Американская компания Palo Alto Networks (PAN) представила на российском рынке линейку своих устройств, которые сама PAN называет сетевыми экранами нового поколения (Next-generation Firewalls, NGFW).
Как пояснил вице-президент PAN в регионе EMEA Карл Дризен, в отличие от традиционных экранов, защищающих порты, сетевые протоколы и IP-адреса, экраны NGFW предназначены для защиты приложений, пользователей и передаваемого по сети контента.
Преимущества такого подхода к организации защиты сети, по мнению инженеров PAN, заключаются в том, что традиционное блокирование трафика на уровне портов, сетевых протоколов и IP-адресов перестало быть эффективным, поскольку сегодня один и тот же порт могут использовать самые разные приложения, IP-адреса не идентифицируют пользователей, а сетевые пакеты — передаваемый контент.
Как следствие, применяя традиционные сетевые экраны, уже невозможно обеспечить поддержку внутрикорпоративных политик информационной безопасности (ИБ) относительно к приложениям. С учетом этого нетрудно представить, какие риски таят в себе уязвимости приложений для любой компании. Особенно если принять во внимание, что согласно данным ИБ-исследований наиболее известные современные взломы сетей связаны именно с уязвимостями приложений, а количество приложений во всем мире неуклонно и быстро растет, в том числе и приложений Web 2.0 (социальные сети, веб-почта, системы мгновенного обмена сообщениями и т. п.), которые практически повсеместно применяются в бизнес-целях.
Компенсация функциональных недостатков традиционных сетевых экранов за счет применения таких дополнительных средств сетевой защиты, как IPS/IDS, шлюзовые антивирусы, антиспам-системы, прокси-серверы, URL-фильтры и UTM-системы, по оценкам специалистов PAN, усложняет и удорожает защиту, снижает производительность сети.
Чтобы вернуть себе былую защитную эффективность, считают в PAN, современный сетевой экран должен уметь распознавать приложения независимо от используемых ими портов, сетевых протоколов, шифрования, специальных приемов маскирования; идентифицировать пользователей с любыми IP-адресами; в реальном времени защищать сеть от угроз, заключенных в приложениях; поддерживать выполнение политик контроля доступа к приложениям в целом и их отдельным функциям; работать “в линии” без снижения производительности сети на гигабитных скоростях.
При этом задача экрана NGFW, по мнению инженеров PAN, заключается не в блокировании приложений в случае обнаружения в них угроз безопасности, а в обеспечении их работы в целом и блокировании только содержащихся в них угроз, причем без потерь производительности и управляемости сети.
Приложения и их отдельные функции распознаются в устройствах NGFW по уникальным для каждого из них сигнатурам и эвристическими методами. “Например, с помощью нашего NGFW можно разрешить использование в компании приложения Webex, заблокировав в нем только функцию управления пользовательскими компьютерами или передачу файлов, если это запрещено корпоративной политикой”, — пояснил г-н Дризен.
Доступ в сеть экраны NGFW поддерживают на уровне приложений. Список приложений, контролируемых экранами PAN, постоянно пополняется специалистами компании и сегодня насчитывает более 1300 наименований. Контроль контента трафика устройствами осуществляется в обоих направлениях — внутрь сети и из нее. NGFW могут контролировать сжатые и зашифрованные файлы, анонимные приложения и приложения, пропущенные через прокси-серверы.
Как сообщил г-н Дризен, в NGFW реализованы три технологии, разработанные в PAN. Технология App-ID предназначена для распознавания приложений на уровне отдельных выполняемых ими функций. Технология User-ID благодаря интеграции со службами каталогов, работающими по протоколам LDAP, позволяет автоматически распознавать пользователей (как отдельных, так и группы) каждого приложения в сети и соотносить их с потоками передаваемых данных. Механизм Content-ID сканирует контент сетевого трафика, в том числе на предмет выявления в нем вредоносных кодов.
Все устройства NGFW компании PAN, как заявил г-н Дризен, имеют одинаковую функциональность и различаются только производительностью, максимум которой сегодня составляет 20 Гбит/с в линии. Заявляется, что экраны NGFW можно располагать на любых участках сети. Дополнительная функциональность GlobalProtect позволяет всем NGFW, подключенным к корпоративной сети, образовывать за счет совместной работы для пользователей, независимо от того, где они находятся, облако сетевой безопасности.
Для поддержки функционала GlobalProtect на пользовательских устройствах должен быть установлен специальный программный агент, определяющий расположение устройства по отношению к сети. Если устройство является удаленным, то агент подключает его к ближайшему NGFW, как только оно выходит в Интернет, передает экрану информацию о состоянии устройства (его тип, актуальность установленных на нем обновлений, шифрование данных на нём и т. п.). За счет перечисленных выше технологий экран в состоянии обеспечить поддержку политик безопасности, установленных для подключения конечных точек к корпоративной сети.
Компания Palo Alto Networks образована в 2005 г. группой инженеров из Check Point, Cisco, NetScreen, McAfee и Juniper Networks во главе с Ниром Зуком. Штаб-квартира компании располагается в США. Palo Alto Networks имеет более 4,5 тыс. крупных клиентов по всему миру, работающих области производства, здравоохранения, образования, финансов, а также клиентов из числа средних и малых компаний, которых насчитываются десятки тысяч. Общий объем продаж за 12 месяцев по состоянию на август 2011 г. составил 200 млн. долл.