Журнал "Information Security/ Информационная безопасность" #6, 2024

В 2024 году в Ideco NGFW было добав- лено много интересных возможностей, которые разработчики в будущем году планируют активно развивать. Zone-Based Firewall Ideco NGFW поддерживает управление не только через хосты, но и через зоны, то есть является Zone-Based Firewall. Это значительно упрощает создание правил, включая настройку VPN, в случаях, когда сеть состоит из множества офисов или этажей, требующих сегментации. Воз- можность задавать разные правила для отдельных сетевых сегментов существен- но повышает уровень безопасности инфраструктуры. Например, компьютер внутри зоны "защищенная локальная сеть" может обладать одним набором прав доступа, тогда как при его же под- ключении из зоны "VPN-пользователи" правила будут совершенно иными. К слову, для большинства зарубежных вендоров Zone-Based Firewall уже давно является стандартом де-факто, и исполь- зование аналогичного подхода в Ideco NGFW позволяет облегчить миграцию, сохраняя привычную логику настройки и управления правилами безопасности. Ideco VPN Ideco NGFW на практике часто приме- няется в качестве VPN-сервера, поскольку его функциональные возможности позво- ляют эффективно и надежно организовать защищенный удаленный доступ. Поддер- живаются и нативные VPN-протоколы, включая современный IKEv2, и более кон- сервативные вроде SSTP. Реализованы также подключения через SSL VPN, кото- рый, несмотря на более низкую скорость передачи данных по сравнению с IKEv2, более "живуч", поскольку инкапсулирует трафик в TCP и маскируется под HTTPS. Система разработана таким образом, чтобы обеспечивать не просто VPN- доступ, но и соблюдать при этом высокий уровень безопасности. В частности, реа- лизованы механизмы многофакторной аутентификации, фильтрации VPN-тра- фика, а также возможность разделения в правилах на VPN-зоны для подключе- ний Site-to-Site и Client-to-Site, – это как раз специфика Zone-Based Firewall. Политики можно гибко конфигуриро- вать, например, с использованием GeoIP- фильтрации, ограничений по конкретным сетям и протоколам. Для VPN-подключений доступен пол- ный спектр возможностей фильтрации трафика, который есть в NGFW, – конт- роль осуществляется файрволом, про- филями контроля приложений, IPS, моду- лем контентной фильтрации. В числе поддерживаемых методов аутентифи- кации: Radius, Active Directory, ALD Pro. Под капотом решения скрыт потенциал для высоконагруженных сценариев, когда к VPN-серверу подключаются более 10 тыс. устройств, с механизмами отказоустойчивости и балансировки VPN-подключений между провайдерами и серверами. Концепция ZTNA и HIP-профили устройств Ideco Client поддерживает механизмы проверки комплаенса (для реализации требований ZTNA) подключаемых уда- ленных хостов, чтобы убедиться, что устройство удовлетворяет требованиям безопасности. Проверка проводится как при подключении через VPN, так и из локальной сети. Для этого в версии Ideco NGFW 17 появилась возможность создавать про- фили устройств, известные как HIP (Host Information Profile), включать в них раз- личные HIP-объекты и проводить про- верки. Созданные профили администра- тор может использовать в файрволе для ограничения доступа сотрудникам в зависимости от настройки используе- мых ими устройств. Допустим, администратор создал HIP- профиль "безопасное устройство", кото- рый контролирует наличие антивируса, соответствующего всем политикам без- опасности компании, а также операцион- ной системы Windows 11 и ее последних обновлений безопасности. В случае, если все требования профиля выполнены, устройство будет допущено в сеть. Но если сотрудник подключается с устройства, не соответствующего тре- бованиям профиля (например, с Windows 10 без антивируса и межсетевого экра- на), он получит ограниченный доступ или не будет допущен в сеть вообще. Подход к экосистемности Некоторые отечественные вендоры в области информационной безопасности вкладываются в создание собственной экосистемы продуктов, призванной заме- нить решения западных компаний, таких как Cisco, Fortinet и Check Point. Эти круп- ные игроки традиционно строят свои эко- системы вокруг флагманского продукта – Next Generation Firewall, который служит центральным элементом и основой для множества сопутствующих решений. В Ideco отказались от построения собст- венной экосистемы. Действительно, соз- дать одинаково успешные продукты во всех направлениях информационной без- опасности крайне сложно – даже у при- знанных мировых лидеров это получается не всегда. Нередко экосистемы создают- ся не столько для предоставления реаль- ной ценности клиентам, сколько для мак- симального "оттягивания" ИБ-бюджета на информационную безопасность, где сильный продукт фактически "тянет" за собой более слабые решения. В Ideco выбрали другую стратегию – стремиться, чтобы Next Generation Fire- wall органично вписывался в экосистемы других российских продуктов. Сегодня многие заказчики замещают импортные решения, при этом предпочитая исполь- зовать набор отечественных технологий, именно этому помогает активное разви- тие механизмов интеграции. Например, налажено сотрудничество с системой "МУЛЬТИФАКТОР", которая обеспечивает многофакторную аутенти- фикацию пользователей, а также с ком- панией SkyDNS, благодаря которой в Ideco NGFWможно встроить модуль DNS Secu- rity. Компания "Цифровые решения" пре- доставляет балансировщик нагрузки, поз- воляющий реализовать сценарии, в кото- рых несколько физических серверов Ideco NGFW работают в кластере Active-Active с распределением трафика. Реализована интеграция с отечествен- ными операционными системами Astra Linux и РЕД ОС в части авторизации пользователей и администраторов. Для проверки веб-трафика, а также для защиты почтового трафика от вирусов, фишинга и спама используются антиви- русные технологии от "Лаборатории Кас- перского". Налажено взаимодействие с рядом продуктов компании "Газинформ- сервис". Поддержка отраслевых стандартов Для развития этой стратегии разработ- чики Ideco стремятся максимально полно и точно соответствовать отраслевым стан- дартам, чтобы обеспечить совместимость и удобство интеграции с другими реше- 20 • СПЕЦПРОЕКТ Новые возможности Ideco NGFW в 2025 году оссийский рынок NGFW очень активно развивается, разработчики стремятся адаптировать свои продукты под запросы заказчиков, добавляя востребованную функциональность. Важным фактором становится скорость внедрения новых возможностей, которая зачастую играет ключевую роль в конкурентной гонке за симпатии заказчиков. Р