Межсетевые экраны для организации комплексной защиты корпоративной среды

Алексей Плешков
Заместитель начальника управления
информационной безопасности,
Газпромбанк (ГПБ ОАО)

Вряд ли кто-либо из читателей данной статьи не знает, что на практике представляет собой межсетевой экран (МЭ). Техническое описание того, какие бывают МЭ и чем отличаются друг от друга с экспертной точки зрения, вероятнее всего не вызовет у читателя особого интереса, поскольку абсолютно весь материал по данной теме находится в общем доступе. К тому же все пользователи сети Интернет имеют в наличии (на домашнем компьютере, на периметре локальной сети в офисе, на выделенном лабораторном стенде, в промышленной инфраструктуре у заказчика и пр.) МЭ определенного типа, конфигурации, функциональности и стоимости.

Попытаемся заострить внимание на вопросах по теме межсетевого экранирования, наиболее часто задаваемых лицами, принимающими решение о выделении ресурсов, без привязки к наименованию и версии конкретных продуктов, и предложить экспертное мнение по каждому из таких моментов.

Итак, начнем. По опыту, больше всего вопросов возникает, как ни странно, не только на этапе проектирования комплексной системы корпоративной сетевой защиты, но и на этапе обоснования бюджетных расходов на приобретение выбранных программно-аппаратных комплексов, а также в процессе внедрения (интеграции, замены, построения с нуля) ранее выбранного комплексного решения, содержащего МЭ. Эти вопросы могут носить как узкотехнический, так и глобально организационный характер, и при отсутствии на них адекватного ответа приводят к формированию скептического отношения к внедрению в частности и сетевой защите в целом.

К таким вопросам относятся следующие...

1. Чем обусловлена необходимость установки в компании МЭ?

МЭ нужен как минимум для того, чтобы согласно набору заданных администратором правил обращения внешних и внутренних пользователей (в том числе злоумышленников) разграничить доступ к критичным компонентам инфраструктуры компании (серверам, отдельным сервисам и пр.), обеспечить учет и контроль действий пользователей с ресурсами, расположенными в различных сегментах, а также оградить внутренние объекты защиты от инициированных злоумышленниками сетевых атак.

2. Какими функциями должен обладать корпоративный МЭ?

Перечень базовых функций отличается в зависимости от модели аппаратной платформы, версии ПО и фирмы-производителя МЭ, однако типовыми функциями можно назвать следующие:

• поддержка основных сетевых протоколов (согласно RFC);
• наличие пользовательского интерфейса для управления и формирования сетевых политик безопасности;
• поддержка общепризнанных сетевых технологий, таких как: VPN, NAT, PAT, VLA^RUNK, SNMPv.3, syslog и пр.;
• возможность построения отказоустойчивого (многоуровневого) и/или кластерного решения;
• журналирование событий и наличие инструментов для навигации по журналу регистрации;
• интеграция с присутствующими в инфраструктуре компании системами и средствами аутентификации пользователей (Active Directory, RADIUS, E-Directory и пр.);
• наличие масштабируемой аппаратной платформы (по количеству физических интерфейсов, CPU, HDD, оперативной памяти и пр.);
• наличие в России технической поддержки по выбранному решению.

3. Какие критерии необходимо определить для себя при выборе корпоративного МЭ?

В настоящее время рынок МЭ в России представлен более чем двумя десятками различных как отечественных, так и иностранных производителей. Для компании, ранее не использовавшей МЭ, выбрать подходящий (формулируя для себя набор критериев) в условиях маркетинговых войн между дистрибьюторами будет достаточно непросто. Для одних руководителей критерии качества - это минимальная общая стоимость МЭ, количество успешных внедрений в России за истекший период, отзывы об эффективности работы МЭ, представленные доверенными экспертами. Для других - это формальное количество реализованных в решении требований и условий, которые были озвучены представителями заказчика до начала выборных процедур или удачно проведенное в ходе деловой встречи сравнение предлагаемого МЭ с продуктами конкурентов. Оба подхода, использующие метод анализа "черного ящика", не являются на 100% эффективными, поскольку не могут в полной мере гарантировать применимость предлагаемого решения в конкретном случае. Именно поэтому чаще всего применяется метод построения стенда (пилотный проект), который призван продемонстрировать особенности того или иного МЭ при его развертывании в инфраструктуре компании. В рамках пилотного проекта совместно с представителями разработчика (интегратора) формируется комплексная методика испытаний решения, по результатам исполнения которой принимается взвешенное решение об эффективности и, как следствие, о внедрении того или иного МЭ в конкретную среду.

4. Чем обусловлена стоимость МЭ?

Единовременные затраты на покупку МЭ складываются из стоимости набора выбранных активированных функций, закупки совместимой программной и аппаратной платформ, активации ограниченных по времени лицензии на каждый из компонентов и работ по внедрению (интеграции) МЭ внутрь инфраструктуры компании.

В условиях ограниченного бюджета на развитие информационной безопасности для многих компаний краеугольным камнем является общая стоимость МЭ. Часто бывает, что совершенно неподходящее по функциональности решение закупается именно по причине минимальной его стоимости по сравнению с решениями других производителей. Затем для администрирования внедренного МЭ будет необходимо дополнительно обучить сотрудников, под новое решение рано или поздно перестраивается инфраструктура, реформируются основные технологические процессы и выпускаются нормативные документы. Но через некоторое время компания сталкивается с достижением внедренным МЭ заложенных в нем границ (технических) применения (возникает ограничение по количеству одновременно установленных соединений, теряются пользовательские подключения, отсутствуют свободные физические интерфейсы, возникают задержки при прохождении трафика, выясняется несовместимость с новой аппаратной платформой и пр.), которые не позволят своевременно реализовать стратегию развития компании без замены этого решения на другое (новое, лишенное ограничений), возможно даже от другого производителя. Внедрение нового решения снова потребует финансирования, существенно превышающего стоимость закупки МЭ без ограничений на первом этапе. Таким образом, подтверждается актуальность старой русской поговорки "скупой платит дважды".

С точки зрения финансового директора компании, стратегия поэтапного инвестирования в развитие инфраструктуры, возможно, и является наиболее предпочтительной, однако она чаще всего не учитывает косвенные затраты, а также объем нематериальных ресурсов на внедрение, сопровождение и модернизацию смежных компонентов инфраструктуры. Поэтому при выборе МЭ целесообразно закладывать обоснованно завышенные требования по функциональности и масштабируемости решения и не руководствоваться только требованием минимальной цены.

5. В чью зону ответственности входит поддержка МЭ?

Вопрос технического обеспечения работоспособности МЭ зачастую порождает конфликт интересов между подразделениями компании, ответственными за информационно-техническое сопровождение, и службами ИБ. Наличие инструментов для ограничения действий пользователей в сети позволяет контролировать действия работников компании, направленные на получение информации извне и/или направление информации вовне, что, без сомнения, является функцией администратора ИБ. Однако функции по маршрутизации трафика между внутренними ресурсами компании и обеспечение доступности интернет-ориентированных сервисов для собственных пользователей - это уже зона ответственности специалистов IT-блока. Решение о передаче МЭ на сопровождение в то или иное подразделение должен принимать руководитель компании с учетом предоставленных обеими сторонами аргументов. Существует и третье решение - аутсорсинг поддержки МЭ. Оно может быть принято в том случае, если в компании недостаточно собственных ресурсов для администрирования МЭ. При этом потеря гибкости при настойке правил, увеличение времени реагирования на поручения о предоставлении доступа и возникающие инциденты, невозможность самостоятельно контролировать информационные потоки в режиме реального времени компенсируются полной юридической ответственностью третьей стороны за работоспособность такого МЭ.

Так или иначе, техническая поддержка МЭ представителями компании-партнера должна быть включена в перечень основных функций, которыми должен обладать предложенный к внедрению МЭ.

6. Позволит ли внедрение МЭ решить проблемы безопасности в компании?

Не смотря на то что многие производители МЭ в настоящее время позиционируют свои решения на рынке, как "всеобъемлющие продукты по обеспечению информационной безопасности корпоративного бизнеса", необходимо, отбросив "маркетинговую вуаль", понимать, что любой МЭ (см. определение) - это прежде всего инструмент для фильтрации проходящего трафика и контроля установления соединения. Очевидно, что, помимо сетевых угроз для объекта защиты, существует множество других, защита от которых выходит за рамки возможностей межсетевого экранирования. Это и угрозы утечки конфиденциальной информации с АРМ через съемные носители, и угрозы нарушения доступности и/или работоспособности критичных для бизнеса ресурсов внутри защищаемой МЭ сети компании, и угрозы компрометации передаваемых по открытым каналам связи данных, и угрозы несанкционированного подключения злоумышленников к сети с использованием программ с потенциально опасными последствиями и многие другие. Необходимо понимать, что МЭ - это только один (далеко не единственный) компонент системы защиты информации в компании. Решение проблем обеспечения информационной безопасности - это сложная наукоемкая задача, требующая комплексного подхода.

7. Из чего складывается стоимость владения МЭ?

В процессе закупки МЭ у дистрибьютора клиенты сталкиваются с большим количеством формулировок и пунктов, которые ранее (в процессе выбора решения и/или проведения конкурсных процедур) умышленно не были указаны продавцом с целью минимизации общей стоимости решения. К таким формулировкам относятся, например, "стоимость лицензии в расчете на отдельный модуль" (при закупке кластерного решения), или "стоимость активации функции для многоядерной платформы" (при инсталляции программного МЭ на промышленную отказоустойчивую аппаратную платформу), или "стоимость адаптационного пакета для несовместимой аппаратной платформы" (то есть доработка МЭ для поддержки имеющегося в наличии у заказчика "железа") и т.д. Именно эти изначально неизвестные условия и формируют стоимостную надбавку относительно первоначально обговоренной цены, без согласования которой эффективность внедрения выбранного МЭ будет "естественным путем" снижена. Далее при расчете стоимости владения МЭ целесообразно суммировать стоимость таких скрытых от нетехнического специалиста надбавок с ценой регулярного продления лицензии на отдельные компоненты и активированные дополнительные функции МЭ, а также с затратами на техническую поддержку внедренного решения у российской компании-партнера производителя МЭ. Большинство известных на рынке производителей МЭ придерживаются жесткой политики регулярно продлять лицензии на пользование своими продуктами, стоимость которых рассчитывается как процент от первоначальной цены МЭ, суммированный с процентом от стоимости дополнительно закупленных компонентов. В эту цену входит определенный производителем набор услуг по технической поддержке своего решения, а также по предоставлению новых версий компонентов МЭ.