Check Point Application Control — полный контроль интернет-приложений и доступа к веб-сайтам

Check Point Application Control — полный контроль интернет-приложений и доступа к веб-сайтам

Check Point Application Control — программный блейд, который позволяет реализовать сетевые политики использования интернет-приложений и доступа к веб-сайтам и обладает гибкими возможностями по разграничению доступа. В данной статье приводятся обзор функциональности и варианты применения продукта.

 

 

 

 

1. Введение

2. Системные требования

3. Функциональные возможности

4. Варианты применения

5. Выводы

 
 
 

Введение

Разграничение доступа к приложениям и веб-сайтам — важная функциональная возможность для любой компании, где сотрудники пользуются интернетом. Обычно при сетевой фильтрации не учитываются особенности сетевых приложений и веб-приложений и блокируется доступ либо по определенному URL-адресу, либо в интернет целиком. Такой подход не устраивает большинство бизнес-пользователей, потому что не предоставляет им необходимый для выполнения служебных обязанностей доступ, а против бесконтрольного доступа в интернет выступают офицеры безопасности. Для достижения баланса интересов политики безопасности должны быть максимально гранулярными и настройка доступа должна учитывать особенности конкретного сайта или веб-приложения.

Когда перед ИТ-службой возникает задача гранулярного разграничения доступа, встает вопрос практического внедрения этого решения. Продукт, реализующий такую функциональность, должен не только технически уметь разграничивать доступ по определенным адресам и типам запросов, но и обладать встроенной базой знаний как по обычным приложениям, работающим в сети, так и по веб-приложениям. При этом база знаний должна своевременно обновляться, иначе эта работа ложится на плечи ИТ-службы, отнимает много времени у системных администраторов, и общая стоимость эксплуатации системы значительно возрастает.

Существуют и побочные задачи, не связанные напрямую с предоставлением или запретом доступа. Например, возникает необходимость контролировать объем потребляемого трафика, поскольку зачастую доступ в интернет для организаций тарифицируется по объему. При этом, как и с разграничением доступа, применять лимиты для всех сайтов сразу нецелесообразно — объемы трафика должны быть ограничены для отдельных веб-приложений и учитывать специфику работы сотрудника.

Реализация сетевых политик безопасности на уровне протоколов приложений — одно из ключевых отличий сетевых экранов нового поколения (NGFW, next-generation firewall) от классических сетевых устройств, по версии Gartner. Полный перечень требований к NGFW мы приводили в нашей предыдущей статье с обзором линейки устройств Check Point. В данной статье рассмотрим программный блейд, реализующий эту возможность, — Check Point Application Control.

 

Системные требования

Check Point Application Control является программным блейдом, эта технология уже знакома нашим читателям по предыдущим статьям. Check Point Application Control обладает теми же достоинствами, что и остальные решения в линейке — простое развертывание, гибкое масштабирование, единое управление и интеграция с общими компонентами, например идентификацией пользователя.

 

Рисунок 1. Развертывание Check PointApplicationControl осуществляется с помощью установки одного переключателя в настройках устройств в CheckPointSmartDashboard

Развертывание Check Point Application Control осуществляется с помощью установки одного переключателя в настройках устройств в Check Point SmartDashboard

 

Check Point Application Control входит в набор Next Generation Secure Web Gateway, в который также включены блейды Antivirus, URL Filtering, ThreatCloud, IPS, Anti-Bot и другие, и предустановлен на следующих устройствах:

  • 4400 NGSWG;
  • 4600 NGSWG;
  • 4800 NGSWG;
  • 12200 NGSWG;
  • 12400 NGSWG;
  • 12600 NGSWG;
  • 13500 NGSWG;
  • 13800 NGSWG;
  • 21400 NGSWG;
  • 21600 NGSWG;
  • 21700 NGSWG;
  • 21800 NGSWG.

При наличии соответствующей лицензии Check Point Application Control может быть установлен на любое устройство Check Point серий 600, 1100, 2000, 4000, 12000, 13000, 21000 и 61000, а также на устройства Check Point Power-1, Check Point UTM-1 и Check Point IAS. Поддерживаются встроенные операционные системы GAiA, SecurePlatform и IPSO 6.2.

Как и другие программные блейды, Check Point Application Control может быть установлен не только на аппаратные устройства, но и на программные решения от Check Point, функционирующие под операционной системой Windows.

Работа с Check Point Application Control интегрирована в общие консоли — Check Point SmartDashboard, Check Point SmartEvent и Check Point SmartReport для управления политиками и настройками, просмотра журналов и построения отчетов соответственно.

 

Функциональные возможности

Check Point Application Control дает возможность настраивать групповые политики доступа к веб-приложениям: это социальные сети, почтовые сервисы, веб-чаты, системы обмена сообщениями и обычные сайты и сервисы, доступ к которым осуществляется по веб-протоколам. Check Point Application Control также позволяет контролировать доступ для обычных сетевых приложений, например, запретить использование инструментов для доступа в анонимную сеть Tor или заблокировать использование Skype для рабочего стола. Check Point Application Control позволяет контролировать как обычный протокол HTTPS, так и его защищенную версию — HTTPS. Во втором случае Check Point Application Control является посредником между браузером пользователя и сервером: расшифровывая трафик от сервера, анализирует его и зашифровывает вновь уже собственным сертификатом, чтобы передать пользователю.

 

Рисунок 2. Предустановленная база приложений AppWiki в Check Point Application Control

Предустановленная база приложений AppWiki в Check Point Application Control

 

Check Point Application Control обладает большой предустановленной базой приложений — AppWiki, в которой содержится более 6000 приложений и веб-сайтов и 300 000 виджетов. При этом база приложений постоянно обновляется с серверов Check Point и поддерживается в актуальном состоянии. Все ресурсы в базе AppWiki каталогизированы и разбиты на группы — сайты веб 2.0, системы обмена сообщениями, файлообменники, видеосервисы и другие. В политиках безопасности можно использовать как отдельные приложения и сайты, так и целые группы. Таким образом, администратор может настроить политику, не привязывающую бизнес-пользователя к определенному сервису, предоставляя ему свободу выбора в рамках действующей политики.

 

Рисунок 3. Различные функции социальной сети «Вконтакте», которые можно указывать в политиках, в базе AppWikiв Check Point Application Control

Различные функции социальной сети «Вконтакте», которые можно указывать в политиках, в базе AppWiki в Check Point Application Control

 

Дополнительной особенностью базы AppWiki является разделение различных функций веб-приложений. Так, например, для социальной сети «Вконтакте» выделены функции «скачивание», «загрузка», «мультимедиа» и «публикация», что позволяет предоставить доступ только к отдельным функциям социальной сети.

 

Рисунок 4. Добавление нового веб-приложения для CheckPointApplicationControlв программе управления CheckPointSmartDashboard

Добавление нового веб-приложения для Check Point Application Control в программе управления Check Point SmartDashboard

 

Check Point Application Control позволяет администраторам самим создавать и управлять записями в базе в случае, если таковые отсутствуют в AppWiki. За счет этой возможности администраторы не имеют жесткой привязки политик к предустановленной базе данных и могут при необходимости добавлять новые приложения и сайты, которых нет в AppWiki, но которыми пользуются сотрудники.

 

Рисунок 5. Пример списка политик CheckPointApplicationControlв программе управления CheckPointSmartDashboard

Пример списка политик Check Point Application Control в программе управления Check Point SmartDashboard

 

Политики безопасности, которые позволяет задать Check Point Application Control, включают в себя разные варианты действий — запрет доступа, разрешение доступа, доступ после предупреждения пользователя, ограничение на объемы входящего и исходящего трафика, ограничение на количество посещений сайта. Кроме того, политики безопасности могут быть назначены на определенное время суток и дни недели, позволяя реализовать разные настройки доступа для рабочего и нерабочего времени.

 

Рисунок 6. Пример настраиваемых предупреждений в CheckPointApplicationControlв программе управления CheckPointSmartDashboard

Пример настраиваемых предупреждений в Check Point Application Control в программе управления Check Point SmartDashboard

 

Интересной особенностью Check Point Application Control является возможность допуска пользователя к сайту после ознакомления с предупреждением. С помощью данной функции пользователям можно разрешить доступ к сайтам, работа с которыми вне служебных обязанностей нежелательна, однако может срочно потребоваться сотруднику. В таком случае Check Point Application Control отображает пользователю заранее заданный текст и разрешает доступ после того, как пользователь подтвердит прочтение. Дополнительно пользователь может оставить описание: например, обосновать необходимость доступа или описать работу, для которой ему нужно посетить сайт. Этот механизм может использоваться в международных компаниях, так как уведомления можно составлять на разных языках.

Check Point Application Control обладает широкими возможностями по аудиту, собирая информацию о посещенных сайтах для всех пользователей. Настройки аудита также входят в политику и позволяют собирать более подробную информацию по отдельным правилам политики. В управление Check Point Application Control также встроен гибкий механизм отчетов, позволяющий строить различные графики и отображать суммарные показатели по посещениям сайтов и объемам трафика.

 

Варианты применения

Check Point Application Control поддерживает множество вариантов применения, среди них есть как стандартные, так и оригинальные. В качестве примера различных политик, которые можно настроить с помощью Check Point Application Control, приведем следующие:

  • Стандартные сценарии:
    • Запретить доступ к сайтам, не относящимся к выполнению служебных обязанностей (онлайн-кинотеатры, социальные сети, музыкальные сервисы, игры и т. д.).
    • Лимитировать объем веб-трафика для одного пользователя в целях экономии бюджета организации.
    • Разграничить доступ к социальным сетям — разрешить доступ только для отдела маркетинга и HR, запретив всем остальным.
    • Запретить доступ к анонимайзерам и прокси-серверам для исключения обхода правил веб-фильтрации.
    • Запретить доступ к потенциально опасным сайтам и страницам, содержащим вредоносные файлы.
    • Нестандартные сценарии:
      • Разрешить доступ к сайтам, не относящимся к рабочим, в обеденное и нерабочее время.
      • Предоставлять доступ к социальным сетям, файлообменникам и другим сайтам, не относящимся к рабочим, после получения подтверждения от пользователя с описанием его целей.
      • Разрешить доступ к нерабочим сайтам, но ограничить доступ только небольшим числом входов в день: например, посещение новостных порталов только три раза в день.
      • Отправлять уведомление в HR-отдел в случае открытия сотрудником сайта, предназначенного для поиска работы.
      • Запретить отдельные функции сложных веб-приложений, например выкладывать файлы в социальные сети, сохранив при этом возможность загружать файлы или читать новостную ленту.

Check Point Application Control позволяет комбинировать множество настроек в политиках безопасности, поэтому приведенные выше сценарии — это лишь несколько самых ярких примеров того, что можно реализовать с помощью данного продукта. Основное достоинство политик Check Point Application Control — гибкость и возможность комбинации разных условий. После внедрения этого продукта можно легко реализовать сложные правила, которые будут максимально соответствовать требованиям безопасности и ожиданиям бизнес-пользователей.

 

Выводы

Check Point Application Control — программный блейд, позволяющий за считанные часы значительно расширить функциональность сетевого шлюза Check Point, добавив возможность реализации гранулярных политик доступа к веб-приложениям. В отличие от решений конкурентов, политики Check Point Application Control настраиваются максимально гибко, позволяя разграничить доступ для отдельных пользователей или групп пользователей к конкретным сайтам или категориям сайтов. Множество дополнительных параметров политик позволяют выполнить еще более точную настройку и реализовать множество нестандартных сценариев. Среди таких параметров стоит отметить возможность установки лимитов на переданный и полученный трафик для отдельных приложений и веб-сайтов, действие политик по времени суток и дням недели и гибкие возможности по аудиту срабатывания политик. Функция допуска пользователя к веб-приложению после ознакомления с предупреждением и вводом дополнительной информации позволяет реализовать различные сценарии доступа к нежелательным сайтам без вмешательства со стороны администратора.

Предустановленная база данных веб-приложений AppWiki помогает значительно сократить время настройки и обновления политик безопасности. Благодаря большому числу охваченных сайтов, в том числе русскоязычных, администратору в большинстве случаев не требуется вручную вносить адреса в список, достаточно выбрать веб-приложение по названию или по категории. При этом, если требуется добавить специфичный сайт, отсутствующий в базе данных, администратору доступен инструмент, поддерживающий сквозную с AppWiki категоризацию, возможность выделения приложений и сайтов разными цветами и поддержку ввода URL-адресов с регулярными выражениями.

Подводя итог, подчеркнем, что продукт Check Point Application Control решает все возможные задачи по реализации политик доступа сотрудников в интернет и поддерживает как стандартные, так и оригинальные сценарии по разграничению доступа. А благодаря реализации в виде программного блейда достигается максимальная интеграция с остальными продуктами и инфраструктурными решениями от Check Point.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru