Защита подключения удалённых сотрудников с помощью концепции брандмауэр как услуга

Защита подключения удалённых сотрудников с помощью концепции брандмауэр как услуга

Какие решения помогут компаниям эффективно справиться с проблемами в безопасности при организации удалённой работы сотрудников? Можно ли защитить трафик используя облачные вычисления? Как целевые кибератаки (APT) повлияли на разработку межсетевых экранов нового поколения (Next Generation Firewall, NGFW) и насколько поможет организациям концепция «файрвол как услуга» (Firewall-as-a-Service, FWaaS)?

 

 

 

 

  1. Введение
  2. Не работает сеть — не работает и брандмауэр
  3. Облачные вычисления изменили мир
  4. Брандмауэр как услуга
  5. Выводы

Введение

Облачные вычисления очень изменили мир, в компаниях начался массовый перенос корпоративных данных и приложений в облако. При отсутствии фиксированного периметра, который необходимо защищать, взаимодействие между пользователями и корпоративными гибридными окружениями значительно усложнилось. Хотя поставщики облачных услуг и обеспечивали базовую защиту, по своей эффективности она уступала локальным брандмауэрам. Эта проблема усугубилась в условиях массового перевода сотрудников на удалённый режим работы.

Не работает сеть — не работает и брандмауэр

В течение долгого времени брандмауэры и компьютерные сети были неотделимы друг от друга. Ни одна корпоративная сеть не могла работать без пограничной системы безопасности — периметра, который защищал важнейшие ресурсы компании. Широкое распространение веб-протоколов и их использование хакерами для целевых атак с применением вредоносных программ, часто скрытых в зашифрованном трафике, стимулировало разработку брандмауэров нового поколения (Next Generation Firewall, NGFW). Решения NGFW включали в себя межсетевой экран с отслеживанием состояния соединений и единые службы для управления угрозами. Они обеспечивали многоуровневую защиту и выполняли углублённую проверку пакетов, что позволяло организациям лучше понимать и контролировать работу приложений и эффективнее предупреждать атаки на основе веб-технологий.

Облачные вычисления изменили мир

Всё изменилось с появлением облачных вычислений. Поставщики облачных услуг предложили организациям решение, от которого невозможно было отказаться: неограниченные вычислительные мощности и объёмы хранилищ со значительно меньшими эксплуатационными издержками в сочетании с возможностью простого масштабирования бизнес-операций — и всё это без установки оборудования в офисе. Так начался массовый перенос корпоративных данных и приложений в облако. При отсутствии фиксированного периметра, который необходимо защищать, взаимодействие между брандмауэрами и сетями стало более сложным. Хотя поставщики облачных услуг и обеспечивали базовую защиту, по своей эффективности она уступала локальным брандмауэрам, особенно NGFW. Эта проблема усугубилась в условиях пандемии в результате стремительного перевода сотрудников на «удалёнку», что имело некоторые последствия:

  • Удалённые пользователи были вынуждены перенаправлять весь исходящий трафик на централизованные брандмауэры через дорогостоящие MPLS-соединения, что приводило к снижению производительности сети из-за задержек и к возникновению неудобств.
  • Удалённые пользователи, которые подключались напрямую к облаку, часто делали это в обход локальных систем защиты. Поскольку брандмауэры не «видели» трафик удалённых пользователей, специалисты по безопасности не могли его контролировать.
  • Внедрение устройств безопасности и воспроизведение политик брандмауэра на каждом удалённом объекте привело ко значительному увеличению капитальных и эксплуатационных расходов. Кроме того, такие аппаратные средства не поддерживают масштабирование с учётом растущих объёмов пользовательского трафика.
  • Локальные брандмауэры испытывали трудности при взаимодействии с нативными облачными решениями — безопасными веб-шлюзами (Secure Web Gateways, SWG) и брокерами безопасного доступа в облако (Cloud Access Security Brokers, CASB), что препятствовало развёртыванию технологий Secure Access Service Edge (SASE).

Брандмауэр как услуга

Распределённость рабочих мест увеличивает масштабы и разнообразие ландшафта угроз. По данным последнего отчёта McAfee Labs, объём зафиксированных в последнем квартале 2021 г. угроз в среднем составил 688 в минуту, т. е. увеличился на 3 % (на 40 угроз в минуту) в сравнении с первым кварталом. Решения SWG и CASB эффективно справляются с проблемами безопасности характерными для веб-трафика и трафика SaaS соответственно, но как организациям обеспечить безопасность остального потока данных? Здесь помогут системы типа «брандмауэр как услуга» (Firewall-as-a-Service, FWaaS). По своей сути FWaaS — это брандмауэр, который размещён в облаке. Он предлагает все функции NGFW — углублённую проверку пакетов, фильтрацию на уровне приложения, обнаружение и профилактику вторжений, передовую защиту от угроз и т. д. И хотя на первый взгляд решение FWaaS — это простой перенос NGFW в облако, бизнес-преимущества этой модели шире и актуальнее для современных трудовых коллективов. Вот некоторые из них:

  • Поддержка удалённых сотрудников и защита от локальных перебоев с интернет-соединением благодаря прямым подключениям к облаку; как следствие — уменьшение задержек сети и повышение комфортности работы пользователей.
  • Исключение необходимости перенаправлять трафик удалённых объектов к централизованным брандмауэрам через дорогостоящие подключения VPN и MPLS; как следствие — сокращение расходов на развёртывание.
  • Значительная экономия средств благодаря отсутствию потребности в установке оборудования в удалённых офисах филиалов.
  • Агрегация сетевого трафика из локальных ЦОДов, облака, офисов удалённых филиалов и рабочих мест удалённых пользователей с обеспечением централизованной видимости и единого применения политик ко всем объектам.
  • Простое масштабирование с учётом растущего объёма трафика и необходимости проверки зашифрованного трафика на наличие угроз и вредоносных программ.
  • Централизация управления обслуживанием — установкой патчей и обновлений; как следствие — снижение эксплуатационных расходов на выполнение повторяющихся задач.

Выводы

Несмотря на разнообразие и масштабы угроз, система «брандмауэр как услуга» поможет компаниям эффективно справиться с проблемами безопасности, предложив не только передовую защиту от угроз, обнаружение и профилактику вторжений, но и массу других актуальных функций для организации безопасности удалённых рабочих мест сотрудников. При этом система позволяет значительно сэкономить средства благодаря отсутствию потребности в установке оборудования в удалённых офисах.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru