Інфраструктура контролю безпеки за допомогою inline-пристроїв від IXIA

Опубліковано: Вівторок, 9 Січень, 2018 at

Зробіть вашу систему безпеки міцніше з легкими в управлінні рішеннями Зробіть вашу систему безпеки міцніше з легкими в управлінні рішеннями

Основні моменти

Загрози сьогодення вимагають наявності багатьох систем активної безпеки у всій мережі. Ці активні пристрої, такі, як апаратні міжмережеві екрани (Firewall) сьогодення і майбутнього поколінь, програмні міжмережеві екрани для веб-додатків і системи запобігання вторгнень (IPS), вимагають вбудовування по всій мережі. Але впровадження декількох систем безпеки зазвичай викликає стурбованість у IT-департаменту, і нагальними стають питання про безперебійність роботи мережі, її продуктивності, операційної власності, гнучкості і масштабованості систем безпеки, і, нарешті, про загальних витратах.

Інфраструктура контролю безпеки за допомогою inline-пристроїв Ixia – це перевірені часом промислові рішення для розгортання інструментів безпеки в режимі inline (що включаються в розрив каналу), які підвищують загальну доступність мережі, її продуктивність, операційні функції, а також забезпечують більшу гнучкість і разом з тим міцність системи безпеки. Крім того, це ще й зниження питомих витрат і навантаження на персонал.

Загрози вимагають сильних, багатошарових рішень з безпеки

Вступ

Важливість систем безпеки підвищується з кожним днем, як і їх складність. Це стимулює нові дослідження і капіталовкладення в даний сектор по всьому світу для того, щоб ефективніше відбивати напади з проникненням в мережі організацій. Більш ніж десятирічний досвід Ixia допомагає нашим клієнтам успішно впроваджувати найсучасніші системи безпеки і одночасно тримати витрати на них під контролем.

Раніше

Безпека була одним з найбільш швидко розвиваються аспектів IT-середовища ще з часів появи перших міжмережевих екранів в кінці 1980-х. Ці поодинокі пристрою швидко перейшли від простої пакетної фільтрації до динамічної перевірки (statefull inspectoin), і на початку 1990-х змістилися в область додатків. Сьогодні ми як і раніше покладаємося на такі міжмережеві екрани, багато з яких в даний час називають міжмережевими екранами наступного покоління (Next Generation Firewall, NGFW), оскільки вони забезпечують більш глибоку захист додатків і безпеки в цілому.

Пристрій захисту

У той час як міжмережеві екрани відмінно підходять для захисту від багатьох типів атак, які можуть бути виявлені за допомогою політик безпеки, додатків та інформації про сесіях, є багато атак, які з’явилися в останні 20 років спеціально для обходу такого захисту. Ці міжмережеві екрани, як правило, розміщені в найбільш уразливих точках мережі, де безпеку даних найбільш необхідна. Зазвичай це кордону між внутрішніми і зовнішніми мережами, кампусами і центрами обробки даних, або ж приватними і публічними хмарами. Щоб не ускладнювати розповідь про це, ми зосередимо нашу увагу на останньому випадку, коли зустрічаються приватні та публічні хмарні системи; при цьому більшість даних концепцій застосовні для всіх випадків використання.

Мережі потребують додаткового захисту крім брандмауера.

Впровадження системи безпеки почалося з простого розгортання брандмауера включається в розрив каналу зв’язку

У постійно видозмінюється характер битв між системами IT-безпеки і хакерами мережі потребують захисту додаткових інструментів за фаєрволом, де багато хто з них повинні бути вбудовані для активної фільтрації трафіку. У наступному розділі ми розглянемо деякі загальні інструменти і поговоримо про проблеми розгортання, які приходять разом з ними.

Традиційне розгортання системи безпеки в режимі inline

Оскільки потреби систем безпеки стали більш різноманітними, інструментів для захисту мережі та додатків теж стало більше. Це призводить нас до необхідності використовувати кілька інструментів в режимі inline, зазвичай в послідовному порядку, що забезпечує повну безпеку для мережі.

Вбудовувані інструменти безпеки

Виникає відразу кілька проблем, коли розгортання інструментів безпеки відбувається в найбільш уразливих точках мережі.

Безпека тепер вимагає декількох спеціалізованих вбудованих інструментів для захисту мережі.

Давайте коротко розглянемо деякі з інструментів, які зазвичай зустрічаються в центрі малюнка зверху. Це дозволить не тільки познайомитися з їх функціями, але і зрозуміти, як вони працюють разом для захисту мережі.

· Брандмауер (Firewall): інструмент безпеки, з яким знайоме більшість універсальних IT-фахівців. Firewall контролюють вхідний і вихідний трафік на основі наборів правил, сигнатур і політик безпеки. Часто все закінчується вже на інформації з заголовка пакета. Завдяки поширеності цього терміна, багато компаній-виробників міжмережевих екранів вбудовують в них додаткові можливості інших пристроїв безпеки з цього списку.

· Міжмережевий екран веб-додатків (Web App Firewall): цей інструмент пропонує набір правил HTTP, який охоплює багато атак, які виходять із веб-додатків, таких, як міжсайтовий скриптинг (XSS) і впровадження SQL-коду (SQL-injection), але не забезпечує загальну захист, пропоновану традиційним файрволлом.

· Система запобігання вторгнень (IPS): IPS відстежує і блокує шкідливу діяльність по мережі, часто контролюючи як інформацію заголовка, так і корисне навантаження в пакетах, одночасно займаючись пошуком сигнатур або відомих подій.

· Система виявлення вторгнень (IDS): система IDS контролює мережеві і системні аномалії в поведінці трафіку для запобігання шкідливої діяльності або порушення політик даного трафіку, але не блокує його. IDS відстежує як заголовки пакетів, так і їх корисне навантаження. У той час, як зазвичай IDS розгортається окремо, вона може функціонувати і будучи вбудованою.

· Система запобігання втрати даних: така система відстежує з’єднання на навмисне або ненавмисне розкриття або втрату конфіденційної інформації. Ці системи часто інтегрують з електронною поштою або іншими засобами зв’язку, налаштовуючи їх на пошук конфіденційної інформації, такої, як номери кредитних карт клієнта або розміри компенсацій звільнених співробітників.

· Антивіруси: ці системи безпеки з централізованою IT-політикою і блокують підозрілі або несанкціоновані програми. У той же час йде сканування трафіку звичайних додатків на відомі віруси і вірусні сигнатури, що має бути закінчено до того, як трафік досягне клієнтських або серверних пристроїв.

· Розшифровка SSL / TLS: велика частина даних, що йдуть через вбудовані системи безпеки, зашифрована, і багато хто з цих інструментів безпеки вимагають доступ до незашифрованому даними для ефективної роботи. Пристрої для розшифровки можуть дешифрувати трафік «на льоту» і «проганяти» його через вищевказані інструменти перед повторною кодуванням і подальшою передачею по мережі.

· Внесетевой доступ: багато клієнтів розгортають TAP-пристрої або SPAN-порти в частині мережі для того, щоб дозволити внесетевих інструменти для сканування трафіку в цій зоні. Загальні інструменти з внесетевих доступом – це IDS, що аналізують пристрої і утиліти для вимірювання продуктивності додатків.

На підставі вищевикладеного можна побачити, як тисячі мереж по всьому світу розвинені настільки, що в них є кілька послідовно з’єднаних пристроїв безпеки, розгорнутих для забезпечення безпеки даних. Мережі часто координують ці пристрої з системою з управління інформаційної безпеки і подіями безпеки (SIEM), щоб знати свій поточний стан. Доброю новиною є те, що є багато рішень, здатних зробити мережу безпечнішою. Проте, виникає відразу кілька проблем, коли розгортання інструментів безпеки відбувається в найбільш уразливих точках.

Розгортання системи безпеки створює організаційну проблему, так як інструменти для забезпечення роботи цієї системи мають прямий вплив на продуктивність і доступність мережі.

Доступність мережі

З кількома послідовно з’єднаними інструментами, сукупне середнє час напрацювання на відмову (MTBF) і технічне обслуговування починають чинити негативний вплив на доступність мережі вже на системному рівні. Наприклад, якщо у вас чотири послідовно з’єднаних пристрої з напрацюванням на відмову в обсязі 20 000 годин, 10 000 годин, 15 000 годин і 30000 годин кожне, загальний час напрацювання становить 4000 годин – значно менше, ніж будь-якої однієї складової. На додаток до MTBF, яке зазвичай враховує тільки час життєвого циклу апаратного забезпечення в ідеалі, йому будуть потрібні обслуговування, модернізація та налаштування, що може вплинути як на тривалість їхнього часу роботи в мережі, так і викликати необхідність тимчасового призупинення роботи всієї системи для обслуговування.

Продуктивність

З великою кількістю інструментів на всьому шляху даних в мережі, найбільш повільний з них стає вузьким місцем всієї системи. Це означає, що навіть незначний приріст швидкості підключення до Інтернету може викликати необхідність дорогої модернізації системи безпеки для того, щоб вона могла впоратися з новим обсягом трафіку. Крім того, розгортання і додавання нових правил безпеки згідно з додатками може вплинути на продуктивність інструментів забезпечення безпеки.

Операційна власність

Розгортання системи безпеки створює організаційну проблему, так як інструменти для забезпечення роботи цієї системи мають прямий вплив на продуктивність і доступність мережі. Це може ускладнити відновлення, виділення часу для обслуговування і додавання / зміни конфігурації з конкуруючими пріоритетами безпеки, доступності та продуктивності.

Гнучкість системи безпеки

Якщо засоби безпеки вбудовуються в ланцюжок з недоліком мережевого трафіку, команди можуть бути обмежені мережевими вимогами, такими як вікна для обслуговування мережі, зміни в розкладі та накладні витрати на основі передбачуваних атак.

Загальні витрати

Вбудовувані інструменти також необхідно оновити: вони повинні відповідати швидкості мережі і мати всі необхідні оновлення для захисту від атак, щоб атаки типу «розподіленого відмови в обслуговуванні» (DDoS), збільшення трафіку і інших типів атак не псували мережу. На жаль, це часто призводить до зменшення життєвого циклу систем безпеки і до збільшення потреби в модернізаціях.

Інфраструктура контролю безпеки за допомогою inline-пристроїв від IXIA

Система використовує обхідний Bypass-комутатор і Брокер мережевих пакетів для зони, де необхідна висока доступність в мережі, де вбудовуються інструменти безпеки можуть бути розгорнуті для оптимальної доступності, безпеки і гнучкості. Інформація надходить від «червоних» або ненадійних мереж (untrusted) і направляється через Bypass-комутатор до брокера, де він агрегує трафік, виконує балансування трафіку між пристроями забезпечення безпеки і забезпечує фільтрацію на рівні додатків для кращого використання даних пристроїв. Потім дані відправляються назад через Bypass-комутатор і надсилаються в мережу.

Інфраструктура контролю безпеки за допомогою inline-пристроїв IXIA доводить до максимуму Рівні безпеки, продуктивності і гнучкості вбудованих рішень для забезпечення безпеки

Ключовими компонентами цієї конструкції є Bypass-комутатор з можливістю моніторингу пристроїв безпеки і мережеві брокери, на зразок представників сімейства IXIA Net Tool Optimizer (NТО) або IXIA xStream. Bypass-комутатор – це дуже простий пристрій, що забезпечує відмовостійкий доступ до мережевого трафіку для інструментів безпеки. Його основна перевага полягає в широкій доступності і можливості відкриття і закриття на основі політик безпеки – або вручну, коли це необхідно для обслуговування або тестування. Крім того, Bypass-комутатор може бути налаштований з розширеними можливостями моніторингу для виведення доступності та безпеки на максимальний рівень.

Брокери мережевих пакетів забезпечують розширений контроль трафіку, який проходить через всі інструменти безпеки: це той рівень контролю, який неможливий в традиційних схемах розгортання. На додаток до низької латентності і легкому керуванню, продемонструємо кілька ключових функцій брокера NPB при розгортанні в системах безпеки:

· Висока доступність: сетвой брокери повинні розгортатися в архітектурі з високим ступенем доступу (High Availability) для того, щоб забезпечити доступність засобів безпеки.

· Агрегація: мережевий брокер може збирати трафік з кількох джерел.

· Балансування навантаження: мережевий трафік може розподілятися між кількома пристроями безпеки; підвищуючи ефективність інвестицій в інструменти для збільшення пропускної здатності економічно більш вигідним способом.

· Фільтрація трафіку: трафік може бути відправлений або через інструменти безпеки, або в обхід їх: буде зроблено так, як потрібно, щоб не було втрат пакетів. Завдяки цьому додавання / видалення / зміна будь-якого інструменту безпеки стає подією, яке більше не буде впливати на доступність мережі, і немає необхідності чекати періоду техобслуговування.

· Фільтрація додатків: фільтрація на рівні додатків дозволяє мати значну гнучкість в максимізації ефективності та економію коштів. Наприклад, якщо трафік соціальних медіа або YouTube уповільнює інструменти безпеки, а перевіряти цей трафік не потрібно, брокер мережевих пакетів може «пропустити» їх на шляху прямування пакетів. Або, якщо брокер бачить незвичайний трафік, то він може перепризначити його до інструментів безпеки для подальшого аналізу з використанням інтеграції API.

· Дуплікація для Out-of-Band доступу: мережевий трафік може бути сдублірованний для внеполосного Out-of-Band аналізу продуктивності додатків, IDS-аналізу, які аналізують пристроїв або інших інструментів, не перериваючи проходження трафіку мережі.

Ця структура має багато суттєвих переваг у порівнянні з традиційним розгортанням вбудованих систем, так як забезпечує значні поліпшення в ключових областях застосування, зазначених нижче.

Доступність мережі

Використання Bypass-комутатора, вбудованого в розрив каналу, значно покращує параметр MTBF (середній наробіток на відмову), так як він забезпечує меншу кількість пристроїв, що вбудовуються безпосередньо в канал зв’язку, і збільшує контроль над відмовостійкими подіями.

Продуктивність

Можливість знизити навантаження на повільні інструменти і збалансувати навантаження між декількома інструментами пропонує більше варіантів для поліпшення продуктивності в зоні безпеки.

Операційна власність

Все значно спрощується завдяки Bypass-комутатора, який стає єдиним по-справжньому вбудованим інструментом в канал зв’язку. Тепер команда мережі може зосередитися на своїх пріоритетних завданнях, а служба безпеки має спеціальну область, оптимізовану з точки зору безпеки, зміни / додавання / видалення пристроїв, які більше не можуть вплинути на мережу, а поновлення систем безпеки можуть бути дуже швидко застосовані.

Гнучкість систем безпеки

Нові інструменти можуть бути розгорнуті, поновлення застосовані, а усунення несправностей здійснюється без шкоди для решти мережі.

Загальні витрати

Витрати значно знижуються, в той час як інструменти збільшують свій життєвий цикл, і поновлення можуть бути виконані в більш детальному режимі. Команда також витрачає менше часу на координацію і планування, що підвищує ефективність роботи. Деякі з наших клієнтів зберегли стільки коштів, що їх бюджети тепер дозволили придбати резервні інструменти безпеки, і ще залишилися гроші на подальшу модернізацію доступності і масштабованості в міру необхідності.

Можливість знизити навантаження на повільні інструменти і збалансувати навантаження між декількома інструментами пропонує більше варіантів для поліпшення продуктивності в зоні безпеки.

Інфраструктура контролю безпеки за допомогою inline-пристроїв від Ixia виділяє ключовий елемент (Bypass-комутатор) для забезпечення максимальної надійності та доступності.

Десятирічний досвід створення унікальних рішень в області інформаційної безпеки дозволив компанії Ixia запропонувати ряд серйозних можливостей для розгортання, які недоступні в інших місцях. Вбудовувані рішення від Ixia відокремлюють ключовий елемент (Bypass-комутатор) від решти устаткування для забезпечення максимальної надійності та доступності. Брокери мережевих пакетів надають фільтрацію трафіку і додатків, а також дозволяють значно збільшити контроль над трафіком укупі з просунутим призначеним для користувача інтерфейсом. Рішення компанії Ixia також пропонує дуже низьку латентність в порівнянні з іншими брокерами на ринку, забезпечуючи максимальну продуктивність.

Резюме

Можливість

Розгортання простого

Брандмауера

Традиційні вбудовуються

Інструменти безпеки

Вбудовувані системи

Безпеки Ixia

Базовий захист
Так Так Так
Надійна система безпеки
Ні Так Так
Доступність мережі
Середня Знижена Висока доступність
Продуктивність
Середня Середня Детальний контроль

Додавання / видалення / зміна компонентів,

Вплив на мережу

Заплановане

Час простою

Заплановане

Час простою

Малий час простою / відсутній
Організаційні питання
Прості Складні Прості
ROI (окупність інвестицій)
Стандартно Повільно Швидко
Масштабованість
Обмежена Гарна (але дорога) Дуже висока

CompTek – офіційний дистрибутор IXIA в Росії.

Ixia@comptek. ru

Www. comptek. ru

+7 (495) 789-6565

Техноблог рекомендує:

Comments are closed.