требуют новых подходов.
Традиционно решения для защиты периметра — внешней границы сети — применяются в организациях при подключении корпоративных сетей к сетям общего пользования. Они позволяют предотвратить атаки на ИТ-ресурсы и реализовать безопасный доступ сотрудников компаний во внешние сети, а авторизованных удаленных пользователей — к корпоративным ресурсам.
КЛАССИКА ЗАЩИТЫ
Защита периметра считается обязательным элементом системы обеспечения информационной безопасности корпоративной сети и включает в себя шлюзы безопасности, средства межсетевого экранирования (FW), организацию виртуальных частных сетей (VPN), системы обнаружения и предотвращения вторжений (IDS/IPS). Ее реализация остается одной из основных задач ИБ и основой надежного функционирования критичных для компании информационных систем.
Межсетевые экраны и граничные маршрутизаторы с правильно настроенной конфигурацией — первая линия обороны, предотвращающая несанкционированный доступ в корпоративную сеть. На смену межсетевым экранам прежнего поколения (с фильтрацией пакетов), блокирующим лишь сетевые порты и IP- и MAC-адреса, пришли новые системы с функциями обеспечения безопасности на уровне приложений, на котором сейчас осуществляется большинство атак.
Средства межсетевого экранирования обеспечивают не только защиту от атак, но и защищенное соединение между офисами, а также безопасный удаленный доступ сотрудников к корпоративным ИТ-ресурсам. Их дополняют шлюзы безопасности, способные поддерживать большое число защищенных каналов связи.
Еще один класс продуктов — системы обнаружения/предотвращения вторжений (IDS/IPS). Они позволяют проводить глубокий анализ активности в сети на всех уровнях модели OSI, обновлять в реальном времени базы сигнатур атак и признаков вторжений, обеспечивать защиту от уязвимостей нулевого дня с помощью адаптивных технологий проверки.
Для организации защищенных каналов связи между территориально распределенными офисами компании обычно применяется технология VPN. Такие доверенные каналы с шифрованием трафика также включаются в защищенный периметр сети. Но где теперь проходит ее граница?
ПЕРИМЕТРА БОЛЬШЕ НЕТ?
Учитывая стремительное распространение мобильных устройств, концепции BYOD, облачных вычислений и различных технологий для удаленной работы, все чаще приходится слышать об исчезновении периметра корпоративной сети, однако концепция его защиты не устарела, она лишь нуждается в адаптации к современным условиям. Немногие решатся отказаться от межсетевых экранов и шлюзов безопасности.
Тем не менее использование облачных вычислений, мобильных устройств и виртуализации приводит к размыванию традиционной защиты периметра — ее приходится распространять как за границы, так и внутрь сети. Это явление получило название «депериметризация»: с расширением способов доступа к корпоративным ресурсам и приложениям у сети больше нет единой точки входа. К тому же новые технологии и тенденции требуют иных подходов к организации защиты корпоративной сети.
«Концепция традиционного периметра как четко очерченной и неизменяемой границы сети все еще применяется теми организациями, где с подозрением относятся к новомодным ИТ-течениям — облакам, BYOD, «Интернету вещей» и т. п. Прежде всего это военные структуры, некоторые государственные органы, а также учреждения, обрабатывающие засекреченные сведения. В более современных организациях понятие традиционного периметра действительно исчезает, ему на смену приходит «нечеткий», или «размытый», периметр: граница сети динамически меняется и проходит по мобильным устройствам и облачной инфраструктуре, где хранятся защищаемые информационные активы», — поясняет Алексей Лукацкий, бизнес-консультант Cisco по информационной безопасности.
«Концепция защиты периметра пока не устарела, но все к этому идет, — добавляет Андрей Прозоров, ведущий эксперт по информационной безопасности компании InfoWatch. — Ландшафт ИТ-инфраструктуры стремительно меняется, и специалистам по ИТ и ИБ необходимо адаптироваться к этим изменениям. Надо четко понимать, у кого есть права удаленного доступа к ресурсам сети, кому и что можно обрабатывать на мобильных устройствах, какие данные хранятся в облаках, и, исходя из этого, оценивать возможные риски и принимать решения по управлению ими. Одни пойдут по пути запрета, а другие организуют мониторинг или предложат пользователям удобные и защищенные сервисы. В целом использование внешних сервисов и персональных устройств для обработки корпоративной информации все еще не очень распространено в России».
Однако, по данным зарубежной статистики, более половины деловых коммуникаций и транзакций сегодня уже осуществляется вне корпоративной сети. Малые компании могут обойтись и без традиционной ИТ-инфраструктуры, используя облачные сервисы (IaaS) и клиентские устройства, а средние и крупные организации выбирают для себя аутсорсинг ИТ, BYOD, облачные приложения и различные способы доставки приложений и данных. Обеспечить защиту корпоративных данных становится все сложнее. Изменения, происходящие сейчас в данной области, наверно, самые значительные за всю историю информационной безопасности.
«С развитием технологий мобильных устройств ситуация кардинально изменилась, — поясняет Никита Дуров, ведущий инженер Stonesoft (McAfee Group Company). — Сотрудники применяют смартфоны, планшеты, торговые терминалы и другие устройства, которые используют различные способы подключения к корпоративной сети. Поэтому необходимо совершенствовать системы безопасности с учетом новых потребностей бизнеса — предусмотреть возникновение новых рисков и внедрить дополнительные технические средства обороны. Для защиты мобильных устройств и управления ими нужно применять новый класс решений, которые позволяют обеспечить безопасное хранение данных на этих устройствах и контроль доступа к ним».
Традиционная модель хорошо работает, когда 90% пользователей находятся в офисе и в 90% случаев доступ осуществляется к приложениям, установленным на серверах, которые расположены на собственной площадке компании. Облака и мобильность совершенно меняют картину. Мобильные пользователи выходят в Интернет, минуя корпоративные шлюзы и межсетевые экраны, а применение внешних систем электронной почты, мобильных приложений и социальных сетей увеличивает риск утечки важных данных. Очевидно, нужен новый подход, обеспечивающий безопасную работу, где бы пользователь ни находился и какое бы устройство ни применял.
«Для обеспечения высокого уровня корпоративной безопасности одной только защиты периметра недостаточно, но она не потеряла смысла, — подчеркивает Виктория Носова, консультант по безопасности Check Point Software Technologies. — Да, границы сети компании заметно расширились, пользователи стали более мобильными. Использование ноутбуков и смартфонов позволяет сотрудникам работать, находясь вне офиса. Им необходимо обеспечить защищенный удаленный доступ к корпоративным приложениям, не снижая при этом уровня безопасности. Чаще всего выбор падает на так называемые межсетевые экраны следующего поколения (NGFW) — системы корпоративного класса, обеспечивающие многоуровневую защиту на базе одного устройства. Помимо всего прочего, выбранное решение должно иметь удобный и понятный всем интерфейс. Таким образом, система защиты периметра расширяется и дополняется другими решениями, но ни в коем случае не упраздняется».
«Развитие информационных технологий, безусловно, требует применения новых подходов к обеспечению безопасности. Понятие периметра сети в настоящее время существенно отличается от реалий четырех-пятилетней давности. Мобильность сотрудников стала стандартом де-факто, что уже признано регуляторами и отражено, например, в соответствующих нормативно-методических документах ФСТЭК России в виде требований к защите мобильных устройств», — поясняет Юрий Черкас, руководитель направления инфраструктурных ИБ-решений центра информационной безопасности компании «Инфосистемы Джет».
«Традиционные решения в области сетевой безопасности остаются актуальными — это базовый набор сервисов для защиты инфраструктуры. Кроме того, в некоторых случаях обязательность их наличия закреплена законодательно. В частности, это касается вопросов защиты персональных данных. Но в связи с увеличением числа мобильных пользователей концепция защиты периметра претерпевает некоторые изменения. Все чаще современным организациям в дополнение к системам межсетевого экранирования, системам предотвращения вторжений и другим средствам ИБ требуются решения класса BYOD», — отмечает Михаил Башлыков, руководитель направления информационной безопасности компании «Крок».
«На смену физическому сетевому периметру в классическом понимании этого термина пришло понятие «виртуальный периметр», которое охватывает всю информационную экосистему компании: ЦОД, мобильные устройства, ноутбуки, каналы передачи данных и т. д. Поэтому нельзя утверждать, что периметра больше нет, скорее произошло его значительное расширение, — считает Джабраил Матиев, руководитель отдела информационной безопасности компании IBS Platformix. — Вместе с тем размывание физических границ существенно повысило риски, связанные с защитой конфиденциальных данных, и вывело вопросы безопасности на новую ступень. Возросшие требования к возможностям централизованного управления компонентами системы способствуют появлению на рынке новых решений».
ЭВОЛЮЦИЯ ЗАЩИТЫ
«Концепция защиты периметра видоизменяется в соответствии с новыми технологиями. Новая модель доступа к корпоративной информации порождает новые угрозы, а значит, предъявляет дополнительные требования к средствам защиты, которая становится более сложной и гранулированной. Один из примеров — технологии защищенных контейнеров в мобильных устройствах, — рассказывает Джабраил Матиев. — Как должна строиться система сетевой безопасности? Во-первых, нужно обеспечить защиту все еще актуального «классического» периметра сети. Во-вторых, защитить каналы передачи информации с помощью технологий VPN для мобильных устройств. В виртуальных средах необходимо применение виртуальных шлюзов безопасности с функционалом UTM».
По словам Алексея Лукацкого, в новых условиях акценты меняются: нельзя фокусироваться исключительно на периметре, ведь угроза может появиться откуда угодно — проникнуть в сеть из Интернета, через флэшку, ноутбук гостевого пользователя или аудитора, через несанкционированно подключенный LTE-модем или точку беспроводного доступа. Таким образом, надо контролировать все, что происходит в сети — снаружи (в облаке или на мобильных устройствах), на ее границе, в ЦОД (см. Рисунок 1), во внутренней локальной сети. Только при таком условии можно рассчитывать на эффективную защиту от целенаправленных и скрытых атак, превалирующих в последние два-три года.
.png "Рисунок 1. По прогнозу Infonetics Research, к 2017 году общемировой объем продаж продуктов безопасности для ЦОД достигнет 3,7 млрд долларов.") |
| Рисунок 1. По прогнозу Infonetics Research, к 2017 году общемировой объем продаж продуктов безопасности для ЦОД достигнет 3,7 млрд долларов. |
В Cisco долгие годы защита периметра строилась на базе обычных маршрутизаторов, выполняющих функции межсетевого экрана, в то время как многие производители заявляли об обязательности установки отдельного специализированного устройства. Сегодня угрозы и защищаемая среда меняются так динамично, что невозможно сформировать фиксированный список обязательных защитных технологий и средств. Все зависит от рисков, которые принимает на себя заказчик.
Для построения эффективной системы безопасности необходимо определить, какая информация представляет ценность для организации, какие сервисы и системы должны быть доступны конечным пользователям, какие методы доступа они предпочитают. Следующим шагом должны стать оценка существующего состояния ИБ и выявление возможных рисков. И уже исходя из этого необходимо разработать концепцию и планы развития ИТ и системы ИБ, считает Андрей Прозоров. «Хорошим тоном» для средних и крупных организаций является использование систем мониторинга и контроля входящего/исходящего трафика на самых высоких уровнях модели OSI (понимание содержания информационных сообщений) и систем корреляции событий безопасности.
ЦЕЛОСТНОЕ РЕШЕНИЕ
Как должно выглядеть целостное решение для защиты данных и приложений и обеспечения безопасной работы сотрудников, где бы они ни находились? «Прежде всего оно должно предоставлять защищенную среду для работы с корпоративными данными и приложениями и быть максимально удобным для пользователя. Для этого, как правило на конечных устройствах, устанавливаются специализированные агентские приложения, взаимодействующие с корпоративными системами защиты, — рассказывает Джабраил Матиев. — К обязательным средствам относятся в первую очередь SSL VPN, решения для защиты виртуальных сред, системы управления мобильными устройствами, а также инструменты для сбора, анализа и корреляции событий безопасности, защиты от направленных атак (APT) и т. д. Безусловно, основными блоками будут системы управления мобильными устройствами (Mobile Device Management, MDM), приложениями (Mobile Application Management, MAM) и данными (Mobile Information Management, MIM). Современные решения консолидируют в себе весь этот функционал».
«Расширяющееся проникновение в корпоративную среду мобильных устройств и облачных технологий не может не влиять на принципы обеспечения безопасности информации, которая все чаще выходит за пределы защищаемого периметра. Это повышает значимость решений класса MDM для обеспечения защиты информации при работе с мобильных устройств, — подчеркивает Алексей Александров, руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.». — При этом актуальность «классических» механизмов защиты периметра (FW, VPN и др.) не снижается. Более того, развитие сетевых технологий вынуждает динамично развивать их. Решать вопрос обеспечения безопасности информации необходимо системно и комплексно. Важную роль в этом играют надежные механизмы защищенного доступа, в том числе аутентификация и защита передаваемых данных. Не меньшее значение имеет наличие единого центра управления доступом и разграничением прав пользователей. Например, смарт-карты и токены JaCarta, выпускаемые «Аладдин Р.Д.»,
могут служить персональным средством аутентификации и электронной подписи для организации защищенного и юридически значимого документооборота. Использование смарт-карт в качестве средства аутентификации при работе с информационными системами, Web-порталами и облачными сервисами возможно при доступе к ним не только с персональных рабочих станций, но и с мобильных устройств. Такой подход позволяет унифицировать средства аутентификации в организации, начиная с аутентификации в операционных системах и заканчивая системами контроля доступа в помещения».
«При построении системы сетевой безопасности важно учитывать современные угрозы и особенно направленные и DDoS-атаки, — убежден Михаил Башлыков. — Для этого используется целый комплекс различных устройств. Компании уровня SMB проявляют интерес к унифицированным системам UTM (см. Рисунок 2). Крупные заказчики могут позволить себе специализированные, многофункциональные и сложные решения мировых лидеров. Вне зависимости от масштаба компаний все большее значение приобретают системы контентной фильтрации (URL-запросов и входящего трафика), по-прежнему важна защита от спама. Для защиты Web-приложений становятся обязательными межсетевые экраны прикладного уровня (Web Application Firewall)».
.png "Рисунок 2. Многофункциональные шлюзы безопасности (UTM) объединяют наиболее востребованные функции: межсетевое экранирование, предотвращение вторжений, криптографическую защиту каналов связи, защищенный удаленный доступ (VPN), антивирусную защиту сетевого трафика, защиту электронной почты, DLP, фильтрацию Web, мониторинг и оптимизацию трафика.") |
| Рисунок 2. Многофункциональные шлюзы безопасности (UTM) объединяют наиболее востребованные функции: межсетевое экранирование, предотвращение вторжений, криптографическую защиту каналов связи, защищенный удаленный доступ (VPN), антивирусную защиту сетевого трафика, защиту электронной почты, DLP, фильтрацию Web, мониторинг и оптимизацию трафика. |
Основная тенденция — смещение акцента с обычной фильтрации на механизмы проверки содержимого (см. Рисунок 3). В результате получают распространение межсетевые экраны с функцией контроля приложений (Application Control). Почему это происходит? В корпоративной среде появляется все больше различных устройств, сервисов и приложений — периметр «разбухает», и на первый план выходит управление едиными правилами. В результате начинают применяться шлюзы, которые в автоматическом режиме позволяют назначать и контролировать правила в зависимости от критичности рисков ИБ, поясняет Михаил Башлыков. В состав целостного решения, защищающего сеть, данные, приложения, конечные рабочие места и другую инфраструктуру, входят более 20 систем, работающих в связке и учитывающих тенденции в области ИБ.
.png "Рисунок 3. По прогнозу Infonetics Research, продажи шлюзов безопасности с функциями анализа содержимого (Content Security Gateway) будут постоянно расти и к 2017 году оборот мирового рынка соответствующих облачных сервисов превысит 1 млрд долларов.") |
| Рисунок 3. По прогнозу Infonetics Research, продажи шлюзов безопасности с функциями анализа содержимого (Content Security Gateway) будут постоянно расти и к 2017 году оборот мирового рынка соответствующих облачных сервисов превысит 1 млрд долларов. |
«В идеале комплексное решение для защиты данных, приложений и пользователей должно быть решением от одного вендора, уже зарекомендовавшего себя на рынке средств защиты, — считает Виктория Носова. — Такой вендор постарается быстро реагировать на изменения в сфере защиты информации, чтобы предоставлять новый функционал в кратчайшие сроки. Компоненты системы должны максимально корректно и удобно интегрироваться между собой и управляться централизованно. Особенно полезна единая консоль управления, поскольку она позволяет описывать правила при помощи единых объектов сетей, хостов и пользователей. При наличии целостного решения администраторам будет намного проще собирать данные о событиях в корпоративной сети и быстрее реагировать на аномалии или атаки. А вот разнородные продукты могут конфликтовать между собой».
Межсетевые экраны NGFW позволяют задавать правила доступа пользователей и отслеживать их операции. Кроме того, корпоративную сеть можно разделить на сегменты с разным уровнем безопасности и разрешенным доступом для мобильных или удаленных пользователей. Мобильные устройства тоже должны быть защищенными. Для этого применяется шифрование (например, шифруются отдельные разделы диска ноутбука), средства удаленного стирания данных (на случай потери или кражи устройства) и т. д. Двухфакторная аутентификация и шифрование трафика в VPN помогут создать безопасный туннель для внешнего доступа и обеспечить защиту мобильных и удаленных пользователей, находящихся вне офиса.
Мобильные устройства более уязвимы, чем серверы и настольные ПК. Кроме того, что устройство может быть украдено или потеряно, на него легко установить недоверенные приложения. Эта область в последние годы активно развивается: разработчики предлагают разнообразные решения — от систем управления мобильными устройствами (Mobile Device Management, MDM), виртуальных машин и «контейнеров» для безопасного выполнения приложений до подписи приложений и SIM-карт со встроенной электронной подписью. MDM повышают безопасность доступа мобильных пользователей к сети — в частности, позволяют удаленно проверять смартфоны, планшеты и ноутбуки на соответствие корпоративной политике безопасности, например на наличие обновленной версии антивируса (см. Рисунок 4).
.png "Рисунок 4. Решение для управления мобильными устройствами может оснащаться функциями инвентаризации, управления приложениями из корпоративного каталога, защиты данных шифрованием, аудита на соответствие корпоративным политикам, мониторинга доступа к системе и активности пользователей, обновления ПО, удаленного стирания данных, удаленной диагностики и др.") |
| Рисунок 4. Решение для управления мобильными устройствами может оснащаться функциями инвентаризации, управления приложениями из корпоративного каталога, защиты данных шифрованием, аудита на соответствие корпоративным политикам, мониторинга доступа к системе и активности пользователей, обновления ПО, удаленного стирания данных, удаленной диагностики и др. |
Подходить к задаче следует системно, уверен Андрей Прозоров. Данные должны быть защищены при перемещении, хранении и использовании, для чего необходимо реализовать строгое разграничение прав доступа, защиту от вредоносного ПО, регулярное обновление ПО, резервное копирование и многое другое.
По словам Алексея Лукацкого, целостное решение должно реализовать четыре основных компонента: защиту рабочего места сотрудника (MDM для мобильных устройств, VPN-клиент, антивирус или решение класса Endpoint Protection); защиту «серверной» части, включающую в себя средства защиты периметра (МСЭ сетевого и прикладного уровней, шлюз VPN, системы предотвращения вторжения, контроля доступа, контентной фильтрации, защиты баз данных, мониторинга аномальной/подозрительной активности, отражения DDoS-атак, защиты от вредоносного кода и т. п.); защиту каналов передачи данных, включая различные технологии VPN, в том числе на базе сертифицированных средств шифрования; средства мониторинга и управления системой защиты, предлагающие, помимо настройки и конфигурирования вышеперечисленных систем, функции управления инцидентами, анализа защищенности, управления обновлениями ПО и многое другое.
«Опыт показывает, что одинаковые ИТ-инфраструктуры встречаются очень редко, да и отношение к уровню критичности защищаемых данных разное. В таких условиях будут различаться как наборы подсистем сетевой безопасности, так и функциональность их компонентов. Например, если говорить об удаленном (в том числе мобильном) доступе, то принципы защиты остаются прежними — каналы связи защищаются с помощью VPN. А при наличии технологий виртуализации можно использовать средства сетевой защиты, предназначенные для работы в среде гипервизоров», — поясняет Юрий Черкас.
«В любом случае выбор необходимого функционала системы защиты зависит от профиля компании, — подчеркивает Виктория Носова. — Типовое решение придумать сложно. Для начала нужно изучить актуальные технологии, решения, угрозы, состояние текущей инфраструктуры и ее системы защиты — и только после этого определять необходимые изменения в сети, какие устройства выбрать для шлюзов безопасности и какой функционал на них активировать». Компания не будет защищена должным образом, если использовать только межсетевой экран, установленный на периметре. Необходимо позаботиться и о правильном сегментировании сети, о распределении по этим сегментам имеющихся ресурсов и о функционале системы защиты для каждого из них. Шлюз для удаленного доступа пользователей должен предусматривать различные режимы аутентификации и возможность гибкого разграничения доступа, а кроме того, обеспечивать защиту публикуемых ресурсов от внешних угроз и атак.
На мобильных устройствах пользователей должно быть установлено ПО, обеспечивающее защищенное взаимодействие с офисом и возможность безопасного хранения корпоративных данных. В случае использования смартфонов в рабочих целях необходимо, чтобы применяемые решения позволяли реализовать концепцию BYOD максимально гибко и надежно (см. Рисунок 5). Многие организации останавливают свой выбор на защищенном контейнере для корпоративной почты и конфиденциальных файлов. Для компаний из банковского, телекоммуникационного и государственного секторов острым вопросом остается противодействие атакам DDoS. А для виртуализированных серверов по сути действуют те же правила защиты, что и для физических.
.png "Рисунок 5. Система управления безопасностью клиентских устройств должна содержать широкий набор функций.") |
| Рисунок 5. Система управления безопасностью клиентских устройств должна содержать широкий набор функций. |
БЕЗОПАСНОСТЬ И SDN
Новые возможности для реализации сетевой безопасности открывают программно конфигурируемые сети (Software-Defined Networking, SDN). SDN — это не только виртуализация сети и ее гибкость. SDN упрощает выявление аномалий в сети и соблюдение политик безопасности, как и внедрение различных сервисов безопасности, применяемых к пользователям, потокам данных и приложениям. Обеспечение безопасности становится более гибким и динамичным, соответствующим подходу Security as a Service. Например, если логику правил безопасности встроить в систему управления соответствующей политикой, то это позволит задавать правила доступа для отдельных пользователей, приложений, устройств, методов и мест доступа, характеристик сети и пр. SDN можно применять для управления трафиком, направляя потоки данных на соответствующие сервисы или устройства безопасности (FW, IDS/IPS, WAF и др.).
«Если говорить о традиционном периметре, то в программируемых сетях средства его защиты становятся по сути бесполезными, так как в SDN маршруты передачи трафика строятся невзирая на особенности физической топологии сети. Вместе с тем SDN вполне укладывается в концепцию размытого периметра, а в ряде случаев построение системы защиты облегчается, поскольку в корпоративной или операторской сети можно создать несколько центров защиты и направлять туда трафик из любой точки инфраструктуры. Правда, для этого нужны специализированные решения безопасности, учитывающие специфику SDN», — поясняет Алексей Лукацкий.
Отчасти SDN с ее централизованными контроллерами дает ответ на важный вопрос: где именно в сети должна осуществляться проверка соблюдения правил безопасности? Политику безопасности можно более точно соотнести с рисками и категориями данных — в частности, определить взаимосвязь между ресурсами или классами ресурсов, нуждающихся в особом контроле ИБ. Наконец, в соответствии с подходом «безопасность — это процесс», гибкость и адаптируемость программно конфигурируемых сетей благоприятствуют созданию постоянно обновляемой системы сетевой безопасности, отвечающей новым требованиям и угрозам.
Программно конфигурируемые сети повлияют на защиту периметра так же, как в свое время повлияла на нее виртуализация серверов и рабочих станций, убежден Михаил Башлыков. Появятся новые угрозы, связанные с тем, что все потоки данных будут обрабатываться на базе одного гипервизора, а все данные станут храниться на одном устройстве с функциями виртуализации. Эти риски придется учитывать.
«Развитие SDN наверняка приведет к улучшению продуктов и сервисов систем сетевой защиты: их масштабируемость и гибкость повысятся, особенно при использовании в составе управляемых услуг класса Managed Perimeter Security, — уверен Джабраил Матиев. — С ростом популярности облачных сред увеличивается спрос на данные услуги».
ЗАЩИТА ПЕРИМЕТРА НА АУТСОРСИНГЕ
«Мы положительно оцениваем Managed Perimeter Security и рассчитываем на дальнейшее развитие этих услуг, так как они позволяют более эффективно и с меньшими затратами реализовать защиту периметра, — рассказывает Михаил Башлыков. — В своем виртуальном ЦОД мы развернули подобное решение: создали центральный узел ИБ, предоставляющий заказчикам возможность пользоваться базовыми сервисами по схеме SaaS».
«Сервисы Managed Perimeter Security не скоро станут популярными, — возражает Виктория Носова. — Следует различать два типа политик безопасности. К первому относятся политики FW, NAT, VPN и организации мобильного доступа, то есть те, в которые достаточно часто приходится вносить изменения, например для разграничения доступа, поэтому заказчик должен сам создавать и контролировать их. Ко второму типу относятся политики IPS, антивирусной защиты, защиты от ботов, атак нулевого дня — они меняются не так часто и могут быть представлены в виде неких профилей, но в случае масштабной атаки требуют очень быстрой экспертной реакции. Такого рода сервисы лучше отдать на аутсорсинг — эксперты помогут настроить подходящий для организации профиль и быстро внесут изменения при возникновении новой атаки или угрозы».
«В России услуги Managed Perimeter Security пока не востребованы из-за отсутствия адекватной модели предоставления аутсорсинговых услуг безопасности, — считает Алексей Лукацкий. — У нас нет компаний, готовых гарантировать защиту и взять все риски на себя, законодательство не предусматривает передачу функций защиты в третьи руки, нет надежных каналов связи для обеспечения бесперебойной работы удаленных средств защиты информации или средств управления ими. В таких условиях говорить об их перспективах преждевременно».
ЗАКЛЮЧЕНИЕ
Успешность реализации концепции «сети без границ» во многом зависит от понимания того, кому необходимо предоставлять доступ, с каких устройств и к каким приложениям. Практика показывает, что сегодня наиболее востребовано несколько сценариев, рассказывает Юрий Черкас. Защита может строиться с помощью различных подсистем для управления мобильными устройствами (MDM), контроля доступа к сети (NAC), усиленной аутентификации и защиты каналов связи (VPN). Выбирая решения, нужно принимать во внимание особенности инфраструктуры и общую направленность ИТ-политики компании, а при рассмотрении вариантов построения защиты — ориентироваться на актуальный сценарий: например, организацию удаленной работы с Web-приложениями через шлюз SSL VPN, централизованное управление правилами доступа к корпоративной сети с использованием NAC или унификацию доступа за счет виртуализации рабочих мест (VDI). Но это далеко не все решения: не стоит забывать о таких компонентах системы защиты, как антивирус, FW, IPS, WAF, SIEM, DLP, Web- и почтовые шлюзы, DAM, контроль привилегированных пользователей, и о многом другом.
Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.