В связи с полным уходом или временной приостановкой деятельности на территории России иностранных компаний, предоставляющих системы класса Secure Web Gateway (шлюзы информационной безопасности), на рынке появилось много организаций, которые нуждаются в срочной замене иностранных продуктов. Одной из отечественных альтернатив является Zecurion SWG. Как и другие продукты Zecurion, он нацелен на энтерпрайз-сегмент, создавался для работы в компаниях с десятками тысяч рабочих мест и «из коробки» интегрируется с DLP.
- Введение
- Zecurion SWG
- Основные возможности Zecurion SWG
- 3.1. Прокси-сервер
- 3.2. URL-фильтрация
- 3.3. HTTPS-инспекция
- 3.4. Журнал доступа
- 3.5. Контроль облачных хранилищ (CASB)
- 3.6. Поддержка ICAP
- 3.7. Интеграция с DLP
- 3.8. Обнаружение вторжений (IDS)
- 3.9. Identity Awareness
- 3.10. Отчётность
- Сценарии использования Zecurion SWG
- Преимущества Zecurion SWG
- Выводы
Введение
Secure Web Gateway — это программно-аппаратные комплексы или виртуальные устройства, основная задача которых — обеспечить безопасный доступ в интернет из корпоративной сети организации, в т. ч. к веб-страницам и приложениям. Они позволяют организациям защитить канал доступа пользователей и инфраструктуру при взаимодействии с сетью «Интернет», затратив при этом на внедрение минимум усилий по сравнению с полноценным развёртыванием решений класса NGFW, но в то же время улучшив защищённость по сравнению с прокси-серверами.
Помимо прямых обязанностей по защите и анализу сетевого трафика SWG выполняют ряд сопутствующих функций, таких как расшифровка SSL-трафика для собственных нужд, антивирусов и DLP-систем, целостная обработка угроз (UTM), детектирование и предотвращение сетевых атак (IDS / IPS), интеграция с песочницами, антивирусами (встроенными или отдельными), анализ сетевого трафика на предмет утечек информации (DLP), ведение подробного лога доступа (Access Log), идентификация пользователей в потоке интернет-трафика.
Развитие SWG обусловлено усилением киберугроз, в частности фишинга и фишинговых ресурсов, сайтов-подделок и однодневок, ресурсов незаконно собирающих персональные данные, вредоносных сайтов с опасным или нелегальным контентом. SWG позволит быстро и сравнительно просто поставить интернет-трафик организации под контроль.
Из зарубежных производителей SWG можно перечислить Forcepoint, McAfee, Fortinet, Symantec, Check Point, Trend Micro, Cisco, AT&T, Barracuda, Verizon и иные компании. Массовость производителей решений SWG говорит о том, что не всегда NGFW в виде «всё и сразу» подходит каждому потребителю или не всегда есть возможности для внедрения: нет опыта администрирования, нет цели изменить сетевую схему предприятия, нет таких масштабных требований по защите от угроз. Бюджет тоже имеет значение. NGFW может быть избыточен, если у заказчика уже есть множество интегрированных в инфраструктуру СЗИ для защиты и анализа трафика (NTA, IDS / IPS, DNS-фильтрация) и нет причин от них отказываться. В этом контексте принцип мультивендорности производителей СЗИ и тренд разделения защиты периметра на разные слои с разными СЗИ может рассматриваться как один из способов снижения рисков и распределения нагрузки.
Zecurion SWG
Zecurion SWG (Secure Web Gateway) в качестве прокси-сервера контролирует доступ сотрудников организации к веб-ресурсам и анализирует трафик, передаваемый по различным протоколам (HTTP, HTTPS, FTP over HTTP). Это решение поставляется компанией Zecurion с 2018 года и в этом же году вошло в реестр отечественного ПО Минцифры. Из недавних интеграций возможно выделить применение решения в Россельхозбанке по направлению импортозамещения. По данным пресс-релиза, продукты Zecurion SWG и Zecurion DLP были выбраны для решения задач контроля веб-трафика и защиты от утечек. Связка успешно проявила себя при высоких нагрузках для более чем 30 000 рабочих станций, блокируя утечки информации через каналы электронной почты, веб-ресурсы и физические носители.
Система представляет собой ПО, администрирование и настройка которого происходят через консоль в веб-браузере. Zecurion SWG предназначен для контроля посещения сайтов и использования веб-приложений. Система обеспечивает доступ и фильтрацию веб-ресурсов: в базе данных содержится более 500 млн URL и более 100 категорий сайтов, в т. ч. опасных или нежелательных. В связке с Zecurion DLP система может проводить контентный анализ с использованием нескольких технологий. Все параметры запросов сохраняются в архиве и в дальнейшем могут быть просмотрены, отфильтрованы и проанализированы с помощью веб-интерфейса администратора.
Рисунок 1. Внешний вид сводки в консоли по всем информационным потокам Zecurion SWG
Основными задачами Zecurion SWG являются:
- Выполнение функций прокси-сервера между инфраструктурой организации и сетью «Интернет».
- URL-фильтрация на основе групп доступа.
- Контент-фильтрация на основе базы данных сайтов и веб-ресурсов.
- HTTPS-инспекция (расшифровка) шифрованного трафика.
- Ведение подробного журнала доступа в интернет.
- Выполнение роли CASB в облачных средах.
- Идентификация пользователей и устройств.
- Формирование отчётности.
Дополнительные возможности продукта:
- Поддержка мониторинга по ICAP.
- Интеграция с продуктом Zecurion DLP для защиты от утечек информации через веб-каналы.
- Обнаружение вторжений (IDS).
Рисунок 2. Пример выявленных модулем IDS атак
SWG от Zecurion блокирует передачу конфиденциальных данных при совместной работе с Zecurion DLP. В связке указанные решения анализируют содержимое пересылаемых сообщений и файлов на предмет наличия в них конфиденциальных данных, а при обнаружении нарушения политики безопасности блокируют их передачу. При подключении DLP-системы консоль SWG предоставляет сводную информацию о нарушителях и инцидентах в сети заказчика. Помимо этого система оснащена модулями обнаружения и предотвращения вторжений, сигнатурная база содержит более 10 млн сигнатур для анализа трафика и постоянно обновляется. Одним из дополнительных положительных эффектов внедрения Zecurion SWG является снижение нагрузки на сетевое оборудование благодаря блокировке лишнего несогласованного трафика.
Основные возможности Zecurion SWG
Прокси-сервер
Основная роль Zecurion SWG — быть прокси-сервером между внутренней сетью организации и интернетом. Система блокирует нежелательные интернет-ресурсы, собирает и анализирует журналы доступа, поддерживает протоколы HTTP, HTTPS, FTP over HTTP, IPv6 и другие современные технологии. Доступна настройка гранулярных политик для пользователей и групп.
Рисунок 3. Пример организации правил доступа, контроля трафика, ограничения фильтрации и журналирования
URL-фильтрация
Доступ в интернет осуществляется на основе фильтрации по категориям, белым и чёрным спискам, группам доступа. Система содержит в базе более 500 млн ресурсов, блокирует загрузку файлов по типам медиа (MIME) и расширениям, предотвращает доступ ко вредоносным и потенциально опасным сайтам, распознаёт свыше 100 категорий сайтов, куда входят не только социальные сети, медиа- и развлекательные ресурсы, но и группы вредоносных и нежелательных доменов.
Рисунок 4. Меню категорий сайтов в Zecurion SWG
HTTPS-инспекция
Как и все современные NGFW и SWG, решение поддерживает процедуру расшифровки SSL, «на лету» раскрывая пользовательский трафик для подробного просмотра передаваемых пакетов — это позволяет не только увидеть угрозы, которые могут содержаться в зашифрованном веб-трафике, но и выявить факт утечки информации с помощью анализа на сервере DLP.
Рисунок 5. Меню сертификатов для раскрытия зашифрованного трафика
Журнал доступа
Ведение подробного лога доступа формирует архив событий по каждому пользователю: посещённые ресурсы, количество запросов к ним, проведённое на интернет-ресурсах время, количество запросов, какие файлы были скачаны или загружены. Возможно осуществлять быстрый поиск по настраиваемым и сохраняемым фильтрам.
Рисунок 6. Вид журнала
Контроль облачных хранилищ (CASB)
Помимо стандартных функций по контролю доступа к веб-сайтам Zecurion SWG предоставляет возможность анализа и контроля сетевого трафика облачных приложений, поддерживает все популярные сервисы, такие как Office 365, Dropbox, Box, «Облако Mail.ru», Yandex и др. Продукт не требует специфических настроек со стороны сервис-провайдера и контролирует входящий и исходящий трафик браузеров и других приложений.
Рисунок 7. Меню контроля облачных служб
Поддержка ICAP
Система Zecurion SWG также поддерживает возможность передачи инспекции трафика по протоколу ICAP, универсальный механизм интеграции со внешними системами позволяет настроить автоматизированную или ручную дополнительную проверку. Имеется возможность подключения не только специализированных СЗИ для анализа сетевого трафика, таких как NTA (Network Traffic Analysis), но и антивирусных средств и песочниц. На рисунке 9 представлена настройка отправки трафика, где «REQMOD» и «RESPMOD» — это серверы анализа исходящего и входящего трафика соответственно, а флаг «Блокировать при отсутствии соединения» позволяет блокировать любой трафик до тех пор, пока не произведена его проверка сторонним анализатором.
Рисунок 8. Настройка отправки ICAP-трафика на иное средство анализа
Интеграция с DLP
Как уже было упомянуто выше, решение совместимо с DLP-системами, в частности с профильной разработкой вендора — Zecurion DLP. Обе системы доступны в единой консоли управления.
Рисунок 9. Схема взаимодействия между компонентами SWG и DLP
Обнаружение вторжений (IDS)
Система имеет обширную обновляемую базу сигнатур сетевых атак и обладает высокой производительностью, способна ко многопоточной обработке трафика. По результатам работы модуля IDS могут формироваться инциденты для администратора или офицера ИБ предприятия.
Рисунок 10. Интерфейс событий IDS
Identity Awareness
Zecurion SWG предполагает деление доступа в интернет и централизованное управление им посредством возможной интеграции с Microsoft Active Directory. Помимо этого возможны локальная аутентификация и создание групп доступа вручную. Политики доступа могут быть разного масштаба: от нескольких групп до детализации по отдельным пользователям. До момента внедрения правил доступа возможно проверить их работоспособность с помощью функции внутреннего тестирования в консоли управления.
Рисунок 11. Проверка правила доступа для пользователя
Отчётность
Одна из основных функций системы — наглядные и удобные отчёты по событиям, предоставление готовой статистики и аналитики. В Zecurion SWG присутствуют предустановленные шаблоны отчётов: по временным отрезкам, по категориям веб-ресурсов, по пользователям интернета, по срабатываниям модуля IDS. Настраиваемые «под себя» отчёты и разные формы представления данных помогут сформировать сводку любой сложности и любого состава с возможностью дополнять, исключать или редактировать набор данных из лога системы. Подробную и доступную отчётность возможно использовать не только для внутренних проверочных мероприятий или мониторинга избыточного или нерегламентированного доступа, но и для предоставления руководству, в т. ч. в виде презентаций.
Рисунок 12. Аналитический отчёт по трафику
Рисунок 13. Отчёт по событиям IDS
Сценарии использования Zecurion SWG
Zecurion SWG позволит выполнить или обогатить такие практические сценарии, как:
- сбор фактов по инцидентам в ИБ,
- формирование отчётности, как по конкретному пользователю, так и по работе с веб-ресурсами в целом,
- блокировка определённой категории ресурсов без необходимости составлять и вести чёрные списки вручную,
- интеграция с Zecurion DLP для комплексной защиты от утечек через доступные каналы связи: электронную почту, веб-ресурсы, физические носители,
- анализ веб-сёрфинга пользователя и обнаружение нецелевого применения веб-ресурсов,
- обнаружение веб-атак и защита от них,
- использование шлюза доступа в облачных средах (CASB),
- импортозамещение.
Возможно установить сервер Zecurion SWG в качестве виртуального устройства и масштабировать вычислительные мощности при изменении нагрузки.
Преимущества Zecurion SWG
Решение подходит для высоконагруженных энтерпрайз-инсталляций, где требуется онлайн-анализ входящих и исходящих потоков критически важной информации: персональных данных клиентов, банковской тайны, коммерческой тайны и иных конфиденциальных сведений.
В число других преимуществ продукта входят его постоянное развитие и «врождённая» интеграция с DLP-системой того же производителя. Развитие Zecurion SWG продолжается с 2018 года, он включён в реестр российского ПО Минцифры и подойдёт для выполнения требований регуляторов, а также исключит риски после возможного ухода части иностранных компаний с российского ИБ-рынка.
Как итог, выделим основные преимущества:
- Быстрое внедрение без перестройки сети, удобное и понятное управление и администрирование.
- Входит в реестр отечественного ПО (импортозамещение).
- Высокая производительность, не отражающаяся на работе пользователей, небольшие и оптимизированные требования к аппаратной части.
- Программное решение, работает в сетях любого масштаба, перераспределяет вычислительные мощности по мере увеличения или уменьшения нагрузки.
- Интеграция с Microsoft Active Directory и управление доступом через оснастку AD.
- Интеграция с Zecurion DLP для комплексной защиты информационных активов организации и контроля доступа.
- Более 10 000 заказчиков уже пользуются продуктами компании Zecurion, благодаря чему имеется большой клиентский опыт во всевозможных типах запросов.
Выводы
Рынок SWG продолжает развиваться, в т. ч. комплексно со смежными системами: DLP, IPS / IDS, антивирусами, песочницами, NTA-решениями, системами защиты DNS-запросов, DCAP-системами. На фоне активного применения облачных сред и сервисов спрос на такие продукты останется на высоком уровне — как на нетребовательные накладные СЗИ для фильтрации и контроля интернет-трафика и выявления множества типов сетевых угроз. Спрос также стимулируется уходом с российского рынка иностранных игроков.
SWG компании Zecurion позволяет в полной мере решить задачи защиты корпоративной сети и информационных ресурсов, в том числе с возможностью бесшовной интеграции собственных разработок вендора: Zecurion DLP, Zecurion DCAP, Zecurion Staff Control, Zecurion Storage Security, а перечисленные в статье возможности и опыт компании на рынке дают ей преимущество перед другими игроками.
