UserGate NGFW — защищаем сетевую инфраструктуру

Возможности UserGate NGFW, доступные в Yandex.Cloud
Межсетевое экранирование и обнаружение вторжений
Вне зависимости от того, будет межсетевой экран принимать весь корпоративный трафик, или только трафик, направленный к облачным системам, он будет блокировать атаки и фильтровать соединения по заданным правилам:

• L3/L4 — фильтрация пакетов по сетевым признакам (к примеру, разрешается доступ только с выделенных IP-адресов компании и только по ограниченным портам);
• L7 — ограничение протоколов и приложений, таких как Tor, YouTube, почта, различные VPN и анонимайзеры, работающие по протоколам HTTP и HTTPS.

В правилах можно указывать пользователей, которым разрешены или запрещены определённые действия. Или можно запретить доступ к внутренним сервисам для всех неавторизованных пользователей.

Обнаружение вторжений производится собственным высокопроизводительным ядром по сигнатурам производителя. Идёт поиск следов вирусной активности, попыток обойти фильтрацию приложений, эксплуатации уязвимостей и тому подобное.

Потоковый антивирус
Межсетевой экран нового поколения выявляет передаваемые в трафике файлы и анализирует их перед доставкой получателю.

Защита почты
Письма, проходящие через UserGate NGFW, проверяются целой группой фильтров. От подозрительных отправителей из чёрных списков письма блокируются. Заголовки, содержание, ссылки и вложения анализируются на признаки спама или фишинга.

Безопасная публикация приложений и контроль интернет-трафика
Если доступ к внутренним ресурсам компании (базы данных, файловые серверы, CRM и т. д.) нужно предоставить работникам, которые не находятся в локальной сети, немедленно возникает вопрос безопасности. Ведь вывести эти ресурсы в публичный доступ невозможно, они тут же станут мишенью для злоумышленников. Можно расположить их за VPN, но потребуется дополнительная настройка VPN-сервера и VPN-клиентов. UserGate NGFW предлагает в качестве решения безопасную публикацию ресурсов. Пользователь авторизуется на специальном портале, и только после этого для него появляется ссылка на внутренний ресурс.

UserGate NGFW в облаке можно также использовать в качестве прокси-сервера, если он будет являться точкой выхода в интернет для локальной сети, VDI или рабочих мест. При этом будет доступен большой арсенал настроек: ограничение конкретных запрещённых сайтов, чёрные и белые списки (в т. ч. Роскомнадзора), категорирование сайтов, определение тематики сайта по морфологии, разграничение доступа по роли пользователя, блокировка рекламных и вредоносных скриптов на веб-страницах.

Построение VPN
UserGate NGFW осуществляет построение Site-to-Site VPN, защищённого канала с другим межсетевым экраном или маршрутизатором с функцией VPN. В частности, это необходимо для конфиденциальной передачи данных между облаком и локальной сетью. Кроме того, поддерживается работа клиентских VPN, чтобы пользователи могли подключаться и работать из любой точки мира.

В облачном межсетевом экране есть возможность гибко менять конфигурацию устройства и используемые модули, чтобы адаптировать его к меняющейся нагрузке и оптимизировать затраты.

Соответствие требованиям и стандартам
Ещё одним преимуществом UserGate NGFW является сертификат ФСТЭК, подтверждающий соответствие требованиям к межсетевым экранам типа А, Б и Д четвертого класса защиты, требованиям к системам обнаружения вторжения уровня сети четвертого класса защиты и требованиям, предъявляемым к четвертому уровню доверия. Таким образом, UserGate NGFW полностью удовлетворяет запросам к защите конфиденциальной информации, которая хранится и обрабатывается в Yandex.Cloud.

Стоит отметить, что облако Yandex.Cloud имеет аттестат на соответствие требованиям по защите персональных данных (ФЗ-152) и другим индустриальным стандартам.

Интеграция UserGate NGFW с существующей инфраструктурой
Итак, вы создали виртуальную машину с UserGate NGFW в Yandex.Cloud. Что с ней делать дальше, чтобы защитить свою инфраструктуру?

Защита облачных сервисов
Если основные рабочие места находятся в локальной сети, а серверы информационных систем — в облаке, то на UserGate NGFW назначается «белый» IP-адрес на внешний интерфейс и создаются маршруты к серверам информационных систем. Пользователи при обращении к ИС используют внешний адрес UserGate NGFW.

При таких настройках межсетевой экран полностью контролирует трафик облачных систем, входящий трафик от рабочих мест, исходящий трафик самих серверов. Обычный интернет-трафик пользователей не контролируется. Затраты ресурсов виртуальной машины UserGate NGFW минимальны, изменение сетевых настроек несущественно. Можно назвать этот вариант «защита самого ценного».


Полная защита сети
У предыдущего варианта есть недостаток. Например, пользователь может скачать вредоносное ПО и заразить другие машины. Да, серверы затронуты не будут, но препятствия для нормальных рабочих процессов всё равно возникнут. Для противодействия этому можно защитить информационный поток локальной сети целиком.

Для этого между облачным UserGate NGFW и граничным маршрутизатором локальной сети настраивается VPN-канал. Внешние соединения разрешаются только через UserGate NGFW. Соответственно, полностью функционирует интернет-фильтрация, обнаружение атак, потоковый антивирус. Этот вариант ближе к классическому «фаервол на границе сети» и обеспечивает более надёжную защиту.


Защита нового филиала
При создании нового филиала существующей компании для защиты периметра и фильтрации трафика необходимо внедрять межсетевой экран. С UserGate NGFW в Yandex.Cloud этот процесс может пройти гораздо легче.

После создания локальной сети на её периметре устанавливается любой маршрутизатор, поддерживающий L2TP поверх IPsec, и устанавливается соединение с облачным UserGate NGFW. Затем для всех пользователей в качестве прокси-сервера устанавливается IP-адрес UserGate NGFW. Или, как в варианте выше, настраивается маршрутизация и запрещаются прочие внешние соединения. И финальным шагом на межсетевой экран устанавливается VPN-соединение с центральным офисом компании. Таким образом выход в интернет контролируется политиками UserGate NGFW, а связь с центральным офисом идёт только по защищённому каналу.

Подключение удалённых пользователей
Когда облачный UserGate NGFW защищает локальную сеть или терминальный сервер, доступна настройка удалённого доступа с использованием только браузера. Для этого на UserGate NGFW в настройках captive-портала включается сервис RDP и добавляется профиль MFA для удалённых пользователей, чтобы привязать устройство к пользователю в целях безопасности.

В результате пользователь имеет возможность подключаться через браузер к внутренним хостам, на которых включён RDP.



Облачный UserGate NGFW для комплексной защиты
Облачный межсетевой экран нового поколения UserGate, доступный в маркетплейсе Yandex.Cloud, поможет не только обеспечить комплексную защиту важных информационных ресурсов, но и всей сети передачи данных. UserGate NGFW не требует значительных затрат, им можно гибко управлять, увеличивать или уменьшать выделенные ресурсы ВМ, включать и отключать необходимые механизмы безопасности. Отдельным плюсом является наличие сертификата ФСТЭК России и высокий уровень технической поддержки клиентов Yandex.Cloud.