+7 495 228-02-08 info@tessis.ru
ВХОД
Меню
Array ( [ROOT_MENU_TYPE] => top [MENU_CACHE_TYPE] => Y [MENU_CACHE_TIME] => 36000000 [MENU_CACHE_USE_GROUPS] => Y [MENU_CACHE_GET_VARS] => [MAX_LEVEL] => 2 [CHILD_MENU_TYPE] => left [USE_EXT] => [DELAY] => N [ALLOW_MULTI_SELECT] => [CACHE_TYPE] => Y [CACHE_TIME] => 36000000 [~ROOT_MENU_TYPE] => top [~MENU_CACHE_TYPE] => Y [~MENU_CACHE_TIME] => 36000000 [~MENU_CACHE_USE_GROUPS] => Y [~MENU_CACHE_GET_VARS] => [~MAX_LEVEL] => 2 [~CHILD_MENU_TYPE] => left [~USE_EXT] => N [~DELAY] => N [~ALLOW_MULTI_SELECT] => N [~CACHE_TYPE] => Y [~CACHE_TIME] => 36000000 [CACHE_SELECTED_ITEMS] => 1 )

Cyren Web Security – безопасность из облака

Сегодня для каждой компании наличие интернет соединения является настолько обязательным, что может быть сравнимо с требованием электричества в офисе. Отсутствие данного элемента блокирует работу компании целиком – нет доступа к почте, к информационным ресурсам, порталам, к рабочему месту, если вы находитесь вне офиса. Тем не менее, у этой бизнес функции есть две стороны – она может не только повысить производительность компании, но и остановить работу. Любая интернет атака – случайная ссылка или интересное вложение – парализуют компанию и создают массу головоломок для отдела информационной безопасности. С появлением первых вирусов стали разрабатываться и средства для борьбы с ними. Усложнялось понятие вредоносного программного обеспечения, усложнялись и средства борьбы с ними. Средства борьбы стали появляться как на границе периметра, так и на конечных рабочих станциях. Все это влекло усложнение экосистемы в целом. Эта тенденция продолжалась до момента старта облачных технологий. Все началось с того «а зачем мне разворачивать это приложение у себя внутри компании, если я могу им воспользоваться как готовым сервисом», или «а зачем мне приобретать сервер для развертывания системы, если я могу взять его в аренду». Такие технологии, как IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service), SaaS (Software-as-a-Service) уже давно вошли в ITобиход и имеют практическую реализацию. При этом эти сущности не исключают применение технологий и в сфере защиты информации. На российском рынке данное понятие пока новое, однако,  на зарубежном рынке оно уже используется совместно с технологиями As-a-service. SECaaS(Security-as-a-service) – бизнес модель, в которой сервис провайдер интегрирует свои услуги безопасности в корпоративной инфраструктуре на основе подписки. При этом достигаются такие показатели как:

1)      Реализация заявленных функций безопасности;

2)      Повышение отказоустойчивости;

3)      Снижение себестоимости владения (TCO - Total Cost of Ownership);

4)      Отсутствие необходимости проведения обучения на низком инженерном уровне;

5)      Только операционные затраты – OPEXмодель.

В совокупности это дает возможность осуществлять замену решений, требующих инсталляцию внутри компании.

Одним из ведущих игроков на рынке облачных сервисов по информационной безопасности является компания CYREN. Данный вендор предоставляет спектр сервисов  под общим названием WebSecurityдля организации безопасного серфинга в сети Интернет, в который включается URLфильтрация (построение списка IPрепутаций), антивирусная защита конечных пользователей (контроль загружаемых объектов на наличие вредоносного кода или фильтрация по типу загружаемых файлов). Архитектура решения настолько гибкая, что не требует внесения изменений в существующую архитектуру. Большая часть работы в интернете осуществляется через браузер. Для того, чтобы субъект был привязан к некоторой политике, ограничивающей доступ к запрещенным сайтам, необходимо на рабочих станциях распространить конфигурационный файл прокси сервера (PAC файл) облачного сервис провайдера. Скачав данный файл, его можно распространить на машинах через групповые политики, доступные в среде MicrosoftWindowsServer, для конфигурирования браузера InternetExplorer. При условии, что в компании используется браузер Chrome, то выставив настройки для InternetExplorer, их можно автоматически распространить и на Chrome. При условии использования браузера FireFoxнастройки задаются через указание URLадреса PACфайла. Стоит также отметить, что решение умеет работать и с защищенным протоколом HTTPS. Многие веб сайты используют данный протокол для предоставления защищенного механизма аутентификации и защиты от атак Man-in-the-middle. Решение предоставляет администраторам возможность активации контроля защищенного трафика. В случае отключения данной опции сервис будет инспектировать IP/домен, содержащийся в запросе, основываясь только на категоризации запроса к оригинальному сайту. Однако инспектирование самого контента осуществляться не будет. В случае же активации опции сервис будет работать в следующей последовательности:

1)      прерывать запрос на соединение;

2)      расшифровывать трафик;

3)      инспектировать для подтверждения соответствия требованиям установленных политик, в случае несоответствия блокировать трафик;

4)      осуществлять повторное шифрование трафика и разрешать его для конечного пользователя, в случае соответствия URLзапроса политикам.

Сервис использует самоподписанный корневой сертификат. Для каждого запроса, сделанного пользователем, порождается две отдельные SSLсессии: первая – между клиентом и сервисом WebSecurity, вторая – между прокси WebSecurityи сайтом назначения. WebSecurityсервис выполняет верификацию SSLсертификата для проверки корректности всех сертификатов в цепочке. Данная проверка включает в себя:

1)      гарантию того, что нет несовпадений между корневым сертификатом и доменным именем обрабатываемого сайта;

2)      подтверждение того, что сертификат был издан доверенным удостоверяющим центром;

3)      проверку валидности срока действия сертификата;

4)      проверку, что сертификат не попадает в список отозванных;

5)      Корневой SSLсертификат должен быть распределен и импортирован на всех конечных узлах для корректной работы в браузере. Данная операция может быть выполнена либо вручную (конечный пользователь получает почтовое сообщение со ссылкой на импорт сертификата), либо за счет использования групповых политик.

Таким образом, применение сервиса позволит работать не только с открытым траффиком, но и трафиком, инкапсулированным в SSL, без потери свойств защиты данного протокола.

Также необходимо отметить, что решение позволяет осуществлять работу не только с персональными компьютерами, но и мобильными устройствами. Такие технологии как BYOD(Bring Your Own Device) и COPE (Corporate-Owned, Personally Enabled) уже не являются новинкой на рынке информационных технологий даже в корпоративном секторе. В связи с этим сервис уже поддерживает работу с платформами Androidи iOS. При использовании мобильной платформы Androidна устройство производится инсталляция программного модуля, обеспечивающего VPNканал с сервис провайдером. Таким образом, весь трафик «заворачивается» в туннель и проходит через прокси сервис провайдера. При использовании мобильной платформы iOSконфигурирование осуществляется через настройку прокси сервера. В обоих случаях, конфигурирование должно осуществляться через MDM (MobileDeviceManagement).

Защита мобильных пользователей.pngЗащита мобильных пользователей 2.png

Рисунок 1. Защита мобильных пользователей.

Со стороны администратора настройка выглядит очень просто. Существует веб консоль, которая позволяет заводить или синхронизировать из ActiveDirectoryпользователей, которые будут контролироваться политиками сервиса. Далее на основании предустановленных шаблонов осуществляется детальная настройка политик. После распространения файла с настройками прокси сервера (вручную или через групповые политики) сервис готов к использованию. Теперь администратор только осуществляет контроль за действиями пользователей, получая наглядные отчеты в консоли управления.

Отчёты в консоли администрирования.png

Рисунок 2. Отчеты в консоли администрирования

Со стороны пользователей критических изменений также не происходит. Новые сервисы иногда пугают тем, что требует проведения дополнительного обучения для персонала перед вводом системы в эксплуатацию. Здесь же для пользователя все прозрачно – получив ссылку на активацию сервиса для учетной записи, субъект определяет пароль и аутентифицируется для начала работы.

При использовании данного сервиса компания получает:

1)      URL-filtering – фильтрация URLзапросов по категориям на основании IP-адресов, доменных имен, контекста, содержащегося в запросе;

2)      Anti-MalwareScanning – фильтрация и блокировка веб ресурсов, содержащих вредоносное программное обеспечение;

3)      WebSecurity – фильтрация веб сайтов на принадлежность к одной из категорий: вредоносный сайт, фишинговый сайт, фрод сайт, ботнет;

4)      SafeSearch – исключается «взрослый» контент при организации поиска в системах Google, YouTube, Yahoo, Bing, и им подобным.

SECaaS – это технология «завтрашнего» дня. Сервис по безопасности – это то, что позволяет сохранять высокий уровень защиты при условии минимальных вложений, высокий уровень отказоустойчивости при минимальных задержках с развертыванием. Это защита в один клик мышки, и мы надеемся, что российский рынок готов принять данную бизнес модель уже сегодня.

Статья опубликована в журнале Storage News №59, 2014

Он-лайн версия статьи: Storage News