Фабрика сетевой безопасности от Fortinet

Оборудование компании Fortinet зарекомендовало себя для защиты как корпоративных сетей (в том числе частного облака), так и виртуальной инфраструктуры облачных провайдеров, заменяя несколько устройств с одной функцией. Наличие сертификата ФСТЭК позволяет организовать работу с персональными данными в рамках услуги «Облако ФЗ-152».

2017 год был успешным для Fortinet. Во-первых, Fortinet стал лидером по данным исследовательского материала Gartner Magic Quadrant за 2017 год, посвященного корпоративным брандмауэрам. Во-вторых, программно-аппаратные комплексы FortiGate получили сертификат ФСТЭК. О том, что это такое, мы поговорим позже, а сначала выясним, почему же Fortinet стал лидером. Чтобы ответить на этот вопрос, необходимо рассмотреть, что сейчас происходит на рынке информационной безопасности и что становится драйвером развития отрасли.

Наиболее актуальными на сегодняшний день представляются следующие вызовы и угрозы безопасности:

• Повсеместное использование мобильных устройств приводит к увеличению рисков их заражения, кроме того, смартфоны и планшеты подвержены атакам типа Man-in-the-Middle.
• Широкое распространение устройств IoT (устройств, подключенных к интернету, у которых нет встроенных систем безопасности). Они применяются для создания ботнета, который уже может использоваться для атаки на инфраструктуру компании.
• Рост скорости подключения к интернету приводит к тому, что вредоносного кода доставляется все больше. Из-за того, что средний срок жизни malware составляет меньше минуты, их невозможно распознать с помощью традиционных антивирусов с сигнатурным методом обнаружения.
• Одним из новейших вызовов стал рост количества шифрующих вредоносных кодов. На сегодняшний день более 50% malware — шифровальщики.

Атаки становятся все более и более сложными, и объем их растет, поскольку злоумышленники (а обычно это высококвалифицированные специалисты) имеют высокую финансовую мотивацию для совершения атак.

Все эти угрозы, а также рост облачных вычислений и технологий приводят к тому, что границы сетей размываются, а периметр сети теперь не находится на границе с публичным интернетом. Что касается драйвера развития отрасли, то, как показали исследования аудиторской фирмы Ernst&Yang, главным драйвером передового рынка информационной безопасности стала необходимость соответствия нормативным актам и законодательству.

Раньше информационная безопасность (ИБ) в бизнесе рассматривалась как страховка — достаточно было внедрить решение и продолжать заниматься своей основной деятельностью. Впрочем, прогресс на рынке информационной безопасности, как и рост угроз привели к тому, что ИБ становится активом компании. Это характерно и для России, где большинство хороших специалистов дают положительную оценку влияния на информационную безопасность таких законов, как «О персональных данных», стандарта банка России «Обеспечение информационной безопасности организаций банковской системы РФ» и т.д.

От брандмауэра к фабрике безопасности

Для противодействия перечисленным угрозам и вызовам компания Fortinet предложила концепцию Fortinet Security Fabric (фабрика безопасности). Это уже третье поколение архитектуры сетевой безопасности после межсетевых экранов с инспекцией пакетов (Stateful Packet Inspection) и межсетевых экранов следующего поколения (NGFW).

Фабрика безопасности позволяет разным элементам обеспечения безопасности (таким как межсетевые экраны, средства анализа контента и приложений, антивирусы и прочие продукты Fortinet) объединяться и обмениваться информацией. Фабрика безопасности передает трафик на специализированные устройства и получает от них ответы. В случае, если трафик содержит вредоносный код, эти устройства могут сформировать динамическую сигнатуру, которая будет применена на шлюзе безопасности.

Три кита фабрики безопасности:

1. Всеобъемлемость

Fortinet Security Fabric защищает от всех векторов атаки. При этом администраторы видят все элементы инфраструктуры, включая устройства IoT, точки доступа, ЦОДы, облака, приложения и даже сами данные. Это позволяет защитить все сегменты сети, потому что внутренний трафик остается все время под контролем.

2. Мощность

Компоненты фабрики безопасности используют процессоры безопасности Fortinet (Security Processor Unit, SPU). Они специально разработаны для повышения производительности и масштабируемости так, чтобы пропускная способность сети не страдала от предпринимаемых мер безопасности.

3. Автоматизация

Fortinet Security Fabric реагирует на угрозы очень быстро. Фабрика безопасности автоматически определяет и динамически изолирует зараженные устройства и сегменты сети, отключает некорректные политики и правила, удаляет вредоносный код. Политики и правила безопасности автоматически применяются при добавлении новых устройств или при росте нагрузки на сегменты сети.

Флагманские продукты Fortinet — это шлюзы безопасности FortiGate, которые объединяют в себе различные функции. Линейка моделей достаточно широкая, и потребитель может выбрать устройство под свои задачи и потребности.

Шлюз безопасности FortiGate 500D

Рассмотрим одно из популярных устройств, предназначенное для защиты сети среднего размера, FortiGate 500D. Это устройство получило сертификат ФСТЭК. Мозгом FortiGate являются алгоритмы, созданные в лаборатории Fortiguard. Специалисты Fortiguard в режиме реального времени адаптируют сигнатуры и предоставляют наиболее актуальные базы данных для наших устройств. Обновление базы данных требует активной подписки, без нее устройство будет работать с той базой, которая была у устройства на момент отказа, и обеспечит функции межсетевого экрана и VPN.

Краткие технические характеристики:

• Анализ содержимого трафика проводится процессорами FortiASIC CP8.
• Управление сетевым трафиком обеспечивают процессоры FortiASIC NP6.
• Обширная функциональность, включающая контроль приложений, ускоренную производительность IPS/AV, локальное логирование и настройку политик безопасности.
• IPv6-совместимая платформа.
• Интегрированное устройство хранения данных.
• Общая консоль управления, что позволяет ускорить внедрение и контроль устройствами.

Порты:

• Console Port (RJ45).
• 2x USB Ports.
• 2x GE RJ45 Management Ports.
• 8x GE SFP Slots.
• 8x GE RJ45 Ports.
• FRPS Connector.

Технические характеристики

Сетевая функциональность

Операционная система FortiOS поддерживает следующие сетевые технологии:

• Сетевые сервисы — NTP, DNS и DHCP.
• Взаимодействие с WAN по технологиям PPPoE и DDNS.
• Протоколы динамической маршрутизации — RIPv1 и v2, OSPF v2 и v3, ISIS, BGP4.
• Многоадресный трафик: рассеянный и плотный режимы, поддержка PIM.
• Статическая маршрутизация и маршрутизации на основе политик.
• Балансировка нагрузки WAN по алгоритму маршрутизации множественных путей ECMP (Equal Cost Multi-Path) и резервирование.
• Контекстно-зависимая маршрутизация: WCCP & ICAP.
• Поддержка IPv6: управление через IPv6, протоколы маршрутизации IPv6, туннелирование IPv6, МСЭ и UTM для IPv6-трафика, NAT46, NAT64, IPv6 IPSEC VPN.
• Разные режимы функционирования интерфейса: сниффер, агрегация портов, loopback, VLAN (802.1Q и Trucking), аппаратный и программный коммутатор.

Очень часто требования по доступности является критическим для современных сетей, так как ИТ-инфраструктура тесно связана с работоспособностью бизнеса и сервисов. Операционная система FortiOS обеспечивает полный набор настроек для кластера высокой доступности (HA), в том числе:

• Резервный интерфейс heartbeat.
• Запасной интерфейс контроля HA.
• Обнаружение отказа: мониторинг портов, локальных и удаленных соединений.
• Функции аварийного переключения: с учетом состояния (stateful), subsecond.
• Оповещение при обнаружении отказа через логирование событий и SNMP.
• Различные режимы: Active-Passive, Active-Active, виртуальные кластеры, VRRP.

FortiOS дает возможность не только контролировать сетевой трафик, но и повысить доступность, удобство пользователей в разрезе доступа к важным приложениям, используя WAN-оптимизацию и ограничивая поток разнообразного трафика, путем точечного снижения пропускной способности.

Система использует веб-кэширование, а также другие способы оптимизации, для осуществления чувствительных обращений к базам данных. Ширина канала и приоритетность потоков, приложений и т.д. может определяться администратором.

FortiOS включает в себя возможность создания виртуальных систем, под названием VDOM. Системы разделяют брандмауэр FortiGate на определенное количество (вплоть до двухсот пятидесяти) виртуальных блоков, где каждый работает независимо от других.

Каждый виртуальный домен способен обеспечить обособленную межсетевую защиту, маршрутизацию, VPN и next-gen серверы. Весь трафик каждого домена (как входящий, так исходящий) не зависит от остальных VDOM.

Функции безопасности

• Брандмауэр. Главная задача межсетевого экрана на FortiOS — контроль любого трафика в сети методом анализа пакетов и выдачи разрешения/запрета согласно набору определенных правил. В то же время остальные функции, например, логирование и авторизацию, возможно расширить благодаря FortiAnalyzer. Применяя политики, «конструкция» FortiGate раздает права как на входящие пакеты и данные в сети, так и исходящие; определяет ширину канала для других пользователей.
• Решение Fortinet VPN позволяет компаниям внедрять зашифрованное соединение и обеспечивать защиту передачи информации между числом сетей и хостов, с использованием протоколов IPsec и SSL VPN. Кроме того, есть поддержка других технологий VPN. Потенциал обоих VPN-сервисов увеличивается за счет использования уникальных процессоров FortiASIC, которые ускоряют операции шифрования и дешифрования сетевого трафика. По завершении дешифрования трафика для всех данных, что проходят по VPN-туннелю, может использоваться большое число утилит проверки присутствия угроз, включая фаерволлы, антивирусы, анти-интрузивные системы, контроль приложений, программы фильтрации е-mail и сетевые фильтры.
• Intrusion Prevention System (аппаратная система безопасности) на FortiOS может предложить большой перечень функций, полезных для отслеживания и блокировки недобросовестной активности в сети, в том числе: «по умолчанию» и сконфигурированные сигнатуры, расшифровка протокола, правило управления через вспомогательный канал (режим однорукого IPS), логирование пакетов и IPS-сенсоры. Последние гарантируют единый набор инструментов с комфортной установкой и конфигурацией. Технология IPS поддерживает автоматические обновления сервисов FortiGuard, которые обладают базой данных с тысячами уникальных сценариев атак, в том числе критических уязвимостей.
• Программный контроль. Без контроля приложений не обойтись, особенно для управления большим числом новых интернет-технологий, наводнивших современные сети. Решение по контролю приложений от Fortinet имеет широкий функционал и усиленно в связи с наличием одной из самых больших в мире базы данных сигнатур — базы данных по контролю программных решений FortiGuard. Это дает возможность контролировать более трех тысяч разных веб-приложений, продуктов, а также сетевых сервисов и различных протоколов. Также админы имеют возможность визуально отслеживать загруженность сети благодаря специальной системе мониторинга и отчетности FortiView, отражающую данные о приложениях в real-time режиме. FortiView позволяет узнать, какие приложения загружают сетевую инфраструктуру, что очень важно, если вы хотите понять, что происходит в высокоскоростных и распределенных сетях.
• Антивирус. Антивирусная концепция Fortinet совмещает метод детекции вирусов на основе идентификаторов и эвристический метод, благодаря чему обеспечивается многоуровневая real-time защита как от старых, так и самых новых вирусов, шпионского программного обеспечения, а также иных видов атак путем проникновения через интернет-трафик, электронную почту и обмен файлами. Обработчики контента FortiASIC значительно ускоряют функционирование антивирусной защиты как в прокси-режиме, так и при сквозной обработке трафика (flow-режим). Мониторинг анонимных и направленных атак возможен с помощью передачи (инъекция) опасных файлов в облачные или серверные системы проверки неизвестных подозрительных объектов (если у вас есть устройство FortiSandbox или подписка на услугу FortiSandbox Cloud).
• Веб-фильтрация. Не считая стандартные списки блокировки URL, спектр способностей FortiOS в сфере фильтрации интернет-трафика предлагают огромный набор процедур по детализированному контролю периметра, а именно: наблюдение, оповещение пользователя или создание исключений для определенных пользователей. С помощью технологии FortiOS по фильтрованию контента, FortiGate может распределять и фильтровать интернет-трафик по различным стандартным и пользовательским правилам, что предоставляются приложением облачной базы данных FortiGuard. FortiOS имеет и более продвинутые возможности, такие как «принуждение к безопасному поиску» и «предотвращение уклонения от прокси», чтобы гарантировать безопасную работу защищаемых пользователей. Операторам связи наверняка понравится функция офлайн-фильтрации, позволяющая автоматически блокировать доступ к запрещенным ресурсам, опубликованным на сайте Единого реестра запрещенных ресурсов.
• Утилита FortiOS способная предотвращать утечки информации, использует техники сравнения с образцом, основываясь на базе сложных паттернов и определения пользователей для обнаружения и предупреждения анонимной передачи конфиденциальных данных, а также файлов по сети. Возможности Fortinet DLP не ограничиваются на малом: технология опознавания «цифровых отпечатков», поиска исходного файла, расширенный сценарий сопоставления и архивирование информации.

Дополнительные возможности

FortiOS предоставляет возможность расширить границы сетевой защиты, открывая доступ к управлению вспомогательными интерфейсами и периферийными программами безопасности. Это дает полезные преимущества, например, упрощение запуска систем безопасности, а также снижение издержек по содержанию. Механизмы FortiGate могут увеличивать собственный функционал и набор интерфейсов, благодаря возможностям не только коммутатора, но и беспроводного контроллера. Система FortiOS способна работать в роли контроллера доступа для точек FortiAP и свитчей FortiSwitch, обеспечивая такой набор возможностей:

• Управление и расшаривание конфигурации локальных и удаленных точек и свитчей.
• Конфигурация доступа и способа авторизации для SSID или VLAN (есть поддержка captive portal).
• Высокий уровень безопасности WiFi — подавление анонимных точек доступа и совместимость с технологией предупреждения вредоносных инъекций Wireless IDS.
• Поддержка разных wireless технологий: быстрый роуминг, регулировка точек доступа, многоканальные системы, wireless bridging.

FortiOS упрощает развертывание СБ для пользователей мобильных устройств. Особое ПО FortiClient Endpoint Security предлагает усиленную защиту мобильных устройств, работающих под управлением систем Mac OS, Windows 10 и способно подгружать настройки безопасности в программы пользователя, включая конфигурацию антивируса, фильтрацию сети, брандмауэр и VPN. Также поддерживается клиентское программное обеспечение для защиты мобильных устройств на базе Android и iOS.

Широкая функциональность брандмауэров от Fortinet дает крупным и средним компаниям большие возможности по управлению угрозами, обеспечению безопасности сети и построению частного облака, а облачным провайдерам — надежную защиту виртуальной инфраструктуры (IaaS) клиента. Одно устройство от Fortinet способно заменить несколько от других производителей, а полный контроль за всеми элементами инфраструктуры (включая устройства IoT, точки доступа, ЦОДы, облака, приложения и даже сами данные) позволяет администраторам эффективно управлять безопасностью локальных и облачных сред, таких как защищенный виртуальный ЦОД.

Однако список возможных пользователей данного решения не ограничен коммерческими организациями. Благодаря наличию сертификат ФСТЭК внедрять продукты Fortinet могут государственные и муниципальные организации, работающие с конфиденциальной информацией. Подробнее об этом мы расскажем во второй части статьи.