Журнал "Information Security/ Информационная безопасность" #6, 2023

NGFW – пятое поколение средств безопасности Считается, что первое поколение файрволов/брандмауэров продемонстри- ровала компания DEC в 1989 г.: тогда по внутренним правилам пакеты дели- лись на разрешенные и запрещенные – так появилось stateless-поколение файр- волов. Следующее поколение научили отслеживать сессии: если файрвол раз- решал первый пакет сессии, то все последующие пакеты внутри нее прохо- дили без проверки, а новая сессия начи- налась с проверки. Файрвол третьего поколения DEC SEAL, выпущенный в 1992 г., уже умел обрабатывать пакеты по нестандартным портам, а в 1994 г. графический интерфейс другого вендо- ра, Check Point, стал прародителем чет- вертого поколения файрволов, в котором появилась визуализация графиков и таб- лиц. Четвертое поколение файрволов породило концепцию совмещения функ- ций безопасности сети в одном устрой- стве. Крупные международные компании в сфере кибербезопасности стали выпус- кать устройства UTM (Unified Thread Management). И наконец, с внедрением контроля доступа пользователей к при- ложениям и интернет-ресурсам зароди- лось пятое поколение устройств сетевой безопасности – NGFW (Next Generation Firewall). Модульность – важная веха развития на пути к NGFW Концепция модульности позволила нарастить функциональность устройств безопасности по мере их эволюции. Начиная с четвертого поколения к основ- ному функционалу файрвола стали добавляться такие модули, как: l система обнаружения/предотвращения вторжения (IDS/IPS) – средство опреде- ления и предотвращения сетевых угроз на основе анализа пакетов; l система глубокого анализа пакетов (DPI) – средство глубокого анализа паке- тов; l потоковый антивирус – средство защи- ты, проверяющее пакеты на наличие сигнатур вредоносного ПО; l фильтрация по URL – фильтрация запросов по категориям интернет-ресур- сов; l SSL-инспекция – включает в себя не только расшифровку трафика, но и обра- ботку контента антивирусом, DPI, IDS/IPS и другими модулями; l VPN-шлюз/удаленный доступ – сред- ство организации защищенных каналов связи; l предотвращение утечек информации (DLP) – средство анализа сетевого тра- фика и сетевой активности на наличие конфиденциальных данных; l межсетевой экран уровня веб-прило- жений (WAF) – обеспечивает защиту от большинства опасных атак на уровне приложений, в том числе SQL-инъекций, DDoS-атак на уровне L7 и т.д.; l Sandbox – песочница, нужна для выявления уязвимостей нулевого дня и сложных атак в изолированной среде. Концепция NGFW состоит в том, что практически все модули работают парал- лельно. Первые устройства UTM обра- батывали трафик последовательно, поэтому при больших нагрузках задерж- ки передачи пакетов достигали значи- тельных величин и наблюдалась потеря пакетов. Со временем разница между UTM и NGFW стиралась, и сейчас суще- ственной разницы между ними нет. Ана- литическая компания Gartner с 2019 г. не разделяет эти классы решений, объ- единяя их термином Network Firewall. Периметр безопасности и проблемы его защиты Для защиты конфиденциальной информации и обеспечения непрерыв- ности бизнес-процессов организовывают периметр безопасности. Пограничные устройства определяют границу между сетью предприятия и сетью оператора. Периметр безопасности постоянно рас- ширяется. Сначала он обеспечивал без- опасность группы или сегмента сети, поглотил внутренние серверы и сервисы. Сейчас он практически слился с грани- цей внутренней сети предприятия, то есть вышел на уровень пограничного устройства. Чем больше эволюционировали устройства безопасности, тем больше мощности они потребляли и тем сложнее становилась процедура настройки их обслуживания. Сегодня мы наблюдаем две серьезные проблемы развития этих устройств: 1. Непомерная требовательность к ресурсам – процессорам, памяти, системе хранения. 2. Невероятный объем технологий, который приходится осваивать для настройки устройств безопасности. Bootloop Проблема требовательности ресурсов не нова. Между аппаратным и про- граммным обеспечением идет посто- янная гонка. Выпуск более мощной платформы стимулирует разработчиков выпускать более функциональное про- граммное обеспечение, которое, в свою очередь, формирует более жесткие тре- бования к аппаратным ресурсам. Про- цесс зацикливается, но при этом он самоподдерживающийся, и в итоге про- блема разрешается сама собой. Кроме 16 • СПЕЦПРОЕКТ NGFW в качестве пограничного средства безопасности: история, проблематика, перспективы ежсетевой экран нового поколения, он же файрвол нового поколения, он же NGFW – один из центральных элементов системы информационной безопасности, которую строят организации для защиты от киберугроз. После ухода зарубежных вендоров с российского рынка разговоры об отечественном NGFW, о том, каким он должен быть, чтобы решать современные задачи кибербезопасности, стали еще более актуальными. М Сергей Федотов, инженер сетевой безопасности Центра продуктов Dozor ГК “Солар”