Ограничения как инструмент развития. Зачем нужен шлюз безопасности в современной России

• Что такое Traffic Inspector Next Generation
• Почему задача контроля трафика актуальна сегодня
• Как работает система
• Кому подходит
• Сложно ли освоить
• Сертификация ФСТЭК

Массовые утечки данных в 2022 году коснулись многих организаций и частных лиц как в России, так и во всем мире. По данным IBM, средняя стоимость ущерба от утечки данных в 2022 достигла рекордных 4,35 млн долларов. Как отмечается в отчете Positive Technologies, общее количество инцидентов по итогам 2022 года увеличилось на 20,8%. Такой рост связан как с увеличением напряженности в киберпространстве, так и с ростом самого рынка киберпреступности. 

На этом тревожном фоне ассортимент ИБ-решений на российском рынке сократился из-за ухода иностранных вендоров. При этом правительство устанавливает обязательные меры защиты для госорганизаций, компаний, использующих АСУ ТП, и операторов ПДн, включая бизнес-структуры. 

В складывающихся обстоятельствах важно выбрать надежное решение для защиты информационных активов компании. Рассказываем об эффективном российском инструменте для защиты сети и не только ― универсальном шлюзе безопасности Traffic Inspector Next Generation.

Что такое Traffic Inspector Next Generation

Это универсальный шлюз безопасности (UTM/USG на основе NGFW). По сути, это межсетевой экран с расширенным функционалом (например, он включает систему обнаружения вторжений, VPN-сервер, шлюзовый антивирус). 

Основных направлений, в рамках которых система решает проблемы заказчиков, два: организация контролируемого доступа в интернет и защита корпоративных сетей от внешних киберугроз. Однако в целом Traffic Inspector Next Generation рассчитан на множество более узких и комплексных задач. Для их решения система имеет более 80 специализированных функций, в том числе, увеличивающих возможности аутентификации, фильтрации и приоритизации трафика, мониторинга сети и детальной отчетности.

К примеру, благодаря модулю централизованного управления, Traffic Inspector Next Generation позволяет администрировать продукт на удаленных филиалах без дополнительного ПО. Функция контентной фильтрации помогает не только ограничить выход к нежелательным ресурсам в образовательных учреждениях, но и соблюдать последние требования законодательства о блокировании доступа с IP-адресов из «недружественных стран». Другая функция дает возможность разделить Wi-Fi-сеть на корпоративную и гостевую, в рамках которой доступ будет осуществляться с помощью настраиваемых временных учетных записей.

Почему задача контроля трафика актуальна сегодня

Актуальность продукта можно рассматривать с нескольких сторон. Во-первых, в последнее время риски информационной безопасности резко возрастают в связи с обстановкой в мире. И само по себе развитие технологий кибермошенничества идет значительными темпами. Соответственно, любому предприятию, имеющему доступ в интернет и некую цифровую информацию, которую важно защищать, необходимо решение, позволяющее выполнить эту задачу и обезопасить компанию от рисков.

Во-вторых, актуальность продиктована современными законодательными нормами. К заказчикам из бюджетной сферы и госкомпаний предъявляются очень жесткие требования по защите сети и хранящихся данных. Это касается и других компаний, работающих с персональными данными ― например, передающих их в пенсионные фонды или взаимодействующих с банками. Чтобы нормально функционировать и соответствовать всем требованиям, таким заказчикам не обойтись без сертифицированного межсетевого экрана российского производства. 

Traffic Inspector Next Generation входит в Единый реестр российских программ для ЭВМ и баз данных Минцифры России и сертифицирован ФСТЭК России на соответствие требованиям к межсетевым экранам и системам обнаружения вторжений. Решение может применяться во всех информационных системах, в которых обрабатывается информация, не содержащая сведений, составляющих государственную тайну.

В-третьих, важным остается вопрос экономии ресурсов. С этой целью Traffic Inspector Next Generation может оптимизировать расходы на трафик с помощью маршрутизации и шейпирования. А также ограничить в рабочие часы доступ, например, к соцсетям и интернет-магазинам, чтобы сотрудники занимались прямыми обязанностями и не использовали интернет компании в личных целях.

Как работает система

Решение разворачивается в роли шлюза на границе корпоративной сети и позволяет контролировать информационные потоки между локальной сетью и интернетом. В зависимости от вида поставки устанавливается либо сервер с ПО, либо заказчик назначает шлюзом собственный сервер, в котором разворачивается система.

Traffic Inspector Next Generation может поставляться как в форме программного обеспечения, так и программно-аппаратного комплекса. Всего имеется одиннадцать вариантов аппаратных платформ, четыре из которых сертифицированы ФСТЭК. Широкая линейка позволяет легко масштабировать лицензии в зависимости от размера сети и бюджета заказчика.  

Межсетевой экран ограничивает доступ извне. По умолчанию закрывается любой выход и блокируется все, что не разрешается явно. И при необходимости уже администратор производит более гибкие настройки в зависимости от правил информационной безопасности компании. Также экран позволяет разграничивать доступ по разным сетям и подсетям организации (в том числе VLAN). К примеру, если выделена отдельная подсеть для бухгалтерии, она может иметь выход на подсети других отделов, но не наоборот.

Следом на всех каналах интернета подключаются службы обнаружения и предотвращения вторжений (IDS/IPS). Они работают на базе Suricata и имеют набор заранее установленных правил для большинства основных типов атак. Их можно сразу активировать и выбрать политики: автоматическая блокировка либо предупреждение. 

Для организаций, имеющих внутри сети серверы Active directory или несколько DNS-серверов для разных офисов, Traffic Inspector Next Generation имеет расширенный функционал собственного DNS-сервера и возможность организовать пересылку запросов на разные корпоративные серверы. Это позволяет удобно структурировать все потоки.

Далее все пользователи заводятся в прокси системы через логин/пароль, IP/MAC – адрес или с помощью другого выбранного способа. Каждый получает тот или иной уровень доступа, определяющий, какие ресурсы может посещать пользователь. Ограничения заказчик распределяет сам в соответствии с законодательством и корпоративными требованиями. 

При этом настройки на каждой рабочей машине не требуются, как и дополнительное ПО. Для пользователя система работает незаметно, до тех пор, пока он не попытается выйти на заблокированный ресурс. В таком случае просто появится окно и предложит обратиться к администратору для получения доступа. 

Кому подходит

Поскольку решение включает в себя большое количество разных функций, оно имеет широкую целевую аудиторию. По сути, Traffic Inspector Next Generation пригодится любой компании, имеющей выход в интернет.

В госсекторе продукт решает вопрос необходимости сертифицированной защиты, в здравоохранении организует защищенный канал обмена информацией с помощью VPN, в образовании фильтрует нежелательный контент. Организациям из сферы культуры и развлечений помогает авторизовать пользователей Wi-Fi в соответствии с требованиями закона, а для бизнеса, которому важны непрерывность и эффективность работы, обеспечивает стабильный доступ в интернет и предоставляет инструменты контроля сотрудников.

Решение может использоваться организациями различных размеров ― от малых до крупных корпоративных сетей и географически распределенных структур. Даже если в организации имеется сеть всего из пяти компьютеров, она уже может использовать Traffic Inspector Next Generation. Верхняя планка при этом отсутствует, поскольку система легко масштабируется.

Сложно ли освоить

Настройка базового пакета функций достаточно простая, чтобы с ней справился любой системный администратор, обладающий базовыми навыками.

Глубокие тонкие настройки или специфичная конфигурация сети заказчика потребуют более детального погружения в продукт или тесной работы с технической поддержкой.

При этом если пользователи уже имеют опыт работы с операционной системой FreeBSD или с другими Open-source продуктами, процесс освоения пройдет достаточно быстро и понятно.

В ином случае, один на один с решением заказчик все равно не останется. В стоимость лицензии входит расширенная техподдержка на один год, также предоставляются видеоуроки, инструкции и дополнительные консультации по внедрению. Кроме того, интегратор оперативно готовит продукт для проведения пилота и оказывает помощь со своей стороны.

Сертификация ФСТЭК

В июле 2023 года Traffic Inspector Next Generation получил сертификат ФСТЭК на соответствие требованиям к межсетевым экранам типа «А» и «Б» 4го класса защиты, а также систем обнаружения вторжения уровня сети 4го класса и требованиям по безопасности информации ― по 4му уровню доверия. 

Traffic Inspector Next Generation FSTEC может применяться в организациях, обрабатывающих информацию, не содержащую государственной тайны, и обязанных использовать сертифицированные средства защиты информации, а именно:

• в значимых объектах критической информационной инфраструктуры (КИИ) 1 категории;
• в государственных информационных системах (ГИС) до 1 класса защищенности включительно;
• в автоматизированных системах (АС) управления производственными и технологическими процессами до 1 класса защищенности включительно;
• в информационных системах персональных данных (ИСПДн) до 1 уровня защищенности включительно;
• в информационных системах общего пользования II класса. 

Следует отметить, что сертификат ФСТЭК стал обязательным документом для ИБ-продуктов, которые вендоры предлагают компаниям определенных сфер деятельности. Особенно это актуально для заказчиков, в которых установлены государственные информационные системы (ГИС) и автоматизированные системы управления технологическим процессом (АСУ ТП). 

Для остальных компаний, выбор которых пока не так строго регламентирован законом, сертификат ФСЭК — это надежная гарантия качества.  Гарантия того, что продукт не имеет уязвимых мест, не передает информацию третьим лицам и в целом работает корректно. Сторонние испытательные лаборатории и федеральная служба контроля подтверждают, по сути, профпригодность вендора. Что безусловно важно, поскольку, развернув решение у заказчика, Смарт-Софт берет определенную долю ответственности за безопасность его сети и соответствующие риски.