Корпоративный шлюз веб-безопасности: какие требования предусмотреть для замещения иностранной системы
Текущий год внес существенные корректировки в планы многих компаний. Одной из заметных областей, которую коснулись перемены, является ИБ. Уход зарубежных вендоров с российского рынка привел многие компании к необходимости спешного планирования миграции на отечественные альтернативы. Причем планировать смену привычных ИБ-решений требуется сразу для многих категорий продуктов, а это значит, что нужно иметь под рукой готовые критерии выбора. Анастасия Хвещеник, бизнес-архитектор Solar webProxy компании «РТК-Солар» описывает, какие критически важные требования должны быть применены к продуктам класса SWG – шлюзам веб-безопасности, помогающим службам ИТ и ИБ обеспечить безопасный доступ в интернет.
Чтобы разобраться с обязательными требованиями к SWG, давайте посмотрим на круг задач, решаемых данным продуктом. Глобально можно сказать, что продукт обеспечивает контроль доступа сотрудников компании к ресурсам в сети интернет, позволяет контролировать подключение удаленных сотрудников к корпоративным ресурсам, обеспечивает защиту от веб-угроз и утечек конфиденциальной информации. Для того, чтобы качественно решать поставленные задачи, шлюзы веб-безопасности должны обладать обязательным набором характеристик. О ключевых требованиях к классу систем SWG, соответствие которым стало главным вектором развития Solar webProxy, я расскажу подробнее.
Что важно при выборе SWG?
1. Высокая производительность и отказоустойчивость решения
При выборе отечественной системы SWG важно интересоваться у производителей не только документированными результатами проведенных замеров производительности, но и опытом внедрений продукта в высоконагруженную среду, наличием успешно завершенных проектов в территориально распределенных организациях. К примеру, среди крупных внедрений Solar webProxy наиболее показательным является проект внедрения у заказчика, который представлен во всех регионах нашей страны, и предполагает фильтрацию трафика для более чем одного миллиона пользователей. При этом за счет виртуального исполнения наш продукт обладает отличными возможностями горизонтального и вертикального масштабирования.
Повышенную отказоустойчивость решения мы реализуем за счет нескольких крупных факторов. Это широкие возможности резервирования (возможность резервирования мастер-ноды, разнесение по разным нодам мастера и фильтров), а также выбор хорошо зарекомендовавшей себя основы для реализации встроенного балансировщика (HAProxy).
2. Возможности интеграции с системами окружения
Система SWG должна иметь широкие возможности интеграции со смежным системам, позволяя осуществлять дополнительные проверки трафика (например, направлять запросы в DLP или антивирус для проверки файлов), а также выгружать результаты проверки с системы сбора информации о событиях безопасности.
Если говорить о Solar webProxy, то мы поддерживаем наиболее популярные протоколы взаимодействия с окружением. Так, например, продукт имеет встроенный антивирус, однако если клиент планирует интеграцию с другим решением или подключение других систем (к примеру, собственной песочницы или вышестоящего прокси), мы как вендор даем в виде инструмента поддержку популярного протокола ICAP.
Отдельное внимание стоит обращать на то, какие возможности производитель может предложить в части интеграции всех продуктов собственной разработки. Сценарии такой интеграции должны быть проработаны. Зачастую приобретение нескольких продуктов от одного вендора может быть более выгодным как с точки зрения экономических условий, так и с точки зрения решения вопросов технического характера, которые неизбежно возникают в ходе внедрения программных продуктов. Например, Solar webProxy имеет расширенные возможности интеграции с DLP-системой Solar Dozor для решения задач расследования инцидентов.
3. Поддержка технологической среды, принятой в компании: операционные системы, системы виртуализации и др.
Дополнительную актуальность сейчас имеет возможность поддержки той технологической среды, в которую планируется общая миграция корпоративных ресурсов. Это могут быть как российские решения из реестра отечественного ПО, так и свободно распространяемое ПО. Главное, чтобы возможности вендора в этом направлении совпадали с вашими планами. Однако ввиду непредсказуемости внешней ситуации и наличия разных ограничительных мер рекомендуем при выборе ПО все-таки учитывать наличие продукта в реестре отечественного ПО и/или наличие сертификатов соответствия, выданных российскими регуляторами (ФСТЭК России, ФСБ).
4. Поддержка режима работы обратного прокси-сервера
Если говорить о функциональных возможностях, помимо традиционных возможностей фильтрации, чрезвычайно полезной является поддержка режима обратного прокси, которая позволит защитить сетевые ресурсы от утечки информации при удаленном подключении с личных компьютеров сотрудников. Так, например, если сотрудник откроет с домашнего ноутбука, который находится за границами корпоративной сети, корпоративную почту, он не сможет сохранить файлы оттуда.
5. Удобный и понятный интерфейс
Удобный и понятный интерфейс уже давно стал не просто желательным, а обязательным требованием, выставляемым к качественному программному решению. Продукт должен быть интуитивным помощником для пользователя, обладать понятной навигацией и предоставлять подсказки относительно необходимых шагов по настройке и диагностике. Поэтому в Solar webProxy проработана интуитивно понятная навигация по продукту, все значимые показатели и данные отчетов сопровождаются графическим представлением. Функциональные возможности и типовые примеры настроек и сценариев использования продукта описаны в выпадающей справке. Все это позволяет легко администрировать продукт без дополнительного обучения.
6. Виртуальное исполнение
Если говорить об исполнении поставляемого продукта, то тут, вопреки устоявшемуся мнению, с недавних пор нет жестких требований на тему аппаратного исполнения. Раньше поставки продуктов в виде ПАК воспринимались как некая гарантия отсутствия проблем. Ведь вендор в таком случае берет на себя все вопросы обеспечения работоспособности программного продукта, включая в том числе среду функционирования.
В нынешних условиях это обернулось сложностями: заказчики столкнулись с проблемами при поставках готовых ПАКов и запасных частей. Продуктов в виртуальном исполнении данные сложности коснулись в меньшей степени, так как нет привязки к производителю «железа». Гарантия решения проблем, находящихся на стыке аппаратной реализации и ПО, вполне может быть покрыта договором на сервисное обслуживание внедренного решения.
7. Экспертиза и техническая поддержка
Говоря о значимых факторах при выборе программного продукта, нужно отдельно отметить наличие экспертизы и готовность ее демонстрировать до начала проекта внедрения, например, в ходе пилотирования продукта. Порой даже на пилотных проектах заказчики уже успевают выявить серьезные зоны риска или явные нарушения. Например, недавно в ходе одного из пилотных внедрений в первый же день запуска системы был найден сотрудник, обновляющий с рабочего ноутбука игры с сайта Blizzard.
В целом следует интересоваться у вендора, какие условия технической поддержки можно получить на разных этапах проекта: в ходе внедрения и после его завершения; готов ли вендор оказывать поддержку, если внедрение будет проводиться силами заказчика или если окажется, что потребуется выезд инженера к заказчику «в поля». Готов ли производитель ПО командировать своих сотрудников в любой населенный пункт от Калининграда до Владивостока? Правильная сопровождение заказчика на всем пути его взаимодействия с продуктом определяет успех проекта по внедрению, поэтому это та статья, на которой не стоит экономить.
Инженеры «РТК-Солар» поддерживают заказчика в ходе внедрения, осуществляя консультирование либо выполняя непосредственные работы по развертыванию и настройке ПО в и инфраструктуре заказчика. Подключаются к заказчику удаленно либо приезжают в ЦОД и физически присутствуют на площадке, даже если это проект в самых удаленных от Москвы регионах.
8. Автоматическое обновление категорий сайтов и набора политик
Решения класса SWG подразумевают работу с трафиком, который может быть категоризирован и, как следствие, более управляем. Наличие качественного категоризатора позволит решать задачи управления доступом разных подразделений к различным группам интернет-ресурсов. Например, таким образом можно ограничить всем сотрудникам компании возможность пользоваться популярными мессенджерами, но оставить их разрешенными для отдела PR; можно заблокировать доступ к интернет-магазинам для всех, кроме отдела снабжения.
Как уже ясно из примеров, корректная категоризация позволяет управлять построением запрещающей и разрешающей политики ИБ с учетом всех базовых потребностей бизнеса. В связи со значимостью категоризатора и заинтересованностью заказчиков в его качестве мы проводим масштабные работы по подключению к нему моделей искусственного интеллекта. По нашей оценке, точность категоризации при подключении AI достигает 90-95% в зависимости от категории.
Другим положительным моментом, упрощающим жизнь заказчику, является наличие заранее подготовленного и регулярно обновляемого набора политик информационной безопасности. Мы в рамках сервисной поддержки оказываем подобные услуги нашим заказчикам, причем набор политик может быть весьма специализированным, исходя из нужд заказчика.
***
На сегодняшний день на российском рынке уже много успешных проектов по переходу на отечественные решения. Ключевым фактором успеха является наличие надежного партнера, к выбору которого надо отнестись со всей серьезностью. «РТК-Солар» провел множество проектов по импортозамещению разной сложности и масштаба, среди которых есть и крупные федеральные заказчики, и заказчики, инфраструктура которых относится к КИИ. По факту завершения таких проектов заказчики убеждаются в том, что даже российское ПО может успешно выполнять поставленные задачи, а в чем-то являться даже более привлекательным. Все это говорит о зрелости и конкурентоспособности отечественного рынка решений класса SWG.
Реклама. Рекламодатель ООО "СОЛАР СЕКЬЮРИТИ", ОГРН 1157746204230.