Экранирование локальных пользователей при выходе в публичные сети: эталонная архитектура от F5

Техническая статьяДэвид Холмс

Эталонная архитектура решения F5 Secure Web Gateway ServicesПерспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение F5 Secure Web Gateway Services.

2

ТЕХНИЧЕСКАЯ СТАТЬЯ

Эталонная архитектура решения F5 Secure Web Gateway Services

Содержание

Введение 3

Сложности защиты исходящих соединений 3

Решение F5 Secure Web Gateway Services 4

Преимущества решения F5 4

Три основных свойства защищенного веб-шлюза 5

Явные и прозрачные прокси-серверы 6

Использование решения Secure Web Gateway Services заказчиками компании F5 6

Сценарии развертывания 7

Сценарий развертывания в крупной компании 8

Сценарий развертывания гостевого доступа 14

Сценарий развертывания в ДМЗ, соответствующий требованиям PCI 15

Пользовательские сценарии и сценарии развертывания 17

Миграция с решения Microsoft Forefront TMG 18

Определение технических характеристик платформы 19

Лицензирование и одновременно работающие пользователи 19

Заключение 20

3



ВведениеНаиболее известные взломы систем безопасности последнего времени начинались с

направленных фишинг-атак. Целью этих кампаний являлись сотрудники определенных

организаций, которых обманным путем побуждали загружать в корпоративную сеть файлы,

содержащие вредоносные программы. Эти вредоносные программы затем организовывали

утечку секретных и персональных данных заказчиков, производственных секретов и

финансовых активов. Сейчас в Интернете ежедневно появляются еще более изощренные и

опасные угрозы: внезапные загрузки, постоянно обновляемые вирусы и атаки путем взлома

часто посещаемых сотрудниками компании сайтов. Опасность и масштабы этой

деятельности вынуждают ИТ-подразделения организаций усиливать меры безопасности,

связанные с доступом сотрудников в Интернет.

Попытки организации защиты сотрудников при работе в Интернете традиционно

заключались в том, что организация требовала использовать прямой прокси-сервер,

который перехватывал и проверял исходящие интернет-соединения пользователей. Любой,

кому приходилось работать в относительно крупной корпоративной сети, наверняка имел

дело с такими прокси-серверами (и, возможно, пытался обойти их). Есть компании,

специализирующиеся на разработке таких прокси-серверов уже более десяти лет, однако

сама технология с течением времени не слишком усовершенствовалась.

Сложности защиты исходящих соединенийТехнология прямых прокси-серверов стоит на месте, чего нельзя сказать о задачах,

которые они должны решать. Появляются новые сложности, связанные, в частности, с

перечисленными ниже тремя факторами.

• Распространение повсеместного использования технологии SSL «ослепляет»

обычные прямые прокси-серверы.

• Неожиданно серьезные последствия фишинговых атак приводят к повышению

ставок.

• Бесконтрольное распространение устройств и административные требования

вынуждают организации задуматься о консолидации оборудования.

Эти изменения происходят во всем мире, и технология прямых прокси-серверов не

успевает за ними. Администраторам требуется решение, позволяющее справляться с

новыми сложностями.

3

Традиционные прямые прокси «не видят» SSL-трафик и вредоносное ПО, поэтому для создания завершенного решения часто требуются дополнительные устройства.

4



Решение F5 Secure Web Gateway ServicesПоскольку продукты F5 располагаются в стратегической точке контроля сети, компания F5

Networks имеет уникальную возможность помогать организациям в обеспечении

безопасности пользователей при доступе к Интернету с использованием тех же самых

высокопроизводительных платформ, которые они применяют для контроля доставки

приложений.

Преимущества решения F5Чем решение F5® Secure Web Gateway Services отличается от традиционных прямых

прокси-серверов? Можно выделить пять основных отличий, которые крайне важны для

понимания возможности использования решения F5 для создания завершенной

эталонной архитектуры интернет-безопасности.

• Встроенные средства обнаружения вредоносного ПО. Обычные прямые прокси-

серверы осуществляют аналогичную фильтрацию URL, однако для обнаружения

вредоносного ПО им требуются дополнительные устройства или комплекты

устройств. Решение Secure Web Gateway Services позволяет реализовать эту

функцию на той же платформе.

• Масштабирование и производительность. Масштабируемость эталонной

архитектуры решения Secure Web Gateway Services гораздо выше, чем у

традиционных прямых прокси-серверов. Это позволяет сократить количество

устройств, обеспечивающих безопасность работы в Интернете, и уменьшить

капитальные затраты предприятия.

• Перехват SSL. Распространение технологии SSL в организациях привело к

возникновению необходимости в перехвате и инспектировании SSL-соединений. В

традиционных решениях для этого часто используется контроллер доставки

приложений F5 Application Delivery Controller (ADC). Встраивание Secure Web

Gateway Services в главную платформу ADC обеспечивает консолидацию системы и

сопутствующие этому преимущества.

• Федеративный единый вход (single sign-on). Решение F5 единственное на рынке

сегодня предлагает встроенные функции федеративного единого входа.

Технология F5 позволяет компании создать страницу внутреннего портала, чтобы

пользователи проходили на ней проверку подлинности каждое утро, а затем

5



пользовались единым входом до конца рабочего дня. Это удобно для сотрудников

и экономит их время.

• Консолидация сервисов безопасности. Все перечисленные сервисы для

обеспечения безопасности доступны на любой платформе F5 (как и функции

защиты входящих соединений). Это дает возможность консолидировать все

функции управления входящим и исходящим доступом, а также защиты входящих и

исходящих соединений в одной стратегической точке контроля в сети.

Эти различия позволяют использовать решение F5 Secure Web Gateway Services для

создания комплексной архитектуры безопасности приложений и доступа в Интернет.

Три основных свойства защищенного веб-шлюзаВсе примеры использования Secure Web Gateway Services основаны на трех функциях

безопасности: фильтрации URL, поиске вредоносного ПО и создании отчетов.

Распределение URL по категориям и их фильтрация

Простейшей из этих функций является распределение URL по категориям и их фильтрация. В

Secure Web Gateway Services ежедневно загружается база данных, содержащая миллиарды

URL с присвоенными им оценками и категориями. Обновление этой базы данных

производится каждые несколько минут. База содержит URL сайтов, содержащих вредоносное

ПО, фишинговые прокси-серверы и страницы с невидимыми слоями. Специалисты компании-

пользователя могут настроить базу данных с учетом своей специфики.

Поиск вредоносного ПО

База данных URL может уведомить Secure Web Gateway Services о том, что определенный

контент необходимо дополнительно проверить на наличие вредоносного ПО. После этого

решение F5 может начать перехватывать и проверять содержимое и ссылки на файлы

большинства популярных форматов, таких как Adobe Flash и Adobe PDF.

Создание отчетов

Для выработки хорошо работающей политики, а также для соблюдения отраслевых и

государственных нормативных требований администраторы должны понимать

происходящие процессы. Поскольку решение Secure Web Gateway Services выступает в

качестве стратегической точки контроля для исходящего доступа в Интернет, будет

естественно использовать его для отслеживания тенденций использования Интернета и

Рис. 1. Категория безопасности базы данных URL

Ядром F5 Secure Web Gateway Services является база данных Websense, используемая для распределения URL по категориям. Компания Websense ежедневно проверяет миллиарды URL-адресов, обновляя информацию об угрозах в режиме реального времени.

6



составления соответствующих отчетов. Политики некоторых организаций требуют

фиксации в журнале каждого запроса, тогда как в других организациях фиксируются

только запросы, при которых срабатывает система оповещения об опасности. Решение F5

позволяет использовать любой из этих подходов. Одним из наиболее популярных отчетов,

например, является отчет о пользователях сети, потребляющих наибольшее количество

пропускной способности.

Явные и прозрачные прокси-серверыРешение F5 Secure Web Gateway Services может автоматически работать в качестве

прозрачного прямого прокси-сервера, обрабатывающего все запросы пользователей,

проходящие через него в Интернет. При использовании решения в таком режиме

администраторам не нужно менять настройки каждого устройства или групповую

политику, чтобы получить возможность перехватывать сеансы пользователей.

Secure Web Gateway Services также может работать в качестве явного прокси-сервера. В

отличие от прозрачного режима, режим явного прямого прокси-сервера требует от

администратора явным образом указать исходящий прямой прокси-сервер для каждого

устройства (и пользователя) в сети. Хотя это связано с увеличением объема работ по

администрированию, организации пришли к выводу, что режим явного прокси-сервера

имеет значительные преимущества с точки зрения безопасности.

Secure Web Gateway Services автоматически создает файлы автоматической настройки в

формате WPAD или PAC. Параметры явного прокси можно также распространять через

групповую политику или другое корпоративное решение для управления.

Использование решения Secure Web Gateway Services заказчиками компании F5Эталонная архитектура Secure Web Gateway Services предполагает четыре типичных

пользовательских сценария. Эти сценарии не являются взаимоисключающими и нередко

используются в связке.

• Обеспечение безопасности с учетом контекста. Решение Secure Web Gateway Services

обеспечивает безопасность пользователей в знакомой корпоративной среде.

• Контроль полосы пропускания. Решение F5 может ограничивать потребление

пропускной способности канала с учетом типа мультимедийного содержимого,

влияя тем самым на поведение пользователей.

• Представление правил использования сети. Secure Web Gateway Services помогает

организациям снять с себя большую часть ответственности при обеспечении

7



доступа в Интернет для посетителей, требуя от них согласиться с правилами

использования сети.

• Соответствие нормативным требованиям. Согласно требованиям отрасли

платежных карт (PCI) к защите номеров кредитных карт, серверы в

информационной среде владельцев платежных карт (CDE) должны использовать

прямой прокси при доступе к серверам обновления в Интернете.

Сценарии развертывания Для выполнения задач пользовательских сценариев развертывание Secure Web Gateway

Services обычно должно соответствовать одной из трех моделей: корпоративная, гостевой

доступ и ДМЗ информационной среды владельцев платежных карт, соответствующей

требованиям PCI. Эти сценарии развертывания, поддерживающие сценарии с

несколькими заказчиками, отличаются друг от друга включенными в каждом из них

функциями. Кроме того, вне зависимости от сценария развертывания решение

поддерживает следующие возможности:

• распределение URL по категориям и их фильтрация;

• поиск вредоносного ПО;

• создание отчетов.

8



Сценарий развертывания в крупной компанииВ корпоративной среде решение Secure Web Gateway Services может иметь различные

конфигурации, учитывающие требования сети и безопасности. Хотя каждая организация по-

своему уникальна, в большинстве их них Secure Web Gateway Services обеспечивает защиту

исходящего интернет-трафика сотрудников, распределяя по категориям и фильтруя URL, проверяя

контент на наличие вредоносного ПО и в некоторых случаях ограничивая непродуктивную

деятельность пользователей в Интернете.

Обычно в корпоративной архитектуре используются базовые функции Secure Web Gateway Services

(фильтрация URL, поиск вредоносного ПО, создание отчетов) и популярный набор дополнительных

возможностей:

• интеграция с корпоративной службой каталогов для идентификации пользователей;

• перехват SSL;

• федеративный единый вход.

C

A

B

C

GOOD BETTER BEST

SWG

A B

Межсетевой экран нового

поколения и/или система

предотвра-щения

вторжений

KerberosNTLMBasic Auth407

Пользователь

Пользователь

ActiveDirectory

Интернет-безопасность с учетом контекста

Контроль исполнения правил использования сетиКонтроль над пропускной способностью

Сценарии заказчиков

Secure Web Gateway Services

BIG-IP Access Policy Manager

+ Secure Web Gateway Services

Упрощенные бизнес-модели

Обнаружение вредоносного ПО.

Распределение URL по категориям

ДМЗ

Secure WebGateway

Политика доступа+ Защита при работе в

Интернете+ База данных с категориями

+ Создание отчетов

Платформа BIG-IP

Межсетевой экран

Вирусный видеоролик

Игры на Facebook

Интернет

Запре-щенные сайты

YouTube

Facebook

Вредоносное ПО

Вредоносный сервер

Сервер обновления

Salesforce.com

Сервер B2B

Интернет-API

Электронная коммерция

Корпоративная сеть

Облачная защита от угроз

Удаленные пользователи

Рис. 2. Сценарий развертывания в корпоративной сети с возможностью поддержки всех четырех пользовательских сценариев

9



Использование корпоративных служб каталогов для идентификации пользователей

Решение Secure Web Gateway Services обеспечивает защиту трафика на уровне 7. Это достигается

благодаря способности работать с прикладными протоколами платформы ADC. Однако решение

перехватывает и трафик на уровнях 3 и 4, а также IP- и TCP-трафик. Поскольку эти уровни не

обеспечивают привязки к пользователю, протокол Secure Web Gateway Services может

взаимодействовать со службой Microsoft Active Directory, связывая IP-адрес с вошедшим в систему

пользователем.

Взаимодействие Secure Web Gateway Services и Active Directory позволяет администраторам видеть,

какие действия выполнял тот или иной пользователь и когда он это делал, а также предполагать,

чьи компьютеры могут быть заражены вредоносным ПО. Если включено взаимодействие с Active

Directory, журнал аудита содержит для каждого запроса имя связанного с ним пользователя.

Если связать запрос с пользователем не удается (это может происходить, например, при наличии в

сети несанкционированного устройства), решение Secure Web Gateway Services предлагает три

возможных варианта обработки соединения.

1. Отказ в соединении для обеспечения максимальной безопасности.

2. Применение к соединению намного более строгих правил безопасности.

3. Перенаправление соединения на внутренний портал, где пользователь должен будет

пройти проверку подлинности (это позволит Secure Web Gateway Services отследить

пользователя, связанного с данным устройством).

Проверка зашифрованного трафика

Проверка зашифрованного исходящего трафика больше не является необязательной. Все более

широкое использование HTTPS в качестве протокола передачи данных по умолчанию означает, что

администраторы должны иметь возможность «вскрывать» такие соединения для проверки. Для

реализации перехвата SSL решение Secure Web Gateway Services автоматически создает

сертификаты, имитируя для внутренних пользователей целевой сайт. Браузер, для которого

цифровой сертификат решения является доверенным, будет считать, что взаимодействует

напрямую с целевым веб-сайтом.

Хотя перехват SSL является очень полезной функцией, в некоторых случаях администраторы не

должны перехватывать соединения. В частности, это относится к перечисленным ниже типам сайтов.

• Сайты интернет-банкинга. Обычно администраторы не должны перехватывать данные,

которыми пользователь обменивается с финансовыми учреждениями.

10



• Веб-сайты, требующие проверки подлинности с использованием сертификата

клиента. Структура протокола SSL не позволяет Secure Web Gateway Services

перехватывать данные сайтов, которые требуют проверки подлинности с

использованием сертификата клиента.

• Сайты, проверяющие цифровой отпечаток сертификата сервера. В клиентское ПО

серверов автоматического обновления бывает встроен целевой сертификат, поэтому

при использовании перехвата SSL они выдают ошибку.

• Сайты SaaS («ПО как услуга»). Многие администраторы имеют отношения с высоким

уровнем доверия с наиболее часто используемыми платформами SaaS. Для

повышения производительности они могут отключить перехват и проверку

пользовательских соединений с этими сервисами.

Необходимо учитывать, что проверка с использованием сертификатов клиентов

несовместима с прозрачными SSL-прокси. То же относится и к сервисам, использующим

сохранение сертификатов (certificate pinning) и любым сервисам, проверяющим цифровой

отпечаток сертификата сервера (например, Microsoft Windows Update). Чтобы пользователи

могли работать с сайтами, использующими сертификаты клиента и другие функции,

несовместимые с SSL-прокси, администраторы могут создать специальный белый список

сайтов, для которых проверка не будет осуществляться. В конечном итоге выбор сайтов, для

которых не должен осуществляться перехват SSL, является политическим решением,

принимаемым администратором.

Для управления категориями сайтов, для которых не должен осуществляться перехват SSL,

можно использовать шаблон F5® iApps® Template для Secure Web Gateway Services.

Рис. 3. Управление категориями, для которых не должен осуществляться перехват SSL, в шаблоне iApps Template

Поставщик удостоверений SAML позволяет превратить внутренний портал в страницу федерации.

11



Безопасность как корпоративная политика

Современные браузеры и поисковые машины содержат механизмы фильтрации,

блокирующие отображение в результатах поиска сайтов, о которых известно, что они

заражены вредоносным ПО. Соответствующая технология компании Google называется

SafeSearch, компания Microsoft называет ее SmartScreen Filter.

Если сотрудники не используют браузеры с поддержкой безопасного режима, они могут

подвергаться опасности заражения и сталкиваться с вредоносными URL в

неотфильтрованных результатах поиска. Кроме того, большинство поисковых систем

теперь используют только протокол SSL, затрудняя задачу системам интернет-

безопасности при работе с результатами поиска. Решение Secure Web Gateway Services

умеет распознавать и блокировать ссылки в результатах поиска, обеспечивая

безопасность всех пользователей компании.

Федеративный единый вход

Одной из важнейших функций Secure Web Gateway Services является федеративный

единый вход. Решение можно настроить для взаимодействия со средствами единого

входа (с использованием SAML и других технологий), чтобы данные для входа в Интернет

использовались и для доступа с проверкой подлинности к корпоративным порталам и

SaaS-приложениям. Это дает возможность применять политики, чтобы отслеживать и

контролировать посещение определенными пользователями определенных сайтов,

время их посещения и возникающие при этом риски.

12



Рис. 4. Пример страницы федеративного единого входа

Представьте организацию с 20 интегрированными SaaS-приложениями в облаке. Функция

федеративного единого входа Secure Web Gateway Services позволяет пользователям

автоматически проходить проверку подлинности во всех 20 сервисах, не вводя каждый раз

свои данные. Это экономит время и, что более важно, консолидирует проверку подлинности

в рамках одного сервиса, сводя к минимуму необходимость управления паролями.

Некоторые поставщики удостоверений SAML могут использовать для прозрачного входа

технологию NTLM, полностью избавляющую сотрудников от необходимости вводить имя

пользователя и пароль. Если пользователь вошел в систему на своем компьютере, при

первом посещении внутреннего портала его браузер просто будет перенаправлен на

определенную страницу, и ему не придется нигде вводить имя пользователя и пароль.

Проверка конечных точек

Политики доступа Secure Web Gateway Services допускают проведение проверок на

стороне клиента для сбора и проверки информации о системе пользователя. Эти

проверки необходимы, чтобы убедиться, что удаленные сотрудники установили на свои

компьютеры антивирусы и службы защиты от вредоносного ПО. Данное правило можно

сделать обязательным на определенном уровне безопасности, не позволяя не

выполнившим его пользователям получить доступ к сетевым ресурсам.

13



Контроль над пропускной способностью

Решение Secure Web Gateway Services предоставляет организациям возможность влиять на

поведение пользователей при помощи средств управления пропускной способностью с

учетом типа контента (потоковые мультимедийные данные и пр.), категорий URL,

используемых приложений и протоколов (например, FTP). Функции ограничения

пропускной способности могут быть полезны при относительно узком канале, а также, если

организация хочет ограничить доступ к определенным типам контента («пожирателям

канала»), чтобы способствовать изменению поведения пользователей.

Квоты на передачу данных (общее количество трафика, потребленное за определенное

время) не обеспечивают контроль в режиме реального времени, однако позволяют достичь

той же цели — ограничить использование приложений, сильно загружающих канал

передачи данных.

• Ограничение доступа к вирусным видеороликам без полного запрета на

развлечения. В базе данных Secure Web Gateway Services содержатся тысячи сайтов,

отнесенных к категории развлекательных. Администраторы могут использовать

эту категорию не только для контроля доступа к таким сайтам, но и определять,

насколько свободным должен быть доступ к ним. Предположим, например, что

определенному сотруднику периодически нужен доступ к веб-сайту с

видеороликами для выполнения рабочих обязанностей, однако организация не

хочет, чтобы ее сотрудники смотрели множество вирусных видеороликов, каждый

день распространяющихся среди офисных служащих.

Secure Web Gateway Services позволяет реализовать такую политику с использованием

специальной категории в базе данных Websense, содержащей URL вирусных

видеороликов. Эта часто обновляемая категория содержит список популярных в

текущий момент видеороликов. Администратор может создать правило, позволяющее

ежедневно просматривать лишь определенное количество видеороликов из данного

списка. Компании, столкнувшиеся с этой проблемой, по достоинству оценили уровень

контроля, предоставляемый решением Secure Web Gateway Services.

• Контроль над доступом к сервису Netflix. С помощью Secure Web Gateway Services

можно контролировать доступ к еще одной категории развлекательных сайтов –

службам потокового мультимедиа, таким как Netflix. Некоторые организации хотели

бы навсегда закрыть доступ к ним для всех пользователей. Другие могут разрешать

доступ к ним только после окончания рабочего дня (например, для сотрудников,

которые должны находиться на рабочем месте, но могут быть не заняты). Все эти

разновидности политик можно реализовать для разных групп сотрудников.

14



Сценарий развертывания гостевого доступаБолее специфический сценарий развертывания Secure Web Gateway Services связан с

реализацией правил использования сети при предоставлении гостевого доступа. При

развертывании в соответствии с этим сценарием решение F5 обеспечивает защиту

доступа в Интернет для пользователей-гостей, к которым, в частности, относятся

посетители, использующие гостевую беспроводную сеть, и независимые подрядчики,

работающие с собственной сетью.

Службы Secure Web Gateway Services позволяют осуществлять аутентификацию

пользователей-гостей. Однако большинство организаций просто предлагают таким

пользователям согласиться с правилами, а затем доверяют Secure Web Gateway Services их

защиту от вредоносных веб-сайтов и программного обеспечения.

Обеспечение безопасности и создание отчетов о соединениях для гостевого доступа мало

отличается от выполнения этих задач в корпоративной среде. Однако для посетителей,

использующих беспроводную сеть, ограничения могут быть менее строгими (например,

без запрета доступа к развлекательным сайтам), а для подрядчиков – более строгими.

Корпоративная сеть

Сеть подрядчика

A

B

C

Интернет-безопасность с учетом контекстаКонтроль исполнения правил использования сетиКонтроль над пропускной способностью

Сценарии заказчиков




ДМЗ

Обнаружение вредоносного ПО.

Распределение URL по категориям

Вирусный видеоролик

C

Игры на Facebook




Упрощенные бизнес-моделиGOOD BETTER BEST

Интернет

Запре-щенные сайты

Электронная коммерция

Сервер B2B


YouTube

Facebook

Salesforce.com



Вредоносный сервер SWG

Межсетевой экран нового

поколения и/или система

предотвращения вторжений

B

AВнутренний портал для

пользователей-гостей

Secure WebGateway





SWG

Беспроводная гостевая сеть

Рис. 5. Развертывание гостевого доступа с внутренним порталом

Типичная конфигурация Secure Web Gateway Services с гостевым доступом предполагает

включение ряда функций:

Для обеспечения максимальной безопасности в ДМЗ информационной среды владельцев платежных карт, соответствующей требованиям PCI, администратор может создать «белый список» сайтов, настроив для них отдельную категорию.

15



• режим прозрачного прокси;

• внутренний портал;

• фильтрация URL;

• поиск вредоносного ПО;

• создание отчетов.

Все они важны, однако главной отличительной чертой этой модели является внутренний

портал.

Внутренний портал

Любой пользователь, когда-либо использовавший гостевую точку беспроводного доступа

в кафе или гостинице, знаком с понятием внутреннего портала. Внутренний портал – это

веб-страница, через которую пользователь должен пройти, чтобы войти в сеть. Иногда

внутренний портал требует ввода регистрационных данных (например, гостиничного

номера) для выставления счета. В большинстве случаев внутренний портал, как минимум,

требует от пользователя выразить согласие с правилами обслуживания.

Требуя от пользователя подтвердить согласие с правилами использования сети,

организация может переложить часть ответственности на этого пользователя. Обычно

правила запрещают пользователям заниматься подменой пакетов, атаковать другие

компьютеры или сети, а также перехватывать трафик других пользователей. Если

пользователь занимается чем-либо из вышеперечисленного и это приводит к судебному

процессу, организация может сослаться на то, что пользователь нарушил свое обещание.

Сценарий развертывания в ДМЗ, соответствующий требованиям PCIЭтот сценарий связан с развертыванием Secure Web Gateway Services для обеспечения

соответствия требованиям PCI в сфере безопасности. Например, решение Secure Web

Gateway Services часто используется для создания информационной среды владельцев

платежных карт (CDE), соответствующей стандарту безопасности данных отрасли

платежных карт (PCI DSS). Раздел 1.3.7 стандарта PCI DSS требует, чтобы при любом

подключении сервера в среде CDE к Интернету использовался контролирующий прямой

прокси-сервер, обеспечивающий его защиту. Развертывание Secure Web Gateway Services

в среде CDE обеспечивает соответствие этому требованию и позволяет защитить

исходящие соединения и обмен данными.



16

Сервер

Сервер

Сервер

Сервер


нового поколения

и/или система

предотвра-щения

вторжений

Межсетевой экран веб-

приложений


Интернет

Вредоносный сайт


Межсетевой экран периметра/DDoS

Обнаружение вредоносного ПО.Распределение URL по категориям


Разрешенные сайты

ДМЗ

Secure WebGateway




PCI CDE

Серверы операций по кредитным картам

Явный прокси обрабатывает исходящий HTTP-трафик в соответствии с политикой безопасности PCI. Соответствует требованиям раздела 1.3.7 стандарта PCI DSS к сегрегации данных.

Прозрачный обратный прокси защищает серверы от вредоносных входящих соединений при помощи межсетевого экрана веб-приложений.







Соответствие сценарию заказчика

Рис. 6. Развертывание решения F5 в информационной среды владельцев платежных карт (CDE), соответствующей требованиям отрасли платежных карт (PCI)

В этих случаях задачей администратора системы безопасности является максимальное

проксирование для уменьшения фронта возможной атаки. Если один из серверов в системе

все-таки будет взломан, прокси с функцией распознавания вредоносного ПО сможет

затруднить злоумышленнику загрузку на этот сервер средств для организации атаки.

Типичное защищенное развертывание Secure Web Gateway Services в

демилитаризованной зоне предполагает использование в дополнение к базовому

функционалу режима прозрачного прокси-сервера.

Использование явного прокси-сервера для защиты служб DNS

Одним из преимуществ явных прокси-серверов с точки зрения безопасности является то,

что прокси выступает в качестве используемого по умолчанию сервера имен для всех

внешних запросов. Это позволяет администратору изолировать внутренний DNS-сервер

от обработки внешних адресов, уменьшив фронт возможной атаки только до службы

имен. Представим, например, злоумышленника, который, действуя извне, создал карту

сети и обнаружил внутренний DNS-сервер имен intra.example.com. Если этот внутренний

сервер имен изолирован от обслуживания внешних адресов, злоумышленник не сможет

отравить его кэш.

При использовании решения Secure Web Gateway Services в явном режиме его можно

связать с внешним DNS-сервером. Это позволяет освободить внутренний корпоративный

DNS-сервер от разрешения внешних адресов. В этом случае внутренний DNS-сервер

можно настроить таким образом, чтобы он не перенаправлял запросы для внешних

17



ресурсов (поскольку это будет делать решение Secure Web Gateway Services). Таким

образом можно уменьшить фронт возможной атаки, защитив внутренний DNS-сервер от

отравления кэша и т. д.

Случайное изменение регистра запросов

Случайное изменение регистра запросов — это техника, позволяющая добавить

дополнительный уровень защиты путем случайного изменения регистра имени и

проверки ответа, имя в котором должно иметь в точности такой же регистр, как в

модифицированном запросе. Например, если пользователь запрашивает адрес

www.example.com, Secure Web Gateway Services или другой сервис, выполняющий

случайное изменение регистра запроса, может изменить запрос на wWw.EXamPle.com.

При обработке ответа производится проверка регистра, который должен совпадать с

использованным в запросе. Это не позволяет злоумышленникам подменять адреса путем

рассылки фальшивых ответов на запросы к популярным сайтам, например, почтовой

службе Google Mail или финансовым учреждениям.

Пользовательские сценарии и сценарии развертыванияТри описанных выше базовых сценария развертывания поддерживают использование

четырех типичных пользовательских сценариев, предоставляя организациям варианты

конфигурации, лучше всего соответствующие их целям.

Режим развертывания Интернет-безопасность с учетом

контекста

Контроль над пропускной

способностью

Показ правил использования сети

Соответствие нормативным требованиям

Корпоративный • • • —

Гостевой доступ • • • —

ДМЗ среды CDE, соответствующей требованиям PCI

— — — •

Рис. 7. Поддержка сценариями развертывания различных пользовательских сценариев

18



Миграция с решения Microsoft Forefront TMGПрекращение разработки Microsoft Forefront Threat Management Gateway (TMG) дало

многим организациям возможность перейти на решение F5 Secure Web Gateway Services.

BIG-IP Local Tra�c Manager

Внешний брандмауэр

Вредоносные и нежелательные

сайты

ИнтернетГруппа Threat

Management Gateway

A

B

Прямой прокси-сервер контролирует исходящие соединения, обеспечивая защиту от вредоносных программ, а также фильтрацию URL-адресов и содержимого.

Блокирует получение нежелательного содержимого и проникновение вредоносного ПО


Заблокированные пользователи

Корпоративные пользователи

Пользова-тели

интернет-прокси

Пользова-тели клиента

TMG


SecureNAT

A B

Интеллектуальное управление

трафиком

Интеллектуальное управление

трафиком


Разрешенные веб-сайты

Рис. 8. Положение массива Microsoft TMG в типичной корпоративной сети

Решение F5 может стать больше, чем просто заменой TMG, поскольку на устройствах F5

BIG-IP® Local Traffic Manager™ (LTM) можно включить поддержку прямого прокси-сервера,

который в TMG подключался отдельно. Интеграция в платформу BIG-IP защиты с

использованием прямого прокси-сервера позволяет сократить капитальные и текущие

расходы и повысить производительность.

Разрешенные веб-сайты

A

B

C

Обеспечивает реализацию детализированных политик доступа и создание отчетов о локальных и удаленных пользователях

Прямой прокси-сервер контролирует исходящие соединения, обеспечивая ускорение передачи данных, защиту от вредоносных программ, а также фильтрацию URL-адресов и содержимого.Блокирует получение нежелательного содержимого и проникновение вредоносного ПО


Заблокированные пользователи

Корпоративные пользователи


интернет-прокси


клиента TMG


SecureNAT

A

Реализация политик доступа+ Защита при работе в

Интернете+ Расширенные функции

брандмауэра+ Создание отчетов


APM AFMLTMB

Вредоносные и нежелательные

сайты

Интернет

BC

Secure WebGateway Services



GOOD BETTER BEST


BIG-IP Local Tra�c Manager

BIG-IP Advanced Firewall Manager

Рис. 9. Сеть после миграции с TMG на Secure Web Gateway Services

19



Определение технических характеристик платформы Как и все решения компании F5, Secure Web Gateway Services можно развернуть на любой

платформе из портфеля F5. Специалист по техническому обслуживанию может помочь

заказчикам F5 определить, достаточно ли уже имеющихся у них платформ для работы

Secure Web Gateway Services.

Метод BIG-IP 2200 BIG-IP 5200 BIG-IP 10200

Явный фильтр, сканирование транзакций/с

1800 5700 8300

Только явный фильтр транзакций/с

9800 37 000 45 000

Прозрачный фильтр, сканирование транзакций/с

1700 5600 8300

Только прозрачный фильтр транзакций/с

11 200 40 000 41 000

Рис. 10. Масштабирование платформы F5

Лицензирование и одновременно работающие пользователиДля каждой платформы F5 установлен лимит конкурентных сеансов, призванный

обеспечить удобство работы пользователей. Веб-страницы разных размеров по-разному

влияют на производительность Secure Web Gateway Services. Оптимальное количество

одновременно работающих лицензированных пользователей варьируется для разных

платформ F5 в диапазоне от 100 до 30 000.

Платформа F5 Одновременные сессии Secure Web Gateway

VIPRION 2400 30 000

Серия 10000 20 000

Серия 7000 15 000

Серия 5000 10 000

Серия 4000 5000

2200 1000

VE 100

Рис. 11. Количество одновременно работающих лицензированных пользователей для популярных платформ F5 при среднем размере страниц в 16 КБ



Решения для мира приложений.

F5 Networks, Inc.Главный офис[email protected]

F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com

F5 NetworksАзиатско-Тихоокеанский регион[email protected]

F5 Networks Ltd.Европа, Ближний Восток и Африка[email protected]

F5 NetworksЯпония[email protected]

Авторское право © 2014 F5 Networks, Inc. Все права защищены. F5, F5 Networks и логотип F5 являются товарными знаками F5 Networks, Inc. в США и ряде других стран. Список других товарных знаков компании F5 см. на сайте f5.com. Названия любых других продуктов, служб или компаний, упомянутые в настоящем документе, могут являться товарными знаками их владельцев; их упоминание не является прямой или косвенной рекомендацией со стороны компании F5. 06/14 WP-SEC-23060 0614

ЗаключениеДанная эталонная архитектура показывает, чем решение F5 Secure Web Gateway Services

может быть полезно ИТ-администраторам крупных компаний, компаний небольших и

средних размеров, а также центров обработки данных платежных систем.

• Организации используют решение F5 для защиты внутренних пользователей при

работе в Интернете. Функции распределения URL по категориям и их фильтрации

не позволяют пользователям заходить на зараженные сайты и сдерживают

непродуктивное использование Интернета. Развертывание политик безопасности

с учетом множества мелких факторов обеспечивает более строгие ограничения

для работающих на территории организации подрядчиков.

• Небольшие компании используют Secure Web Gateway Services, чтобы

предоставлять доступ в Интернет своим посетителям, не принимая на себя при

этом дополнительную ответственность.

• Центры обработки данных платежных систем используют Secure Web Gateway

Services для защиты серверов обработки платежей путем создания

демилитаризованной зоны информационной среды владельцев платежных карт,

соответствующей требованиям PCI.

Экономическое преимущество решения F5 Secure Web Gateway Services заключается в

том, что оно позволяет реализовать перечисленные сервисы на платформе, которую

организация уже установила в стратегической точке контроля в сети.

Однако в современной опасной информационной среде, для которой характерны

адресные фишинговые атаки, внезапные загрузки, атаки путем взлома посещаемых

сотрудниками компании сайтов и целенаправленные устойчивые угрозы, экономические

преимущества не могут быть единственным решающим фактором – решение также

должно обеспечивать более надежную защиту. Поэтому важными компонентами системы

безопасности являются реализованные в Secure Web Gateway Services функции перехвата

SSL-соединений и проверки на наличие вредоносного ПО, помогающие уменьшить фронт

возможной атаки и упрощающие работу администраторов ИТ-систем.

mailto:info%40f5.com?subject=

http://www.f5.com

mailto:apacinfo%40f5.com?subject=

mailto:emeainfo%40f5.com?subject=

mailto:f5j-info%40f5.com?subject=

Technology

Экранирование локальных пользователей при выходе в публичные сети: эталонная архитектура от F5