Корпоративный шлюз веб-безопасности: какие требования предусмотреть для замещения иностранной системы

Корпоративный шлюз веб-безопасности: какие требования предусмотреть для замещения иностранной системы

Текущий год внес существенные корректировки в планы многих компаний. Одной из заметных областей, которую коснулись перемены, является ИБ. Уход зарубежных вендоров с российского рынка привел многие компании к необходимости спешного планирования миграции на отечественные альтернативы. Причем планировать смену привычных ИБ-решений требуется сразу для многих категорий продуктов, а это значит, что нужно иметь под рукой готовые критерии выбора. Анастасия Хвещеник, бизнес-архитектор Solar webProxy компании «РТК-Солар» описывает, какие критически важные требования должны быть применены к продуктам класса SWG – шлюзам веб-безопасности, помогающим службам ИТ и ИБ обеспечить безопасный доступ в интернет.

Чтобы разобраться с обязательными требованиями к SWG, давайте посмотрим на круг задач, решаемых данным продуктом. Глобально можно сказать, что продукт обеспечивает контроль доступа сотрудников компании к ресурсам в сети интернет, позволяет контролировать подключение удаленных сотрудников к корпоративным ресурсам, обеспечивает защиту от веб-угроз и утечек конфиденциальной информации. Для того, чтобы качественно решать поставленные задачи, шлюзы веб-безопасности должны обладать обязательным набором характеристик. О ключевых требованиях к классу систем SWG, соответствие которым стало главным вектором развития Solar webProxy, я расскажу подробнее.

Что важно при выборе SWG?

1. Высокая производительность и отказоустойчивость решения

При выборе отечественной системы SWG важно интересоваться у производителей не только документированными результатами проведенных замеров производительности, но и опытом внедрений продукта в высоконагруженную среду, наличием успешно завершенных проектов в территориально распределенных организациях. К примеру, среди крупных внедрений Solar webProxy наиболее показательным является проект внедрения у заказчика, который представлен во всех регионах нашей страны, и предполагает фильтрацию трафика для более чем одного миллиона пользователей. При этом за счет виртуального исполнения наш продукт обладает отличными возможностями горизонтального и вертикального масштабирования.

Повышенную отказоустойчивость решения мы реализуем за счет нескольких крупных факторов. Это широкие возможности резервирования (возможность резервирования мастер-ноды, разнесение по разным нодам мастера и фильтров), а также выбор хорошо зарекомендовавшей себя основы для реализации встроенного балансировщика (HAProxy).

2. Возможности интеграции с системами окружения

Система SWG должна иметь широкие возможности интеграции со смежным системам, позволяя осуществлять дополнительные проверки трафика (например, направлять запросы в DLP или антивирус для проверки файлов), а также выгружать результаты проверки с системы сбора информации о событиях безопасности.

Если говорить о Solar webProxy, то мы поддерживаем наиболее популярные протоколы взаимодействия с окружением. Так, например, продукт имеет встроенный антивирус, однако если клиент планирует интеграцию с другим решением или подключение других систем (к примеру, собственной песочницы или вышестоящего прокси), мы как вендор даем в виде инструмента поддержку популярного протокола ICAP.

Отдельное внимание стоит обращать на то, какие возможности производитель может предложить в части интеграции всех продуктов собственной разработки. Сценарии такой интеграции должны быть проработаны. Зачастую приобретение нескольких продуктов от одного вендора может быть более выгодным как с точки зрения экономических условий, так и с точки зрения решения вопросов технического характера, которые неизбежно возникают в ходе внедрения программных продуктов. Например, Solar webProxy имеет расширенные возможности интеграции с DLP-системой Solar Dozor для решения задач расследования инцидентов.

3. Поддержка технологической среды, принятой в компании: операционные системы, системы виртуализации и др.

Дополнительную актуальность сейчас имеет возможность поддержки той технологической среды, в которую планируется общая миграция корпоративных ресурсов. Это могут быть как российские решения из реестра отечественного ПО, так и свободно распространяемое ПО. Главное, чтобы возможности вендора в этом направлении совпадали с вашими планами. Однако ввиду непредсказуемости внешней ситуации и наличия разных ограничительных мер рекомендуем при выборе ПО все-таки учитывать наличие продукта в реестре отечественного ПО и/или наличие сертификатов соответствия, выданных российскими регуляторами (ФСТЭК России, ФСБ).

4. Поддержка режима работы обратного прокси-сервера

Если говорить о функциональных возможностях, помимо традиционных возможностей фильтрации, чрезвычайно полезной является поддержка режима обратного прокси, которая позволит защитить сетевые ресурсы от утечки информации при удаленном подключении с личных компьютеров сотрудников. Так, например, если сотрудник откроет с домашнего ноутбука, который находится за границами корпоративной сети, корпоративную почту, он не сможет сохранить файлы оттуда.

5. Удобный и понятный интерфейс

Удобный и понятный интерфейс уже давно стал не просто желательным, а обязательным требованием, выставляемым к качественному программному решению. Продукт должен быть интуитивным помощником для пользователя, обладать понятной навигацией и предоставлять подсказки относительно необходимых шагов по настройке и диагностике. Поэтому в Solar webProxy проработана интуитивно понятная навигация по продукту, все значимые показатели и данные отчетов сопровождаются графическим представлением. Функциональные возможности и типовые примеры настроек и сценариев использования продукта описаны в выпадающей справке. Все это позволяет легко администрировать продукт без дополнительного обучения.

6. Виртуальное исполнение

Если говорить об исполнении поставляемого продукта, то тут, вопреки устоявшемуся мнению, с недавних пор нет жестких требований на тему аппаратного исполнения. Раньше поставки продуктов в виде ПАК воспринимались как некая гарантия отсутствия проблем. Ведь вендор в таком случае берет на себя все вопросы обеспечения работоспособности программного продукта, включая в том числе среду функционирования.

В нынешних условиях это обернулось сложностями: заказчики столкнулись с проблемами при поставках готовых ПАКов и запасных частей. Продуктов в виртуальном исполнении данные сложности коснулись в меньшей степени, так как нет привязки к производителю «железа». Гарантия решения проблем, находящихся на стыке аппаратной реализации и ПО, вполне может быть покрыта договором на сервисное обслуживание внедренного решения.

7. Экспертиза и техническая поддержка

Говоря о значимых факторах при выборе программного продукта, нужно отдельно отметить наличие экспертизы и готовность ее демонстрировать до начала проекта внедрения, например, в ходе пилотирования продукта. Порой даже на пилотных проектах заказчики уже успевают выявить серьезные зоны риска или явные нарушения. Например, недавно в ходе одного из пилотных внедрений в первый же день запуска системы был найден сотрудник, обновляющий с рабочего ноутбука игры с сайта Blizzard.

В целом следует интересоваться у вендора, какие условия технической поддержки можно получить на разных этапах проекта: в ходе внедрения и после его завершения; готов ли вендор оказывать поддержку, если внедрение будет проводиться силами заказчика или если окажется, что потребуется выезд инженера к заказчику «в поля». Готов ли производитель ПО командировать своих сотрудников в любой населенный пункт от Калининграда до Владивостока? Правильная сопровождение заказчика на всем пути его взаимодействия с продуктом определяет успех проекта по внедрению, поэтому это та статья, на которой не стоит экономить.

Инженеры «РТК-Солар» поддерживают заказчика в ходе внедрения, осуществляя консультирование либо выполняя непосредственные работы по развертыванию и настройке ПО в и инфраструктуре заказчика. Подключаются к заказчику удаленно либо приезжают в ЦОД и физически присутствуют на площадке, даже если это проект в самых удаленных от Москвы регионах.

8. Автоматическое обновление категорий сайтов и набора политик

Решения класса SWG подразумевают работу с трафиком, который может быть категоризирован и, как следствие, более управляем. Наличие качественного категоризатора позволит решать задачи управления доступом разных подразделений к различным группам интернет-ресурсов. Например, таким образом можно ограничить всем сотрудникам компании возможность пользоваться популярными мессенджерами, но оставить их разрешенными для отдела PR; можно заблокировать доступ к интернет-магазинам для всех, кроме отдела снабжения.

Как уже ясно из примеров, корректная категоризация позволяет управлять построением запрещающей и разрешающей политики ИБ с учетом всех базовых потребностей бизнеса. В связи со значимостью категоризатора и заинтересованностью заказчиков в его качестве мы проводим масштабные работы по подключению к нему моделей искусственного интеллекта. По нашей оценке, точность категоризации при подключении AI достигает 90-95% в зависимости от категории.

Другим положительным моментом, упрощающим жизнь заказчику, является наличие заранее подготовленного и регулярно обновляемого набора политик информационной безопасности. Мы в рамках сервисной поддержки оказываем подобные услуги нашим заказчикам, причем набор политик может быть весьма специализированным, исходя из нужд заказчика.

***

На сегодняшний день на российском рынке уже много успешных проектов по переходу на отечественные решения. Ключевым фактором успеха является наличие надежного партнера, к выбору которого надо отнестись со всей серьезностью. «РТК-Солар» провел множество проектов по импортозамещению разной сложности и масштаба, среди которых есть и крупные федеральные заказчики, и заказчики, инфраструктура которых относится к КИИ. По факту завершения таких проектов заказчики убеждаются в том, что даже российское ПО может успешно выполнять поставленные задачи, а в чем-то являться даже более привлекательным. Все это говорит о зрелости и конкурентоспособности отечественного рынка решений класса SWG.

Реклама. Рекламодатель ООО "СОЛАР СЕКЬЮРИТИ", ОГРН 1157746204230.

КИИ Basic от Security Vision для СМБ!

Защита критической инфраструктуры стала проще! Security Vision выпустила решение КИИ Basic, автоматизирующее категорирование и защиту объектов КИИ по 127 ПП РФ и 187-ФЗ.

Сертифицировано ФСТЭК, автоматизация ключевых процессов, простое внедрение и доступная цена.

Реклама. 16+, ООО «Интеллектуальная безопасность», ИНН 7719435412