Сравнение Secure Web Gateway (SWG)

Сравнение Secure Web Gateway (SWG)

Наше новое сравнение шлюзов информационной безопасности поможет заказчикам выбрать наиболее подходящий инструмент фильтрации интернет-трафика. Мы уделили внимание как классическим SWG (Kaspersky Web Traffic Security, Solar webProxy, Check Point Secure Gateway и пр.), так и альтернативам из сегмента UTM / NGFW (Ideco UTM, Traffic Inspector Next Generation, UserGate). В материале рассмотрены в общей сложности восемь прокси-серверов от разных производителей, существующие как в окружении собственных экосистем, так и в отрыве от них.

 

 

  1. Введение
  2. Методология сравнения
  3. Результаты сравнения
    1. 3.1. Общие сведения
    2. 3.2. Базовая функциональность
    3. 3.3. Сетевая функциональность
    4. 3.4. Мониторинг и отчётность
    5. 3.5. Контентная и контекстная аналитика
    6. 3.6. Разное
  4. Выводы

 

Введение

Защищённые прокси-серверы Secure Web Gateway (SWG) существуют продолжительное время и предназначены для борьбы с интернет-угрозами в корпоративной инфраструктуре. Такие продукты решают свою узкую задачу с помощью потоковой фильтрации интернет-трафика и установки ограничений для пользователей. Однако со временем этот сегмент рынка претерпел значительные изменения под давлением новых видов универсальных устройств, способных делать то же самое, но имеющих при этом много дополнительных функций.

Давайте разберём, какие продукты в настоящее время могут решать задачи потоковой фильтрации интернет-трафика и управлять доступом в сеть для корпоративных пользователей. В современной классификации можно выделить следующие категории:

  • NGFW (Next Generation Firewall, межсетевой экран следующего поколения) — популярный класс продуктов, объединяющий функциональность SWG с классическими брандмауэрами, антивирусами и IDS. Логичный, встраиваемый в любую архитектуру компонент. Корневая идея — объединение функций фильтрации на разных уровнях модели OSI в один шлюз. В случае если вы строите инфраструктуру своей компании «с нуля», это — пожалуй, единственный оправданный выход с точки зрения сочетания функциональности, упрощения архитектуры и облегчения последующей эксплуатации. На Anti-Malware.ru опубликовано сравнение популярных NGFW (часть 1, часть 2).
  • UTM (Unified Threat Management, единообразная обработка угроз) — класс, который почти идентичен категории NGFW, но отличается от неё главным образом архитектурой исполнения. В остальном также универсален.
  • SWG — классика, специализированный тип продуктов. Имеет большое количество бесплатных реализаций (Squid и т. п.), обеспечивает проксирование трафика в обе стороны, но в отличие от NGFW и UTM ограничен в функциональности. Первое время были популярны «комбайны» шлюзового типа, позволявшие фильтровать почтовый и веб-трафик с использованием одной платформы. Ориентирован в первую очередь на прозрачность работы.
  • CASB (Cloud Access Security Broker, брокер безопасного доступа к облаку) — по сути облачный SWG, дополненный производителями по собственному вкусу разными возможностями, от урезанного DLP до контроля рабочего времени. В период популяризации удалённого доступа — хорошее решение для тех, кто не боится «воздушных» компонентов в своей инфраструктуре.

В таком многообразии выбор продукта среди представленных вариантов базируется на особенностях вашей инфраструктуры, «вилки» бюджета и выставленных приоритетов. Тут никаких новостей — всё по-старому. Для удобства отсортируем четвёрку продуктовых категорий по парам:

  • NGFW и UTM. Комбайны, для которых фильтрация на всех уровнях — задача простая и понятная. Но если это — масштабная установка, то без болезненной процедуры изменения схемы маршрутизации и переписывания пользовательских сценариев не обойтись. Если ваша компания готова к «революции в стакане», препятствий немного. Между самими двумя классами выбрать весьма просто: UTM в меньшей степени ориентирован на производительную обработку входящего трафика, поэтому чем больше объёмы, тем вероятней выглядит шаг в сторону NGFW. В обоих случаях разнесение функциональности (к примеру, фильтрация L7 с фильтрацией L4) будет совсем неочевидным (если, конечно, вы — не SDN-ready) из-за стоимости.
  • SWG и CASB идут в паре, потому как часто так же и функционируют. Политика, созданная на SWG, дублируется или синхронизируется с CASB, позволяя сопровождать корпоративного пользователя по любую сторону от границы периметра. Здесь выбор между решениями — скорее в плоскости хранения данных. Если ваши сервисы не ориентированы на облачные решения или есть противоречащие регуляторные требования, то, значит, — классический SWG. При ориентации на простоту использования, отказоустойчивость и гибкость — шаг в сторону CASB.

В любом случае у каждого класса — свои преимущества, которые можно примерить только через призму задач и потребностей вашей компании. Значительными критериями, играющими в пользу SWG, являются способ лицензирования и итоговая стоимость, а также простота внедрения как наложенного средства.

 

Методология сравнения

Учитывая многообразие продуктов, способных решать задачи фильтрации трафика и управления доступом в интернет, мы решили в нашем сравнении сделать «микс» из продуктовых категорий и добавить к классическим SWG несколько отечественных заменителей из сегмента UTM / NGFW.

При этом среди классических SWG в сравнении участвуют разработки и отечественных, и иностранных производителей. Интересно, что продукты от McAfee и Symantec пережили неоднократную смену владельцев и переделку дорожных карт развития.

Классические SWG

Российские:

  1. Kaspersky Web Traffic Security («Лаборатория Касперского»)
  2. Solar webProxy («Ростелеком-Солар»)

Зарубежные:

  1. Check Point Secure Gateway
  2. McAfee Web Gateway (ранее — Webwasher)
  3. Symantec ProxySG and Advanced Secure Gateway (ранее — BlueCoat)

Альтернативные российские продукты (UTM / NGFW)

  1. Ideco UTM («Айдеко»)
  2. Traffic Inspector Next Generation («Смарт-Софт»)
  3. UserGate («Юзергейт»)

Сравнение производится по набору критериев. Для удобства мы объединили их в несколько категорий:

  1. Общие сведения
  2. Базовая функциональность
  3. Сетевая функциональность
  4. Мониторинг и отчётность
  5. Контентная и контекстная аналитика
  6. Разное

Поскольку в сравнении участвуют продукты разных классов, некоторые функции отнесены не к основным, а к категории «Разное».

Для выбора оптимального SWG или его заменителя для решения конкретной задачи мы рекомендуем выделить необходимые критерии и проставить для них «весовые значения» по собственному мнению. Далее следует просуммировать эти значения и таким образом вывести индивидуального лидера, лучше всего отвечающего задачам вашей компании. Подробнее этот алгоритм описан в статье «Методика выбора оптимального средства защиты информации».

 

Результаты сравнения

Общие сведения

Параметр сравнения Kaspersky Web Traffic Security Solar webProxy Check Point Secure Gateway McAfee Web Gateway Symantec ProxySG and Advanced Secure Gateway Ideco UTM Traffic Inspector Next Generation UserGate
Базовая операционная система 64-битные ОС: Red Hat Enterprise Linux 7.7, 8; Ubuntu 18.04.3 LTS; Debian 9.11, 10.1; SUSE Linux Enterprise Server 15 SP1; CentOS 7.7; виртуальное устройство на базе CentOS CentOS; RHEL Собственная операционная система Gaia
(на ядре Red Hat Enterprise Linux 5)
Собственная ОС McAfee Linux Operating System Собственная ОС Symantec SGOS (ранее — BlueCoat SGOS) Linux (встроена в продукт) FreeBSD Собственная ОС на основе Debian
Класс продукта SWG SWG SWG SWG SWG UTM UTM  UTM / NGFW
Сравниваемые версии Kaspersky Web Traffic Security 6.1 Solar webProxy 3.3 Check Point Secure Gateway R80.40 McAfee Web Gateway 9.2.0 Symantec (ранее BlueCoat) ProxySG and Advanced Secure Gateway
(ASG) 6.7.5.5
Ideco UTM 7.9.9 Traffic Inspector Next Generation 1.5.1 UserGate 5.0.6R8
Интерфейс управления Веб-интерфейс; консоль (SSH по сертификату) Веб-интерфейс; SSH Веб-интерфейс; SSH; API Веб-интерфейс; SSH; Rest API Веб-интерфейс; SSH Веб-интерфейс; SSH Веб-интерфейс; SSH Веб-интерфейс
Кластер отказоустойчивости Да Да Да Да Да Да Да Да (active-active и active-passive)
Сертификаты Сертификат ФСТЭК России № 2474, срок действия до 24 октября 2020 года, класса Б2 (standalone-исполнение), Б4 (appliance-исполнение) Нет Нет Нет Нет Нет Сертификат ФСТЭК России № 3834, срок действия до 04 декабря 2020 года, типа А четвёртого класса защиты (ИТ.МЭ.А4.ПЗ), типа Б четвёртого класса защиты (ИТ.МЭ.Б4.ПЗ) Сертификат ФСТЭК России № 3905, срок действия до 26 марта 2021 года, типа А четвёртого класса защиты (ИТ.МЭ.А4.П3), типа Б четвёртого класса защиты (ИТ.МЭ.Б4.ПЗ)
Наличие в реестре российского ПО Нет Да Нет Нет Нет Да Да Да

 

Базовая функциональность

 Параметр сравнения Kaspersky Web Traffic Security Solar webProxy Check Point Secure Gateway McAfee Web Gateway Symantec ProxySG and Advanced Secure Gateway Ideco UTM Traffic Inspector Next Generation UserGate
Защита веб-приложений (обратный прокси-сервер и пр.) Нет Отдельная установка в режиме обратного прокси-сервера Да  Да Да Да Да Нет
Блокировка криптомайнеров / по IP Reputation / GeoIP  Да Да (с помощью внешних сервисов) Да Да Да Да Нет Да
Защита от подбора паролей (brute force) Да Нет Да Нет Да Да Да Нет
Антивирусная проверка веб-трафика Да Да (Kaspersky, ClamAV, AVG, BitDefender, Dr. Web, ESET) Да (Kaspersky, BitDefender) Да (McAfee и Avira,  механизм интеллектуального анализа поведения объектов модулем Gateway Anti-Malware (GAM)) Да (вместе с Content Analysis System / в ASG встроен CAS) Да (Kaspersky, ClamAV) Да (Kaspersky, ClamAV) Да (эвристический антивирус и потоковый антивирус UserGate)
Принудительное использование HTTPS Нет Да Нет Да Да Нет Нет Нет
Безопасный доступ в веб-интерфейс управления по HTTPS Да Да Да Да Да Да Да Да
Интеграция с SIEM Да (по протоколу Syslog: экспорт информации в syslog-сообщениях в формате CEF) Да (по протоколу Syslog: экспорт информации в syslog-сообщениях в формате CEF) Да (через Syslog или встроенный коннектор OPSEC LEA) Да (Syslog) Да (Syslog) Да (Syslog) Да (Syslog) Да (Syslog RFC-5424, BSD Syslog, FTP, SSH, форматы CEF, CEF compact, JSON, @CEE:JSON)
Блокировка рекламных баннеров и всплывающих окон Нет Да Да Да Да Да Да Да
Настраиваемая отправка отчётов по расписанию Нет Да Да Да Да Нет Нет Да
Редирект на страницу установки сертификата Нет Да Да Да Да Нет Нет Нет
Мониторинг сетевой активности пользователей Да Да Да Да Да Да Да (NetFlow) Да
Мониторинг состояния ОС Да Да Да Да Да Да Да Да
Мониторинг собственных показателей работоспособности   Да (через веб-интерфейс и SNMP) Да (мониторинг служб с возможностью автоматического перезапуска, лицензии, БД, системы протоколирования, фильтрации с возможностью перехода на режим «bypass», скорости доступа в интернет через прокси-сервер и напрямую) Да (в основном веб- интерфейсе управления доступен набор мониторов: ЦП, использование сети, памяти, файловой системы и т. д.; мониторинг с использованием SNMP) Да (в основном веб- интерфейсе управления доступен набор мониторов: ЦП, использование сети, памяти, файловой системы и т. д.; мониторинг с использованием SNMP) Да (через веб-интерфейс и SNMP) Да (мониторинг загрузки процессора, количества пользователей, трафика) Нет Да (внутренняя проверка работоспособности компонентов, проверяются подсистемы DNS, HTTP/S-прокси, подсистема сетевого управления)

 

Сетевая функциональность

 Параметр сравнения Kaspersky Web Traffic Security Solar webProxy Check Point Secure Gateway McAfee Web Gateway Symantec ProxySG and Advanced Secure Gateway Ideco UTM Traffic Inspector Next Generation UserGate
Авторизация пользователей IP; NTLM; Kerberos IP; Basic; NTLM; Kerberos IP; Basic; Kerberos; NTLM; клиент авторизации; AD NTLM; NTLM-agent; SSL-cert; RADIUS; LDAP; eDirectory; Cookies; Kerberos; локальная база пользователей; McAfee Client Proxy IWA (Basic, NTLM, Kerberos); Form-based; LDAP; SAML; RADIUS; Certificate; Windows SSO; Novel SSO; Substitutions; XML; Oracle COREid; CA eTrust SiteMinder; Local (логин+пароль) AD (Kerberos, журналы безопасности); Agent; IP; Web NTLM; Kerberos; локальная база; LDAP; Radius; ваучеры IP; логин+пароль; Kerberos; NTLM; клиент авторизации
Прозрачная авторизация Да Да Да Да Да Да Да Да
Интеграция с Active Directory Да (по протоколу LDAP) Да (импорт пользователей
(в том числе — из нескольких доменов); авторизация по Kerberos / NTLM)
Да Да Да (IWA / LDAP / 
Windows SSO)
Да (импорт пользователей
(в том числе — из нескольких доменов); авторизация по Kerberos / NTLM и журналам безопасности домена)
Да Да
Ролевая модель Да Да Да Да Да Нет Нет Да
Проброс портов, публикация ресурсов внутри сети - Отдельная установка в режиме обратного прокси-сервера DNAT, переадресация портов, обратный прокси-сервер, веб-портал (SSL VPN) Обратный прокси-сервер, TCP-прокси Обратный прокси-сервер, TCP-туннелирование Обратный прокси-сервер, публикация Outlook Web Access, DNAT DNAT, обратный прокси-сервер DNAT, переадресация портов, обратный прокси-сервер, веб-портал (SSL VPN)
Биллинговая система (квоты трафика) Нет Да Да Да Да Да Нет Да
Резервирование каналов Нет Да Да Да Да Да Да Да
Балансировка каналов Нет Да Да Да Да Да Да Да
Использование вышестоящего прокси-сервера Нет Да Нет Да Да Нет Да Нет
Кеширование
веб-трафика и DNS
Да Да Да Да Да Да Да Да

 

Мониторинг и отчётность

 Параметр сравнения Kaspersky Web Traffic Security Solar webProxy Check Point Secure Gateway McAfee Web Gateway Symantec ProxySG and Advanced Secure Gateway Ideco UTM Traffic Inspector Next Generation UserGate
Просмотр журналов пользовательской активности Да Да Да (нужен дополнительный модуль) Да Да Да Да Да
Экспорт журналов пользовательской активности Да Да Да (нужен дополнительный модуль) Да Да Да Да Да
Построение отчётов
и их выгрузка
в PDF-файл
Да Да Да (нужен дополнительный модуль) Да Да Да Построение — да, выгрузка в PDF— нет Да
Мониторинг состояния шлюза веб-безопасности (нагрузки на узлы фильтрации) Да Да Да Да Да Нет Нет Да
Предоставление политики фильтрации в привязке к требованиям регуляторов Да Да Нет  Нет Нет Нет Нет Да
Возможность масштабироваться с помощью виртуального ресурса Да Да (с помощью дополнительного оборудования, возможен гибридный вариант, количество не лимитируется) Масштабирование при помощи Maestro Orchestrator, количество не лимитируется Да (возможен гибридный режим (сбор ПАК и ВМ в единый кластер), количество не лимитируется) Да (с помощью дополнительного оборудования, в т. ч. виртуальных устройств, количество не лимитируется) Да (с помощью дополнительного оборудования, количество не лимитируется) Нет Виртуальные платформы масштабируются путём лицензирования: увеличение вычислительных ресурсов
Поддержка виртуализации VMware ESXi 6.5 Update 2 / 6.7 Update 1; Microsoft Hyper-V Server 2016 / 2019 VMware; Microsoft
Hyper-V; KVM
Cisco ACI; VMware NSX, ESXi; Microsoft
Hyper-V; OpenStack; KVM
VMware ESX / ESXi; Microsoft
Hyper-V; Amazon Web Services; Azure
VMware ESX / ESXi; Microsoft
Hyper-V; Amazon Web Services; Microsoft Azure; KVM; Cisco Cloud Service Platform
VMware; Microsoft
Hyper-V; KVM; Citrix
XenServer
Нет VMware ESXi; Microsoft
Hyper-V; KVM; Xen; OpenStack; VirtualBox

 

Контентная и контекстная аналитика

 Параметр сравнения Kaspersky Web Traffic Security Solar webProxy Check Point Secure Gateway McAfee Web Gateway Symantec ProxySG and Advanced Secure Gateway Ideco UTM Traffic Inspector Next Generation UserGate
Защита от утечек конфиденциальной информации (Data Leak Prevention, DLP) Интеграция со сторонними DLP-системами по ICAP Интеграция с
DLP-системой Solar Dozor и собственные политики «light DLP»
Интеграция только с собственной DLP-системой и со сторонними DLP-системами по ICAP Встроенные словари и интеграция с внешними системами DLP с использованием ICAP и ICAPS Интеграция со сторонними
DLP-системами
по ICAP и ICAPS
Интеграция со сторонними DLP-системами по ICAP Интеграция со сторонними DLP-системами по ICAP Интеграция со сторонними DLP-системами по ICAP
Категоризатор Да Да Да Да Да Да Да Да
Количество категорий в контент-фильтре 70 136 114 100 80 144 144 141
Фильтрация HTTPS MITM, фильтрация SNI и CN MITM, фильтрация SNI и IP MITM, фильтрация SNI и CN MITM, фильтрацияSNI MITM, фильтрация SNI и CN MITM, фильтрация SNI и CN MITM, фильтрация SNI и CN MITM, фильтрация SNI и CN
Морфологический анализ веб-страниц по словарям (контентная фильтрация) Да, в правилах и в ядре антифишинга (при включённом эвристическом анализаторе) Да (контентная фильтрация только при вскрытии HTTPS) Нет Да (динамическая категоризация с использованием анализа исходного кода загружаемых страниц) Нет Нет Нет Да (контентная фильтрация только при вскрытии HTTPS)
Блокировка файлов по MIME-типам Да Да Да Да Да Да Да Да
Блокировка анонимайзеров Да Да Да Да Да Да Нет Да

 

Разное

 Параметр сравнения Kaspersky Web Traffic Security Solar webProxy Check Point Secure Gateway McAfee Web Gateway Symantec ProxySG and Advanced Secure Gateway Ideco UTM Traffic Inspector Next Generation UserGate
Техническая поддержка на русском языке от вендора Да Да Да Да (с приобретением расширенного плана ТП) Да Да Да Да
Возможность формировать досье пользователя Нет Да Да (дополнительный модуль) Да (дополнительный модуль) Нет Нет Нет Нет
Актуальная документация на русском языке Да Да Нет Нет Нет Да Да Да
Лицензирование По объёму трафика; по числу пользователей; по модели с месячной оплатой По количеству активных пользователей; по скорости канала По вычислительным мощностям (предопределены цены для собственных программно-аппаратных комплексов, для Open Server и виртуальных шлюзов – по ядрам) По количеству пользователей, без учёта серверных установок По количеству пользователей; по ядрам ЦП По количеству активных пользователей На устройство По количеству активных пользователей, по ядрам, лицензии на аппаратные платформы — без ограничения

 

Выводы

При подготовке этого сравнения мы не ставили перед собой задачу выявить однозначного лидера среди представителей класса Secure Web Gateway (SWG). Основная цель была иной: помочь организациям понять функциональность современных SWG и их заменителей класса UTM / NGFW, а также предоставить компаниям, которые ознакомились с нашими критериями оценки и результатами сравнения, возможность самостоятельно решить, какой из рассмотренных продуктов, с каким функциональным наполнением, какого именно вендора лучше всего охватывает их насущные потребности. Это даёт нам право предположить, что данное сравнение будет отличным источником информации для составления актуальных списков ожиданий, позволит проводить внутренние сравнительные анализы, эффективные «пилоты» и в итоге поможет прийти к правильному выбору нужного инструмента.

В то же время, исходя из собственной практики, мы выделили несколько важных особенностей SWG, которые значительно облегчают их эксплуатацию. К таковым относятся:

  • Возможность и способ проброса портов и публикации приложений внутри сети. Даёт преимущества в распределённой инфраструктуре с централизованным управлением за счёт упрощения цепочки производимых изменений.
  • Возможность масштабирования — как горизонтального, так и вертикального. Этот параметр у большинства решений оказался не сильно ограниченным, да и лимит в 255—1000 нод не является значительным.
  • Способ раскрытия / фильтрации HTTPS. Также значимое подспорье, влияющее уже на охват категорий сайтов, покрываемых решением.
  • Количество разных антивирусных ядер, задействованных в потоковой фильтрации. Другое хорошее дополнение для соблюдения принципов эшелонированности защиты и периодической проверки вердиктов.

Другие критерии, помещённые в категорию «Разное», весьма специфичны, но могут быть актуальными для ряда компаний:

  • Морфологический анализ веб-контента. По сути — фрагментированная функция DLP-решений, нацеленная на блокировку страниц по набору слов в регулярном выражении.
  • Применение политик по требованиям регуляторов. Предустановленный набор политик, который способен облегчить первичную настройку и дальнейшее обеспечение соответствия требованиям. Может быть достигнуто комбинацией существующих параметров других продуктов в сочетании с эксплуатацией API.

Отношение к перечисленным функциям — вполне субъективное, в этом мы отдаём себе отчёт, но оно основано на опыте внедрения по нескольким из приведённых классов.

 

Коллектив Anti-Malware.ru выражает особую благодарность за помощь в подготовке данного материала коллегам:

Елена Вешнякова, руководитель направления маркетинга (Enterprise), «Лаборатория Касперского»

Олег Митичкин, старший менеджер по почтовым продуктам и продуктам для защиты веб-трафика, «Лаборатория Касперского»

Ольга Горшкова, руководитель направления продуктового PR, «Ростелеком-Солар»

Ольга Исаева, ведущий бизнес-аналитик, «Ростелеком-Солар»

Гуля Салахова, региональный маркетолог, Check Point Software Technologies в России

Сергей Забула, руководитель группы системных инженеров по работе с партнерами, Check Point Software Technologies в России

Андрей Черняков, системный инженер по работе с партнерами, Check Point Software Technologies в России

Антон Тихонов, ведущий инженер решений McAfee, ГК «Монт»

Ксения Маценко, менеджер по работе с партнерами, McAfee LLC

Павел Катунькин, ведущий инженер, Web Control

Татьяна Шифон, руководитель отдела маркетинговых коммуникаций, Web Control

Кирилл Керценбаум, директор по продажам, Symantec A Division of Broadcom

Константин Челушкин, старший технический консультант, Symantec A Division of Broadcom

Дмитрий Хомутов, заместитель директора по развитию, "Айдеко"

Ирина Пенькова, заместитель генерального директора по маркетингу, «СМАРТ-СОФТ»

Дмитрий Курашев, сооснователь компании UserGate

Александр Кистанов, технический директор, UserGate

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru