Upload
dmitry-tikhovich
View
233
Download
5
Embed Size (px)
DESCRIPTION
Перспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение F5 Secure Web Gateway Services.
Citation preview
Техническая статьяДэвид Холмс
Эталонная архитектура решения F5 Secure Web Gateway ServicesПерспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение F5 Secure Web Gateway Services.
2
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Содержание
Введение 3
Сложности защиты исходящих соединений 3
Решение F5 Secure Web Gateway Services 4
Преимущества решения F5 4
Три основных свойства защищенного веб-шлюза 5
Явные и прозрачные прокси-серверы 6
Использование решения Secure Web Gateway Services заказчиками компании F5 6
Сценарии развертывания 7
Сценарий развертывания в крупной компании 8
Сценарий развертывания гостевого доступа 14
Сценарий развертывания в ДМЗ, соответствующий требованиям PCI 15
Пользовательские сценарии и сценарии развертывания 17
Миграция с решения Microsoft Forefront TMG 18
Определение технических характеристик платформы 19
Лицензирование и одновременно работающие пользователи 19
Заключение 20
3
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
ВведениеНаиболее известные взломы систем безопасности последнего времени начинались с
направленных фишинг-атак. Целью этих кампаний являлись сотрудники определенных
организаций, которых обманным путем побуждали загружать в корпоративную сеть файлы,
содержащие вредоносные программы. Эти вредоносные программы затем организовывали
утечку секретных и персональных данных заказчиков, производственных секретов и
финансовых активов. Сейчас в Интернете ежедневно появляются еще более изощренные и
опасные угрозы: внезапные загрузки, постоянно обновляемые вирусы и атаки путем взлома
часто посещаемых сотрудниками компании сайтов. Опасность и масштабы этой
деятельности вынуждают ИТ-подразделения организаций усиливать меры безопасности,
связанные с доступом сотрудников в Интернет.
Попытки организации защиты сотрудников при работе в Интернете традиционно
заключались в том, что организация требовала использовать прямой прокси-сервер,
который перехватывал и проверял исходящие интернет-соединения пользователей. Любой,
кому приходилось работать в относительно крупной корпоративной сети, наверняка имел
дело с такими прокси-серверами (и, возможно, пытался обойти их). Есть компании,
специализирующиеся на разработке таких прокси-серверов уже более десяти лет, однако
сама технология с течением времени не слишком усовершенствовалась.
Сложности защиты исходящих соединенийТехнология прямых прокси-серверов стоит на месте, чего нельзя сказать о задачах,
которые они должны решать. Появляются новые сложности, связанные, в частности, с
перечисленными ниже тремя факторами.
• Распространение повсеместного использования технологии SSL «ослепляет»
обычные прямые прокси-серверы.
• Неожиданно серьезные последствия фишинговых атак приводят к повышению
ставок.
• Бесконтрольное распространение устройств и административные требования
вынуждают организации задуматься о консолидации оборудования.
Эти изменения происходят во всем мире, и технология прямых прокси-серверов не
успевает за ними. Администраторам требуется решение, позволяющее справляться с
новыми сложностями.
3
Традиционные прямые прокси «не видят» SSL-трафик и вредоносное ПО, поэтому для создания завершенного решения часто требуются дополнительные устройства.
4
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Решение F5 Secure Web Gateway ServicesПоскольку продукты F5 располагаются в стратегической точке контроля сети, компания F5
Networks имеет уникальную возможность помогать организациям в обеспечении
безопасности пользователей при доступе к Интернету с использованием тех же самых
высокопроизводительных платформ, которые они применяют для контроля доставки
приложений.
Преимущества решения F5Чем решение F5® Secure Web Gateway Services отличается от традиционных прямых
прокси-серверов? Можно выделить пять основных отличий, которые крайне важны для
понимания возможности использования решения F5 для создания завершенной
эталонной архитектуры интернет-безопасности.
• Встроенные средства обнаружения вредоносного ПО. Обычные прямые прокси-
серверы осуществляют аналогичную фильтрацию URL, однако для обнаружения
вредоносного ПО им требуются дополнительные устройства или комплекты
устройств. Решение Secure Web Gateway Services позволяет реализовать эту
функцию на той же платформе.
• Масштабирование и производительность. Масштабируемость эталонной
архитектуры решения Secure Web Gateway Services гораздо выше, чем у
традиционных прямых прокси-серверов. Это позволяет сократить количество
устройств, обеспечивающих безопасность работы в Интернете, и уменьшить
капитальные затраты предприятия.
• Перехват SSL. Распространение технологии SSL в организациях привело к
возникновению необходимости в перехвате и инспектировании SSL-соединений. В
традиционных решениях для этого часто используется контроллер доставки
приложений F5 Application Delivery Controller (ADC). Встраивание Secure Web
Gateway Services в главную платформу ADC обеспечивает консолидацию системы и
сопутствующие этому преимущества.
• Федеративный единый вход (single sign-on). Решение F5 единственное на рынке
сегодня предлагает встроенные функции федеративного единого входа.
Технология F5 позволяет компании создать страницу внутреннего портала, чтобы
пользователи проходили на ней проверку подлинности каждое утро, а затем
5
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
пользовались единым входом до конца рабочего дня. Это удобно для сотрудников
и экономит их время.
• Консолидация сервисов безопасности. Все перечисленные сервисы для
обеспечения безопасности доступны на любой платформе F5 (как и функции
защиты входящих соединений). Это дает возможность консолидировать все
функции управления входящим и исходящим доступом, а также защиты входящих и
исходящих соединений в одной стратегической точке контроля в сети.
Эти различия позволяют использовать решение F5 Secure Web Gateway Services для
создания комплексной архитектуры безопасности приложений и доступа в Интернет.
Три основных свойства защищенного веб-шлюзаВсе примеры использования Secure Web Gateway Services основаны на трех функциях
безопасности: фильтрации URL, поиске вредоносного ПО и создании отчетов.
Распределение URL по категориям и их фильтрация
Простейшей из этих функций является распределение URL по категориям и их фильтрация. В
Secure Web Gateway Services ежедневно загружается база данных, содержащая миллиарды
URL с присвоенными им оценками и категориями. Обновление этой базы данных
производится каждые несколько минут. База содержит URL сайтов, содержащих вредоносное
ПО, фишинговые прокси-серверы и страницы с невидимыми слоями. Специалисты компании-
пользователя могут настроить базу данных с учетом своей специфики.
Поиск вредоносного ПО
База данных URL может уведомить Secure Web Gateway Services о том, что определенный
контент необходимо дополнительно проверить на наличие вредоносного ПО. После этого
решение F5 может начать перехватывать и проверять содержимое и ссылки на файлы
большинства популярных форматов, таких как Adobe Flash и Adobe PDF.
Создание отчетов
Для выработки хорошо работающей политики, а также для соблюдения отраслевых и
государственных нормативных требований администраторы должны понимать
происходящие процессы. Поскольку решение Secure Web Gateway Services выступает в
качестве стратегической точки контроля для исходящего доступа в Интернет, будет
естественно использовать его для отслеживания тенденций использования Интернета и
Рис. 1. Категория безопасности базы данных URL
Ядром F5 Secure Web Gateway Services является база данных Websense, используемая для распределения URL по категориям. Компания Websense ежедневно проверяет миллиарды URL-адресов, обновляя информацию об угрозах в режиме реального времени.
6
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
составления соответствующих отчетов. Политики некоторых организаций требуют
фиксации в журнале каждого запроса, тогда как в других организациях фиксируются
только запросы, при которых срабатывает система оповещения об опасности. Решение F5
позволяет использовать любой из этих подходов. Одним из наиболее популярных отчетов,
например, является отчет о пользователях сети, потребляющих наибольшее количество
пропускной способности.
Явные и прозрачные прокси-серверыРешение F5 Secure Web Gateway Services может автоматически работать в качестве
прозрачного прямого прокси-сервера, обрабатывающего все запросы пользователей,
проходящие через него в Интернет. При использовании решения в таком режиме
администраторам не нужно менять настройки каждого устройства или групповую
политику, чтобы получить возможность перехватывать сеансы пользователей.
Secure Web Gateway Services также может работать в качестве явного прокси-сервера. В
отличие от прозрачного режима, режим явного прямого прокси-сервера требует от
администратора явным образом указать исходящий прямой прокси-сервер для каждого
устройства (и пользователя) в сети. Хотя это связано с увеличением объема работ по
администрированию, организации пришли к выводу, что режим явного прокси-сервера
имеет значительные преимущества с точки зрения безопасности.
Secure Web Gateway Services автоматически создает файлы автоматической настройки в
формате WPAD или PAC. Параметры явного прокси можно также распространять через
групповую политику или другое корпоративное решение для управления.
Использование решения Secure Web Gateway Services заказчиками компании F5Эталонная архитектура Secure Web Gateway Services предполагает четыре типичных
пользовательских сценария. Эти сценарии не являются взаимоисключающими и нередко
используются в связке.
• Обеспечение безопасности с учетом контекста. Решение Secure Web Gateway Services
обеспечивает безопасность пользователей в знакомой корпоративной среде.
• Контроль полосы пропускания. Решение F5 может ограничивать потребление
пропускной способности канала с учетом типа мультимедийного содержимого,
влияя тем самым на поведение пользователей.
• Представление правил использования сети. Secure Web Gateway Services помогает
организациям снять с себя большую часть ответственности при обеспечении
7
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
доступа в Интернет для посетителей, требуя от них согласиться с правилами
использования сети.
• Соответствие нормативным требованиям. Согласно требованиям отрасли
платежных карт (PCI) к защите номеров кредитных карт, серверы в
информационной среде владельцев платежных карт (CDE) должны использовать
прямой прокси при доступе к серверам обновления в Интернете.
Сценарии развертывания Для выполнения задач пользовательских сценариев развертывание Secure Web Gateway
Services обычно должно соответствовать одной из трех моделей: корпоративная, гостевой
доступ и ДМЗ информационной среды владельцев платежных карт, соответствующей
требованиям PCI. Эти сценарии развертывания, поддерживающие сценарии с
несколькими заказчиками, отличаются друг от друга включенными в каждом из них
функциями. Кроме того, вне зависимости от сценария развертывания решение
поддерживает следующие возможности:
• распределение URL по категориям и их фильтрация;
• поиск вредоносного ПО;
• создание отчетов.
8
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Сценарий развертывания в крупной компанииВ корпоративной среде решение Secure Web Gateway Services может иметь различные
конфигурации, учитывающие требования сети и безопасности. Хотя каждая организация по-
своему уникальна, в большинстве их них Secure Web Gateway Services обеспечивает защиту
исходящего интернет-трафика сотрудников, распределяя по категориям и фильтруя URL, проверяя
контент на наличие вредоносного ПО и в некоторых случаях ограничивая непродуктивную
деятельность пользователей в Интернете.
Обычно в корпоративной архитектуре используются базовые функции Secure Web Gateway Services
(фильтрация URL, поиск вредоносного ПО, создание отчетов) и популярный набор дополнительных
возможностей:
• интеграция с корпоративной службой каталогов для идентификации пользователей;
• перехват SSL;
• федеративный единый вход.
C
A
B
C
GOOD BETTER BEST
SWG
A B
Межсетевой экран нового
поколения и/или система
предотвра-щения
вторжений
KerberosNTLMBasic Auth407
Пользователь
Пользователь
ActiveDirectory
Интернет-безопасность с учетом контекста
Контроль исполнения правил использования сетиКонтроль над пропускной способностью
Сценарии заказчиков
Secure Web Gateway Services
BIG-IP Access Policy Manager
+ Secure Web Gateway Services
Упрощенные бизнес-модели
Обнаружение вредоносного ПО.
Распределение URL по категориям
ДМЗ
Secure WebGateway
Политика доступа+ Защита при работе в
Интернете+ База данных с категориями
+ Создание отчетов
Платформа BIG-IP
Межсетевой экран
Вирусный видеоролик
Игры на Facebook
Интернет
Запре-щенные сайты
YouTube
Вредоносное ПО
Вредоносный сервер
Сервер обновления
Salesforce.com
Сервер B2B
Интернет-API
Электронная коммерция
Корпоративная сеть
Облачная защита от угроз
Удаленные пользователи
Рис. 2. Сценарий развертывания в корпоративной сети с возможностью поддержки всех четырех пользовательских сценариев
9
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Использование корпоративных служб каталогов для идентификации пользователей
Решение Secure Web Gateway Services обеспечивает защиту трафика на уровне 7. Это достигается
благодаря способности работать с прикладными протоколами платформы ADC. Однако решение
перехватывает и трафик на уровнях 3 и 4, а также IP- и TCP-трафик. Поскольку эти уровни не
обеспечивают привязки к пользователю, протокол Secure Web Gateway Services может
взаимодействовать со службой Microsoft Active Directory, связывая IP-адрес с вошедшим в систему
пользователем.
Взаимодействие Secure Web Gateway Services и Active Directory позволяет администраторам видеть,
какие действия выполнял тот или иной пользователь и когда он это делал, а также предполагать,
чьи компьютеры могут быть заражены вредоносным ПО. Если включено взаимодействие с Active
Directory, журнал аудита содержит для каждого запроса имя связанного с ним пользователя.
Если связать запрос с пользователем не удается (это может происходить, например, при наличии в
сети несанкционированного устройства), решение Secure Web Gateway Services предлагает три
возможных варианта обработки соединения.
1. Отказ в соединении для обеспечения максимальной безопасности.
2. Применение к соединению намного более строгих правил безопасности.
3. Перенаправление соединения на внутренний портал, где пользователь должен будет
пройти проверку подлинности (это позволит Secure Web Gateway Services отследить
пользователя, связанного с данным устройством).
Проверка зашифрованного трафика
Проверка зашифрованного исходящего трафика больше не является необязательной. Все более
широкое использование HTTPS в качестве протокола передачи данных по умолчанию означает, что
администраторы должны иметь возможность «вскрывать» такие соединения для проверки. Для
реализации перехвата SSL решение Secure Web Gateway Services автоматически создает
сертификаты, имитируя для внутренних пользователей целевой сайт. Браузер, для которого
цифровой сертификат решения является доверенным, будет считать, что взаимодействует
напрямую с целевым веб-сайтом.
Хотя перехват SSL является очень полезной функцией, в некоторых случаях администраторы не
должны перехватывать соединения. В частности, это относится к перечисленным ниже типам сайтов.
• Сайты интернет-банкинга. Обычно администраторы не должны перехватывать данные,
которыми пользователь обменивается с финансовыми учреждениями.
10
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
• Веб-сайты, требующие проверки подлинности с использованием сертификата
клиента. Структура протокола SSL не позволяет Secure Web Gateway Services
перехватывать данные сайтов, которые требуют проверки подлинности с
использованием сертификата клиента.
• Сайты, проверяющие цифровой отпечаток сертификата сервера. В клиентское ПО
серверов автоматического обновления бывает встроен целевой сертификат, поэтому
при использовании перехвата SSL они выдают ошибку.
• Сайты SaaS («ПО как услуга»). Многие администраторы имеют отношения с высоким
уровнем доверия с наиболее часто используемыми платформами SaaS. Для
повышения производительности они могут отключить перехват и проверку
пользовательских соединений с этими сервисами.
Необходимо учитывать, что проверка с использованием сертификатов клиентов
несовместима с прозрачными SSL-прокси. То же относится и к сервисам, использующим
сохранение сертификатов (certificate pinning) и любым сервисам, проверяющим цифровой
отпечаток сертификата сервера (например, Microsoft Windows Update). Чтобы пользователи
могли работать с сайтами, использующими сертификаты клиента и другие функции,
несовместимые с SSL-прокси, администраторы могут создать специальный белый список
сайтов, для которых проверка не будет осуществляться. В конечном итоге выбор сайтов, для
которых не должен осуществляться перехват SSL, является политическим решением,
принимаемым администратором.
Для управления категориями сайтов, для которых не должен осуществляться перехват SSL,
можно использовать шаблон F5® iApps® Template для Secure Web Gateway Services.
Рис. 3. Управление категориями, для которых не должен осуществляться перехват SSL, в шаблоне iApps Template
Поставщик удостоверений SAML позволяет превратить внутренний портал в страницу федерации.
11
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Безопасность как корпоративная политика
Современные браузеры и поисковые машины содержат механизмы фильтрации,
блокирующие отображение в результатах поиска сайтов, о которых известно, что они
заражены вредоносным ПО. Соответствующая технология компании Google называется
SafeSearch, компания Microsoft называет ее SmartScreen Filter.
Если сотрудники не используют браузеры с поддержкой безопасного режима, они могут
подвергаться опасности заражения и сталкиваться с вредоносными URL в
неотфильтрованных результатах поиска. Кроме того, большинство поисковых систем
теперь используют только протокол SSL, затрудняя задачу системам интернет-
безопасности при работе с результатами поиска. Решение Secure Web Gateway Services
умеет распознавать и блокировать ссылки в результатах поиска, обеспечивая
безопасность всех пользователей компании.
Федеративный единый вход
Одной из важнейших функций Secure Web Gateway Services является федеративный
единый вход. Решение можно настроить для взаимодействия со средствами единого
входа (с использованием SAML и других технологий), чтобы данные для входа в Интернет
использовались и для доступа с проверкой подлинности к корпоративным порталам и
SaaS-приложениям. Это дает возможность применять политики, чтобы отслеживать и
контролировать посещение определенными пользователями определенных сайтов,
время их посещения и возникающие при этом риски.
12
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Рис. 4. Пример страницы федеративного единого входа
Представьте организацию с 20 интегрированными SaaS-приложениями в облаке. Функция
федеративного единого входа Secure Web Gateway Services позволяет пользователям
автоматически проходить проверку подлинности во всех 20 сервисах, не вводя каждый раз
свои данные. Это экономит время и, что более важно, консолидирует проверку подлинности
в рамках одного сервиса, сводя к минимуму необходимость управления паролями.
Некоторые поставщики удостоверений SAML могут использовать для прозрачного входа
технологию NTLM, полностью избавляющую сотрудников от необходимости вводить имя
пользователя и пароль. Если пользователь вошел в систему на своем компьютере, при
первом посещении внутреннего портала его браузер просто будет перенаправлен на
определенную страницу, и ему не придется нигде вводить имя пользователя и пароль.
Проверка конечных точек
Политики доступа Secure Web Gateway Services допускают проведение проверок на
стороне клиента для сбора и проверки информации о системе пользователя. Эти
проверки необходимы, чтобы убедиться, что удаленные сотрудники установили на свои
компьютеры антивирусы и службы защиты от вредоносного ПО. Данное правило можно
сделать обязательным на определенном уровне безопасности, не позволяя не
выполнившим его пользователям получить доступ к сетевым ресурсам.
13
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Контроль над пропускной способностью
Решение Secure Web Gateway Services предоставляет организациям возможность влиять на
поведение пользователей при помощи средств управления пропускной способностью с
учетом типа контента (потоковые мультимедийные данные и пр.), категорий URL,
используемых приложений и протоколов (например, FTP). Функции ограничения
пропускной способности могут быть полезны при относительно узком канале, а также, если
организация хочет ограничить доступ к определенным типам контента («пожирателям
канала»), чтобы способствовать изменению поведения пользователей.
Квоты на передачу данных (общее количество трафика, потребленное за определенное
время) не обеспечивают контроль в режиме реального времени, однако позволяют достичь
той же цели — ограничить использование приложений, сильно загружающих канал
передачи данных.
• Ограничение доступа к вирусным видеороликам без полного запрета на
развлечения. В базе данных Secure Web Gateway Services содержатся тысячи сайтов,
отнесенных к категории развлекательных. Администраторы могут использовать
эту категорию не только для контроля доступа к таким сайтам, но и определять,
насколько свободным должен быть доступ к ним. Предположим, например, что
определенному сотруднику периодически нужен доступ к веб-сайту с
видеороликами для выполнения рабочих обязанностей, однако организация не
хочет, чтобы ее сотрудники смотрели множество вирусных видеороликов, каждый
день распространяющихся среди офисных служащих.
Secure Web Gateway Services позволяет реализовать такую политику с использованием
специальной категории в базе данных Websense, содержащей URL вирусных
видеороликов. Эта часто обновляемая категория содержит список популярных в
текущий момент видеороликов. Администратор может создать правило, позволяющее
ежедневно просматривать лишь определенное количество видеороликов из данного
списка. Компании, столкнувшиеся с этой проблемой, по достоинству оценили уровень
контроля, предоставляемый решением Secure Web Gateway Services.
• Контроль над доступом к сервису Netflix. С помощью Secure Web Gateway Services
можно контролировать доступ к еще одной категории развлекательных сайтов –
службам потокового мультимедиа, таким как Netflix. Некоторые организации хотели
бы навсегда закрыть доступ к ним для всех пользователей. Другие могут разрешать
доступ к ним только после окончания рабочего дня (например, для сотрудников,
которые должны находиться на рабочем месте, но могут быть не заняты). Все эти
разновидности политик можно реализовать для разных групп сотрудников.
14
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Сценарий развертывания гостевого доступаБолее специфический сценарий развертывания Secure Web Gateway Services связан с
реализацией правил использования сети при предоставлении гостевого доступа. При
развертывании в соответствии с этим сценарием решение F5 обеспечивает защиту
доступа в Интернет для пользователей-гостей, к которым, в частности, относятся
посетители, использующие гостевую беспроводную сеть, и независимые подрядчики,
работающие с собственной сетью.
Службы Secure Web Gateway Services позволяют осуществлять аутентификацию
пользователей-гостей. Однако большинство организаций просто предлагают таким
пользователям согласиться с правилами, а затем доверяют Secure Web Gateway Services их
защиту от вредоносных веб-сайтов и программного обеспечения.
Обеспечение безопасности и создание отчетов о соединениях для гостевого доступа мало
отличается от выполнения этих задач в корпоративной среде. Однако для посетителей,
использующих беспроводную сеть, ограничения могут быть менее строгими (например,
без запрета доступа к развлекательным сайтам), а для подрядчиков – более строгими.
Корпоративная сеть
Сеть подрядчика
A
B
C
Интернет-безопасность с учетом контекстаКонтроль исполнения правил использования сетиКонтроль над пропускной способностью
Сценарии заказчиков
Облачная защита от угроз
Межсетевой экран
Удаленные пользователи
ДМЗ
Обнаружение вредоносного ПО.
Распределение URL по категориям
Вирусный видеоролик
C
Игры на Facebook
Secure Web Gateway Services
BIG-IP Access Policy Manager
+ Secure Web Gateway Services
Упрощенные бизнес-моделиGOOD BETTER BEST
Интернет
Запре-щенные сайты
Электронная коммерция
Сервер B2B
Сервер обновления
YouTube
Salesforce.com
Интернет-API
Вредоносное ПО
Вредоносный сервер SWG
Межсетевой экран нового
поколения и/или система
предотвращения вторжений
B
AВнутренний портал для
пользователей-гостей
Secure WebGateway
Платформа BIG-IP
Политика доступа+ Защита при работе в
Интернете+ База данных с категориями
+ Создание отчетов
SWG
Беспроводная гостевая сеть
Рис. 5. Развертывание гостевого доступа с внутренним порталом
Типичная конфигурация Secure Web Gateway Services с гостевым доступом предполагает
включение ряда функций:
Для обеспечения максимальной безопасности в ДМЗ информационной среды владельцев платежных карт, соответствующей требованиям PCI, администратор может создать «белый список» сайтов, настроив для них отдельную категорию.
15
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
• режим прозрачного прокси;
• внутренний портал;
• фильтрация URL;
• поиск вредоносного ПО;
• создание отчетов.
Все они важны, однако главной отличительной чертой этой модели является внутренний
портал.
Внутренний портал
Любой пользователь, когда-либо использовавший гостевую точку беспроводного доступа
в кафе или гостинице, знаком с понятием внутреннего портала. Внутренний портал – это
веб-страница, через которую пользователь должен пройти, чтобы войти в сеть. Иногда
внутренний портал требует ввода регистрационных данных (например, гостиничного
номера) для выставления счета. В большинстве случаев внутренний портал, как минимум,
требует от пользователя выразить согласие с правилами обслуживания.
Требуя от пользователя подтвердить согласие с правилами использования сети,
организация может переложить часть ответственности на этого пользователя. Обычно
правила запрещают пользователям заниматься подменой пакетов, атаковать другие
компьютеры или сети, а также перехватывать трафик других пользователей. Если
пользователь занимается чем-либо из вышеперечисленного и это приводит к судебному
процессу, организация может сослаться на то, что пользователь нарушил свое обещание.
Сценарий развертывания в ДМЗ, соответствующий требованиям PCIЭтот сценарий связан с развертыванием Secure Web Gateway Services для обеспечения
соответствия требованиям PCI в сфере безопасности. Например, решение Secure Web
Gateway Services часто используется для создания информационной среды владельцев
платежных карт (CDE), соответствующей стандарту безопасности данных отрасли
платежных карт (PCI DSS). Раздел 1.3.7 стандарта PCI DSS требует, чтобы при любом
подключении сервера в среде CDE к Интернету использовался контролирующий прямой
прокси-сервер, обеспечивающий его защиту. Развертывание Secure Web Gateway Services
в среде CDE обеспечивает соответствие этому требованию и позволяет защитить
исходящие соединения и обмен данными.
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
16
Сервер
Сервер
Сервер
Сервер
Межсетевой экран
нового поколения
и/или система
предотвра-щения
вторжений
Межсетевой экран веб-
приложений
Вредоносное ПО
Интернет
Вредоносный сайт
Платформа BIG-IP
Межсетевой экран периметра/DDoS
Обнаружение вредоносного ПО.Распределение URL по категориям
Облачная защита от угроз
Разрешенные сайты
ДМЗ
Secure WebGateway
Политика доступа+ Защита при работе в
Интернете+ База данных с категориями
+ Создание отчетов
PCI CDE
Серверы операций по кредитным картам
Явный прокси обрабатывает исходящий HTTP-трафик в соответствии с политикой безопасности PCI. Соответствует требованиям раздела 1.3.7 стандарта PCI DSS к сегрегации данных.
Прозрачный обратный прокси защищает серверы от вредоносных входящих соединений при помощи межсетевого экрана веб-приложений.
Secure Web Gateway Services
BIG-IP Access Policy Manager
+ Secure Web Gateway Services
Упрощенные бизнес-модели
Сервер обновления
Интернет-API
Соответствие сценарию заказчика
Рис. 6. Развертывание решения F5 в информационной среды владельцев платежных карт (CDE), соответствующей требованиям отрасли платежных карт (PCI)
В этих случаях задачей администратора системы безопасности является максимальное
проксирование для уменьшения фронта возможной атаки. Если один из серверов в системе
все-таки будет взломан, прокси с функцией распознавания вредоносного ПО сможет
затруднить злоумышленнику загрузку на этот сервер средств для организации атаки.
Типичное защищенное развертывание Secure Web Gateway Services в
демилитаризованной зоне предполагает использование в дополнение к базовому
функционалу режима прозрачного прокси-сервера.
Использование явного прокси-сервера для защиты служб DNS
Одним из преимуществ явных прокси-серверов с точки зрения безопасности является то,
что прокси выступает в качестве используемого по умолчанию сервера имен для всех
внешних запросов. Это позволяет администратору изолировать внутренний DNS-сервер
от обработки внешних адресов, уменьшив фронт возможной атаки только до службы
имен. Представим, например, злоумышленника, который, действуя извне, создал карту
сети и обнаружил внутренний DNS-сервер имен intra.example.com. Если этот внутренний
сервер имен изолирован от обслуживания внешних адресов, злоумышленник не сможет
отравить его кэш.
При использовании решения Secure Web Gateway Services в явном режиме его можно
связать с внешним DNS-сервером. Это позволяет освободить внутренний корпоративный
DNS-сервер от разрешения внешних адресов. В этом случае внутренний DNS-сервер
можно настроить таким образом, чтобы он не перенаправлял запросы для внешних
17
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
ресурсов (поскольку это будет делать решение Secure Web Gateway Services). Таким
образом можно уменьшить фронт возможной атаки, защитив внутренний DNS-сервер от
отравления кэша и т. д.
Случайное изменение регистра запросов
Случайное изменение регистра запросов — это техника, позволяющая добавить
дополнительный уровень защиты путем случайного изменения регистра имени и
проверки ответа, имя в котором должно иметь в точности такой же регистр, как в
модифицированном запросе. Например, если пользователь запрашивает адрес
www.example.com, Secure Web Gateway Services или другой сервис, выполняющий
случайное изменение регистра запроса, может изменить запрос на wWw.EXamPle.com.
При обработке ответа производится проверка регистра, который должен совпадать с
использованным в запросе. Это не позволяет злоумышленникам подменять адреса путем
рассылки фальшивых ответов на запросы к популярным сайтам, например, почтовой
службе Google Mail или финансовым учреждениям.
Пользовательские сценарии и сценарии развертыванияТри описанных выше базовых сценария развертывания поддерживают использование
четырех типичных пользовательских сценариев, предоставляя организациям варианты
конфигурации, лучше всего соответствующие их целям.
Режим развертывания Интернет-безопасность с учетом
контекста
Контроль над пропускной
способностью
Показ правил использования сети
Соответствие нормативным требованиям
Корпоративный • • • —
Гостевой доступ • • • —
ДМЗ среды CDE, соответствующей требованиям PCI
— — — •
Рис. 7. Поддержка сценариями развертывания различных пользовательских сценариев
18
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Миграция с решения Microsoft Forefront TMGПрекращение разработки Microsoft Forefront Threat Management Gateway (TMG) дало
многим организациям возможность перейти на решение F5 Secure Web Gateway Services.
BIG-IP Local Tra�c Manager
Внешний брандмауэр
Вредоносные и нежелательные
сайты
ИнтернетГруппа Threat
Management Gateway
A
B
Прямой прокси-сервер контролирует исходящие соединения, обеспечивая защиту от вредоносных программ, а также фильтрацию URL-адресов и содержимого.
Блокирует получение нежелательного содержимого и проникновение вредоносного ПО
Платформа BIG-IP
Заблокированные пользователи
Корпоративные пользователи
Пользова-тели
интернет-прокси
Пользова-тели клиента
TMG
Пользова-тели
SecureNAT
A B
Интеллектуальное управление
трафиком
Интеллектуальное управление
трафиком
Платформа BIG-IP
Разрешенные веб-сайты
Рис. 8. Положение массива Microsoft TMG в типичной корпоративной сети
Решение F5 может стать больше, чем просто заменой TMG, поскольку на устройствах F5
BIG-IP® Local Traffic Manager™ (LTM) можно включить поддержку прямого прокси-сервера,
который в TMG подключался отдельно. Интеграция в платформу BIG-IP защиты с
использованием прямого прокси-сервера позволяет сократить капитальные и текущие
расходы и повысить производительность.
Разрешенные веб-сайты
A
B
C
Обеспечивает реализацию детализированных политик доступа и создание отчетов о локальных и удаленных пользователях
Прямой прокси-сервер контролирует исходящие соединения, обеспечивая ускорение передачи данных, защиту от вредоносных программ, а также фильтрацию URL-адресов и содержимого.Блокирует получение нежелательного содержимого и проникновение вредоносного ПО
Удаленные пользователи
Заблокированные пользователи
Корпоративные пользователи
Пользова-тели
интернет-прокси
Пользова-тели
клиента TMG
Пользова-тели
SecureNAT
A
Реализация политик доступа+ Защита при работе в
Интернете+ Расширенные функции
брандмауэра+ Создание отчетов
Платформа BIG-IP
APM AFMLTMB
Вредоносные и нежелательные
сайты
Интернет
BC
Secure WebGateway Services
Упрощенные бизнес-модели
+ Secure Web Gateway Services
GOOD BETTER BEST
BIG-IP Access Policy Manager
BIG-IP Local Tra�c Manager
BIG-IP Advanced Firewall Manager
Рис. 9. Сеть после миграции с TMG на Secure Web Gateway Services
19
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Определение технических характеристик платформы Как и все решения компании F5, Secure Web Gateway Services можно развернуть на любой
платформе из портфеля F5. Специалист по техническому обслуживанию может помочь
заказчикам F5 определить, достаточно ли уже имеющихся у них платформ для работы
Secure Web Gateway Services.
Метод BIG-IP 2200 BIG-IP 5200 BIG-IP 10200
Явный фильтр, сканирование транзакций/с
1800 5700 8300
Только явный фильтр транзакций/с
9800 37 000 45 000
Прозрачный фильтр, сканирование транзакций/с
1700 5600 8300
Только прозрачный фильтр транзакций/с
11 200 40 000 41 000
Рис. 10. Масштабирование платформы F5
Лицензирование и одновременно работающие пользователиДля каждой платформы F5 установлен лимит конкурентных сеансов, призванный
обеспечить удобство работы пользователей. Веб-страницы разных размеров по-разному
влияют на производительность Secure Web Gateway Services. Оптимальное количество
одновременно работающих лицензированных пользователей варьируется для разных
платформ F5 в диапазоне от 100 до 30 000.
Платформа F5 Одновременные сессии Secure Web Gateway
VIPRION 2400 30 000
Серия 10000 20 000
Серия 7000 15 000
Серия 5000 10 000
Серия 4000 5000
2200 1000
VE 100
Рис. 11. Количество одновременно работающих лицензированных пользователей для популярных платформ F5 при среднем размере страниц в 16 КБ
ТЕХНИЧЕСКАЯ СТАТЬЯ
Эталонная архитектура решения F5 Secure Web Gateway Services
Решения для мира приложений.
F5 Networks, Inc.Главный офис[email protected]
F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com
F5 NetworksАзиатско-Тихоокеанский регион[email protected]
F5 Networks Ltd.Европа, Ближний Восток и Африка[email protected]
F5 NetworksЯпония[email protected]
Авторское право © 2014 F5 Networks, Inc. Все права защищены. F5, F5 Networks и логотип F5 являются товарными знаками F5 Networks, Inc. в США и ряде других стран. Список других товарных знаков компании F5 см. на сайте f5.com. Названия любых других продуктов, служб или компаний, упомянутые в настоящем документе, могут являться товарными знаками их владельцев; их упоминание не является прямой или косвенной рекомендацией со стороны компании F5. 06/14 WP-SEC-23060 0614
ЗаключениеДанная эталонная архитектура показывает, чем решение F5 Secure Web Gateway Services
может быть полезно ИТ-администраторам крупных компаний, компаний небольших и
средних размеров, а также центров обработки данных платежных систем.
• Организации используют решение F5 для защиты внутренних пользователей при
работе в Интернете. Функции распределения URL по категориям и их фильтрации
не позволяют пользователям заходить на зараженные сайты и сдерживают
непродуктивное использование Интернета. Развертывание политик безопасности
с учетом множества мелких факторов обеспечивает более строгие ограничения
для работающих на территории организации подрядчиков.
• Небольшие компании используют Secure Web Gateway Services, чтобы
предоставлять доступ в Интернет своим посетителям, не принимая на себя при
этом дополнительную ответственность.
• Центры обработки данных платежных систем используют Secure Web Gateway
Services для защиты серверов обработки платежей путем создания
демилитаризованной зоны информационной среды владельцев платежных карт,
соответствующей требованиям PCI.
Экономическое преимущество решения F5 Secure Web Gateway Services заключается в
том, что оно позволяет реализовать перечисленные сервисы на платформе, которую
организация уже установила в стратегической точке контроля в сети.
Однако в современной опасной информационной среде, для которой характерны
адресные фишинговые атаки, внезапные загрузки, атаки путем взлома посещаемых
сотрудниками компании сайтов и целенаправленные устойчивые угрозы, экономические
преимущества не могут быть единственным решающим фактором – решение также
должно обеспечивать более надежную защиту. Поэтому важными компонентами системы
безопасности являются реализованные в Secure Web Gateway Services функции перехвата
SSL-соединений и проверки на наличие вредоносного ПО, помогающие уменьшить фронт
возможной атаки и упрощающие работу администраторов ИТ-систем.