Журнал "Information Security/ Информационная безопасность" #4, 2021

Но если зарубежные СЗИ и ИБ-решения уже давно продаются по схеме SWaaS, SECaaS и MSSP, то для оте- чественных производителей это поле деятельности все еще вызов. Отечественных разработ- чиков высокопроизводи- тельных NGFW или прокси, по сути, в России нет, а те производители, кото- рые стремятся попасть в нишу сетевых шлюзов безопасности, поставляют свои решения по старинке. Подписочная модель учи- тывает количество актуаль- ных пользователей или используемых ядер под текущую нагрузку и удачно реализует концепцию Pay- as-You-Go. Выделенное, локальное виртуальное устройство предназначается для тех подписчиков, которые в силу каких-либо причин не могут использовать сторон- ние облачные ресурсы и вынуждены реализовать свои информационные системы частным образом. ными процедурами все еще акту- альна. Но если зарубежные СЗИ и ИБ-решения уже давно про- даются по схеме SWaaS, SECaaS и MSSP, то для отечественных производителей это поле дея- тельности все еще вызов. Сейчас таким образом поставляется в основном защита публичных сер- висов, предотвращение DDoS- атак, консалтинг ИБ. Отечественных разработчиков высокопроизводительных NGFW или прокси, по сути, в России нет, а те производители, которые стремятся попасть в нишу сете- вых шлюзов безопасности, поставляют свои решения по старинке. Модель MSSP от UserGate В основе решений UserGate – собственная (proprietary) опера- ционная система UGOS. Мы знаем, как функционирует каж- дый компонент системы и можем оптимизировать ее использова- ние на любой платформе, не толь- ко х86. Таким образом, решение может быть развернуто на фир- менной аппаратной или вирту- альной платформе и показывать высокую производительность. При этом сертифицированная регулятором и коммерческая версии не различаются архитек- турно или функционально, чем грешат зарубежные аналоги. К примеру, виртуальный апплайнс на 32 ядра способен поддерживать обслуживание примерно 6–8 тыс. одновремен- ных пользователей. Поддержи- вается вертикальная и горизон- тальная кластеризация с балан- сировкой нагрузки. Для целей MSSP генерируются временные лицензии. Такая под- писочная модель учитывает количество актуальных пользо- вателей или используемых ядер под текущую нагрузку и удачно реализует концепцию Pay-as- You-Go. Аппаратные устройства UserGate на сегодняшний день не включены в схему MSSP и предлагаются дистрибуторами либо только в рамках тради- ционной "коробочной" модели продаж или в лизинг. В рамках MSSP UserGate пред- усмотрены несколько опций. 1. Контентная фильтрация – востребована операторами для обеспечения запрета доступа к интернет-сайтам в рамках тре- бований Роскомнадзора и "дет- ских законов" (соответствие тре- бованиям ФЗ-436 "О защите детей", ФЗ-139 "О черных спис- ках" и методическим рекомен- дациям Министерства образо- вания и науки Российской Феде- рации), а также исключения вре- доносного трафика в интересах своих абонентов – частных лиц или небольших компаний. 2. Классический межсетевой экран с IPS/IDS (СОВ) на локаль- ной инфраструктуре или в облач- ном сегменте, в том числе тре- бующими аттестации. 3. Третий пакет – п. 2 + DPI (L7 приоритизация трафика). 4. Полнофункциональная вер- сия UserGate (МЭ СОВ, удален- ный доступ и защищенное соеди- нение, прокси, реверс-прокси, DPI, собственный потоковый антивирус и антиспам), а также расширенная статистика, цент- рализованное управление пар- ком устройств UserGate с обес- печением концепции Multitenant. Доступна расширенная техниче- ская поддержка партнеров User- Gate в рамках реализации про- граммы профессиональных сер- висов. Возможно несколько схем реа- лизации MSSP. 1. "Оператор", при которой разворачивается шлюз безопас- ности UserGate "в разрыв кана- ла": весь трафик в обслуживае- мом канале проходит обработку на седьмом уровне OSI. Является базой для анализа и перена- правления отдельных видов тра- фика на специализированные средства ИБ (AV, DLP, Sandbox и пр.). UserGate предоставляет партнерам API, полностью дуб- лирующий управление устрой- ством через графический интер- фейс. API может быть опублико- ван в личном кабинете подпис- чика и использоваться им для специфического конфигуриро- вания часто востребованного функционала. 2. Выделенное, локальное вир- туальное устройство предназна- чается для тех подписчиков, которые в силу каких-либо при- чин не могут использовать сто- ронние облачные ресурсы и вынуждены реализовать свои информационные системы част- ным образом. Причем не так важно, где будет размещено устройство, действительно в локальной инфраструктуре либо в IaaS. 3. Третья схема применима, когда сервис-провайдер наби- рает определенный пул корпо- ративных заказчиков и для каж- дого из них на своем сегменте разворачивается отдельное устройство. В рамках этой схемы UserGate уже реализовал инте- ресные возможности для работы в облаках: технология Cloud-Init – в рамках защищенной сессии в личном кабинете заказчику выдается интернет-страница для предварительного конфигуриро- вания устройства, ролевой доступ к своему разделу консоли управления UserGate и, в случае, если заказчику вдруг понадо- бится долговременная статисти- ка для ретроспективного анали- за, – Log Analyzer, который уже в 2022 г. будет трансформирован в SOAR/SIEM и подключен к Гос- СОПКА. Актуальный вопрос с 2021 г. – сертификация по новым уровням доверия. Можно продолжать экс- плуатировать ранее аттестован- ные ЦОД или сегменты со ста- рыми сертификатами, получен- ными до 2021 г., но в рамках действующей технической под- держки соответствующего вен- дора СЗИ, сертификат которого участвовал в прошлой аттеста- ции. При создании же нового ЦОД либо при внесении изме- нений в ранее защищаемый сег- мент уже необходимо использо- вать СЗИ, сертифицированные по так называемым уровням доверия. Профессиональные сервисы также решают проблему отсут- ствия специалистов у организа- ции-клиента – реализацию поли- тики ИБ и техническую поддерж- ку инфраструктуры. И в данном контексте UserGate с радостью делегирует своим партнерам первую и вторую линии техниче- ской поддержки. Что мы ожидаем от партнеров? По сути, ничего. С момента нача- ла использования сервиса и роста потока услуг резонно повы- сить количество своих техниче- ских специалистов, оказываю- щих услуги поддержки и экс- плуатации, а также их компетен- цию и квалификацию. Достига- ется это учебой в нашем серти- фицированном учебном центре и поддержкой лабораторного стенда, на котором отрабаты- ваются типовые ошибки пользо- вателя и методы их разрешения. Мы приглашаем партнеров к сотрудничеству и со своей сто- роны обещаем, что все наши новые решения и продукты будут распространяться по модели MSSP. l • 35 ЗАЩИТА СЕТЕЙ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru На правах рекламы