Статья

Региональная сеть: как управлять тысячами сервисов ИБ одной кнопкой

Безопасность
мобильная версия

Ослабление национальных валют, вместе с продолжающимся изменением технологического уклада, стимулирует корпорации осваивать новые рынки и снижать себестоимость производства. Обе стратегии, так или иначе, выражаются в открытии удаленных подразделений — будь то зарубежные офисы продаж, аутсорсинг корпоративных функций или региональные производства. Но ведь в каждое подразделение не посадишь квалифицированного администратора безопасности. Понимая актуальные для организации вызовы управления безопасностью, компания Fortinet создала возможность гибкого и централизованного управления тысячами сервисов сетевой безопасности.

Все меняется, и безопасность — не исключение

Управление информационной безопасностью в корпорации — задача нелегкая. Ежедневно меняются угрозы и нормативные требования, внутренние сервисы, подразделения и география деятельности корпорации, да и старые проблемы также остаются актуальными. Годами руководители служб информационной безопасности сталкиваются с нехваткой квалифицированного персонала и сложностью управления безопасностью «на местах». На каждую точку продаж безопасника не посадишь, да и где взять грамотных и надежных специалистов, например, в райцентре? Даже в Москве человеческий фактор остается проблемой, не то что за тысячи километров от штаб-квартиры.

Увы, с каждым годом управляемость становится все сложнее, ведь современная корпорация все больше интернационализируется и регионализируется. Сегодня можно выделить целый ряд удаленных подразделений, пользователей и устройств: производственно-логистические кластеры (заводы и логистика), точки продаж, обслуживания и самообслуживания (банкоматы, инфоматы, отделения, сервисные центры и магазины), представительства (B2B-закупки и продажи), внешние сервисы (colocation, hosted private cloud) и мобильные пользователи («полевые» работники, командировочные).

Другая проблема — меняющийся сервисно-продуктовый микс корпораций. Кто мог 3 года назад предположить, что крупные российские банки станут продвигать недвижимость или приложения для смартфонов прямо на главной странице, а исторически ориентированный на других топовых операторов и государственные органы «Ростелеком» предложит федеральные managed security-услуги на базе технологий Fortinet для предприятий любого размера? А ведь каждая новая услуга, так или иначе, отразится на уровне сети — вырастет трафик, пойдут новые пользователи, появятся новые приложения на седьмом уровне модели OSI.

Принципы проектирования архитектуры кибербезопасности

Портфель сервисов сетевой безопасности
Эффективный портфель сервисов сетевой безопасности должен включать минимум 3 сегмента:
1. Сервисы для защиты сети — NGFW, VPN, Email&Web Security, Database Security.
2. Сервисы для защиты конечных точек — AV, VPN (SSL, IPSec, enforced VPN), 2FA, Application Firewall, Vulnerability Scan.
3. Аутентификационные сервисы — tokens, TOTP, TOTP mobile.

Современные угрозы динамично развиваются, ведь атакующему все равно, что ломать, — он будет искать, пока не найдет ценный для него информационный актив. Для противодействия им предлагается принять за основу 3 функциональных принципа: необходимость максимального покрытия корпоративного стека технологий слоем сетевой безопасности — «любое место, любое устройство и любое количество трафика»; единая усиленная аутентификация по всей матрице сетевого доступа (для всех типов пользователей и удаленных сетей); полнота спектра сервисов сетевой безопасности — от конечных точек до датацентра и периметра.

В реальном мире нужна не только эффективная защита от угроз, но и эффективное управление, интеграция, использование существующего оборудования. Все это позволит максимизировать отдачу от вложений в решения по информационной безопасности. Для этого предлагается положить в основу архитектуры безопасности три нефункциональных принципа — универсальность устройств (сервисы не зависят от устройств), единообразие управления политиками и возможность интеграции с существующими решениями по кибербезопасности.

Виды сервисов сетевой безопасности на платформе Fortinet

Источник: Fortinet, 2016

Единый слой ИТ-безопасности

Достигая полноты покрытия ИТ-ландшафта сервисами безопасности, Fortinet работает на всех четырех уровнях: сеть — уровни ядра, распределения и доступа (включая беспроводной доступ); конечные точки и серверы — Windows, macOS, Linux, Android, iOS, Windows Mobile, Chromebook; гипервизоры — VMware, Hyper-V, Citrix, Xen, KVM; «облака» — Amazon Web Services, Azure, OpenStack.

Вышеописанная архитектура сетевой безопасности подходит не только для обеспечения безопасности операционной деятельности организации, но и для безопасности развития бизнеса. При активном масштабировании бизнеса — открытии новых региональных отделений и представительств, покупке новых компаний — бизнес-руководителям крайне важно сократить время выхода на рынок (Time To Market) и капитальные затраты (CapEx).

Богатый спектр встроенных сервисов безопасности, единые политики по всему стеку платформы и сверхвысокая степень централизации позволят минимизировать дополнительные затраты времени и средств на разворачивание сервисов сетевой безопасности, не пожертвовав безопасностью корпорации. Не нужно разворачивать технологии от многочисленных производителей — SIEM, VM, 2FA, MDM, AV — достаточно использовать существующую универсальную платформу безопасности от Fortinet.

А в перспективе существует возможность заменить отдельные сервисы платформы на лучшие в своем классе (best-of-breed) решения. Тем более, что Fortinet уже интегрирован с лучшими в своих классах — Splunk, Qualys, Nessus, ArcSight, RSA. Если, конечно, к тому времени философия best-of-breed не будет признана менее эффективной для бизнеса, чем ориентация на универсальные платформы безопасности. Они более управляемы фундаментально и могут предложить принципиально более выгодные стоимости владения и развития.

Семь раз отмерь — один отрежь

Как и любая другая функция управления организацией, управление кибербезопасностью требует слаженной работы всех задействованных подразделений. Мало применять технологически и экономически оптимальные решения и архитектуры, нужно еще и учесть интересы одного из основных союзников службы ИБ в организации — ИТ.

В распределенных корпорациях большой головной болью для ИТ становятся слабые каналы связи. Каналы в 512 Кб в ЯНАО, ХМАО и других отдаленных регионах, спутниковые каналы на удаленных объектах, слабые мобильные каналы бьют по ИТ-бюджету и важному для ИТ показателю — удовлетворенности пользователей. Применяя технологии программно-определяемого управления глобальными подключениями (SD-WAN) и WAN optimization возможно снизить нагрузку на каналы и заполучить еще одного союзника внутри корпорации, создав эффективную кибердружину для противодействия самым изощренным атакам.

Александр Бодрик