Обзор межсетевых экранов с функцией VPN компании Zyxel - Выбор корпоративных средств защиты - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Обзор межсетевых экранов с функцией VPN компании Zyxel

Автор AM_Bot, в Выбор корпоративных средств защиты

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано
Обзор межсетевых экранов с функцией VPN компании Zyxel
Межсетевые экраны с функцией VPN от компании Zyxel Communications Corporation разработаны для гибкого построения защищенных каналов без необходимости сложной многочасовой настройки. Поддерживаются все популярные способы организации защищенных соединений: SSL VPN, site-to-site IPSec, L2TP over IPSec, PPTP, GRE. Отдельными устройствами серии можно гибко управлять с помощью современной технологии построения программно-определяемых сетей (Zyxel Nebula SD-WAN). Кроме того, реализованы функции балансировки между разными каналами связи (Multi-WAN failover).  ВведениеУстройства Zyxel ZyWALL VPN2SУстройства Zyxel VPN50/100/300 линейки Advanced VPN Firewall SeriesУстройства Zyxel ZyWall VPN линейки Business Firewall SeriesСервисы и лицензирование межсетевых экранов с VPN компании ZyxelВыводы ВведениеВ прошлой статье мы уже рассказывали об основных подходах к построению корпоративной безопасности, реализованных компанией Zyxel в своих решениях, на примере унифицированных шлюзов безопасности Next Generation Performance Series Zyxel USG (решения класса UTM — Unified Threat Management) с модулем NGFW (Next Generation Firewall) на борту. Сегодня детально разберем типовую и, на первый взгляд несложную, задачу — построение в компании виртуальной частной сети (VPN).В любой современной организации неизбежно возникает необходимость обеспечить работу удаленных сотрудников из дома, командировки, либо прямо с «полей». Сегодня является абсолютной нормой для компании вообще не содержать собственный офис, либо напротив — размер филиальной сети крупной корпорации может исчисляться сотнями географически разбросанных точек. В таких условиях для решения задач по обеспечению безопасности корпоративной сети и защиты важных для бизнеса данных при их передаче по открытым каналам необходимы межсетевые экраны с функцией построения VPN.Компания Zyxel, ориентируясь прежде всего на доступность и гибкий инструментарий для решения конкретных задач, разработала линейку VPN с упором на простоту администрирования, при сохранении всех необходимых функций в устройствах. Zyxel следует принципу четкого сегментирования своих решений. Средства построения VPN можно разделить на 2 группы: Advanced VPN Firewall Series, подходящие для самых небольших и средних компаний, и ZyWall Business Firewall Series, предназначенные для крупных корпораций. Рисунок 1. Модельный ряд решений Zyxel VPN С полным перечнем всех продуктов компании Zyxel можно ознакомиться на официальном сайте. В обзоре мы подробно разберем особенности каждой линейки и отдельно остановимся на крайне интересной модели VPN2S, специально разработанной по принципу настройки в «5 простых кликов». Устройства Zyxel ZyWALL VPN2SZyWALL VPN2S специально разрабатывался для малых предприятий, небольших филиалов и подключения домашних или удаленных пользователей. Устройство представляет собой межсетевой экран с функцией VPN, который позволяет сконфигурировать безопасное соединение point-to-point без сложной настройки параметров. Рисунок 2. Ключевые особенности Zyxel ZyWALL VPN2S  VPN2S имеет пять портов Gigabit Ethernet (2 настраиваются для интерфейсов LAN/WAN и 3 — только для LAN), а также один порт USB для подключения 3G/4G-модемов. В VPN2S реализована поддержка соединений «точка-точка» (Site-to-Site VPN) типов IPSec, L2TP, PPTP, GRE, L2TP Over IPSec. Для подключения отдельных удаленных VPN-клиентов, в зависимости от возможностей провайдеров и принятых корпоративных правил, применяются протоколы IPSec, L2TP или PPTP. Таблица 1. Основные характеристики модели Zyxel ZyWALL VPN2SСпецификацияZyWALL VPN2S Интерфейсы3 x LAN, 1 x OPT, 1 x WANПорты USB2 x USB 2.0Пропускная способность межсетевого экрана SPI (statefull packet inspection)1.5 Гбит/сПропускная способность VPN35 Мбит/сМаксимальное число одновременных TCP сессий50 000Максимальное число одновременных туннелей IPsec VPN20Возможность монтажа в стойкуНетБесшумная технология охлажденияДаМаксимальное число интерфейсов VLAN16Балансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаТехнологии построения VPNIPSec, L2TP over IPSec, PPTP, L2TP, GREПоддерживаемых типы подключения VPN клиентовIPSec, L2TP, PPTPТехнология фильтрации контентаДаФизические размеры210 x 115 x 33 В ZyWALL VPN2S встроен межсетевой экран с полной поддержкой SPI (Stateful Packet Inspection), что, согласитесь, хорошее преимущества для устройства бюджетного класса. Это позволяет защитить пользователей от кибератак различного типа, в том числе DoS/DDoS, атак с использованием поддельных IP-адресов, неавторизованного удаленного доступа к инфраструктуре и приложениям. Рисунок 3. Резервирование каналов интернета с помощью Zyxel ZyWALL VPN2S  Отдельно доступна опция подключения модуля Content Filtering для блокировки подозрительного трафика, вредоносных сетевых пакетов и постореннего контента. Отметим, что Content Filtering предоставляется бесплатно в течение одного года. Технология позволяет фильтровать доступ к опасным сайтам, разбитым на различные категории (анонимайзеры, вредоносное программное обеспечение, фишинг и мошенничество, боты, сайты со спамом и т. д.), а также к постороннему контенту, например, содержащему сцены насилия и порнографию. Помимо непосредственного обеспечения защиты сети компании, Content Filtering помогает повысить продуктивность работы персонала, ограничивая доступ к определенным приложениям, например, к социальным сетям, видеохостингам, тематическим форумам и развлекательным порталам. Рисунок 4. Схема работы функций безопасности Zyxel ZyWALL VPN2S  Отдельно отметим способность VPN2S выступать в том числе клиентом L2TP VPN, что облегчает процесс настройки множества устройств и позволяет однократно задать параметры конфигурируемой VPN-сети в компании.Ключевой особенностью VPN2S является встроенный сервис быстрой настройки в 5 шагов. Максимальное облегчение и визуализация процесса конфигурирования всегда было фирменным отличием устройств компании Zyxel еще со времен широкого распространения домашних роутеров вендора в России. Рисунок 5. Настройка Zyxel ZyWALL VPN2S в 5 шагов  Виртуальный помощник имеет удобный графический интерфейс и помогает оперативно настроить устройство VPN2S. Для облегчения управления конфигурациями компания Zyxel предоставляет пакет утилит удаленного администрирования, в том числе специальный сервис для обновления прошивок — Cloud Helper. Cloud Helper обеспечивает простой поиск информации о последней версии нужной прошивки, которая устанавливается сразу же после официального релиза производителя, что гарантирует ее достоверность и актуальность.Остается добавить, что в устройства VPN2S встроен аппаратный криптографический модуль L2TP/IPSec VPN, который обеспечивает приличную для своего класса скорость VPN-соединений и реализует функции отказоустойчивости и балансировки нагрузки (VPN failover и load balance). В качестве алгоритмов хэширования используется семейство SHA-2, а непосредственно для шифрования — набор протоколов IKEv2. Устройства Zyxel VPN50/100/300 линейки Advanced VPN Firewall SeriesУстройства Zyxel серии VPN50/100/300 подходят для организации безопасного выхода в интернет и объединения нескольких удаленных офисов в единую VPN-сеть как в небольших, так и в средних по размеру компаниях. Таблица 2. Основные характеристики моделей Zyxel VPN50/100/300СпецификацияVPN50VPN100VPN300 Интерфейсы4 x LAN/DMZ, 1 x WAN, 1 x SFP4 x LAN/DMZ, 1 x WAN, 1 x SFP7x GbE (конфигурируемые), 1x SFPПорты USB122Консольный портДа (RJ-45)Да (DB9)Да (DB9)Возможность монтажа в стойкуНетДаДаБесшумная технология охлажденияДаДаДаМакс. число интерфейсов VLAN81664Максимальное число одновременных туннелей IPSec VPN50100300Максимальное число соединений SSL VPN50200300Максимальное число управляемых точек доступа (AP)3668132Пропускная способность межсетевого экрана SPI (statefull packet inspection)800 Мбит/c2000 Мбит/c2600 Мбит/cПропускная способность VPN150 Мбит/c500 Мбит/c1000 Мбит/cМаксимальное число одновременных TCP сессий400 000800 0002 000 000Балансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаДаДаТехнологии построения VPNIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecРежим инспекции SSL (HTTPS)НетДаДаТехнология фильтрации контентаДаДаДаСервис геопривязки внешних IPДаДаДаСервис Amazon VPCДаДаДаСервис Facebook Wi-FiДаДаДаТехнология Device HA ProНетДаДаВозможность управления точками доступа Wi-FiНетДаДаПоддержка технологии Nebula SD-WANДаДаДаФизические размеры216 x 143 x 33272 x 187 x 36300 x 188 x 44 ZyWALL VPN50/100/300 на правах старших моделей линейки Advanced VPN Firewall Series поддерживают полный набор функций, реализованных в младшем устройстве VPN2S, поэтому остановимся чуть подробнее на отличительных особенностях и самых интересных технологиях. Рисунок 6. Ключевые технологии ZyWALL VPN50/100/300  Вся линейка Advanced VPN Firewall Series оборудована аппаратными ускорителями шифрования. Помимо встроенной поддержки описанного ранее сервиса Content Filtering, старшие модели Advanced VPN Firewall Series снабжены технологией Geo Enforcer, с помощью которой можно прямо на карте мира отслеживать опасные IP-адреса. Это может применяться для блокировки адресов злоумышленников, пытающихся атаковать из определенных стран, или для ограничения доступа пользователей к определенным источникам данных. И Content Filtering, и Geo Enforcer предоставляются бесплатно на 1 год. Рисунок 7. Построение защищенных сетей с помощью ZyWALL VPN50/100/300  Другая интересная особенность — способность интегрироваться с Amazon Virtual Private Cloud (AWS VPC) посредством IPSec VPN, с целью реализации безопасного доступа к размещенным там корпоративным приложениям. Реализация указанной технологии позволяет обеспечить безопасное расширение корпоративной сети с помощью облака, используя при этом все преимущества построения современных гибридных инфраструктур. Кроме того, поддерживаются расширенные инструменты интеграции с провайдерами управляемых сервисов (MSP) с целью повышения уровня предоставления самих услуг, сокращения времени недоступности при сбоях для конечных пользователей и упрощения обслуживания сетевой инфраструктуры.Помимо поддержки описанных выше технологий балансировки самих соединений (Multi-WAN load balancing/failover и IPSec load balancing and failover), преимуществом моделей ZyWall, начиная с VPN50, является наличие механизма кластеризации и повышенной отказоустойчивости самих устройств. При развертывании внутри сети компании устройства собираются в кластер active-passive High-Availability (HA) или failover (в режиме соединения при сбоях). Для обслуживания указанных режимов компанией Zyxel разработан специальный инструмент Device HA Pro, обеспечивающий мгновенное «горячее» переключение при сбоях.ZyWALL VPN50/100/300 способны гибко управлять точками доступа Wi-Fi в компаниях любого масштаба, позволяя предоставлять своим клиентам и сотрудникам различные уровни доступа к сети. Например, можно разграничить зоны по помещениям, организовать бесплатный или платный доступ в интернет. В последнем случае поможет встроенная система регистрации пользователей, учета трафика, ведения биллинга и выставления счетов за услуги. Рисунок 8. Организация дополнительных сервисов с помощью ZyWALL VPN50/100/300 на примере построения сети в отеле  Интеграции в ZyWall VPN50/100/300 сервиса Facebook Wi-Fi может оказаться полезной для компаний из сферы услуг: магазины, рестораны, отели, торговые центры. Благодаря ей владельцы таких предприятий могут не только предоставить своим посетителям выход в интернет, но и сделать процесс авторизации удобным, с помощью поддержки современных методов с использованием социальных сетей (в данном случае — Facebook).Все устройства VPN50/100/300 поддерживают специально разработанное вендором решение Zyxel Nebula SD-WAN, которое реализует интеллектуальное управление трафиком на основе технологии построения программно-определяемых распределенных сетей. Nebula SD-WAN упрощает развертывание, обеспечивает удобное централизованное управление, повышает гибкость сети, а также увеличивает ее пропускную способность. Применение Nebula SD-WAN позволяет объединить устройства, развернутые на центральной площадке и в удаленных филиалах компании таким образом, что управление такой распределенной сети осуществляется из единой точки, а при каких-либо изменениях — новые конфигурации транслируются на все устройства автоматически. Рисунок 9. Ключевые преимущества технологии Zyxel Nebula SD-WAN  Nebula SD-WAN позволяет динамически выбирать и строить маршрут для каждого пакета, основываясь на определении задержек в сети, джиттера (изменения времени пинга) и частоты отбрасывания пакетов. Кроме того, технология обеспечивает снижение деградации в протоколе TCP (т. е. улучшаются характеристики), одновременную многопоточность (агрегируют всю полосу пропускания), способна отслеживать состояния с интернетом и динамически регулировать параметры соединения. Nebula SD-WAN реализует автоматическое предоставление ресурсов, что упрощает развертывание, настройки сети можно быстро передать на все площадки даже по электронной почте или на съемном флеш-накопителе, а встроенный оркестратор позволяет строить трехуровневую топологию и осуществлять мониторинг с помощью информативных дашбордов и инфографики. Устройства линейки VPN50/100/300 поддерживают технологию NebulaFlex, что позволяет им работать как в режиме Nebula SD-WAN, так и в режиме автономного шлюза безопасности. Устройства Zyxel ZyWall VPN линейки Business Firewall SeriesМодельный ряд класса решений Zyxel Business Firewall Series представлен устройствами ZyWall VPN 110/310/1100. Они, в зависимости от выбранной конфигурации, могут применяться для организации защищенного VPN-соединения в компаниях любого масштаба: от небольшой фирмы с точечными удаленными офисами, до крупной компании с штаб-квартирой и множеством территориально-распределенных площадок. Устройства Business Firewall Series оснащены современными процессорами и специальными аппаратными модулями шифрования, поддерживающими современные криптографические алгоритмы. Рисунок 10. Общий подход к построению VPN-сетей с помощью Zyxel Business Firewall Series на примере устройства ZyWall 1100  Zyxel Business Firewall Series способны обеспечивать надежные непрерывные VPN-соединения с поддержкой технологии dual-WAN failover (два одновременно подключенных канала доступа в интернет). Благодаря использованию двух соединений WAN, основного и резервного, в случае сбоев устройство автоматически переключается между ними, не оставляя пользователей без связи. Кроме этого, устройства Zyxel линейки Business Firewall Series предоставляют расширенный набор функций по обеспечению комплексного безопасного доступа сотрудников в интернет, которые во многом аналогичны описанным в прошлой статье технологиям, применяемым в унифицированных шлюзах безопасности Zyxel USG Series. Поэтому совпадающие функциональные возможности кратко перечислим, а на отличающихся остановимся подробнее. Таблица 3. Основные характеристики моделей USG20-VPN/USG20W-VPN/USG2200-VPNСпецификацияUSG20-VPNUSG20W-VPNUSG2200-VPN  Интерфейсы4 x LAN/DMZ, 1 x WAN, 1 x SFP4 x LAN/DMZ, 1 x WAN, 1 x SFP7 x GbE (конфигурируемые), 4 x SFP, (конфигурируемые), 2x 10G ComboПорты USB112Консольный портДа (RJ-45)Да (RJ-45)Да (DB9)Возможность монтажа в стойкуНетНетДаБесшумная технология охлажденияНетНетНетПропускная способность межсетевого экрана SPI (statefull packet inspection)350 Мбит/c350 Мбит/c25000 Мбит/cПропускная способность VPN90 Мбит/c90 Мбит/c2500 Мбит/cМаксимальное число одновременных TCP-сессий20 00020 0001 500 000Максимальное число одновременных туннелей IPSec VPN10103 000Максимальное число соединений SSL VPN15151 000Макс. число интерфейсов VLAN88128Максимальное число конкурентных авторизаций пользователей64645 000Максимальное число управляемых точек доступа (AP)НетНет1026АнтивирусНетНетНетМодуль предотвращения вторжений (IDP)НетНетНетАнтиспамДаДаДаТехнология фильтрации контента Content Filtering 2.0ДаДаДаТехнологии построения VPNIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecРежим инспекции SSL (HTTPS)НетНетДаРежим быстрой настройки Easy ModeДаДаНетВозможность управления точками доступа Wi-FiНетНетДаБалансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаДаДаСервис Amazon VPCДаДаДаСервис Facebook Wi-FiДаДаДаТехнология Device HA ProНетНетДаРезервирование внешних соединений (Link Aggregation)НетНетНетФизические размеры216 x 143 x 33216 x 143 x 33438.5 x 500 x 89 Младшие в данном классе модели USG20-VPN/USG20W-VPN поддерживают упрощенный режим настройки EASY MODE, который специально рассчитан на пользователей из небольших компаний. При использовании этого режима настройка конфигурации выполняется с помощью удобных интегрированных программ-мастеров (wizard) с неперегруженным интерфейсом. В то же время наличие режима EASY MODE никоим образом не означает урезание функциональности и не ограничивает администраторов в дополнительных расширенных настройках.Помимо основной задачи — организации VPN-канала и технологий, ее обеспечивающих, — в USG20-VPN/USG20W-VPN возможно подключить по подписке сервисы антиспам и фильтрации контента. Напомним, что Zyxel использует антиспам-движок от партнера — CyREN. Рисунок 11. Ключевые технологии Zyxel USG20-VPN/USG20W-VPN/ USG2200-VPN  Построение VPN-сетей сегодня является повсеместным и востребовано компаниями совершенно любого масштаба, как безопасное и удобное решение для организации доступа к своим ресурсам для партнеров, заказчиков и сотрудников, находящихся вне офиса. Однако конфигурирование сетевых устройств — задача непростая даже для продвинутого пользователя. В Zyxel Business Firewall Series реализована технология быстрой настройки Easy VPN, позволяющая существенно упростить настройку устройств для типовых задач, например, организации соединения client-to-site IPsec VPN. Простой в использовании wizard (автоматизированный помощник) из пакета программного обеспечения, поставляющегося с Business Firewall Series, автоматически извлекает (скачивает) файл конфигурации из устройства, после чего для завершения настройки останется выполнить только три простых шага по подтверждению настройки сетевых параметров. Таблица 4. Основные характеристики моделей Zyxel ZyWall 110/310/1100СпецификацияZyxel ZyWall 110Zyxel ZyWall 310Zyxel ZyWall 1100Интерфейсы4 x LAN/DMZ, 1 x WAN, 1 x SFP8 x GbE (конфигурируемые)8 x GbE (конфигурируемые)Порты USB222Консольный портДа (DB9)Да (DB9)Да (DB9)Возможность монтажа в стойкуДаДаДаБесшумная технология охлажденияНетНетНетПропускная способность межсетевого экрана SPI (statefull packet inspection)1 600 Мбит/c5 000 Мбит/c6 000 Мбит/cПропускная способность VPN400 Мбит/c650 Мбит/c800 Мбит/cМаксимальное число одновременных TCP сессий150 000500 0001 000 000Максимальное число одновременных туннелей IPSec VPN50100300Максимальное число соединений SSL VPN150150500Макс. число интерфейсов VLAN1664128Максимальное число конкурентных авторизаций пользователей308001 500Максимальное число управляемых точек доступа (AP)3434130АнтивирусДаДаДаМодуль предотвращения вторжений (IDP)ДаДаДаАнтиспамДаДаДаТехнология фильтрации контента Content Filtering 2.0ДаДаДаТехнологии построения VPNIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecIKEv2, IPSec, SSL, L2TP / IPSecРежим инспекции SSL (HTTPS)ДаДаДаРежим быстрой настройки Easy ModeНетНетНетВозможность управления точками доступа Wi-FiДаДаДаБалансировка нагрузки / отказоустойчивость внешних каналов (Multi-WAN)ДаДаДаСервис Amazon VPCДаДаДаСервис Facebook Wi-FiДаДаДаТехнология Device HA ProДаДаДаРезервирование внешних соединений (Link Aggregation)НетДаДаФизические размеры300 x 188 x 44430 x 250 x 44430 x 250 x 44 Набор дополнительных расширений и подключаемых сервисов в современных устройствах построения VPN-сетей практически стирает границы между ними и универсальными шлюзами безопасности (USG или UTM). Zyxel Business Firewall Series здесь не исключение. Помимо технологий, описанных выше, модели Zyxel ZyWall 110/310/1100 оснащены системой предотвращения вторжений (Intrusion Detection and Prevention — IDS/IPS), инспектором приложений (Application Patrol), антивирусом Zyxel AV (движок от партнера — Bitdefender). Рисунок 12. Ключевые технологии Zyxel ZyWall 110/310/1100  Сервисы и лицензирование межсетевых экранов с VPN компании ZyxelНапомним, что все корпоративные устройства Zyxel реализуют полный набор технологий, доступный для каждой серии, а активация той или иной функциональности происходит посредством подключения необходимой лицензии. Производителем поддерживается модульность в следующем виде:Комплексная подписка на все сервисы безопасности Zyxel (AS, AV, CF, IDP/DPI).Подписка на сервис Zyxel CF (контентная фильтрация).Лицензия Zyxel на увеличение числа одновременных SSL VPN.Подписка на сервис Zyxel AV (антивирус).Подписка на сервис Zyxel IDP/DPI (обнаружение/предотвращение вторжений и патруль приложений).Подписка на сервис Zyxel AS (антиспам).Лицензия Zyxel SecuReporter.Лицензия Zyxel на увеличение числа управляемых точек доступа.Комплект лицензий Zyxel для IPSec VPN-клиента.Лицензия Zyxel для Cloud CNM SecuManager.Таким образом, политика лицензирования компании Zyxel предоставляет максимальную гибкость при поставке межсетевых экранов с VPN для разных компаний с индивидуальными потребностями, а также позволяет добиться оптимального баланса стоимости, производительности и безопасности.Дополнительно Zyxel предлагает воспользоваться Сервисом по удаленной настройке оборудования и Сервисом по опережающей замене оборудования в случае выхода из строя. ВыводыЗадача организации защищенного удаленного доступа рано или поздно возникает в любой компании, даже с самым консервативным подходом к построению сети и концепцией «замкнутого периметра, без доступа в интернет». Поэтому устройства создания корпоративной VPN-сети будут все более востребованы. Компания Zyxel при разработке межсетевых экранов с VPN делает ставку на широкий модельный ряд, надежность, простоту настройки и политику гибкого лицензирования дополнительных функций. Поддерживаются все популярные типы шифрованных соединений (site-to-site, client-to-site, разные виды туннелирования), современные протоколы (SHA-2, IKEv2), реализована отказоустойчивость (WAN-каналов, VPN-соединений, кластеризация самих устройств). Подключение технологий обнаружения и предотвращения вторжений (IDP), контроля приложений, антивируса, антиспама, модуля контентной фильтрации, инспекция SSL-трафика и вовсе размывает и без того тонкую грань между VPN-устройствами и комбинированным универсальным шлюзом безопасности (USG).Отдельно стоит отметить фокус на SMB-сегмент. Компания Zyxel действительно заботится о пользователях и реализует всевозможные методы упрощенного управления и администрирования «в несколько кликов», которые особенно актуальны для решения базовых задач. Такой подход видится перспективным, благодаря ему Zyxel способен получить заметную долю рынка, особенно в отдельном сегменте.

Читать далее

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор корпоративных средств защиты

  • Сообщения

    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.0.14.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Microsoft ускоряет Проводник в Windows 11 с помощью предзагрузки https://www.comss.ru/page.php?id=18618
    • AM_Bot
      Обзор CrossTech Container Security 3.0: решение для защиты контейнерной инфраструктуры

      От AM_Bot · Опубликовано

      Вендор Crosstech Solutions Group выпустил решение для защиты контейнерной инфраструктуры Crosstech Container Security (CTCS). Оно обеспечивает безопасность контейнерных сред: от сканирования образов до контроля запуска рабочих нагрузок и реагирования на инциденты в средах выполнения.      ВведениеФункциональные возможности Crosstech Container Security2.1. Анализ и контроль безопасности образов2.2. Контроль запуска контейнеров2.3. Безопасность в средах выполнения (Runtime Security)2.4. Безопасность окружения2.5. Внешние интеграцииАрхитектура Crosstech Container Security3.1. Основные компоненты Crosstech Container SecurityСистемные требования и лицензирование Crosstech Container Security4.1. Лицензирование4.2. Требования к аппаратной части4.3. Требования к программной части4.4. Процесс установкиСценарии использования5.1. Сценарий №1. Сканирование образов5.2. Сценарий №2. Политики безопасности образов контейнеров5.3. Сценарий №3. Контроль запуска контейнеров5.4. Сценарий №4. Мониторинг безопасности сред выполненияВыводыВведениеРоссийский рынок контейнерных разработок постоянно растёт. В 2024 году затраты на ПО для контейнеризации достигли 3 млрд рублей — это на 66 % больше, чем в 2023. Контейнерные технологии ускоряют процессы разработки, экономят ресурсы компаний, поэтому их всё чаще внедряют в свою работу ИТ-департаменты.Вместе с ростом масштабов контейнеризации увеличивается и поверхность атак: уязвимости в образах, ошибки конфигураций, несанкционированные действия внутри контейнеров. Crosstech Container Security помогает компаниям выстраивать комплексную систему защиты контейнерной инфраструктуры.Функциональные возможности Crosstech Container SecurityCrosstech Container Security объединяет функции анализа, мониторинга и управления безопасностью контейнерных сред. Решение охватывает весь жизненный цикл контейнера — от момента его создания до удаления. Продукт помогает DevSecOps-командам выявлять уязвимости, проверять конфигурации, контролировать сетевую активность и реагировать на инциденты в режиме реального времени.Анализ и контроль безопасности образовCrosstech Container Security интегрируется с реестрами хранения образов и позволяет проводить их сканирование как в ручном режиме, так и по расписанию. В результате анализа система обнаруживает дефекты в образах: уязвимости, неправильные конфигурации, секреты, а также фиксирует используемые в образах OSS-лицензии для пакетов и библиотек. По каждому найденному дефекту предоставляется детальная информация.CTCS поддерживает экспорт SBOM в форматах SPDX и CycloneDx, что упрощает аудит и обмен данными с другими решениями. Интерфейс продукта предоставляет визуализацию образов с маппингом (сопоставлением данных) на дефекты безопасности. CTCS также осуществляет дискаверинг (обнаружение) образов, располагающихся в защищаемых кластерах и на standalone-хостах.Для автоматизации контроля доступны настраиваемые политики безопасности образов, разделяемые по критериям:наличие уязвимостей в образах контейнеров выше заданной оценки критичности;наличие уязвимостей в образах контейнеров согласно заданным идентификаторам;обнаружение root в Dockerfile;возможность указания перечня образов, на которые будет распространяться созданная политика безопасности образов.При нарушении хотя бы одного из критериев политики администратор получает уведомление в интерфейсе CTCS и может оперативно принять меры: заблокировать образ, исключить его из деплоя или добавить в список исключений с указанием причины. Такой подход обеспечивает прозрачность процессов и повышает уровень доверия к среде разработки и эксплуатации.Контроль запуска контейнеровРешение обеспечивает контроль запуска контейнеров как в средах Kubernetes, так и на отдельных standalone-хостах в соответствии с заданными политиками безопасности. Это позволяет предотвращать запуск рабочих нагрузок, не соответствующих требованиям безопасности компании, ещё на этапе их инициализации.В зависимости от настроек администратор может выбрать режим реагирования: блокирование или оповещение о нарушении политики безопасности. Информация обо всех срабатываниях отображается в интерфейсе системы, обеспечивая прозрачность и возможность оперативного реагирования.Политики безопасности включают следующие критерии:попытка запуска контейнеров на базе образов, не соответствующих политикам безопасности;попытка запуска контейнеров из-под пользователя root;попытка запуска контейнеров с повышенными привилегиями ядра Linux;контроль запуска контейнеров на базе образов, не прошедших сканирование CTCS.Дополнительно решение поддерживает интеграцию с OPA Gatekeeper и имеет возможность создания и импорта политик через интерфейс CTCS.Безопасность в средах выполнения (Runtime Security)CTCS использует возможности инструмента Tetragon для создания и применения кастомных политик безопасности, позволяющих контролировать сетевые взаимодействия внутри контейнеров. Администраторы могут выбрать набор кластеров для распространения политик, что обеспечивает гибкость при внедрении требований безопасности.Вся информация о срабатываниях политик фиксируется в интерфейсе CTCS, предоставляя специалистам по информационной безопасности прозрачную картину активности в средах выполнения и возможность оперативного реагирования на инциденты.Безопасность окруженияРешение выполняет сканирование кластеров на соответствие стандартам конфигурирования CIS Kubernetes Benchmarks. Аналогично система проводит проверку standalone-хостов на соответствие CIS Docker Benchmarks. Дополнительно CTCS поддерживает сканирование конфигурационных файлов, расположенных в директориях нод кластеров, выполняя роль сканера на основе IaC (Infrastructure as Code, управление инфраструктурой через использование кода).Внешние интеграцииРешение поддерживает интеграцию с реестрами хранения образов, что обеспечивает доступ к актуальным данным для анализа и контроля безопасности контейнеров. Также CTCS поддерживает передачу журналов событий в системы сбора по протоколу Syslog для их централизованного хранения и обработки.Доступна интеграция с системой идентификации, управления доступом Keycloak с поддержкой OAuth и доменными службами каталогов. Это позволяет пользователям авторизовываться в интерфейсе системы через доменные учётные записи. Рисунок 1. Планы по развитию Crosstech Container Security Архитектура Crosstech Container SecurityАрхитектура CTCS реализована в формате однонаправленных соединений со стороны ядра системы в сторону агентов защиты (протокол TCP/IP), располагающихся в защищаемых кластерах. Такой подход позволяет использовать инстанс ядра в единственном экземпляре для инфраструктур, сегментированных по уровням доверия. Рисунок 2. Логическая архитектура Crosstech Container Security Основные компоненты Crosstech Container SecurityCTCS состоит из 3 основных компонентов:CTCS Core — группа микросервисов, отвечающая за управление системой: хранение данных, настроек, создание политик безопасности, бизнес-логика продукта, а также взаимодействие со смежными системами.CTCS Agent-Manager: модуль агент-менеджера реализован в формате оператора Kubernetes с целью контроля за установкой и изменениями кастомных ресурсов (custom resource definition, CRD), а также управления и передачи информации агент-воркерам, устанавливаемым на каждую защищаемую ноду в формате DaemonSet.CTCS Scanner — модуль, сканирующий образы контейнеров на уязвимости, неправильные конфигурации, конфиденциальные данные, информацию по OSS-лицензиям для пакетов и библиотек из состава образа, а также сканирующий кластеры на соответствие стандартам конфигурирования.Системные требования и лицензирование Crosstech Container SecurityПеред выбором модели лицензирования заказчикам рекомендуется оценить масштаб защищаемой инфраструктуры и нагрузку на кластеры. Crosstech Container Security предусматривает гибкий подход: ядро и агенты могут разворачиваться в разных сегментах сети, включая тестовые и продуктивные среды. Такой принцип позволяет оптимально распределять ресурсы и лицензии, избегая избыточных затрат.ЛицензированиеCTCS лицензируется по количеству защищаемых нод, на которые распространяются агенты защиты.В продукте реализовано гибкое лицензирование, которое позволяет заказчикам самостоятельно выбирать перечень защищаемых объектов. При достижении лимита по количеству лицензий, предусмотренных договором, администратор может отключить часть текущих объектов защиты и переназначить лицензии на новые кластеры и ноды. Рисунок 3. Включение/выключение агентов защиты Рисунок 4. Лицензии CTCS На странице лицензирования доступна подробная информация о параметрах действующей лицензии. Пользователь видит:количество оставшихся дней действия лицензии;количество нод, предусмотренных лицензией;актуальные данные о числе используемых нод в рамках лицензии;сведения о типе лицензии;информация о поставщике;информация о владельце лицензии.Рисунок 5. Страница «Лицензирование» Требования к аппаратной частиКластер, на котором производится установка CTCS, должен соответствовать минимальным характеристикам, приведённым ниже. Для определения значений millicpu (единицы времени процессора, эквивалентной тысячной части работы, которую может выполнить одно ядро CPU) рекомендуется воспользоваться документацией Kubernetes.Кластер, на который будет установлен helm-чарт ядра (без учёта сканера) должен иметь характеристики не ниже 8190 millicpu, 7410 MiB RAM.Для каждого экземпляра сканера: 3 CPU, 6 GB RAM, при добавлении дополнительных экземпляров значения увеличиваются пропорционально.В случае использования большего количества реплик значения пропорционально умножаются на их число. По умолчанию в чарте допускается до 6 реплик, что требует 18 CPU, 36 GB RAM.Каждый кластер для развёртывания чарт-агента должен иметь 2 CPU, 8 GB RAM.Необходимый минимум для каждой используемой СУБД PostgreSQL: 4 CPU, 8 GB RAM, 100 GB.Приведённые требования указаны для усреднённой конфигурации и могут быть изменены в зависимости от количества одновременных сканирований образов, генерируемых событий, деплоев, пространств имён (namespaces) и подов.Требования к программной частиДля корректной интеграции и работы приложение CTCS должно быть развёрнуто в кластере Kubernetes. При настройке системы в конфигурационном файле helm-чарта должны быть настроены необходимые параметры.Поддерживаемые контейнерные среды CRI (container runtime interface): containerd и docker.В момент выполнения инструкции на хосте администратора должны быть установлены следующие утилиты для выполнения установки:tar;helm;kubectl.Необходимые сервисы в инфраструктуре:PostgreSQL: рекомендуется размещать базу данных для хранения логов на отдельном инстансе от основной БД, чтобы избежать падения производительности основных операций при большом объёме логируемых событий;Keycloak (опционально, имеется возможность поставки в составе дистрибутива);Vault (опционально, имеется возможность использования стандартного объекта Kubernetes Secret).Требования к операционной системе и ядру:рекомендуется использовать ОС с версией ядра 5.4 или выше для обеспечения поддержки Tetragon;в ядре должна быть включена функция BTF;должны быть активированы модули eBPF и cgroup, а также корректным образом настроены или отключены модули безопасности Linux (LSM), контролирующие запуск eBPF-программ (в соответствии с официальной документацией Tetragon).Требования к версиям Kubernetes:центральная управляющая часть кластера – не ниже версии 1.23;дочерние кластеры – версия 1.23 или выше.Дополнительные требования:В кластере Kubernetes должен быть установлен, подключён и настроен storage class, в котором будет минимум 10 GB свободного места.В master-кластер должен быть установлен External Secrets (опционально).В дочерние кластеры должен быть установлен External Secrets (опционально).Во всех кластерах, где развёртывается ядро и агенты CTCS, должен быть установлен ingress-контроллер.Совокупность этих требований обеспечивает стабильную работу системы и корректное взаимодействие всех модулей CTCS. При соблюдении указанных параметров производительность решения остаётся предсказуемой даже при высокой интенсивности сканирований и большом количестве событий безопасности. Такой подход гарантирует надёжность, масштабируемость и устойчивость контейнерной инфраструктуры.Процесс установкиДля развёртывания CTCS вендор предоставляет архив, содержащий helm-чарты и образы системных контейнеров. При необходимости может быть предоставлена учётная запись для выгрузки дистрибутивов из репозиториев вендора напрямую.Сценарии использованияCrosstech Container Security закрывает ключевые задачи обеспечения безопасности контейнерных платформ — от анализа уязвимостей до защиты на уровне среды выполнения. Решение органично интегрируется в процессы DevSecOps и помогает компаниям повысить устойчивость инфраструктуры к современным киберугрозам без потери скорости разработки.Сценарий №1. Сканирование образовCTCS позволяет выполнять сканирование образов контейнеров, хранящихся как в интегрированных реестрах образов, так и локально в защищаемых кластерах. Рисунок 6. Подключённые реестры После интеграции с реестрами образов на вкладке «Образы» – «Реестры» отображается подключённый реестр и информация о хранящихся в нём образах. Реализовано в формате иерархии:Реестры.Название образа и количество его версий (тегов).Название образа и его версии.Карточка конкретного образа.Рисунок 7. Образ и список его версий Рисунок 8. Карточка образа На каждом уровне иерархии есть возможность запуска сканирования по требованию с выбором типа дефектов, которые будут учитываться в процессе сканирования. Дополнительно предоставляется общая информация об образе, данные о его соответствии установленным политикам, сведения о слоях образов с маппингом на обнаруженные дефекты. Рисунок 9. Слои образа На странице интеграций с реестрами в настройках доступно выставление расписания для проведения автоматизированного сканирования. Рисунок 10. Сканирование по расписанию Для работы с образами, обнаруженными локально в защищаемых кластерах, доступна отдельная вкладка «Образы» – «Локальные образы». Рисунок 11. Таблица локальных образов При запуске процесса сканирования доступен выбор ноды, на которой он будет проводиться. Если обнаруженный образ находится в интегрированном реестре, сканирование будет приоритетно выполняться на стороне ядра системы в рамках интеграции с реестром. Рисунок 12. Выбор нода для проведения сканирования Сценарий №2. Политики безопасности образов контейнеровВ рамках Crosstech Container Security реализовано создание политик безопасности для образов контейнеров. После их настройки система автоматически проверяет все известные образы на соответствие заданным критериям. По результатам проверки на карточке каждого образа отображается информация о соответствии или несоответствии политикам безопасности (Рисунок 7). Если образ нарушает несколько политик безопасности одновременно, в карточке отображается, какие именно политики безопасности были нарушены. Рисунок 13. Создание политики безопасности образов Сценарий №3. Контроль запуска контейнеровВ CTCS доступна интеграция с OPA Gatekeeper, обеспечивающая валидацию контейнерных деплоев и реагирование в соответствии с заданными политиками безопасности.При настройке политик безопасности доступен выбор режима реагирования — оповещение либо блокировка — а также определение перечня критериев безопасности, по которым будет осуществляться контроль. Рисунок 14. Таблица политик валидации и контроля запусков Политики безопасности могут создаваться по выделенным критериям (Рисунок 13) или импортироваться в виде кастомных политик (Рисунок 14). Рисунок 15. Создание политики валидации и контроля запусков Рисунок 16. Импорт кастомных политик безопасности Результаты срабатывания политик доступны в интерфейсе системы, что позволяет оперативно анализировать инциденты и корректировать настройки безопасности. Рисунок 17. Срабатывание политик валидации и контроля запусков Сценарий №4. Мониторинг безопасности сред выполненияВ текущей версии реализован мониторинг безопасности сред выполнения на базе Tetragon, что позволяет контролировать эксплуатацию рабочих нагрузок.В CTCS доступна форма для создания или импорта готовых политик безопасности с возможностью выбора области применения. Рисунок 18. Создание политики среды выполнения При срабатывании политик система отображает перечень событий в формате таблицы. Для каждого события можно перейти в режим детального просмотра, где отображается его идентификатор, дата и время создания, короткое описание и содержание в формате json. Рисунок 19. Событие срабатывания политики среды выполнения ВыводыАнализ решения Crosstech Container Security показал, что в версии 3.0.0 продукт предоставляет широкие функциональные возможности для защиты контейнерной инфраструктуры: от обеспечения безопасности образов контейнеров до контроля запуска и реагирования на нелегитимные процессы в средах выполнения в соответствии с политиками безопасности. CTCS также предоставляет инструменты для проведения сканирований защищаемых кластеров на соответствие стандартам конфигурирования, что повышает уровень безопасности контейнерной инфраструктуры.Достоинства:Архитектура. Благодаря однонаправленным соединениям со стороны ядра системы в сторону агентов защиты обеспечивается соответствие требованиям заказчиков, которые используют «Zero Trust»-модель на уровне сегментов инфраструктуры.Широкая площадь покрытия. CTCS обеспечивает контроль запуска контейнеров не только в рамках оркестратора Kubernetes, но и на отдельных хостах контейнеризации за счёт использования standalone-агентов.Гибкие возможности при работе с API. Весь функционал из веб-интерфейса CTCS также доступен для вызова через API, что позволяет специалистам заказчика решать нетривиальные задачи в рамках своей рабочей деятельности и интегрировать продукт в существующие процессы.Удобство при работе со сканированием образов. Иерархический подход обеспечивает гибкость при выборе области сканирования и повышает прозрачность анализа.Недостатки:Отсутствие возможности встраивания в процесс сборки (CI/CD) (планируется к реализации в первом квартале 2026 года).Отсутствие данных по ресурсам Kubernetes (Workloads, RBAC, Custom Resources, Feature Gates): планируется в 4-м квартале 2025 – 1-м квартале 2026).Отсутствие настройки гибкого разграничения прав доступа пользователей в интерфейс системы (реализация запланирована на первый квартал 2026).Отсутствие отчётности по результатам работы с системой (планируется в первом квартале 2026).Реклама, 18+. ООО «Кросстех Солюшнс Групп» ИНН 7722687219ERID: 2VfnxvVGwXfЧитать далее
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      нет
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      И ещё это: https://www.comss.ru/page.php?id=18330 Это и на работе Образов с Live CD может сказаться ?
×