Сравнение межсетевых экранов usergate
Компания UserGate хорошо известна как производитель отечественных программно-аппаратных комплексов по межсетевому экранированию. И совсем недавно она провела большую конференцию. Я побывал на этом мероприятии и хочу рассказать обо всех новинках как в программном обеспечении, так и в аппаратной части устройств, которые были представлены на нем.
А теперь обо всем по порядку.
Экосистема UserGate SUMMA
Компания UserGate представляет новое видение защиты информации: использование комплексного решения – так называемой, экосистемы SUMMA.
Своим названием решение обязано СУММе всех компонентов, которые сейчас есть у UserGate и которые выйдут в скором времени. Решение будет включать в себя продукты для защиты стандартных сетей (NGFW), ЦОД (DCFW), АСУ ТП (ICS). Будет содержать продукты для защиты веб-сервисов (WAF), удаленных пользователей (Client). А также приложения для анализа (SIEM) и управления (MC) всей системой продуктов UserGate.
Кроме того, в компании UserGate помимо уже существующих отечественных разработок в программном обеспечении, добавились собственные аппаратные разработки. Теперь платформы серии X и C будут поставляться в отечественном корпусе, и скоро к этому списку добавится платформа серии D. Но об этом чуть попозже.
UserGate NGFW 6
Решение UserGate NGFW (Next Generation Firewall) является ключевым элементом в экосистеме UserGate SUMMA. В связи с этим, межсетевой экран шестого поколения получил множество обновлений и дополнительных функций.
Что нового появилось в UserGate NGFW 6:
1. Поддержка UserGate Management Center. Management Center - это центральная консоль управления парком оборудования UserGate. К его преимуществам можно отнести:
a. Возможность управления не только межсетевыми экранами, но и всеми решениями UserGate, находящимися в системе.
b. Возможность управления устройствами, которые находится в разных организациях, например "дочках" основной компании.
c. Появились группы шаблонов, которые позволяют производить удобную настройку парка оборудования с одного устройства.
d. Возможность управлять обновлениями всех устройств UserGate.
2. Добавились новые сетевые функции:
a. Поддержка VRF - реализация нескольких виртуальных маршрутизаторов на базе одного физического. Каждый виртуальный маршрутизатор может иметь свою таблицу маршрутизации.
b. Multicast маршрутизация -- многоадресная рассылка от одного отправителя ко многим получателям, например для IPTV.
c. Поддержка протокола маршрутизации RIP.
3. Поддержка работы с Cisco VPN при подключении к маршрутизаторам Cisco.
4. Добавление нового собственного более производительного движка - СОВ (производительность увеличена до 10 раз). Доработка профиля SSL. Добавление ГОСТ TLS. Добавление функции инспектирования каналов SSH.
5. Добавление новых протоколов для работы с АСУ ТП. Возможность обработки зеркального трафика.
6. Повышена производительность отдельных компонентов:
a. Сетевых функций.
b. Идентификации пользователей.
c. Интернет фильтрации.
d. Защиты от угроз.
7. Поддержка SSL Broker, что позволяет отдавать расшифрованный SSL трафик на сторонний сервис.
UserGate FG
Также, компанией UserGate анонсирован выход нового продукта - межсетевого экрана для ЦОД (DCFW).
- Государственные, отраслевые и коммерческие ЦОДы.
- Операторы связи, нуждающиеся в:
a. Построении новых каналов связи.
b. Развитии инфраструктуры для 5G сетей.
c. Обработке повышающегося объема данных.
Разработкам предшествовало изучение рынка. Как выяснилось, максимальная производительность у подобных решений доходит до 80 Gb/s при использовании межсетевого экрана уровня L4. Причем, реальная производительность этих систем зачастую менее 300 тыс пакетов в секунду. В итоге, получается дорогое и малопроизводительное решение для датацентров.
Если посмотреть на зарубежные решения, то среди них можно найти и более производительные модели. Но следует иметь ввиду, что, начиная с 2024 года, у всех зарубежных решений будут большие сложности с сертификацией в России. А значит, размещение их на своей сети будет связано с определёнными трудностями.
В связи со всеми вышеизложенными моментами, компания UserGate решила вывести на рынок свой продукт для уровня ЦОД - межсетевой экран с аппаратным ускорением UserGate FG.
- Аппаратная обработка трафика на ПЛИС. Это отдельный процессор с заранее загруженными в него правилами межсетевого экрана, фильтрации и т.д.
- Производительность более 80Gb/s на пакетах в 64 байта – это трафик, который наиболее приближен к пакетам реальных приложений.
- Обработка до 120 миллионов пакетов в секунду (по сравнению с 300 тыс у конкурентов).
- Это решение уровня "Wire speed" – скорость межсетевого экрана равняется скорости сетевого интерфейса.
- Полностью собственная разработка.
- Включение данного решения в реестр Минпромторга.
- 10 портов SFP+ со скоростью подключения 10 Gb/s на каждом.
- 1 порт QSFP28 со скоростью подключения 100 Gb/s для аплинка.
- 2 порта Base-T (медных) со скоростью подключения 1 Gb/s для объединения данного решения в кластер из нескольких железк. Кластер поддерживает как режим работы active-passive (для повышения отказоустойчивости), так и режим active-active (для повышения производительности).
- 1 порт Base-T со скоростью подключения 1 Gb/S для для удаленного управления (IPMI).
- Встроенный SSD объемом от 128GB.
- Оперативная память объемом от 64GB.
- 2 блока питания с функцией горячей замены.
Даже учитывая достаточно большую производительность первой версии решения на данный момент, компания UserGate видит перспективы его развития. В следующей версии к UserGate FG планируется добавить движок системы обнаружения и предотвращения вторжения (IPS), а также систему контроля приложений на уровне L7. Что, в итоге, позволит получить полноценный NGFW, производительность которого будет превышать 80Gb/s.
UserGate АСУ ТП
Сращивание IT и АСУ ТП сетей несет в себе такие плюсы, как ускорение бизнес-процессов, оптимизация планирования, упрощение взаимодействия с контрагентами и т.д. Но также, данный процесс имеет и отрицательную сторону. Сращивание ставит под угрозу такую сеть, и открывает дополнительные возможности для злоумышленников.
Обычно, АСУ ТП сети проектируются на много лет, поэтому они имеют свойство технически устаревать до вывода из эксплуатации оборудования, что ведет за собой снижение надежности и защищенности такой сети. Основным критерием для сети АСУ ТП является непрерывность работы, иногда даже в ущерб конфиденциальности какой-либо информации.
UserGate может реализовать отказоустойчивый кластер, что в совокупности с тегированным трафиком для сегментации сети дает возможность организовать надежную сеть АСУ ТП, отделенную логически (не физически) от обычной корпоративной сети.
Еще одной особенностью является возможность прозрачного внедрения решения UserGate в разрыв сети, с обеспечением всего необходимого функционала: файрвол, детектирование сотен приложений и протоколов уровня L7, покомандный разбор и применение политики на уровне каждой команды. Возможность обработки зеркального трафика позволяет проводитьанализ безопасности, не вторгаясь в технологический процесс.
Ниже представлены фотографии межсетевых экранов серий X и C, которые являются собственной разработкой компании UserGate, выполненной с учетом собранных отзывов и пожеланий заказчиков.
UserGate Client
UserGate Client является пока что концептом программного обеспечения для конечных устройств. В своей основе он имеет технологию EDR, которая отвечает за расширенное обнаружение и предотвращение атак.
- Позволит видеть инфраструктуру целиком, понимать что происходит на каждом устройстве и выделять важные события.
- Позволит определять сложные угрозы на устройствах.
- Позволит получать расширенную информацию об устройстве в системе.
- Позволит автоматизировать процессы безопасности.
На картинке выделены примеры мест использования решения UserGate Client. Это конечные устройства в различных частях сети, будь то основной офис, филиалы, удаленные пользователи, рабочее место АСУ ТП и т.д.
Решение UserGate Client используется вместе с решениями Management Center и Log Analyzer, для упрощения отслеживания инцидентов и администрирования.
- Межсетевого экрана.
- Дополнительного уровня аутентификации.
- VPN клиента для организации безопасного удаленного доступа.
UserGate LogAn
Если описать коротко, то UserGate LogAn - это унифицированная платформа с помощью которой происходит сбор, аналитика, срабатывание, разбор инцидента и формирование правил для дальнейшей работы с подобными инцидентами.
В результате, все нововведения превращают UserGate LogAn в полноценную SIEM-систему с функциями IRP. А совокупность UserGate LogAn и Management Center дает возможность реализовать концепцию SOAR (реакция на инциденты и проактивная защита).
UGaaS (UserGate as a Service)
UserGate предоставила возможность всем заказчикам, невзирая на их размер, получить качественный сервис по защите их инфраструктуры. Речь, конечно же, о подписочной модели UserGate as a Service (как услуга).
- Малый и средний бизнес (SMB).
- Отраслевые ГК (РосАтом, РосТех, РЖД и т.д.).
- Распределенные Государственные структуры
- Сетевые провайдеры.
UserGate готовы предлагать виртуальные устройства для обеспечения услуг информационной безопасности (MSSP). Этот сервис может быть реализован как на аппаратной платформе UserGate, так и на сторонней платформе, подходящей по характеристикам или в выделенной среде виртуализации. В качестве примера, виртуального шлюза безопасности с 32 ядрами будет достаточно для обслуживания организации с 6-8 тысячами виртуальных пользователей.
- Пакет "Контентная фильтрация". Он подойдет для операторов и сервис-провайдеров, которые заинтересованы в ограничении доступа своих пользователей к паразитным категориям контента или вредоносного трафика.
- Пакет "Классический межсетевой экран". Включает в себя как функции пакета контентной фильтрации, так и систему обнаружения вторжения и функцию приоритезации трафика.
- Полный пакет "Шлюз безопасности". Ко всему вышеперечисленному добавляется сбор статистики, центр управления системой и техническая поддержка всех сервисов UserGate.
- Схема "Мультиаренда". Разворачивается шлюз безопасности от UserGate, который занимается очисткой всего трафика в канале. Подойдет для частных пользователей и небольших корпоративных заказчиков.
- Схема "Выделенное виртуальное устройство". Подписчику выделяется отдельное устройство для самостоятельного управления или управления профессиональным сервис-провайдером. Подойдет для тех, кто не может использовать облачные ресурсы и вынужден внедрить систему в локальную сеть.
- Схема "Срвис-провайдер". Подойдет для провайдеров с локальным или облачным пулом заказчиков. В данной схеме для каждого заказчика разворачивает свой домен устройств UserGate.
Все продукты компании UserGate доступны для приобретения по подписке (как сервис), за тисключением аппаратных средств. Также, компания UserGate заверяет, что готова для каждого проекта подходить к формированию цены продукта как сервиса в индивидуальном порядке.
Заключение
Хотелось бы отметить, что новинок, представленных в этом году компанией UserGate, оказалось рекордное количество. Добавили и производительности в ПО, и продукты для решения новых задач, и даже свои аппаратные разработки.
Думаю, можно заранее сказать, какие представленные продукты компании UserGate точно будут пользоваться популярностью среди заказчиков - это UserGate DCFW (FG) и UserGate Client.
Межсетевой экран для датацентров позволит большому потоку трафика "очищаться" по первичным правилам, тем самым снимая лишнюю нагрузку с каналов связи, и устранять большую часть вредоносного контента, что является очень востребованным в рамках обработки большого объема данных.
Клиентское ПО для защиты информации пользуется большой популярностью и спросом среди заказчиков. Сразу заявлю, что продукт UserGate Client не сможет, да и наверно не захочет, претендовать на стандартные розничные продажи. Это решение, которое хорошо дополнит имеющуюся инфраструктуру с оборудованием UserGate, но не будет актуально при использовании в одиночку.
Еще хочу отметить решение, под которое наш рынок еще не до конца сформирован - UGaaS (UserGate as a Service). Нашему рынку еще предстоит пройти "преображение" в течении нескольких лет, для популяризации "решений как услуги". После чего мы действительно сможем наблюдать повышенный спрос на такой продукт.
Первое публичное сравнение популярных на российском рынке отечественных и зарубежных многофункциональных шлюзов безопасности USG (Unified Security Gateway), имеющих в основе межсетевой экран следующего поколения NGFW (Next-Generation Firewall), по 191 критерию. В первой части сравнения участвуют программно-аппаратные комплексы: Cisco Firepower, Check Point Security Gateway, Fortinet FortiGate, Huawei USG, Palo Alto Networks, «Континент», UserGate. Исследование призвано помочь корпоративным заказчикам выбрать наиболее подходящий для себя продукт.
- 3.1. Общие сведения
- 3.2. Архитектура решения
- 3.3. Функции межсетевого экранирования
- 3.4. Создание виртуальных сетей VPN
- 3.5. Поддержка сетевых сервисов
- 3.6. Функции прокси-сервера
- 3.7. Основные функции NGFW
- 3.8. Дополнительные функции NGFW
- 3.9. Аутентификация
- 3.10. Высокая доступность и кластеризация
- 3.11. Централизованное управление
- 3.12. Мониторинг работы и система отчетности
- 3.13. Возможности интеграции
- 3.14. Техническая поддержка
- 3.15. Лицензирование
Введение
Это первая часть сравнения, куда не вошли отдельные универсальные шлюзы безопасности USG (NGFW). Со второй частью можно ознакомиться здесь — "Сравнение универсальных шлюзов безопасности USG (NGFW). Часть 2".
Сетевая безопасность является обязательной составляющей общего объема мер противодействия современным угрозам. Под воздействием быстрого роста количества и сложности кибератак уровень ожиданий от сетевых средств защиты повышается, и, соответственно, их функциональность с каждым годом становится все шире.
Сегодня на рынке основным и наиболее востребованным организациями элементом сетевой безопасности являются многофункциональные межсетевые экраны нового поколения (NGFW) или многофункциональные шлюзы безопасности UTM (Unified Threat Management), которые обеспечивают комплексную защиту от сетевых угроз. В последние годы обозначение UTM постепенно заменяется на более понятный и соответствующий реальным задачам термин — многофункциональные шлюзы безопасности USG (Unified Security Gateway). Поэтому далее по тексту мы будем придерживаться его.
NGFW и UTM/USG имеют схожую функциональность. UTM-устройства исторически ориентировались на потребности среднего и крупного бизнеса, которым было важно иметь «все функции сетевой безопасности в одной коробке». При этом корпоративный межсетевой экран является в них лишь одним из важных модулей.
С появлением межсетевых экранов нового поколения NGFW (Next Generation Firewall), в которых правила межсетевого экрана стало возможным создавать на уровне приложения (L7 в сетевой модели OSI), все изменилось. Появилась вторая ветвь развития функциональности — в сторону работы на прикладном уровне. При этом одновременно развивались и смежные с межсетевым экраном функции, входящие в состав UTM. Подобные устройства также могут работать в режиме прокси, поддерживать различные сетевые сервисы и объединять в себе множество других технологий, связанных с обеспечением информационной безопасности, например: обнаружение и предотвращение вторжений (IDS/IPS), VPN, антивирус, DLP, веб-фильтрацию, контроль почтового трафика и многое другое, полностью оправдывая название универсальных средств сетевой защиты.
В настоящее время любой современный UTM/USG имеет в своем составе NGFW. В свою очередь, продукты, изначально позиционируемые как NGFW, « обросли » всеми смежными функциями, соответствующими UTM/USG. Поэтому логичнее всего говорить об имеющихся на рынке USG с функциями NGFW на борту.
Современные продукты класса USG покрывают функциональность большого количества отдельных классов решений для сетевой безопасности, представляя собой необходимый набор инструментов с гибкими настройками в рамках одного физического устройства или аппаратной платформы. Универсальные шлюзы безопасности с единой консолью управления позволяют организациям повысить уровень контроля со стороны ИТ- и ИБ-департамента, исключают рутинные операции, связанные с эксплуатацией большого количества отдельных узкоспециализированных систем, и позволяют организациям двигаться в сторону перехода от отдельных решений к комплексной и интегрированной защите от сложных угроз.
Несмотря на сложность и, казалось бы, неподъемность задачи, мы провели первое открытое независимое сравнение функциональности популярных на российском рынке USG и NGFW. Для этого мы пригласили к участию всех желающих, создали открытую группу заинтересованных специалистов, коллегиально на протяжении 6 месяцев прорабатывали критерии сравнения и список производителей-участников, уточняли и выверяли ответы, чтобы получившееся в итоге сравнение было прозрачным. Фактически любой желающий мог высказать свое мнение по улучшению критериев сравнения или о точности приведенной в таблице информации.
Перед ознакомлением с результатами нашего сравнения имеет смысл понять, для чего вам нужны сетевые средства защиты, какие задачи, по вашему мнению, они должны решать. Вооружившись ответами на эти вопросы, можно перейти к изучению результатов сравнения. Технически рекомендуется выделить необходимые параметры и проставить для них «весовые значения» по собственному мнению, основываясь на описании критериев в таблице. Далее следует просуммировать значения и вывести собственного лидера среди сравниваемых продуктов, отвечающего задачам именно вашей компании. Подробнее об этом рассказано в главе «Методика выбора оптимального USG или NGFW».
Методология сравнения
Этап выбора критериев, по которым сравнивались решения класса NGFW/USG, у нас выглядел следующим образом: мы собрали все имеющиеся на рынке публичные и закрытые наработки вендоров, а также часто используемые заказчиками критерии выбора, изучив огромное количество запросов предложений (RFP) и запросов информации (RFI), находящихся в открытом доступе.
Получив материалы от вендоров и консолидировав их с данными от других источников, мы увидели, что критериев получается весьма много (около 400). После этого было решено создать рабочую группу по валидации собранных критериев, в первую очередь для того, чтобы услышать общественное мнение: что сегодня в первую очередь важно для компаний в вопросе сетевой безопасности и чаще всего востребовано в функциональном наполнении решений класса NGFW/USG. Основными задачами работы группы мы видели обсуждение и определение первого и второго потока вендоров для сравнения, а также согласование финального оценочного списка.
К нашему удивлению, многие коллеги очень активно подключились к проекту. Желающих поучаствовать в группе оказалось немало, кто-то помогал с критериями, кто-то критиковал, кто-то яро отстаивал свою точку зрения. Были участники, которые делились материалами по теме, а иные просто наблюдали за происходящим и делали свои выводы, которые наверняка будут полезны им в дальнейшей работе. Это была очень живая дискуссия, и мы можем смело констатировать факт того, что данная тематика, связанная с выбором и эксплуатацией решений класса NGFW/USG, очень интересна и востребованна на нашем рынке.
Что касается критериев, то мы их отсортировали по блокам. В блок более общих критериев вошли: сведения о производителе и линейке сравниваемых продуктов, наличие сертификатов, процедура ввоза в Россию, соответствие требованиям регуляторов, архитектура решения, управление решениями, возможность интеграции, доступные виды технической поддержки, а также лицензирование. В блок основных функциональных возможностей мы включили межсетевое экранирование, создание виртуальных сетей VPN, маршрутизацию, проксирование, а также функции безопасности: контроль приложений, IDS/IPS, антивирусную и антибот-защиту, DLP, безопасность почты, антиспам, защиту от DDoS-атак, веб-фильтрацию и пр. В результате получились следующие группы критериев сравнения.
- Общие сведения
- Архитектура решений
- Поддержка сетевых сервисов
- Основные функции безопасности NGFW
- Функции межсетевого экрана
- Система обнаружения/предотвращения вторжений (IDS/IPS)
- Контроль приложений (Application Control)
- Защита от DDoS-атак
- Антивирусная защита (Anti-Virus)
- Антибот-защита (Anti-Bot)
- Защита почтового трафика (безопасность почты, антиспам)
- Веб-фильтрация
- Обнаружение утечек информации (DLP)
- Threat Intelligence
- Песочница (Sandbox)
- Создание виртуальных частных сетей VPN
- Функции прокси-сервера
- Дополнительные функции NGFW
- Аутентификация
- Высокая доступность и кластеризация
- Возможности централизованного управления
- Мониторинг работы и система отчетности
- Возможности интеграции
- Техническая поддержка
- Лицензирование
Помимо валидации сравнительных критериев, перед нами стояла вторая очень важная задача: отбор участников. Используя опыт, полученный при подготовке сравнения SIEM-систем, решено было отобрать для первой части сравнения оптимальное число решений, а точнее — семь наиболее популярных на российском рынке разработок отечественных и зарубежных производителей.
- Cisco Firepower (Cisco Systems) на FTD OS 6.4
- Check Point Security Gateway и Sandblast Network на R80.20 (Check Point Software Technologies)
- Fortinet FortiGate на FortiOS 6.0 (Fortinet)
- Huawei USG 5.0
- Palo Alto Networks NGFW на PAN-OS 9.0 (Palo Alto Networks)
- Континент 4.0 («Код Безопасности»)
- UserGate («Юзергейт»)
Хотелось бы отметить, что представители всех указанных производителей принимали непосредственное участие в финальной стадии, где нужны были некоторые пояснения и проверка сведений в сравнительной таблице.
Важно оговориться, что, готовя это сравнение, мы не ставили целью назвать лучших, мы констатировали факты о продуктах в соответствии с критериями сравнения. Выводы о выборе решения, наиболее подходящего под потребности и возможности конечного потребителя, может сделать только он сам.
Сравнение универсальных шлюзов безопасности USG (NGFW)
Общие сведения
Архитектура NGFW/USG
Функции межсетевого экранирования в NGFW/USG
Создание виртуальных частных сетей VPN
Поддержка сетевых сервисов
Функции прокси (Proxy)
Основные функции NGFW
Дополнительные функции NGFW
Аутентификация в NGFW/USG
Высокая доступность и кластеризация NGFW/USG
Централизованное управление NGFW/USG
Мониторинг работы и система отчетности в NGFW/USG
Возможности интеграции NGFW/USG
Техническая поддержка
Лицензирование NGFW/USG
Методика выбора оптимального USG или NGFW
Далее мы публикуем краткую инструкцию по проведению индивидуальной экспертной оценки NGFW и USG собственными силами, которая поможет, ориентируясь на данные из таблицы, оценить применимость представленных решений к вашим задачам. Она основана на известной методике «домик качества», изложенной в статье "Методика выбора оптимального средства защиты информации".
Для примера приведем ниже краткий вариант, но вполне возможно по указанному методу развернуть все критерии, приведенные в таблице, и полностью оценить соответствие продуктов вашим нуждам.
1-й шаг — определение списка потребностей, в отсортированном по приоритетности порядке. Берем условный список и проставляем индекс значимости (1-9):
- Простота установки — 9
- Импортозамещение — 7
- Простота использования — 5
- Оперативность реагирования — 3
- Стоимость закупки и эксплуатации — 1
Индекс проставляется в соответствии с вашей экспертной оценкой, при наличии достаточных обосновывающих факторов.
2-й шаг — определение технических характеристик. Мы для упрощения возьмем группы критериев, приведенные в нашем сравнении выше. Для подсчета в более достоверном варианте можно начать с критериев и подгрупп, при переходе на уровень выше определяя среднее значение. Предлагается, ориентируясь на информацию в таблице, заполнить поля весовыми значениями от 0 до 9, а затем по итогам выставить среднее значение для каждой группы критериев.
Таблица 1. Выставление значений
Для нас основным показателем будет связь критерия и потребности:
- Сильная связь — умножаем значение критерия на индекс значимости, разделенный на 100.
- Средняя связь — умножаем значение критерия на индекс значимости, разделенный на 200.
- При отсутствии связи между критерием и потребностью — проставляется 0.
Итак, попробуем применить полученные значения критериев (Таблица 1) относительно наших потребностей, определенных выше.
Таблица 2. Оценка значимости критериев
Простота установки (0,9)
Простота использования (0,5)
Оперативность реагирования (0,3)
Стоимость закупки и эксплуатации (0,1)
При таком расчете можно определить предпочтительное решение простой подстановкой значений из таблицы 1 в таблицу 2. При этом, если показатели систем различаются незначительно (как в рассматриваемом случае), то итоговое значение будет наглядным. Поэкспериментировав на наших умозрительных данных, получаем таблицу 3.
Таблица 3. Результаты выбора
Таким образом, учитывая определенные нами цели, стратегию компании и оценку критичности влияющих факторов, можно отдать предпочтение наиболее подходящему нам NGFW — №3.
Выводы
На этапе подготовки данного детального сравнения многофункциональных шлюзов безопасности мы не ставили перед собой задачу выявить лидера. Основная цель была иной: помочь организациям понять объём функциональности, поддерживаемой современными решениями класса NGFW/USG, а также предоставить возможность компаниям, которые ознакомились с представленными нами критериями оценки и результатами сравнения, самостоятельно решить, какой из рассмотренных продуктов, с каким функциональным наполнением, какого именно вендора наиболее подходит для закрытия их насущных потребностей. Это даёт нам право предположить, что данное сравнение будет отличным источником информации для составления актуальных списков ожиданий, позволит проводить внутренние сравнительные анализы, эффективные пилоты и в итоге поможет прийти к правильному выбору нужного инструмента.
Понимая интерес и важность получения полной картины предложений на рынке решений многофункциональных шлюзов безопасности, мы опубликовали вторую часть данного обзора, где проведено сравнение решений данного класса от производителей, не попавших в первую часть сравнения. Также можете ознакомиться с методикой выбора оптимального средства защиты информации.
Денис Батранков, Консультант по информационной безопасности, Palo Alto Networks
Михаил Кадер, Заслуженный инженер, Cisco Systems
Михаил Текунов, Технический архитектор, "Северсталь-инфоком"
Никита Дуров, Технический директор представительства, Check Point Software Technologies в России
Сергей Забула, Руководитель группы консультантов ИБ, Check Point Technologies в России
Алексей Андрияшин, Технический директор в России и странах СНГ, Fortinet
Михаил Шпак, Технический директор департамента корпоративных сетевых решений, Huawei
Алмаз Мазитов, Менеджер по продуктам безопасности, Huawei
Павел Коростелев, Руководитель отдела продвижения продуктов, "Код Безопасности"
Вадим Плесский, менеджер по маркетингу, Usergate
.
и еще 160 активным и не очень участникам открытой группы Сравнение NGFW.
Мы продолжаем цикл статей, посвященных тематике комплексной ИТ- интеграции.
И сегодня мы хотим поговорить об одной из отечественных разработок, которую мы как интеграторы можем предложить нашим заказчикам для решения задачи обеспечения безопасности периметра сети. Особенно это актуально в условиях секционной политики и требований импортозамещения.
Введение санкций стало вызовом, в том числе, для инженеров, которые получили сертификацию, огромную базу знаний по решениям иностранных вендоров, но в какой-то момент были вынуждены оперативно перестроиться на «новую волну», фактически многое начав заново.
На новый уровень пришлось выйти и отечественным разработчикам, чтобы в кратчайшие сроки предложить достойную альтернативу лидерам IT-решений. Сейчас уже можно сказать, что получается у них довольно неплохо. Перейдем к конкретному примеру, а именно -межсетевому экрануUserGate. Кратко рассмотрим, какие задачи он позволяетт нам решать, и какой в него заложен потенциал для развития.
Итак, давайте поговорим о том, что же предлагает UserGate из функционала, и в каких сферах может быть применен.
Рисунок 1 – Функционал межсетевых экранов UserGate
Рисунок 2 – Сферы применения межсетевых экранов UserGate
Разработчики очень много времени внимания уделили созданию собственной платформы, которая не опирается на использование чужого исходного кода и сторонних модулей. UserGate работает на базе специально созданной и постоянно поддерживаемой и развивающейся операционной системы UG OS.
По сути, UserGate представляет собой универсальный интернет-шлюз класса Unified Threat Management (единая защита от угроз), объединяющий функционал межсетевого экрана, маршрутизатора, шлюзового антивируса, системы обнаружения и предотвращения вторжений (СОВ), VPN-сервера, системы контентной фильтрации, модуля мониторинга и статистики и многое другое. Продукт позволяет управлять сетью компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы.
Рассмотрим подробнее, что может предложить UserGate в плане функционала безопасности сети и защиты от сетевых угроз.
Межсетевое экранирование
Встроенный в UserGate межсетевой экран нового поколения (NGFW — Next Generation Firewall) фильтрует трафик, проходящий через определенные протоколы (например, TCP, UDP, IP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов.
Обнаружение и предотвращение вторжений
Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз в режиме реального времени, а также предоставление отчетов. Администратор может создавать различные СОВ-профили (наборы сигнатур, релевантных для защиты определенных сервисов) и задавать правила СОВ, определяющие действия для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями.
Антивирусная проверка трафика
Потоковый антивирус UserGate позволяет обеспечить антивирусную проверку трафика без ущерба для производительности и быстродействия сети. По заявлению вендора модуль использует обширную базу сигнатур, которая постоянно обновляется. В качестве дополнительной защиты можно подключить модуль эвристического анализа.
Проверка почтового трафика
UserGate способен обрабатывать транзитный почтовый трафик (SMTP(S), POP3(S)), анализируя его источник, а также содержание письма и вложений, что гарантирует надежную защиту от спама, вирусов, pharming- и phishing- атак. UserGate также предоставляет возможность гибкой настройки фильтрации почтового трафика по группам пользователей.
Работа с внешними системами безопасности
Управление АСУ ТП
В новой версии платформы появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП) и управления ей. Администратор может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля и вмешательства человека при необходимости.
Настройка политик безопасности при помощи сценариев
UserGate позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря автоматизации безопасности при помощи механизма сценариев (SOAR — Security Orchestration, Automation and Response). Эта концепция находится на пике популярности и позволяет администратору создавать сценарии (запускаемые по плану или при обнаружении атаки), где прописываются автоматические действия в ответ на те или иные события. Такой подход обеспечивает гибкую настройку политик безопасности, сокращает участие человека благодаря автоматизации повторяющихся задач, а также дает возможность приоритезировать сценарии для скорейшей реакции на критичные угрозы.
А теперь посмотрим, какие технологии предлагает UserGate для обеспечения решения задач отказоустойчивости и надёжности.
Поддержка кластеризации и отказоустойчивости
UserGate поддерживает 2 типа кластеров: кластер конфигурации, позволяющий задать единые настройки узлам в рамках кластера, и кластер отказоустойчивости, призванный обеспечить бесперебойную работу сети. Кластер отказоустойчивости может работать в двух режимах: Актив-Актив и Актив-Пассив. Оба поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другие.
Поддержка нескольких провайдеров
При подключении системы к нескольким провайдерам UserGate позволяет настроить для каждого из них свой шлюз для обеспечения доступа к интернету. Администратор также может скорректировать балансировку трафика между провайдерами, указав вес каждого шлюза, или указать один из шлюзов как основной с переключением на других провайдеров в случае недоступности основного шлюза.
Управление пропускной способностью
Правила управления пропускной способностью служат для ограничения канала для определенных пользователей, хостов, сервисов или приложений. Кроме всего прочего, в продуктах UserGate реализован довольно широкий функционал маршрутизации трафика и публикации локальных ресурсов.
В принципе, ничего инновационного, но для того, чтобы инженеры заказчика чувствовали себя относительно спокойно, этих технологий вполне достаточно.
Управление трафиком и контроль доступа в интернет
Если есть доступ в интернет, есть и задача контроля трафика. Еще не так давно большинство корпоративных клиентов было заинтересовано прежде всего в минимизации расходов на доступ в интернет (особенно это касалось небольших фирм) и безопасности (эту задачу давно с успехом решает всевозможное антивирусное ПО). Сегодня все больше внимания уделяется тому, как сотрудники используют Сеть и как сделать так, чтобы их действия не угрожали безопасности бизнес критичных сервисов.
Применение модуля интернет-фильтрации обеспечивает административный контроль за использованием интернета и блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой. Для анализа безопасности ресурсов, запрашиваемых пользователями, используются репутационные сервисы, MIME-типы контента (фото, видео, тексты и др.), специальные морфологические словари, предоставляемые UserGate, а также черные и белые списки URL. С помощью Useragent администратор может запретить или разрешить работу с определенным типом браузеров. UserGate предоставляет возможность создавать собственные черные и белые списки, словари, MIME-типы, морфологические словари и Useragent, применяя их к пользователям и группам пользователей. Даже безопасные сайты могут содержать нежелательные изображения на баннерах, содержимое которых не зависит от владельца ресурса. UserGate решает эту проблему, блокируя баннеры, защищая пользователей от негативного контента. У UserGate, есть, на наш, очень интересная функция инжектирования кода на web-страницы. Она позволяет вставить необходимый код во все web-страницы, которые просматривает пользователь. Далее администратор может получать различные метрики на каждый элемент страницы и при необходимости скрывать различные элементы от показа на web-страницах.
UserGate помогает принудительно активировать функцию безопасного поиска для систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. С помощью такой защиты возможно добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видеоконтенту. Также можно заблокировать поисковые системы, в которых не реализована функция безопасного поиска. Кроме того, у администраторов есть инструментарий для блокировки игр и приложений в наиболее популярных социальных сетях, при том, что доступ к самим социальным сетям может быть разрешен.
Платформа поддерживает различные механизмы авторизации пользователей: Captive-портал, Kerberos, NTLM, при этом учетные записи могут поступать из различных источников — LDAP, Active directory, FreeIPA, TACACS+, Radius, SAML IDP. Авторизация SAML IDP, Kerberos или NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) подключить пользователей домена Active Directory. Администратор может настроить правила безопасности, ширину канала, правила межсетевого экранирования, контентной фильтрации и контроля приложений для отдельных пользователей, групп пользователей, а также всех известных или неизвестных пользователей. Дополнительно к этому продукт поддерживает применение правил безопасности к пользователям терминальных служб с помощью специальных агентов (Terminal Services Agents), а также применение агента авторизации для Windows-платформ. Для обеспечения большей безопасности учетных записей существует возможность использовать мультифакторную аутентификацию с помощью токенов TOTP (Time-based One Time Password Algorithm), SMS или электронной почты. Функционал предоставление временного доступа у сети может пригодиться для гостевого WiFi с подтверждением через email или sms. При этом администраторы могут создавать отдельные настройки безопасности для каждого временного клиента.
Заключение
В этой статье мы постарались кратко рассказать о том функционале, который реализован на платформе межсетевых экранов UserGate. Пока за скобками остались и технологии организации виртуальных сетей для геораспределной сети, и безопасный доступ пользователей к ресурсам компании и т.д.
Все эти темы, вплоть до примеров конфигураций различных технологий, запланированы в следующих статьях, посвященных платформе UserGate.
Эта первая статья из планируемого цикла статей о продукции отечественной компании UserGate (ООО «Юзергейт»), которая разрабатывает технологии, обеспечивающие безопасность доступа в интернет и управление пользователями и улучшению качества интернет-доступа. Основной офис UserGate находится в Технопарке Академгородка Новосибирска, также имеются офисы в Москве и Хабаровске, что позволяет им осуществлять деятельность во всех часовых поясах России. Но сначала мы немного расскажем об истории развития данной компании:
Российская компания ООО «Юзергейт», выпускающая решения в области информационной безопасности, долгое время работала под брендом Entensys. Они создавали продукты предназначенные в основном для малого и среднего бизнеса под операционную систему Windows. Далее в рамках внутреннего стартапа началась разработка новой платформы UGOS (usergate operation system). В 2013 году на основе UGOS был выпущен популярный продукт UserGate Web Filter, который стал использоваться крупнейшими операторами связи и провайдерами публичного Wi-Fi-доступа, высшими и средними образовательными учреждениями. В 2016 году выпущен UserGate UTM – это была уже система все-в-одном, т.е. комплексная защита. Уже в 2018 году началась разработка собственных аппаратных платформ.
Таким образом развитие компании разделяется на три этапа представленных ниже:
В настоящее время UserGate стал решением Next Generation Firewall и конкурирует с зарубежными аналогами, такими как Check Point , Fortinet , Cisco и другими.
Теперь подробнее о межсетевом экране UserGate:
Межсетевые экраны UserGate разработаны на базе собственной операционной системы UGOS и поставляются либо в виде виртуального образа, либо как готовый к использованию программно-аппаратный комплекс. Актуальной версией является UserGate 5.x. В текущем 2020 году компания планирует выпустить новую версию UserGate v.6, где подготавливается около 200+ новых функций. Также рассчитывают выпустить Usergate Management Center для централизованного управления всеми платформами UserGate без потери целостности управления (пока платформа управляется через web-интерфейс и CLI, аппаратные платформы UserGate UTM модели D, E и F оснащены модулем IPMI (Intelligent Platform Management Interface), предлагают удаленное управление и мониторинг аппаратной части). В этом году (2020) уже выпущен продукт Log Analyzer (далее LogAn) позволяющей переложить обработку журналов, создание отчетов и процессинг других статистических данных на внешний сервер LogAn, объединить журналы с нескольких шлюзов UserGate для общего анализа, увеличить глубину журналирования за счет большего размера хранилища на серверах LogAn, собирать по SNMP и анализировать информацию со сторонних устройств. LogAn поставляется в виде программно-аппаратного комплекса (ПАК, appliance) либо в виде образа виртуальной машины (virtual appliance), предназначенного для развертывания в виртуальной среде.
Планируется запуск аппаратного ускорителя «Катунь» для платформ D, E и F (подробнее о линейке платформ ниже). Основное назначение ускорителя — это выполнение наиболее ресурсозатратных операций, связанных с анализом интернет-трафика, с отражением вторжений и другими функциями безопасности. Данный ускоритель позволит разгрузить основную систему. По информации с сайта UserGate за процессором могут оставаться задачи управления и какие-либо части алгоритма, имеющие ветвления и не поддающиеся распараллеливанию.
Использование аппаратных ускорителей дает массу очевидных преимуществ, среди которых:
- масштабируемость — суммарная мощность системы определяется количеством установленных однородных плат — такое решение значительно выгоднее, чем набор разнородных платформ;
- нет требований к предельно высокой производительности CPU, т. к. основная «тяжелая» работа будет перенесена на ускорители;
- лучшие (по сравнению с платформами на закрытой архитектуре) гарантии безопасности;
- полный контроль (в отличие от «классической» системы) над латентностью;
- низкое энергопотребление и тепловыделение, что особенно важно для центров обработки данных;
- уменьшение габаритов;
- снижение стоимости оборудования, способного обеспечивать обработку трафика на высоких скоростях.
UserGate Серия C.Данная серия представлена моделью C100. Этот шлюз подойдет для малого бизнеса, филиалов, POS-систем, ритейла, предприятий образования из-за своих малых размеров и цены.
Производительность:
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 2 000 |
Одновременных TCP сессий | 2 000 000 |
Новых сессий в секунду | 34 000 |
Инспектирование SSL (Мбит/с) | 70 |
Система обнаружения вторжений (IPS), (Мбит/с) | 800 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 1 000 |
Управление приложениями L7, (Мбит/с) | 850 |
Потоковый антивирус, (Мбит/с) | 200 |
Контентная фильтрация, (Мбит/с) | 200 |
Рекомендованное количество пользователей | до 100 |
Производительность:
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 800 |
Одновременных TCP сессий | 2 000 000 |
Новых сессий в секунду | 10 000 |
Инспектирование SSL (Мбит/с) | 10 |
Система обнаружения вторжений (IPS), (Мбит/с) | 50 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 70 |
Управление приложениями L7, (Мбит/с) | 60 |
Потоковый антивирус, (Мбит/с) | 15 |
Контентная фильтрация, (Мбит/с) | 15 |
Рекомендованное количество пользователей | до 5 |
UserGate серия D представлена двумя моделями D200 и D500. Данные модели отличаются производительностью, способными обеспечить безопасность предприятий небольшого и среднего размера с несколькими сотнями пользователей (для среднего бизнеса, предприятий образования, медицины, государственных структур и крупных филиалов).
Производительность:
Модель | D200 | D500 |
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 18 000 | 20 000 |
Одновременных TCP сессий | 8 000 000 | 16 000 000 |
Новых сессий в секунду | 145 000 | 160 000 |
Инспектирование SSL (Мбит/с) | 400 | 750 |
Система обнаружения вторжений (IPS), (Мбит/с) | 1 600 | 2 000 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 2 000 | 3 000 |
Управление приложениями L7, (Мбит/с) | 1 700 | 2 100 |
Потоковый антивирус, (Мбит/с) | 1 500 | 2 000 |
Контентная фильтрация, (Мбит/с) | 1 500 | 2 000 |
Рекомендованное количество пользователей | до 300 | до 500 |
UserGate серия E представлена двумя моделями E1000, E3000 и способна решать задачи по защите от всевозможных интернет-угроз в сетях с количеством пользователей до тысячи и более. Данная серия предназначается для использования в основном для крупных банков и заводов, администраций, ведомственных подразделений, крупных образовательных учреждений.
Производительность:
Модель | E1000 | E3000 |
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 25 000 | 30 000 |
Одновременных TCP сессий | 16 000 000 | 16 000 000 |
Новых сессий в секунду | 170 000 | 182 000 |
Инспектирование SSL (Мбит/с) | 1 000 | 1 300 |
Система обнаружения вторжений (IPS), (Мбит/с) | 2 800 | 3 900 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 3 900 | 4 800 |
Управление приложениями L7, (Мбит/с) | 2 800 | 3 900 |
Потоковый антивирус, (Мбит/с) | 2 300 | 3 300 |
Контентная фильтрация, (Мбит/с) | 2 300 | 3 300 |
Рекомендованное количество пользователей | до 1 000 | до 3 000 |
UserGate серия F. Данная серия представлена моделью F8000. Она подходит для крупных корпоративных сетей, ритейла, дата-центров, высших учебных заведений, министерств.
Производительность:
Пропускная способность межсетевого экрана, UDP (Мбит/с) | 57 000 |
Одновременных TCP сессий | 48 000 000 |
Новых сессий в секунду | 448 500 |
Инспектирование SSL (Мбит/с) | 2 000 |
Система обнаружения вторжений (IPS), (Мбит/с) | 8 000 |
Система обнаружения вторжений (IDS), span-порт, (Мбит/с) | 14 000 |
Управление приложениями L7, (Мбит/с) | 8 000 |
Потоковый антивирус, (Мбит/с) | 4 000 |
Контентная фильтрация, (Мбит/с) | 4 000 |
Рекомендованное количество пользователей | до 10 000 |
Межсетевой экран может быть развернут на виртуальной инфраструктуре. При этом поддерживается работа с любыми гипервизорами, такими как VMware, Hyper-V, Xen, KVM, OpensStack, VirtualBox, а также в облачных веб-сервисах, таких, как Amazon EC2 и Microsoft Azure. Функциональность эквивалентна той, что предоставляется аппаратными комплексами UserGate.
Платформа UserGate предоставляет многочисленные возможности по управлению функциями безопасности. Основные из них:
- расширенная защита от угроз – ATP;
- антивирусная защита;
- контроль интернет-приложений на уровне L7;
- безопасность электронной почты;
- корпоративный межсетевой экран;
- гостевой портал;
- использование в высоконагруженных системах;
- высокая отказоустойчивость и кластеризация;
- поддержка АСУ ТП (SCADA);
- наличие интернет-шлюза для контроля доступа в интернет;
- система обнаружения и предотвращения вторжений (IPS);
- контроль мобильных устройств;
- безопасная публикация ресурсов и сервисов;
- дешифрование SSL;
- анализ современных угроз (SOAR);
- контроль интернет трафика;
- идентификация пользователей;
- виртуальная частная сеть (VPN).
Ключевые факты
Если говорить о развитии платформы, то UserGate один из первых вендоров, который реализовал возможность инспектирования трафика TLS 1.3., также в июле 2020 года предоставил возможность расшифровывать TLS-трафик на уровне шлюза в случае использования алгоритмов, поддерживающих национальные стандарты ГОСТ. Эта возможность помимо стандартной SSL инспекции позволяет решать проблему, когда зарубежные браузеры и операционные системы не хотят принимать сертификаты, совместимые с ГОСТ.
Касательно требований законодательства РФ следует отметить, что на текущий момент Usergate удовлетворяет им и так как Usergate является отечественной компанией, то следует ожидать что межсетевые экраны будут удовлетворять им и в будущем. Например, UserGate сертифицированы ФСТЭК России (номер сертификата 3905 от 26.03.2018, действует до 26.03.2021) по требованиям к Межсетевым Экранам (4-й класс, профили А и Б) и к Системам Обнаружения Вторжений (4-й класс), а также по 4 уровню доверия.
Так же решение UserGate внесено Реестр Российского программного обеспечения (Регистрационный номер 1194). А в начале сентября продукт UserGate Log Analyzer добавлен в единый реестр российских программ для электронных вычислительных машин и баз данных по приказу Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 31 августа 2020 года.
Более подробно найти информацию о линейке продуктов и о каждом ее элементе можно на странице UserGate странице UserGate , так же там подробно описаны основные функции на платформе UserGate. Документация по решениям . Базы знаний по отдельным кейсам . Видео-материалы по отдельным кейсам . Вебинары и другие на этом youtube-канале. Так же есть платные курсы от УЦ Информзащита — многофункциональный межсетевой экран UserGate 5 и многофункциональный межсетевой экран UserGate 5. Продвинутый курс .
Читайте также: