Межсетевой экран FortiGate – сертификат ФСТЭК или новая версия ПО (5.6)
В прошлой нашей статье мы рассказали о возможностях фабрики сетевой безопасности Fortinet, которую с успехом используют для защиты корпоративных сетей и облачной и виртуальной инфраструктуры средний и крупный бизнес, а также облачные провайдеры. В данном материале подробнее затронем вопрос защиты персональных данных, так как оборудование от Fortinet имеет сертификат ФСТЭК и позволяет организовать работу с ними, в том числе и в рамках услуги «Облако ФЗ-152».
С 1 декабря 2016 года вступили в силу новые требования ФСТЭК к межсетевым экранам. Они заменили предыдущий вариант, действовавший с 1997 года. Новые требования значительно ужесточились. Стали обязательными некоторые функции безопасности, которых не было в прежнем документе. Для получения сертификации Fortinet пошла на беспрецедентный шаг и предоставила испытательной лаборатории полные тексты микрокодов для оборудования. Эта процедура позволила удостовериться, что программное и аппаратное обеспечение не содержит посторонних модулей.
Для чего нужен сертификат ФСТЭК
Сертификат ФСТЭК позволяет внедрять решения Fortinet в государственные и муниципальные организации, работающие с конфиденциальными сведениями.
В соответствии с информационным сообщением ФСТЭК «Об утверждении Требований к межсетевым экранам» от 28 апреля 2016 г. № 240/24/1986, устройства FortiGate можно использовать:
- в государственных информационных системах I класса защищенности;
- в автоматизированных системах управления производственными и технологическими процессами I класса защищенности;
- в информационных системах персональных данных при необходимости обеспечения I класса защищенности персональных данных;
- в информационных системах общего пользования II класса.
На время сертификации весь проверяемый код не допускает изменений. В результате сертифицирована операционная система FortiOS 5.4.1. На текущий момент актуальная версия FortiOS – 5.6. В использовании сертифицированной операционной системы есть свои недостатки – администраторы не могут воспользоваться всеми преимуществами новых версий. Но зато при обнаружении критичной уязвимости производитель по специальной процедуре может выпустить обновление для сертифицированной системы и по процедуре провести ускоренный инспекционный контроль – таким образом сам регулятор способствует поддержанию уже сертифицированных версий на высоком уровне безопасности!
Стоит отметить, что для FortiGate лицензированы функции межсетевого экрана и IDS/IPS, так что если нужна сертифицированная система обнаружения вторжений, тут FortiGate вне конкуренции. Однако если для защиты сети требуется установить сертифицированные средства криптографической защиты (СКЗИ), то их придется приобретать дополнительно.
Впрочем, для этого сценария можно использовать комбинированный шлюз безопасности от ЗАО «НИЦ», в который интегрирован и сертифицированный межсетевой экран FortiGate, и сертифицированное СКЗИ.
По сравнению с 5.4 версия 5.6 содержит следующие изменения:[Изменения версии 5.6]
- Версия 5.6 позволяет оперативно отслеживать состояние всех элементов безопасности с помощью интерфейса управления из одного окна.
- Более эффективная функция отслеживания Wi-Fi точек доступа, коммутаторов и «песочниц» FortiSandbox, что способствует повышению эффективности и централизации управления сетевыми компонентами и средствами защиты от продвинутых угроз.
- Для обеспечения оперативного принятия мер безопасности на основе полученных данных был разработан обновленный пользовательский интерфейс. Благодаря упрощенному интерфейсу администратор безопасности может легко обнаружить угрозу и расследовать инциденты, связанные с информационной безопасностью.
- Для повышения работоспособности сети обеспечения соответствия требованиям FortiOS6 предоставляет опережающие рекомендации по защите при помощи Security Fabric Audit.
- Управление безопасностью облачных ресурсов и программно-конфигурируемых глобальных сетей (software-definded WAN, SD-WAN). Решение обеспечивает контроль ресурсов, используемых клиентом в частных и публичных облаках, включая Amazon Web Services.
- «Матрицы безопасности» Security Fabric строятся самой Fortinet. Ко всему оборудованию, входящему в «матрицу» можно применять единую политику (например, по блокировке определенного ботнета).
- FortiExplorer позволяет осуществить настройку FortiGate прямо с вашего iPad или iPhone, подключившись к шлюзу через USB, и просматривать данные FortiView из любого удобного места.
Система мониторинга и отчетности FortiView в новой версии FortiOS была переработана таким образом, чтобы администраторы безопасности и системные администраторы могли быстро получать информацию о сетевом трафике и угрозах. Отделы информационной безопасности часто сталкиваются с необходимостью обнаружения трафика сети TOR. Предыдущие версии FortiOS предоставляли немного сведений об обнаруженном нарушении, и администраторам приходилось щелкать по вкладкам FortiView, чтобы получить больше данных.
В новой версии вся необходимая информация доступна в краткой и удобной форме.
Еще одна новая функция FortiOS, которую хотелось бы отметить, – Security Fabric Audit. Она позволяет проанализировать фабрики безопасности и предоставить рекомендации для эффективной работы конфигураций. Использование функции аудита позволяет быстро получить информацию о найденных критических уязвимостях. Запуск проверки выявляет потенциальные уязвимости и дает рекомендации по улучшению безопасности. В отчете отображаются результаты индивидуальных проверок по категориям:
- Прошивки и подписки
- Дизайн и политика сети
- Ведение журналов аудита и мониторинг
- Управление конечными точками
- Управление угрозами и уязвимостями
По результатам проверки выставляется общая оценка, которая может быть положительной и отрицательной. Устранение найденных недостатков повышает эту оценку. Таким образом, работа системных администраторов может быть оценена самим устройством.
Также оценка может использоваться для того, чтобы проверить, соответствуют ли принятые меры требованиям безопасности как самой организации, так и регуляторов, отраслевых стандартов и нормативов.
Чтобы постоянно видеть оценку Security Fabric Audit, на главный экран можно добавить виджет Security Fabric Score.
В настоящее время решения Fortinet являются единственными зарубежными межсетевыми экранами, сертифицированными ФСТЭК.
Решения FortiGate, получившие сертификат ФСТЭК:[Решения FortiGate]
- FortiGate-30E-LENC-CERT
- FortiGate-60E-LENC-CERT
- FortiGate-100D-LENC-CERT
- FortiGate-300D-LENC-CERT
- FortiGate-500D-LENC-CERT
- FortiGate-600D-LENC-CERT
- FortiGate-1500D-LENC-CERT
- FortiGate-2500E-LENC-CERT
- FortiGate-5001D-LENC-CERT
- виртуальная машина FG-VM-CERT
Сертификацию по таким же классам защиты прошли следующие программные и программно-аппаратные комплексы:
Класс защиты: ИТ.МЭ.А4.ПЗ
[table id=»121″ ] [tr][cell th=»on»]№ сертификата[/cell] [cell th=»on»]Дата внесения в реестр[/cell] [cell th=»on»]Срок действия сертификата[/cell] [cell th=»on»]Наименование средства[/cell][/tr] [tr][cell]3720[/cell] [cell]16.03.2017[/cell] [cell]16.03.2020[/cell] [cell]FortiGate[/cell][/tr] [tr][cell]3692[/cell] [cell]26.01.2017[/cell] [cell]26.01.2020[/cell] [cell]Программно-аппаратный комплекс защиты информации ViPNet Coordinator HW 4[/cell][/tr] [tr][cell]3834[/cell] [cell]04.12.2017[/cell] [cell]04.12.2020[/cell] [cell]Программно-аппаратный комплекс Traffic Inspector Next Generation[/cell][/tr] [/table]Класс защиты: ИТ.МЭ.Б4.ПЗ
[table id=»67″ ] [tr][cell th=»on»]№ сертификата[/cell] [cell th=»on»]Дата внесения в реестр[/cell] [cell th=»on»]Срок действия сертификата[/cell] [cell th=»on»]Наименование средства[/cell][/tr] [tr][cell]3720[/cell] [cell]16.03.2017[/cell] [cell]16.03.2020[/cell] [cell]FortiGate[/cell][/tr] [tr][cell]3834[/cell] [cell]04.12.2017[/cell] [cell]04.12.2020[/cell] [cell]Программно-аппаратный комплекс Traffic Inspector Next Generation[/cell][/tr] [tr][cell]3462[/cell] [cell]23.10.2015[/cell] [cell]23.10.2018[/cell] [cell]Kaspersky Security для виртуальных сред 3.0 Защита без агента[/cell][/tr] [tr][cell]3368[/cell] [cell]17.03.2015[/cell] [cell]17.03.2018[/cell] [cell]Kaspersky Security для виртуальных сред 3.0 Легкий агент[/cell][/tr] [tr][cell]3285[/cell] [cell]28.11.2014[/cell] [cell]01.07.2018[/cell] [cell]Программно-аппаратный комплекс ViPNet IDS 2.0[/cell][/tr] [tr][cell]3804[/cell] [cell]10.10.2017[/cell] [cell]10.10.2020[/cell] [cell]Программно-аппаратный комплекс ViPNet IDS 2.4[/cell][/tr] [/table]Сравним функции, имеющиеся у производителей сертифицированных межсетевых экранов:
[table id=»558″ ] [tr][cell th=»on»]Строка состояния[/cell] [cell th=»on»]FortiGate 500D-LENC-CERT[/cell] [cell th=»on»]Traffic Inspector Next Generation[/cell] [cell th=»on»]ViPNet IDS 2[/cell] [cell th=»on»]Kaspersky Security для виртуальных сред 3.0[/cell][/tr] [tr][cell]Пропускная способность[/cell] [cell]16 Гб/с[/cell] [cell]240–8000 Мб/c[/cell] [cell]950 Мбит/c[/cell] [cell]Зависит от быстродействия хост-системы[/cell][/tr] [tr][cell]Функции[/cell] [cell]Прокси-сервер, брандмауэр, антивирус, шейпер, VPN, антиспам, IDS/IPS, контроль приложений, контроллер точек доступа Wi-F, функции коммутатора L3[/cell] [cell]Прокси-сервер, Smtp-шлюз, брандмауэр, антивирус, шейпер, VPN[/cell] [cell]IDS[/cell] [cell] Брандмауэр, антивирус, IDS/IDP, защита VM/VDI[/cell][/tr] [/table]Устройства FortiGate 500D позволяют предоставить крупным и средним компаниям широкие возможности управления угрозами. Эти устройства полностью соответствуют всем установленным требованиям в ИТ.МЭ. А4.ПЗ и Б4.ПЗ (подходят для предотвращения несанкционированного доступа к данным, не относящимся к государственной тайне). Их можно устанавливать на границе между инфраструктурой предприятия и интернет-провайдером или внутри организации между сегментами сети.
Как видим, устройство FortiGate занимает лидирующую позицию среди других сертифицированных устройств. Преимущество Fortigate заключается и в богатых, уникальных функциях, и в высокой пропускной способности (благодаря специализированным процессорам безопасности), что позволяет использовать эти устройства в любых, даже самых сложных сценариях, включая защиту виртуальной инфраструктуры и облачных сред.