08.07.2019

Сравнительный анализ решений для защиты корпоративных сетей

image

В данной статье речь о продуктах AlgoSec Firewall Analyzer, RedSeal, SkyBox, FireMon Security Manager, ManageEngine Firewall Analyzer, CenturyLink Managed Firewall Service, SolarWinds Network Firewall Security Management Software.

На сегодняшний день корпоративные сети могут включать в себя комбинацию традиционных межсетевых экранов, экранов следующего поколения (NGFW), а также облачных средств управления безопасностью от различных поставщиков. Каждый поставщик сильно отличается по своим возможностям и технологическим нюансам, но при этом, как-то необходимо управлять всем этим вместе, чтобы гарантировать, что все бизнес-приложения функционируют должным образом, сохраняя при этом состояние безопасности инфраструктуры сети.

Администрировать сетевую инфраструктуру, включая средства защиты, является не самой простой задачей, особенно когда речь идет о крупных распределенных сетях, содержащих в себе устройства разных производителей.
Администраторам необходимо постоянно контролировать настройки на всех маршрутизаторах и коммутаторах, что сильно отнимает много времени. Аудит таких систем специалистам по информационной безопасности потребует глубоких знаний по администрированию сетевых устройств разных производителей. Для решения данных проблем существуют специальные инструменты серии Firewall Analyzer, которые предназначены для объединения мониторинга и аудита различного сетевого оборудования от различных производителей в едином интерфейсе с собственной системой разграничения доступа.

На данный момент появилось достаточно много вендоров, у которых имеются продукты этого направления. В основной функционал таких продуктов входят возможность автоматизировать процесс изменения правил и политик безопасности, проводить анализ рисков, записывать жизненный цикл изменений, проводить аудит настроек сетевого оборудования на соответствие политикам безопасности и требованиям отраслевых стандартов. В данной статье речь пойдет о таких продуктах, как AlgoSec Firewall Analyzer, RedSeal, SkyBox, FireMon Security Manager, ManageEngine Firewall Analyzer, CenturyLink Managed Firewall Service, SolarWinds Network Firewall Security Management Software. Основными отличиями данных решений являются перечень поддерживаемых устройств, а также стандарты, по которым может происходить аудит на соответствие.

В данной статье мы детально рассмотрим каждое из перечисленных решений и сравним между собой. В качестве основных требований к системе возьмем наиболее запрашиваемые рынком требования – анализ и удобство, профилактика угроз, возможность расследования инцидентов и поддерживаемые устройства. Выделим следующие параметры, согласно нашим требованиям:

1. Перечень поддерживаемых устройств – список устройств, с которыми система может работать;

2. аудит на соответствие стандартам – перечень стандартов, по которым система может производить аудит на соответствие;

3. Возможность построение векторов атак на основе конфигураций и данных со сканера уязвимостей;

4. Просмотр истории изменения конфигов – возможность создавать отчеты для просмотра истории изменений конфигураций устройств;

5. Контроль применения правил – возможность выявления ошибок в правилах, а также высчитывать степень риска для безопасности инфраструктуры при применении тех или иных настроек. Это возможность позволяет не допустить человеческий фактор, а также уменьшить последствия при применении ошибочных правил. Наличие такой возможности у решения будет, как мы считаем, большим плюсом

6. Возможность управления сетевой инфраструктурой – возможность автоматизировано с единой консоли применять правила для разных устройств. Эта возможность значительно упрощает процесс работы администраторам и техническому персоналу, особенно когда речь идет о больших инфраструктурах, когда топология сети может включать в себя множество сетевых устройств, так еще и от разных производителей.

В связи с этим была подготовлена сравнительная таблица.

Решение

Поддерживаемые устройства

Стандарты

Построение векторов атак

История изменений конфигов

Контроль применения правил

Управление сетевой инфраструктурой

AlgoSec Firewall Analyzer

CheckPoint

Cisco

Fortinet Fortigate;

Juniper

McAfee Firewall

Palo Alto Networks

Blue Coat Systems Proxy SG

F5 BigIP;

Linux netfilter

Stonesoft StoneGate

Topsec Firewall

WatchGuard

PCI-DSS, SOX, ISO/IEC 27001, NERC, NIST SP 800-53, NIST SP 800-41, GLBA, Basel-II, ASD ISM, FIEL

Отсутствует

AlgoSec Firewall Analyzer можно настроить автоматическую проверку изменений правил сетевых устройств по расписанию или запускать сбор информации вручную. Все изменения отображаются в виде диаграмм и подробного описания. В отчетах можно выбирать любые периоды и просматривать изменения относительно разных временных рамок.

Настраиваемая система оценки рисков – с помощью предустановленных и пользовательских правил продукт AlgoSec позволяет быстро обнаружить неправильные или сомнительные настройки, оценить степень их риска для безопасности инфраструктуры и помочь администратору оперативно устранить проблемы.

Присутствует функция по автоматизированному изменению правил и настроек сетевых устройств в модулях FireFlow и Business Flow, которые входят в общий пакет AlgoSec Security Management Suite.

SkyBox

Alcatel

Arkoon Firewall

Barracuda NG Firewall

Check Point

Cisco

DioNIS Firewall

DPtech Firewall

Forcepoint Firewall

Fortinet FortiGate (incl. IPS)

PCI DSS, NIST

Есть

Имеется автоматический сбор конфигураций межсетевых экранов и непрерывны мониторинг настроек, включая отслеживание изменений правил доступа;

Оптимизация списков доступа межсетевых экранов: выявление затененных, дублирующихся и неиспользуемых правил и объектов, формирование рекомендаций по оптимизации

Skybox® Change Manager позволяет автоматически моделировать и оценивать влияние планируемых изменений правил доступа на доступность и защищенности сети,

Skybox® Firewall Assurance позволяет автоматизировать процессы управления межсетевыми экранами, что особенно актуально при использовании решений различных производителей и большого количества правил доступа.

RedSeal

Маршрутизаторы:

Alcatel-Lucent

Arista

Cisco

H3C Comware

HP ProCurve

Huawei VRP5

Juniper JunOS

Open Source Linux Router;

Брандмауэры:

Check Point

Cisco

Fortinet

Fortigate

Juniper

McAfee Firewall

Palo Alto Networks

Контроллеры беспроводной сети:

Aruba ArubaOS

Cisco Wireless Controller

Cisco Aironet

Виртуализованная/облачная инфраструктура:

AWS VPC;

AWS Config;

VMware vShieldEdge VMware 5.5.0;

PCI, NERC CIP, NIST 800-53 и DISA STIG.

Есть

Присутствует автоматизация процесса сбора конфигураций сетевых устройств и средств защиты (межсетевые экраны, системы обнаружения и предотвращения атак),

Имеется возможность отслеживания изменений в настройках сетевого оборудования и сетевых средств защиты

Перед внесением изменений, будь то расширение сети, предоставление защищенного доступа для новых приложений или подключение поставщиков и партнеров, RedSeal продемонстрирует последствия каждого изменения с точки зрения безопасности.

Отсутствует

FireMon Security Manager

Брандмауэры:

Cisco

Check Point

Palo Alto Networks

Fortinet

Fortigate

Juniper Netscreen, SRX

PCI DSS, SOX, ISO 27xxx, NSA

Есть

Имеется вощможность создавать отчеты по деталям внедрения для

любого контрольного номера изменений. В отчете отражается, кто внес

изменение, когда оно было внесено и на каком межсетевом экране или

экранах

Имеется контроль применяемых правил

Отсутствует

ManageEngine Firewall Analyzer

Check Point,

Palo Alto, Cisco Systems, Fortinet, Juniper Network, SonicWALL, WatchGuard, Huawei, pfSense, Sophos, Securepoint 3Com, Barracuda, ForcePoint

PCI-DSS

ISO 27001

NIST

SANS

NERC-CIP

Отсутствует

Отчет об изменениях рабочей конфигурации - отчет о разнице между двумя изменениями рабочей конфигурации

Отчет об изменениях конфигурации запуска - Изменения между текущей (текущей) конфигурацией и начальной (стандартной) конфигурацией

Отчет о текущем конфликте при запуске - конфликт конфигураций между запуском и запуском

Отсутствует

Отсутствует

CenturyLink Managed Firewall Service

Palo Alto Networks

Cisco

Fortinet

Imperva

PCI, HIPAA, GBLA, FISM

Отсутствует

Отсутствует

Отсутствует

Имеется возможность управлять устройствами

SolarWinds Network Firewall Security Management Software

PCI DSS , GLBA, SOX , NERC CIP , HIPAA

Отсутствует

Автоматизируйте управление изменениями конфигурации на разных устройствах без необходимости сложных сценариев и команд консоли. Получайте оповещения в режиме реального времени об изменениях конфигурации брандмауэра и нарушениях политики для защиты от несанкционированных или случайных изменений. Исправьте неудачные изменения конфигурации и устраните простои с помощью параллельных сравнений и отката.

Имеется контроль применения правил

Имеется возможность автоматизированного управления изменениями конфигурации на разных устройствах без необходимости сложных сценариев и команд консоли.


Коротко о производителях

AlgoSec Firewall Analyzer создан Израильской компанией AlgoSec. Данный продукт может объединить мониторинг и аудит различного сетевого оборудования в своем едином интерфейсе. AlgoSec Firewall Analyzer поддерживает мониторинг и анализ настроек большого перечня устройств. Список поддерживаемых устройств достаточен для покрытия большинства инфраструктурных решений в организациях. Кроме того, имеется возможность оценки рисков – система позволяет быстро обнаружить неправильные или сомнительные настройки, оценить степень их риска для безопасности инфраструктуры, с помощью встроенных механизмов оценки. В данной системе отсутствует возможность построения векторов атак, что является единственным недостатком данного решения.

Калифорнийская компания RedSeal Networks основное направление которой – визуализация и анализа рисков сетевой безопасности. RedSeal позволяет провести комплексный анализ сети (включая облака и виртуальные сети на основе Amazon Web Services и VMware Vshield), а также физической и беспроводной инфраструктуры. RedSeal создает точную модель сети, определяет зоны, вычисляет маршруты атаки в масштабах сети, выявляет проблемы доступа. Основные сферы контроля: сегментация сети, сканирование уязвимостей, тесты на проникновение, оптимизация настроек. Также особенностью данного продукта является поддержка большого количества устройств. Недостатком данного решения будет отсутствие возможности администрировать устройства из единой консоли.

Skybox основана в 2002 году в Израиле. Компания разрабатывает средства анализа рисков в сфере кибербезопасности, а также средства для управления безопасностью. Skybox Security – это набор инструментов, которые направлены на обеспечение безопасности сети, аналитики и отчетности. Эта система позволяет оптимизировать процессы управления безопасностью и повысить их эффективность, провести детальный анализ сети, смоделировать и визуализировать возможные вектора атак без влияния на работоспособность сети, автоматизировать сложные процессы управления уязвимостями и политиками сетевой безопасности. Skybox состоит из следующих модулей:

· Skybox Horizon – модуль визуализации индикаторов угроз.

· Skybox Vulnerability Control – модуль.

· Vulnerability Control - объединяет данные со всех сканеров, систем патч-менеджемента и систем инвентаризации, позволяет визуализировать вектора возможных атак.

· Skybox Firewall Assurance – модуль анализа, оптимизации и контроля всех межсетевых экранов в одной консоли.

· Change Manager – модуль автоматизации изменений настроек межсетевых экранов, оценки их влияния на безопасность сети и соответствия политикам.

· Skybox Network Assurance – модуль визуализации сети, вычисления и визуализации маршрута прохождения трафика.

Данное решение поддерживает 120+ решений ИТ и ИБ. Skybox Security, как и AlgoSec Firewall Analyzer, является одним из лидеров в данном сравнении и соответствует всем параметрам, рассматриваемых в данной статье.

FireMon – американская компания, основанная в 2014 году, поставляет решения по управлению безопасностью сети. Основным продуктом данного вендора является Security Manager. Это решение по управлению политиками безопасности и управлению рисками, которое улучшает уровень безопасности путем повышения эффективности повседневной деятельности, обеспечивая мощный анализ существующей конфигурации и проактивное снижение рисков. Благодаря комплексному анализу правил и автоматизированным рабочим процессам для просмотра правил при помощи данной системы можно устранить технические ошибки и неправильные конфигурации, удалить неиспользуемый доступ, а также просмотреть и уточнить доступ, чтобы оптимизировать производительность устройств, снизить сложность политик и улучшить профиль безопасности. Недостатком FireMon является отсутствие возможности централизованного управления устройствами из единой консоли.

ManageEngine Firewall Analyzer является подразделением корпорации Zoho, штаб-квартира которой находится в США. Решение предназначено для анализа журналов и управления конфигурацией устройств сетевой безопасности. Система позволяет получать уведомления о внесенных изменениях, о возможных сетевых атаках и нарушениях безопасности сети, а также проводить аудит на соответствия. Это решение отлично подойдет для аудита и мониторинга. Но основным недостатком ManageEngine является отсутствие какой-либо возможности взаимодействовать непосредственно с устройствами.

CenturyLink ­– американская телекоммуникационная компания, которая предоставляет широкий спектр услуг связи. Одним из продуктов этого вендора является Managed Firewall Service, который обеспечивает круглосуточное управление и мониторинг брандмауэра для расширенных функций контекста и контента UTM NextGen, а также отслеживает угрозы. Данное решение имеет поддержку только четырех производителей межсетевых экранов: Palo Alto Networks, Cisco, Fortinet, Imperva. Система позволяет осуществлять постоянное управление устройствами, реализовывать проактивные обновления устройств. В системе отсутствует возможность контроля применения правил, а также возможность построения вектора атак, что является недостатком.

SolarWinds – очередная американская компания, которая разрабатывает решения для управления сетями, системами и инфраструктурой предприятия. Network Firewall Security Management Software – одно из решений этого вендора, которое предназначено для управления безопасностью сетевого брандмауэра. В основной функционал этого решения входят непрерывный мониторинг и корреляция событий брандмауэра в реальном времени, мониторинг изменений конфигурации брандмауэра и нарушений политики. Кроме того, имеется возможность автоматизированного управления изменениями конфигурации на разных устройствах без необходимости сложных сценариев и команд консоли.

Подводя итоги, можно сказать, что среди представленных решений есть как те, что соответствуют всем требуемым параметрам, так и те, что отлично подойдут в качестве дополнительного инструмента для мониторинга состояний сетевых устройств, а также для аудита на соответствие вашим политикам или лучшим мировым практикам. Также, не редко происходит апгрейд или полная смена систем с ростом сетевой инфраструктуры.

Хочется отметить и тот факт, что продуктов и решений в этом направлении, а также их характеристик и параметров, намного больше, чем те, что были рассмотрены в рамках сравнительного обзора. Без сомнений решение задач по администрированию сетевой инфраструктуры требуют детального изучения рынка и индивидуальной настройки инструментов, где данный обзор может быть полезным при выборе того или иного решения.