Разработчики: | Крок |
Дата последнего релиза: | 2015/12/12 |
Технологии: | IaaS - Инфраструктура как услуга, Центры обработки данных - технологии для ЦОД |
Управление сервисами информационной безопасности (Cisco Powered Managed Security) - комплекс технологических решений, направленных на обеспечение безопасности сетевой инфраструктуры.
В состав услуги управления сервисами информационной безопасности (Cisco Powered Managed Security) входит установка и конфигурирование компонентов системы информационной безопасности:
- межсетевые экраны;
- система обнаружения вторжения.
Особенности сервиса:
- быстрое разворачивание и настройка услуги;
- возможность гибкого масштабирования услуги под меняющиеся требования заказчика;
- отсутствие расходов на поддержку и сервис;
- использование проверенных и сертифицированных решений для обеспечения безопасности.
Межсетевые экраны
В качестве программного обеспечения действуют устройства компании Cisco c модулями межсетевого экранирования, каждый из которых осуществляет обработку мульти-протокольного трафика на скорости 10 Гбит/с. Для повышения отказоустойчивости работы серверных приложений используется дублирование шасси устройств и модулей. Все интер- и интра- шасси модули межсетевых экранов Cisco объединяются в кластер. Кластер интерфейсы соединяются с коммутаторами ядра сети Заказчика по технологии Etherchannel. Для взаимодействия участников кластера между собой используется изолированная VLAN сеть, которая объявляется как на модулях межсетевого экранирования, так и на устройствах ядра сети. Все участники кластера находятся в активном режиме балансируя проходящий трафик между собой. При выходе из строя одного из шасси Cisco ASA, трафик прозрачно переходит на рабочее шасси Cisco ASA; при выходе из строя одного из модулей ASA трафик переадресовывается на менее загруженный работоспособный ASA модуль одного из шасси Cisco ASA тем самым обеспечивая высокую доступность и избыточность сетевых сервисов.
В момент выхода из строя одного из модулей кластера, все последующие пакеты переадресовываются оставшимся модулям, балансируя нагрузку между собой. Для трафика используются 10 Гбит/с интерфейсы, которые также соединяются с коммутаторами ядра сети, используя технологию Etherchannel по протоколу LACP, согласно рекомендациям производителя. Кластеризация межсетевых экранов обеспечивает высокую избыточность и агрегированную пропускную способность. Так один модуль осуществляет обработку трафика на скорости 10 Гбит/с в мультипротокольном режиме, а кластер модулей межсетевых экранов в целом обеспечивает скорость до 28 Гбит/с.
Межсетевой экран выполняет маршрутизацию трафика, используя статическую маршрутизацию и динамическую маршрутизацию EIGRP. Сеть доступа каждой системы доступна через соответствующий интерфейс VLAN коммутатора ядра. Межсетевой экран защищает внутреннюю сеть Заказчика от неавторизованного доступа и различного рода атак. С целью анализа настраивается инспекция трафика на уровне приложений (Application Inspection). Весь трафик, который проходит через межсетевой экран анализируется с помощью адаптивного алгоритма безопасности.Метавселенная ВДНХ
Средствами межсетевого экрана обеспечивается функционал:
Поддержка Network Address Translation (NAT)
Позволяет заказчику использовать неуникальные адреса и скрывать своё внутреннее адресное пространство за одним или несколькими публичными адресами. Таким образом, у атакующего нет возможности получить доступ к этим устройствам, узнав приватный адрес. Также сервис NAT позволяет приватной ip сети (local unicast) получать доступ в интернет оттранслировав адреса в IP-header.
Поддержка De-Militarized Zone (DMZ)
Сервис используется, когда заказчику необходимо защитить серверы, опубликованные в интернете. Обычно сеть разделена на различные сегменты, каждый со своим уровнем защиты. Например, внутренняя зона имеет наивысший уровень защиты, а интернет — наименьший. Стандартная политика защиты разрешает подключения изнутри-наружу, но не наоборот. Пользователи внутреннего и внешнего интерфейса должны иметь доступ к серверам, находящимся в DMZ сегменте, который обычно имеет средний уровень защиты, т.е. ниже, чем у внутреннего интерфейса, но выше чем у внешнего. DMZ не может инициировать сессию во внутреннюю сеть.
Поддержка stateful firewall inspection
Stateful firewall inspection отслеживает состояние трафика или соединений, чтобы в свою очередь разрешить легитимного трафику «прийти» из интернета в корпоративную сеть. Это обеспечивается за счет мониторинга установленных сессий изнутри-наружу и только в этом случае обратные пакеты могут вернуться. Проверяется не только уровень, с которого пришёл пакет, но также состояние трафика и соединений. Пример этому, механизм TCP, когда при установлении сессии посылается SYN,в ответ приходит SYN-ACK, если сессия установлена.
Поддержка authentication proxy
Опция, позволяющая сетевым администраторам в случае необходимости создать политики безопасности (индивидуальные для каждого пользователя), позволяющие предоставить доступ к сети только после прохождения аутентификации. Если аутентификация не пройдена или подгружаемые правила для данного пользователя не разрешают специфичный трафик, то пользователь не получит доступ к запрашиваемому ресурсу.
Поддержка transparent firewall
При необходимости внедрения межсетевых экранов без нарушения маршрутизации (т.е. межсетевые экраны должны быть прозрачными и не требовать изменения настроек остального оборудования). Для этого межсетевые экраны поддерживают специальный режим прозрачности, единственным условием которого является то, что входящий и исходящий интерфейсы для трафика должны быть различными.
Поддержка stateful inspection для зашифрованного трафика
Если для предоставления внешних сервисов используется шифрование (VPN или HTTPS), межсетевой экран не увидит содержимое трафика. Для проверки трафика на соответствие политикам безопасности используется специальный дизайн, позволяющий сначала произвести дешифровку трафика (VPN- или SSL-decryption). В случае необходимости трафик можно снова зашифровать и переслать дальше.
Идентификация пользователей и обеспечение доступа
Межсетевой экран отслеживает состояние сессий и их количество. Это гарантирует защиту от переполнения памяти устройства и от повышенной загрузки CPU (как межсетевого экрана, так и конечных устройств). Листы ограничения доступа (ACL) позволяют сегментировать пользователей при работе с ресурсами (как внешним, так и внутренним), а применение технологии раздельного туннелирования описывает правила, по которым следует шифровать/не шифровать пользовательский трафик.
Контроль приложений
Технология инспектирования содержимого пакетов позволяет межсетевому экрану обнаруживать трафик систем передачи мгновенных сообщений и точка-точка, а также блокировать его при необходимости. Содержимое пакетов проверяется на соответствие заголовков пакетов их наполнению для известных форматов (HTTP, SMTP и т.д.) и если, например, внутри пакета TCP/80 присутствует не HTTP-трафик, а другой, или заголовок HTTP не корректно сформирован, то такой трафик отбрасывается, чтобы исключить влияние такого нежелательного трафика на сервер.
Контроль Internet Control Message Protocol (ICMP)
Межсетевые экраны способны отслеживать работу протокола ICMP. В частности ICMP ответы извне будут разрешены только в том случае, если был послан запрос изнутри, при этом будут ожидаться только пакеты echo-reply, time-exceeded, destination unreachable и timestamp reply.
Блокировка Java
Технология инспектирования содержимого пакетов позволяет межсетевому экрану обнаруживать Java в HTTP-трафике. Так как выполнение кода Java может нанести вред, то можно сбросить трафик HTTP с Java-кодом, чтобы исключить влияние такого нежелательного трафика на сервер или на конечного пользователя.
Контроль Session Initiation Protocol (SIP)
Межсетевой экран инспектирует содержимое SIP-пакетов, отвечающих за сигнализацию голосового трафика. Так как заголовок SIP-пакета содержит информацию об IP-адресах участников, а прохождение через NAT меняет только заголовки IP-пакета, то прохождение через NAT нарушает работу SIP. Контроль SIP позволяет менять заголовок SIP-пакета и проверять его на корректность и соответствие RFC.
Поддержка протокола H.323
Контроль протоколов SCCP и H.323 позволяет контролировать работу сигнализации и медиатрафика. Это позволяет выполнять подмену IP-адресов в заголовках пакетов, а также динамически открывать разрешающие правила для медиатрафика, если в сигнализации обнаружена инициализация голосового трафика.
Отказоустойчивость межсетевых экранов
Для обеспечения отказоустойчивости на аппаратном уровне используется решение High Availability, позволяющее резервному межсетевому экрану подменить вышедший из строя активный межсетевой экран, при этом вся информация о состоянии сессий активного межсетевого экрана постоянно реплицируется на резервный, что позволяет не сбрасывать текущие сессии и не переустанавливать их заново.
Резервное копирование конфигурации
Межсетевой экран имеет возможность экспортировать конфигурацию оборудования не только локально на flash, но и на внешнее хранилище. Также для восстановления системы имеется возможность импорта с внешней системы хранения конфигурации. Для экспорта и импорта поддерживаются протоколы TFTP, FTP, HTTP, HTTPS, SCP.
Система обнаружения вторжения
Средствами системы обнаружения вторжений обеспечивается функционал: Возможности обнаружения вторжений Поскольку любое вредоносное ПО имеет характерное поведение, которое возможно описать неким шаблоном, то IPS ведет обнаружение трафика, соответствующего подобным шаблонам, заранее описанным в системе (такие шаблоны называются сигнатурами).
Профилирование сервиса
Поскольку проверка трафика на сигнатуры - ресурсоемкий процесс, то правильный подход - анализ сети заказчика и трафика в сети, определение необходимости включения тех или иных сигнатур.
Мониторинг вторжений
Для описания поведения вредоносного ПО в сигнатурах используются так называемые движки, отвечающие за принципиально разное поведение данного ПО. Выбор корректного движка при описании сигнатуры определяет, как именно будет отслеживаться трафик: по содержимому одного пакета, по набору символов, присутствующему в наборе пакетов, по количеству конечных устройств, участвующих в обмене трафиком, по направлению атаки и т.д. При срабатывании сигнатуры генерируется сообщение с информацией о типе угрозы и ее рейтинге.
Управление сигнатурами
База сигнатур постоянно обновляется с сайта Cisco.com. Есть возможность создания собственной сигнатуры, описывающей поведение трафика с использованием одного из движков. Сигнатуры можно включать/выключать, менять реакцию в случае срабатывания (оповещать, сбрасывать, выполнять TPC reset, менять содержимое и пр.).
Обработка инцидентов
Поведение некоторого ПО направлено на продолжительность действий или на группу конечных устройств. В этом случае, если одна и та же угроза повторится 100 раз в течение некоторого времени или будет направлена на 100 конечных устройств, то IPS определит это как 100 срабатываний сигнатур. Такое поведение усложняет анализ проблемы и увеличивает количество сообщений в журнале. Для избежания избыточности сообщений используется функционал суммаризации (Summarizer) и генерации метасобытий (Meta Event Generator). Суммаризатор генерирует только одно событие, в котором сообщается о количестве аналогичных срабатываний, а генератор метасобытий позволяет объединить несколько событий в одно. Например, если сработали сигнатуры A, B, C и D, и все они описывают работу одного и того же вируса, который работает используя различные технологии, то будет создано только одно событие E=A+B+C+D, описывающее групповое поведение данных сигнатур.
Резервирование IPS
Так как IPS является независимым модулем в Cisco ASA и отказ в работе данного модуля может вызвать прекращение передачи трафика, то разработан специальный механизм, при котором активная Cisco ASA отслеживает состояние модуля IPS и в случае его отказа переходит на резервную Cisco ASA с рабочим IPS модулем. Это позволяет избежать потерь данных в случае нарушения работы IPS.
Подрядчики-лидеры по количеству проектов
Cloud4Y (ООО Флекс) (214)
ITglobal.com (ИТглобалком Рус) (87)
Т1 Интеграция (ранее Техносерв) (79)
Softline (Софтлайн) (59)
ИТ-Град (IT-Grad) Энтерпрайз Клауд (Enterprise Cloud) (56)
Другие (824)
Cloud4Y (ООО Флекс) (23)
ITglobal.com (ИТглобалком Рус) (20)
Т1 Интеграция (ранее Техносерв) (12)
Мобильные ТелеСистемы (МТС) (10)
VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (10)
Другие (55)
ITglobal.com (ИТглобалком Рус) (17)
Cloud4Y (ООО Флекс) (15)
Яндекс.Облако (Yandex Cloud) (7)
Мобильные ТелеСистемы (МТС) (6)
Stack Group (Стек Групп, Стек Телеком) (5)
Другие (36)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Cloud4Y (ООО Флекс) (6, 216)
Microsoft (24, 117)
ITglobal.com (ИТглобалком Рус) (5, 93)
Т1 Облако (Т1 Клауд) ранее T1 Cloud (3, 85)
Т1 Интеграция (ранее Техносерв) (1, 81)
Другие (456, 887)
Cloud4Y (ООО Флекс) (2, 23)
ITglobal.com (ИТглобалком Рус) (2, 20)
Т1 Облако (Т1 Клауд) ранее T1 Cloud (2, 17)
Т1 Интеграция (ранее Техносерв) (1, 15)
Мобильные ТелеСистемы (МТС) (1, 11)
Другие (44, 67)
ITglobal.com (ИТглобалком Рус) (2, 18)
Cloud4Y (ООО Флекс) (1, 15)
Яндекс.Облако (Yandex Cloud) (2, 11)
Мобильные ТелеСистемы (МТС) (1, 7)
VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (1, 6)
Другие (19, 35)
Cloud4Y (ООО Флекс) (2, 30)
ITglobal.com (ИТглобалком Рус) (3, 18)
Яндекс.Облако (Yandex Cloud) (2, 14)
Мобильные ТелеСистемы (МТС) (1, 10)
Softline (Софтлайн) (3, 4)
Другие (23, 45)
Cloud4Y (ООО Флекс) (2, 14)
Яндекс.Облако (Yandex Cloud) (2, 9)
Softline (Софтлайн) (4, 6)
Reg.ru (Рег.ру Домены Хостинг РДХ) (1, 6)
Timeweb Cloud (Таймвэб.Клауд) (1, 5)
Другие (24, 36)
Распределение систем по количеству проектов, не включая партнерские решения
Cloud4Y IaaS - 200
Microsoft Azure - 93
ITglobal.com: Публичное облако - 83
Т1 Облако (ранее T1 Cloud) - 81
IT-Grad Cloud IaaS - 65
Другие 742
ITglobal.com: Публичное облако - 20
Cloud4Y IaaS - 19
Т1 Облако (ранее T1 Cloud) - 15
CloudMTS - 11
VK Cloud Универсальная облачная платформа для развития цифровых сервисов (ранее VK Cloud Solutions) - 10
Другие 52
ITglobal.com: Публичное облако - 17
Cloud4Y IaaS - 15
Yandex.Cloud Услуги виртуальной вычислительной инфраструктуры - 9
CloudMTS - 7
VK Cloud Универсальная облачная платформа для развития цифровых сервисов (ранее VK Cloud Solutions) - 6
Другие 27
Подрядчики-лидеры по количеству проектов
Крок (48)
Softline (Софтлайн) (38)
Инфосистемы Джет (33)
Stack Group (Стек Групп, Стек Телеком) (21)
Т1 Интеграция (ранее Техносерв) (19)
Другие (911)
Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (8)
Commvault (5)
Тегрус (Tegrus) ранее - Merlion Projects (3)
Lenovo Россия (3)
Nutanix (бизнес в России) (3)
Другие (53)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
VMware (23, 86)
Cisco Systems (35, 44)
Крок (2, 38)
Крок Облачные сервисы (1, 37)
Dell EMC (35, 28)
Другие (661, 540)
Nutanix (1, 9)
Lenovo Data Center Group (3, 8)
Lenovo (3, 8)
Commvault (2, 5)
Cisco Systems (2, 2)
Другие (28, 29)
Equinix (1, 5)
Stack Group (Стек Групп, Стек Телеком) (1, 5)
Крок Облачные сервисы (1, 3)
GreenMDC (Грин ЭмДиСи) (1, 3)
Крок (1, 3)
Другие (11, 12)
Крок (1, 3)
Крок Облачные сервисы (1, 3)
Next Generation Networks (NGN) (1, 2)
ART Engineering (1, 1)
Equinix (1, 1)
Другие (9, 9)
GreenMDC (Грин ЭмДиСи) (1, 2)
RuBackup (Рубэкап) (1, 2)
C3 Solutions (СиТри Солюшнз, Новые Технологии) (1, 1)
Stack Group (Стек Групп, Стек Телеком) (1, 1)
РСК Технологии (1, 1)
Другие (4, 4)
Распределение систем по количеству проектов, не включая партнерские решения
VMware vSphere - 77
Крок: Виртуальный дата-центр (IaaS) - 37
M1Cloud (виртуальный ЦОД) - 22
Oracle Exadata Database Machine - 21
Cisco UCS Unified Computing System (Cisco UCCX) - 18
Другие 457
Nutanix HCI - 9
Lenovo ThinkSystem - 6
Commvault Complete Data Protection - 4
Dell EMC PowerEdge - 2
Cisco Application Centric Infrastructure (Cisco ACI, инфраструктура ориентированная на приложение) - 1
Другие 26
M1Cloud (виртуальный ЦОД) - 5
Крок: Виртуальный дата-центр (IaaS) - 3
GreenMDC Модульный ЦОД - 3
Selectel Выделенные серверы - 2
ISPsystem DCImanager - 1
Другие 8