Один из важных элементов системы информационной безопасности компании – прокси-сервер, посредник между компанией и интернетом.
В последние годы возможности прокси-серверов существенно расширились. Сегодня это уже не просто средство анонимизации трафика, а полноценные шлюзы веб-безопасности (решения класса SWG – Secure Web Gateway), позволяющие контролировать интернет-трафик корпоративных пользователей, запрещать доступ к тем или иным ресурсам, блокировать навязчивую рекламу, в том числе с вредоносным содержимым.
До недавнего времени во многих компаниях для решения подобных задач использовались продукты зарубежных разработчиков, которые за последний месяц из-за санкций покинули российский рынок или собираются это сделать в ближайшее время. Около половины российских организаций сегодня нуждаются в срочном импортозамещении, особенно с учетом того, что в нынешних условиях киберриски увеличились в разы. Как защититься от интернет-угроз в таких условиях и чем заменить зарубежные решения, рассказывает Анастасия Хвещеник, бизнес-архитектор Solar webProxy компании «Ростелеком-Солар».
Почему возникают проблемы с уже купленными решениями?
На рынке немало достойных систем, которые решают задачи по контролю пользовательского интернет-трафика. Конечно, в случае если программный продукт приобретен и развернут в инфраструктуре компании, после ухода вендора с российского рынка он продолжит работать, пока не истечет лицензия. Но при этом, если вендор прекратил поддержку, обеспечить полноценную защиту такое SWG-решение не сможет. И вот почему:
- Отсутствие обновлений. В любом программном обеспечении бывают уязвимости, ошибки, какие-то проблемы, которые решаются с помощью обновлений, выпускаемых вендорами. Прекратив работу с российскими корпоративными клиентами, зарубежные производители по факту лишили своих клиентов возможности эти самые проблемы решить.
- Отсутствие техподдержки. По сути, российские пользователи зарубежных решений брошены на произвол судьбы. После ухода вендоров все вопросы, связанные с работой ПО, приходится решать самостоятельно. Когда речь идет о сложных корпоративных системах, делать это без помощи технических специалистов вендора в ряде случаев попросту невозможно.
- Прекращение действия лицензий. Некоторые вендоры не просто лишили российских пользователей возможности продлевать лицензии, но и отозвали действующие. В случае со шлюзом веб-безопасности это означает, что клиент как минимум лишается доступа к обновлениям категоризатора веб-ресурсов. В соответствии с ним и настраиваются политики доступа сотрудников компании в интернет. При этом для эффективной защиты от интернет-угроз категоризатор должен регулярно обновляться: в Сети постоянно появляются новые сайты с вредоносным содержимым или нежелательным контентом.
Можно ли обойтись бесплатными решениями для контроля трафика?
В условиях, когда бюджет на новое ПО ограничен, велик соблазн обратиться к бесплатным, в частности так называемым опенсорсным (с открытым исходным кодом) программным решениям. Несомненно, в умелых руках они способны закрыть часть задач, связанных с контролем пользовательского трафика. Но в итоге такой вариант может обернуться целым рядом проблем.
Во-первых, для того чтобы настроить подобное ПО в компании, придется найти квалифицированного специалиста, который знает, как это делать. В отличие от коммерческих SWG, которые нацелены на быстроту и удобство администрирования, опенсорсные решения часто требуют трудозатратной ручной настройки политик и правил. Кроме того, придется вручную подружить бесплатный продукт с использующимися в компании информационными системами. Даже если высококвалифицированные ИТ-специалисты в организации есть, скорее всего, они загружены другими задачами и для поддержки корректной работы опенсорсного решения придется нанимать дополнительного сотрудника.
Второй минус использования бесплатного ПО вытекает из первого. В случае ухода сотрудника, который занимался настройкой и обслуживанием опенсорсного SWG, новому специалисту, который в этом не участвовал, разобраться будет довольно непросто. У коммерческих продуктов обычно есть подробная документация, где прописаны все шаги по настройке тех или иных параметров. В случае с опенсорсом кастомизация чаще зависит от подходов и решений конкретного айтишника, который настраивает ПО. Многое делается методом проб и ошибок и, скорее всего, никак не документируется.
Третий недостаток бесплатных шлюзов веб-безопасности заключается в отсутствии полноценной техподдержки. Развитием опенсорса обычно на добровольных началах занимается то или иное сообщество. Чтобы решить какую-то проблему, придется искать ответы на форумах, просить помощи. Оперативно разобраться с вопросом не получится. А от этого может страдать защищенность организации.
Ну и наконец, тесно связанные с предыдущим минусом проблемы с обновлением. Развитием продукта занимаются энтузиасты, которые не несут ответственности перед заказчиком. Поэтому ждать регулярных обновлений от опенсорсных решений не приходится. Кроме того, обновление может привести к несовместимости с теми или иными системами, которые используются в компании. И это тоже не забота разработчиков бесплатного софта.
Как выбрать правильный шлюз веб-безопасности?
Важно отметить, что качественный SWG выделяется не только на фоне опенсорсного ПО, но и на фоне других подобных коммерческих продуктов. Перечислим ряд критериев, которые помогут подобрать оптимальное решение на замену зарубежному.
- Удобный и понятный веб-интерфейс. Администрирование системы, которая связана с рутинными процессами и регулярными изменениями, должно быть довольно простым. Поэтому лучше выбрать систему, в которой политики доступа в интернет можно настроить в несколько кликов, даже если речь идет о крупной организации. Если для работы с системой не нужно длительное обучение, это экономит финансы компании и сокращает трудозатраты.
- Комплексная защита. В условиях современных киберугроз базового функционала прокси-сервера недостаточно для того, чтобы надежно контролировать пользовательский трафик, особенно в крупных компаниях. Поэтому коммерческое SWG-решение подразумевает также встроенный антивирус, категоризатор веб-ресурсов, блокировщик рекламы, межсетевой экран и систему предотвращения вторжений. При этом в идеале нужно иметь возможность легко и быстро интегрировать шлюз веб-безопасности c другими средствами защиты информации. Поэтому SWG должен уметь автоматически передавать данные на анализ в песочницу, антивирусное ПО, систему защиты от утечек.
- Высокая производительность и отказоустойчивость. Надежное SWG-решение должно поддерживать бесперебойную обработку трафика тысяч и даже десятков тысяч пользователей. При этом важна быстрая масштабируемость, чтобы обеспечить непрерывную фильтрацию трафика при расширении организации или в процессе слияний и поглощений компаний. Для того чтобы обеспечить отказоустойчивость, используется балансировщик нагрузки. Особенно удобно, когда он встроен в решение и не требует сложной настройки со стороны администратора.
- Гибкие политики фильтрации. Качественное SWG-решение дает возможность управлять доступом сотрудников к веб-ресурсам с помощью тонко настраиваемых политик безопасности с иерархической структурой. Кроме того, должны быть автоматически обновляемые готовые политики фильтрации, в том числе соответствующие требованиям государственных регуляторов.
- Предотвращение утечек. Современные реалии требуют от SWG глубокого контентного анализа. В частности, продвинутые механизмы позволяют шлюзу веб-безопасности не просто блокировать определенные ресурсы по URL-адресам, но и проверять трафик по ключевым словам и наличию определенных файлов на предмет утечек информации. Если в SWG есть режим обратного прокси-сервера, он может обеспечить защиту компании от утечек конфиденциальной информации через веб-приложения, например Outlook Web Application (OWA), которое сотрудники могут использовать для доступа к корпоративной почте с личного компьютера.
- Встроенная система отчетов. Администратор SWG должен иметь возможность быстро сформировать любые отчеты, связанные с контролем трафика, получить визуализированный срез данных по сотрудникам, подразделениям, категориям ресурсов и т. д. Лучше, когда в SWG есть как готовые типовые шаблоны отчетов, так и возможность создать собственные.
В нынешних условиях очень важно, чтобы выбранная система полностью соответствовала критериям импортозамещения. В частности, речь об отсутствии в ней иностранного проприетарного ПО и об использовании свободно распространяемой операционной системы, например Linux. Сюда же относится поставка ПО заказчику в виде виртуальной машины. В этом случае нет зависимости от поставок аппаратных платформ из-за рубежа, с которыми уже сегодня наблюдаются перебои. Кроме того, это позволяет быстро развернуть систему и масштабировать ее без закупки дополнительного «железа».
Рассчитывать на то, что уже ушедшие или пока еще только собирающиеся уйти вендоры вернутся на российский рынок, смысла нет: защищаться от киберугроз нужно сегодня. Да и где гарантии, что, вернувшись, эти компании не подведут своих пользователей в другой раз. Более надежный вариант – подобрать оптимальное отечественное решение для контроля трафика, которое отвечает всем указанным выше требованиям.