MSSP - услуги безопасности. Есть ли место VPN услугам?

Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved. Slide 1

October 12, 2011

MSSP - услуги безопасности

Есть ли место VPN услугам?

Mikhail Romanov

CISSP,CISM,CISA, CSGA,CIPSE

Директор по развитию бизнеса, Russia, CIS

Secure Information Flow


Более половины бюджетов тратится на сетевую

безопасность и защиту конечных станций


•Обычно провайдеры MSSPs предлагают набор услуг

•Разные услуги предоставляются по разному ….

• в ряде услуг присутствует криптографическая компонента

•Для предоставления услуг где используется криптография необходима лицензия ФСБ !

Ландшафт рынка

Firewall IPS/IDS VPN

Log Analysis Vulnerability Analysis Antivirus

Encrypted Email DDoS

Web sec

authentication

Identity manag


Модели MSSP (1/2)

Достоинства

• Более высокий контроль над устройствами безопасности

• Эффективность , соотношение цена - качество

• Гибкость

• Меньше ответственности со стороны клиента

недостатки

• Черный ящик для клиента

• Отсутствие доверия к сервисам

• Для распределенных клиентов MSSP должен работать как провайдер услуг связи по всей территории страны или даже интернационально

облачная модель


Модели MSSP (2/2)

Benefits

• Не занимает места на территории или в здании где работает MSSP

• Гораздо более низкие инвестиции у провайдера

• Все более прозрачно для клиента

• Клиент более просто контролирует устройства безопасности и др.

Недостатки

• Больше стоимость

• Сложнее контролировать устройства

• Невысокая возможность расширения

Управление оборудованием на площадке клиента


Собственно сервисы безопасности не требующие

криптографической защиты : Защита от DDoS, Antispam, Antivirus , Security Scan …..

Сервисы безопасности по шифрованию : VPN между филиалами, шифрование данных,

PUSH почта - (канал как правило шифрован) и др.

Сервисы где предоставляется услуга по

шифрованию: аутентификация клиентов;

обеспечение безопасного доступа ( SSL, IPSec…..)

защита собственно предоставляемого сервиса

Управление ключами

По сути к любым облачным сервисам доступ

предоставляется с шифрованием ..……

MSSP - услуги можно условно поделить на

категории .


А нужны ли лицензии на предоставление

услуги ?

• ФЕДЕРАЛЬНЫЙ ЗАКОН О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ

ВИДОВ ДЕЯТЕЛЬНОСТИ № 99-ФЗ (в ред. Федерального закона от

18.07.2011 N 242-ФЗ)

• 1. В соответствии с настоящим Федеральным законом

лицензированию подлежат следующие виды деятельности:

• 1) разработка, производство, распространение шифровальных (криптографических)

средств, информационных систем и телекоммуникационных систем, защищенных с

использованием шифровальных (криптографических) средств, выполнение работ,

оказание услуг в области шифрования информации, техническое обслуживание

шифровальных (криптографических) средств, информационных систем и

телекоммуникационных систем, защищенных с использованием шифровальных

(криптографических) средств (за исключением случая, если техническое

обслуживание шифровальных (криптографических) средств, информационных систем и

телекоммуникационных систем, защищенных с использованием шифровальных

(криптографических) средств, осуществляется для обеспечения собственных нужд

юридического лица или индивидуального предпринимателя);

• -------

• 4) разработка и производство средств защиты конфиденциальной информации;

• 5) деятельность по технической защите конфиденциальной информации;


Отдельные виды информации защищаются в

соответствии с требованиями законов

• Статья 5. Информация как объект правовых отношений

• Информация в зависимости от категории доступа к ней

подразделяется на общедоступную информацию, а также на

информацию, доступ к которой ограничен федеральными

законами (информация ограниченного доступа).

• Информация в зависимости от порядка ее предоставления или

распространения подразделяется на:

• 1) информацию, свободно распространяемую;

• ……….

• 4) информацию, распространение которой в Российской

Федерации ограничивается или запрещается.

• 4. Законодательством Российской Федерации могут быть

установлены виды информации в зависимости от ее содержания

или обладателя.

ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ

И О ЗАЩИТЕ ИНФОРМАЦИИ N 149-ФЗ


• Статья 9. Ограничение доступа к информации

• 1. Ограничение доступа к информации устанавливается федеральными

законами в целях защиты основ конституционного строя, нравственности,

здоровья, прав и законных интересов других лиц, обеспечения обороны

страны и безопасности государства.

• 2. Обязательным является соблюдение конфиденциальности информации,

доступ к которой ограничен федеральными законами.

• 4. Федеральными законами устанавливаются условия отнесения информации

к сведениям, составляющим коммерческую тайну, служебную тайну и иную

тайну, обязательность соблюдения конфиденциальности такой информации,

а также ответственность за ее разглашение.

• 5. Информация, полученная гражданами (физическими лицами) при

исполнении ими профессиональных обязанностей или организациями при

осуществлении ими определенных видов деятельности (профессиональная

тайна), подлежит защите в случаях, если на эти лица федеральными

законами возложены обязанности по соблюдению конфиденциальности такой

информации.

ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ

И О ЗАЩИТЕ ИНФОРМАЦИИ N 149-ФЗ

Отдельные виды информации защищаются в

соответствии с требованиями законов


Например

Коммерческая тайна Федеральный закон от 29.07.2004 N 98-ФЗ

"О коммерческой тайне"

Статья 1465 Гражданского кодекса РФ

(часть четвертая)

Конфиденциальность

персональных данных (фамилия,

имя, отчество, год, месяц,

дата и место рождения, адрес,

семейное, социальное,

имущественное положение,

образование, профессия,

доходы, другая информация)

Статья 7 Федерального закона от

27.07.2006 N 152-ФЗ "О персональных

данных"


15.11.1997 N 143-ФЗ

Налоговая тайна Статьи 102 и 313 Налогового кодекса РФ


Список на самом деле можно продолжать

Банковская тайна Статья 857 Гражданского кодекса РФ (часть

вторая)


02.12.1990 N 395-1 "О банках и банковской

деятельности"

Врачебная тайна Статья 61 Основ законодательства

Российской Федерации об охране здоровья

граждан от 22.07.1993 N 5487-1

Статья 15 Семейного кодекса РФ

Статья 14 Закона РФ от 22.12.1992 N 4180-1

Статья 9 Закона РФ от 02.07.1992 N 3185-1

Тайна следствия Статья 161 Уголовно-процессуального

кодекса РФ


10.06.2008 N 76-ФЗ

Тайна судопроизводства Статья 194 Гражданского процессуального

кодекса РФ

Статья 20 Арбитражного процессуального

кодекса РФ

Статьи 298 и 341 Уголовно-процессуального

кодекса РФ


Сертифицированные средства или нет ?

•в законах есть прямые указания на сертификацию в основном

для гостайны, служебной информации, критических систем и

теперь персональных данных …

•Косвенно – другие виды в соответствии с законами …

•Однако оператор предоставляет услуги на основе лицензии,

где лицензиату могут быть предъявлены требования, при

рассмотрении претензий сертифицированность средств

является аргументом …

•В соответствии с постановлением 58 проводится оценка

соответствия …. Процедура оценки не оговорена…

•в законе РФ «О сертификации продукции и услуг» дается

следующее определение:

•«Сертификация продукции - это деятельность по

подтверждению соответствия продукции установленным

требованиям».


«Страшная правда» - услуги

безопасности и VPN

•Предоставление VPN реально делать только с установкой

оборудования на площадке клиента – проблемы с

управляемостью …

•Если предоставляется услуга с использованием

шифрсредств – лицензия, сертификат или спец

разрешение! Сертификат конечно избавляет от проблем…

•Даже если предоставляется услуга в облаке ( например

оборудование или бизнес система) – услуга по

шифрованию предоставляется ( опять либо

сертифицированные средства либо спец разрешение….)

•Как правило это удаленное управление а это доп

проблемы – канал управления также должен защищаться

сертифицированным образом …..


Проблемы безопасности с использованием

криптосредств в организациях

•Управление шифровальными

средствами – проблемы компетенции: •Плановая смена ключей (многие думают что все

автоматически …. и при этом очень безопасно)

•Компрометации - как обеспечить безопасность ?

•Выдача новых ключей и выведение из эксплуатации

•Каналы управления ключами и конфигурациями

должны быть зашифрованы по ГОСТ !

Eсли предоставление услуги – лицензия

ФСБ и возможны проверки и

ответственность …


Даже если мы не хотим этого – такая

услуга в любом случае

предоставляется …..

Так есть ли место услугам VPN ?


Проблемы

•Предоставление услуг сертифицированными

средствами :

•Нет средств которые были бы подготовлены к

предоставлению услуг …

•Нет средств которые обеспечивают простой

удаленный доступ …. (есть библиотеки или VPN

клиенты …)

•Управляемость текущих сертифицированных

средств оставляет желать лучшего ….

•Виртуализация ?


Проблемы оператора MSSP

• Компетенция – если услугу трудно предоставлять – она будет наказанием

• Скорость предоставления услуги и изменения – нужно много ресурсов

• Подготовленность оборудования к предоставлению услуг - даже

великолепное решение которое используется на периметре, при

предоставлении услуг становится непригодным.

• Необходимы средства которые позволяют дать доступ к логам, а иногда и

к управлению части функций клиенту без ущерба работы комплекса в

целом.

• Оператору все - таки выгоднее предоставлять услугу (серию услуг )

самому а не перепродавать чужие – иначе отсутствует «изюминка»

предложения

• Лучше иметь готовое решение для предоставления сразу комплекса услуг

( VPN, Firewall, AV, URL Filtering, IPS и др.) с единым управлением –

большое количество разнородных устройств делают услуги очень

дорогими

• Наличие у решения всевозможных сертификатов приветствуется –

повышает доверие к услуге ( как это не странно ).


• Централизованное управление минимизирует затраты на

администрирование (TCA)

• Обеспечение полноценного соответствия требованиям

регуляторов прямо «из коробки»

• Обеспечение доступности 24/7 для всех компонент

• Хорошие возможности для сбора и корреляции лог информации

(управление событиями оборудования «третьих фирм» 3rd)

• Высококачественные устройства с большими возможностями по

отказоустойчивости и удаленной управляемости с большим

набором функций

• Делает жизнь провайдера услуг безопасности (MSSP) проще

StoneGate выполняет трудновыполнимые требования

MSSP провайдеров


Новые возможности по управлению

Готовое решение по предоставлению услуги

Административный

доступ основанный на

делегировании

ответственности

администратор

Видит свою

инфраструктуру через

портал

Клиент

Изолированные домены на

основе одного центра

управления


Действительно централизованный менеджмент

• Одно место для управления

инфраструктурой безопасности

• Один центр управления как для

виртуальной так и физической среды

environment

• Мониторинг для всех устройств не

зависимо он венодра

• Управление событиями безопасности

разных вендоров

• Быстрый контроль всех устройств

• Соответствие требованиям

регуляторов

• Делегирование полномочий

• Масштабируемость

Virtual FW Virtual FW

One-step Management

Единая консоль управления

Однажды создав объект можно

использовать его по всей

инфраструктуре , автоматическое

управление политиками /правилами

реагирование в реальном режиме

времени


•Распределенная архитектура и простая установка и управление

•Domains – управление изолированными инфраструктурами закачтика

•Web Portal – избирательный доступ пользователей к своим услугам

•Функции высокой доступности

•Полноценная виртуализация

Возможности StoneGate для MSSP

Stonesoft покрывает практически все сервисы MSSP


Возможности StoneGate для MSSP

Домены

• Изолированные инфраструктуры

заказчиков

• Использование одной политики для

всех с автоматическим

подставлением нужных параметров

• Разделение администраторских

полномочий

• Беспрецедентные возможности по

управлению доступом для

администратора и организации его

окружения

SHARED DOMAIN

CUSTOMER DOMAINS


Сертификации производства по

ФСТЭК:

Межсетевой экран StoneGate cертифицирован по 2 классу для МЭ, 1 класс ПДн, 1Г, 4 класс НДВ

• в составе МЭ сертифицированы по ТУ встроенные антивирус, механизм инспекции трафика Deep Inspection и др.

• в составе МЭ сертифицирован VPN клиент как часть распределенного МЭ

StoneGate IPS cертифицирована как прозрачный МЭ 3 класса, а также по ТУ как IPS, 1 класс ПДн, 1Г, 4 класс НДВ.

• По ТУ сертифицированы механизмы предотвращения вторжений, анализ аномалий, виртуальный патч и др.,

Шлюз защиты удаленного доступа StoneGate SSL* – 3 класс МЭ, 1класс ПДн, 4 класс НДВ.

• В составе сертифицирована система многофакторной аутентификации!

В составе каждого средства защиты как компонент сертифицирован центр управления! А также сертифицирована

версия продуктов для виртуальной среды!


Особенности сертификации ФСБ

Сертифицируются решения SSL VPN и IPSEC VPN

(с VPN клиентом )

Классы защиты КС1 – КС3!

SSL VPN – 9 исполнений!

IPSec VPN - 11 исполнений!

(поддержка МАРШ, различные операционные

системы )

SSL VPN поддерживает работу на клиентском

компьютере – Crypto Pro, ValiData.

Тестируется совместимость: Signal-Сom, VipNet

(TLS).


Некоторые особенности

• Stonesoft – единственный вендор имеющий решения Firewall и IPS и

SSL одновременно для физической среды и виртуальной среды !

• Один из немногих вендоров прошедших сертификацию IPS по ICSA

• Один из немногих вендоров кто имеет сертификаты на всю линейку

продукции в России от ФСТЭК в том числе для виртуальной среды.

• Один из немногих вендоров находящийся на сертификации в ФСБ

• Один из немногих кто имеет полностью готовое решение по

предоставлению услуг MSSP

• Единственный вендор где внедрены технологии отказоустойчивости

по всей инфраструктуре

• Полноценная централизация управления – одна из самых лучших в

мире

• Обеспечивает экономию на операционных телекоммуникационных

расходах и др. – один из самых низких ТСО в отрасли

• Интегрируется с другими системами безопасности


Российские клиенты Stonesoft

http://www.hais.ru/uploads/posts/2010-08/1283029742_4.png

http://www.xezine.az/files/images/news_986.jpg

http://versus.kz/img/elements/31/293.jpg

http://hh.ru/file/7296151.jpg

http://www.russianboston.com/ic/pix.lenta.ru/news/2007/04/09/rostelekom/picture.jpg

http://www.artonica.ru/dat2/projects/nvk_restyling/nvkres1.jpg

http://calc.ugsk.ru/calculators/img/logo_white_246x69.png

http://img.lenta.ru/news/2006/05/26/bombs/picture.jpg

http://www.rabota-sp.ru/upload/normal/gorod_sergiev_posad-menedzher_po_privlecheniyu_klientov-yuridicheskih_lic_275.jpeg


“StoneGate дает самый быстрый ROI и самую низкую стоимость владения (TCO), мы получили все что было необходимо AIT для обеспечения доступности сервисов и улучшения управляемости нашей сети с использованием универсальной системы управления ” Dan Chesler, Network Administrator, AIT Worldwide Logistics

“отличная сторона решения Stonesoft в том что оно предоставляет все что нам нужно, за приемлемую цену и работает прекрасно ! Решение очень мощное и при этом стоимость поддержки и операционные расходы на управление остаются низкими .мы используем решение около пяти лет и оно очень эффективное с точки зрения цены – качества – эффективности и дает великолепные результаты возврата инвестиций (ROI).” Michael Robertson, Director, Commerce Media

“StoneGate значительно снизил затраты на связь, и при этом увеличил скорости взаимодействия сетей, как и расширил возможности по удаленному доступу. Централизованное управление позволило DéLonghi управлять и обновлять устройства удаленно исключая необходимость затрат на поездки администраторов и на содержание квалифицированного персонала на местах - позволяя получить быстрый возврат вложений .” Daniele Faccioni, General Manager E-Services, De´Longhi Giorgio Parpinelli, Project Manager, Logical Security

“Решение StoneGate уже помогло сохранить время и расходы на управление и обновления . Например удаленные апдейты управляются при пмощи процедур которые занимают минуты а не часы или дни как в других решениях.” Andrea Bigolin, Product Manager Security, Top Companies, FastWeb

Отзывы клиентов

Copyright © 2009 Stonesoft Corporation. All rights reserved.

Узнайте как сделать информационную

безопасность персональных данных

проще !

www.newinfosec.ru

http://www.newinfosec.ru/

Business

MSSP - услуги безопасности. Есть ли место VPN услугам?