OMÓWIENIE ROZWIĄZANIA. Zapora ISFW. Ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

Transkrypt

1 OMÓWIENIE ROZWIĄZANIA Zapora ISFW Ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

2 Wprowadzenie Liczba, zaawansowanie i oddziaływanie cyberataków stale się zwiększa. Przypadki naruszenia bezpieczeństwa przyciągają niepożądaną uwagę opinii publicznej, skutkują utratą reputacji i zaufania klientów oraz mogą wiązać się z wysokimi kosztami przywracania sytuacji do stanu sprzed ataku. W miarę wdrażania przez firmy i instytucje najnowszych technologii informatycznych, w tym aplikacji na urządzenia przenośne i chmur obliczeniowych, tradycyjne granice sieci stają się coraz trudniejsze do kontrolowania i ochrony. Obecnie można uzyskać dostęp do sieci korporacyjnej na wiele różnych sposobów. Z tego względu firmy i instytucje od dawna inwestują w mechanizmy ochrony granic sieci na różnych poziomach takiej sieci (oddziały, kampusy lub centra danych), aby uniemożliwiać przedostanie się zagrożeń zewnętrznych do infrastruktury wewnętrznej. Przez całą dekadę strategia taka była dobra i skuteczna. Uzupełnieniem zapór konfigurowanych na granicy sieci były dodatkowe mechanizmy bezpieczeństwa, których celem była ochrona na poziomie aplikacji oraz wielowarstwowa ochrona przed atakami APT (ang. Advanced Persistent Threat). Zaawansowane ataki mimo to nadal mogą zakończyć się przeniknięciem do sieci wewnętrznej. Oznacza to, że konieczne jest wdrożenie dodatkowej warstwy zabezpieczeń, tym razem w ramach sieci wewnętrznej. Zadaniem takiej warstwy będzie nie tylko segmentacja potencjalnych ścieżek, za pośrednictwem których atakujący chcą uzyskać dostęp do krytycznych zasobów, ale również zapewnienie odpowiedniego poziomu bezpieczeństwa oraz większej widoczności i możliwości ograniczenia potencjalnych negatywnych skutków naruszenia bezpieczeństwa. 2

3 OMÓWIENIE ROZWIĄZANIA ZAPORA ISFW Wyzwanie Fakt nr 1 Liczba, zaawansowanie i oddziaływanie cyberataków stale się zwiększa. Obecnie wykładniczo rośnie liczba punktów dostępu do sieci korporacyjnej. Za pośrednictwem aplikacji na urządzenia przenośne, urządzeń inteligentnych i chmur obliczeniowych można przeprowadzać coraz więcej zaawansowanych ataków służących przeniknięciu do sieci wewnętrznej. Fakt nr 2 Sieć wewnętrzna jest otwarta i niechroniona. Aby sieci były elastyczne i działały sprawnie, w coraz większym stopniu pozbawiano je zabezpieczeń. Mechanizmy bezpieczeństwa, które funkcjonują w ramach sieci wewnętrznej, są w większości przypadków jedynie podstawowe oraz ograniczone do sieci wirtualnych LAN i list kontroli dostępu warstwy 4. W efekcie po przedostaniu się przez zabezpieczenia granic sieci hakerzy lub programy wykorzystujące luki w zabezpieczeniach mogą łatwo i swobodnie uzyskiwać dostęp do kolejnych poświadczeń, zasobów lub danych. Ponadto brak infrastruktury zabezpieczeń w ramach sieci wewnętrznej w istotny sposób ogranicza możliwości śledzenia podejrzanego ruchu oraz podejrzanych zagrożeń i przepływów danych, co utrudnia wykrywanie przypadków naruszenia bezpieczeństwa. Fakt nr 3 Segmentacja w ramach wirtualnej sieci lokalnej nie jest wystarczająca. Segmentacja sieci wewnętrznej była tradycyjnie dokonywana w ramach wdrożenia wirtualnej sieci lokalnej przy zastosowaniu funkcji routingu na potrzeby komunikacji wewnątrzsieciowej. Segmentacja w ramach takiej sieci może ograniczyć rozprzestrzenianie się mniej zaawansowanych zagrożeń w ramach danej wirtualnej sieci lokalnej. Bardziej zaawansowane zagrożenia mogą jednak łatwo rozprzestrzenić się między wirtualnymi sieciami lokalnymi, ponieważ routery nie są urządzeniami zapewniającymi bezpieczeństwo i nie są wyposażone w mechanizmy pozwalające na skuteczne wykrywanie i blokowanie zagrożeń. Model segmentacji w ramach wirtualnej sieci lokalnej jest ograniczony pod względem skalowalności i może obsługiwać maksymalnie 4 tys. takich sieci. Ogranicza to jego zdolność do zapewnienia niezbędnej mikrosegmentacji w ramach obecnych sieci korporacyjnych, które mogą obejmować tysiące serwerów i maszyn wirtualnych. Rozwiązanie zapora ISFW Aby rozwiązać powyższe problemy, należy wdrożyć zapory klasy korporacyjnej, które w strategicznych punktach sieci wewnętrznej będą używać najnowocześniejszych funkcji zapewniających dodatkową warstwę bezpieczeństwa. Wdrożenie takich zapór ISFW (ang. Internal Segmentation Firewall), zapewnia następujące korzyści pod względem bezpieczeństwa: 1. Kontrola dostępu do najważniejszych zasobów w miejscu maksymalnie zbliżonym do użytkownika w ramach segmentacji opartej na zasadach. 2. Ustanowienie barier służących zatrzymaniu i ograniczeniu niekontrolowanego rozprzestrzeniania się zagrożeń i działań hakerów w sieci wewnętrznej w wyniku zastosowania segmentacji fizycznej z zaawansowanymi mechanizmami bezpieczeństwa. 3. Ograniczenie zakresu potencjalnych szkód wyrządzonych przez zagrożenia w ramach sieci wewnętrznej. 4. Zwiększenie widoczności zagrożeń oraz rozszerzenie możliwości wykrywania przypadków i zapobiegania przypadkom naruszenia bezpieczeństwa. 5. Poprawa ogólnej sytuacji w zakresie bezpieczeństwa. Aby efektywnie uzyskać i zmaksymalizować kontrolę nad zagrożeniami i ograniczyć potencjalne szkody z nich wynikające, wdrożenie zapory ISFW bazuje na dwóch elementach: n Segmentacja oparta na zasadach. n Segmentacja w kontekście fizycznym i wirtualnym. 3

4 OMÓWIENIE ROZWIĄZANIA: ZAPORA ISFW Zapora ISFW segmentacja oparta na zasadach Celem modelu segmentacji opartej na zasadach jest podzielenie na segmenty procesu uzyskiwania przez użytkowników dostępu do sieci, aplikacji i zasobów w drodze przypisania tożsamości użytkownika do stosownych mechanizmów weryfikacji tożsamości, aby w ten sposób ograniczyć potencjalne ścieżki ataku oraz zagrożenia ze strony użytkownika. Istotą segmentacji opartej na zasadach jest automatyczne przypisanie tożsamości użytkownika do egzekwowanej zasady zabezpieczeń. Tożsamość użytkownika może zostać zdefiniowana jako zestaw atrybutów (na przykład lokalizacja fizyczna, typ urządzenia używanego do uzyskania dostępu do sieci lub używana aplikacja). Tożsamość taka może zmieniać się w sposób dynamiczny, egzekwowana zasada zabezpieczeń musi zatem również dynamicznie i automatycznie podążać za wspomnianymi zmianami. Na przykład użytkownik może określić odmienne zasady dla poszczególnych typów urządzeń używanych do uzyskania dostępu do sieci. W celu uzyskania wymaganego poziomu identyfikacji użytkownika oraz ogólnych parametrów niezbędnych do tworzenia i egzekwowania szczegółowych zasad zabezpieczeń zapora ISFW musi pozwalać na: 1. Identyfikację użytkownika, urządzenia i aplikacji. 2. Integrację z istniejącym systemem usług katalogowych (na przykład Active Directory od Microsoft) w celu dynamicznej identyfikacji tożsamości użytkownika. 3. Dynamiczne przypisywanie do tożsamości użytkownika konkretnej zasady zabezpieczeń i egzekwowanie takiej zasady. Wspomniane powiązanie profilu użytkownika do konkretnej zasady zabezpieczeń powinno znajdować się maksymalnie blisko źródła lub punktu dostępu. Z tego względu wszystkie zapory wdrożone na różnych szczeblach organizacyjnych (centrala, oddziały lub kampusy) muszą być zdolne do dynamicznej identyfikacji użytkownika i zastosowania wobec niego odpowiednich zasad w ramach całej organizacji. W efekcie cała infrastruktura zapory zacznie pełnić rolę inteligentnego systemu segmentacji opartej na zasadach. Zapora ISFW segmentacja w kontekście fizycznym i wirtualnym Segmentacja oparta na zasadach definiuje również usługi zabezpieczeń stosowane przez zaporę, w tym usługi ochrony przed wirusami i włamaniami oraz usługi kontroli aplikacji. Bez względu na skuteczność tych usług, oczywiste jest, że nieznane zagrożenie może i tak przedostać się do sieci wewnętrznej. Aby zmaksymalizować zdolności do wykrywania i powstrzymywania zagrożeń oraz ograniczania ich rozprzestrzeniania się w sieci wewnętrznej, należy zastosować fizyczną segmentację zapory. Potrzeba ta wynika z twardej rzeczywistości dotyczącej przypadków naruszeń bezpieczeństwa oraz upowszechniającego się modelu braku zaufania (ang. zero trust concept). Elementy te wymagają zastosowania mikrosegmentacji w odniesieniu do wszystkich zasobów w ramach sieci wewnętrznej przez wdrożenie dostosowanej infrastruktury zabezpieczeń pozwalającej na skuteczne izolowanie serwerów, repozytoriów danych i aplikacji. Wdrożenie funkcji zapory ISFW w całej sieci wewnętrznej Wirtualna zapora ISFW dla centrum danych definiowanego programowo (SDDC). W związku z masowo wdrażanym w centrach danych na całym świecie oprogramowaniem do wirtualizacji i infrastrukturą definiowaną programowo funkcje mikrosegmentacji są już zaimplementowane w ramach stosowanych w tych centrach zaawansowanych narzędzi zapór wirtualnych. W efekcie każda maszyna wirtualna korzysta już z zalet segmentacji. Wspomniane wirtualne zapory ISFW (takie jak FortiGate-VM i FortiGate-VMX) zapewniają wymagane usługi zabezpieczeń w zakresie widoczności, analizy i ochrony przepływu danych między maszynami wirtualnymi (tzw. ruch wschód zachód ). 4

5 OMÓWIENIE ROZWIĄZANIA ZAPORA ISFW Fizyczna zapora ISFW. W przypadku przepływów danych z i do sieci wewnętrznej oraz centrum danych (tzw. ruch północ południe ) implementacja fizycznych zapór ISFW jest wymagana w celu zapewnienia ekonomicznego i skalowalnego sposobu rozszerzenia na całą sieć korporacyjną segmentacji i widoczności pod względem bezpieczeństwa i obejmuje: n wdrożenie wirtualnych zapór ISFW na potrzeby mikrosegmentacji w zakresie maszyn wirtualnych; n wdrożenie fizycznych zapór ISFW w ramach sieci wewnętrznej w celu zapewnienia rozszerzonej pod względem zabezpieczeń segmentacji serwerów, aplikacji, danych, funkcji i działów; n zastosowanie logicznej segmentacji dostępu użytkownika do zasobów wrażliwych w ramach segmentacji opartej na zasadach realizowanej przez zaporę ISFW. W odróżnieniu od implementacji zapory ISFW w środowisku wirtualnym, gdzie pojedyncza zapora wirtualna FortiGate ISFW zapewnia segmentację i ochronę wszystkich maszyn wirtualnych w obrębie serwera, określenie szczegółowości segmentacji realizowanej przez zaporę fizyczną (rozmiar, działanie i liczba portów Ethernet) zależy od wielu czynników takich jak fizyczna lokalizacja zapory, architektura sieci, struktura zaufania w danej organizacji oraz znaczenie i umiejscowienie zasobów centrum danych. Kompleksowa zapora ISFW. Niezależna zapora ISFW zapewnia użytkownikom następujące korzyści: 1. Funkcje oparte na zasadach w celu ograniczenia dostępu użytkowników i potencjalnych zagrożeń do zasobów wrażliwych. 2. Zdolność do zapewnienia wewnętrznej segmentacji wirtualnej i fizycznej w ramach całej sieci. 3. Oddziaływanie i obecność zagrożeń zostało ograniczone do segmentu, do którego udało się im przeniknąć. 4. Większa widoczność aplikacji, użytkowników, urządzeń i przesyłu danych w ramach sieci wewnętrznej. 5. Szybsze wykrywanie przypadków i zapobieganie przypadkom naruszenia bezpieczeństwa. Metody implementacji zapory ISFW. Implementacja infrastruktury ISFW może nastąpić przez: 1. Modyfikację istniejącej infrastruktury zapory. 2. Dodanie kolejnych zapór, które będą działać w charakterze wyznaczonych zapór ISFW. Dodanie zapór FortiGate, które będą działać jak wyznaczone zapory ISFW, to rodzaj uproszczonego wdrożenia z opcją trybu przejrzystego dla szybkich wdrożeń. W trybie tym zapora działa tak jak w trybie BITW (ang. bump in a wire) i nie jest wykrywana jako przeskok routera do podłączonych urządzeń, żadne modyfikacje adresu IP nie są zatem wymagane. Bez względu na wybór opcji wdrożenia, należy rozważyć poniższe kryteria: n Wirtualne i fizyczne zapory ISFW w celu uzyskania kompleksowego rozwiązania. n Integracja z usługami katalogowymi. n Rozszerzenie istniejących zasad zabezpieczeń w celu umożliwienia segmentacji opartej na zasadach. n Dodanie w razie potrzeby portów zapory sieciowej w celu zapewnienia lepszej segmentacji fizycznej. n Działanie zapory ISFW musi spełniać zadane parametry w zakresie przepustowości i czasu opóźnienia oraz zapewniać maksymalne bezpieczeństwo w ramach wysoce posegmentowanego środowiska. Zapora ISFW od Fortinet Fortinet to pionier w zakresie tworzenia i wdrażania zapór ISFW w ramach kompleksowej infrastruktury ATP. Rozwiązanie to chroni firmy i instytucje przed nawet najbardziej zaawansowanymi obecnie zagrożeniami. 5

6 OMÓWIENIE ROZWIĄZANIA: ZAPORA ISFW Fortinet oferuje dynamiczną, łatwą w zarządzaniu i skalowalną zaporę ISFW, która charakteryzuje się następującymi cechami: 1. Zastosowanie zasad zapory FortiGate na potrzeby segmentacji opartej na zasadach pozwalającej na identyfikację użytkowników, urządzeń i aplikacji. 2. Integracja z funkcjami RADIUS, LDAP i Active Directory na potrzeby uwierzytelniania użytkowników i zarządzania nimi. 3. Bogaty zestaw usług zabezpieczeń w zaporach FortiGate, w tym usługi ochrony przed wirusami i włamaniami oraz usługi kontroli aplikacji, które zapewniają maksymalną ochronę sieci wewnętrznej. 4. Urządzenia fizyczne FortiGate korzystają z architektury ASIC, aby zapewnić wysoką wydajność, szybkość i małe opóźnienie wymagane w wysoce posegmentowanym środowisku. 5. Wirtualne zapory FortiGate zapewniają funkcje zapory w chmurach publicznych i centrach danych definiowanych programowo. 6. Szeroki asortyment wirtualnych i fizycznych urządzeń ISFW FortiGate pozwala na uzyskanie wydajności i skalowalności niezbędnej do optymalnej segmentacji eksploatowanej sieci. 7. Kompleksowe, skalowalne, łatwe w zarządzaniu i zautomatyzowane rozwiązanie wyposażone w FortiManager, FortiAnalyzer/ FortiView i FortiAuthenticator. Zarządzanie Zapora ISFW wchodzi w skład kompleksowej platformy zabezpieczeń Fortinet obejmującej funkcje zabezpieczonego dostępu bezprzewodowego, wirtualne i fizyczne zapory w centrum danych i urządzenia zabezpieczające na poziomie aplikacji. Wszystkimi tymi elementami można zarządzać z poziomu jednego ekranu za pomocą rozwiązań FortiManager i FortiAnalyzer. W kontekście wdrożenia zapory ISFW szacuje się, że liczba definiowanych zasad będzie wzrastać w związku z opartą na zasadach segmentacją sieci wewnętrznej. Ponadto każda zapora stosowana w sieci korporacyjnej powinna być zdolna do dynamicznego egzekwowania segmentacji opartej na zasadach co wymaga, aby każda zapora była zdolna do rozpoznawania wszystkich zdefiniowanych zasad. Taki wymóg może potencjalnie wiązać się z ogromnymi problemami z zarządzaniem i negatywnym oddziaływaniem na zasoby zapory. FortiManager, FortiAnalyzer i FortiAuthenticator rozwiązują te problemy przez: 1. Jednokrotne zdefiniowanie zasad za pomocą FortiManager. 2. Automatyczne przesyłanie przez FortiManager zasad do zapór będących elementem segmentacji funkcjonalnej ISFW. 3. Identyfikację użytkowników i uzyskanie skalowalności segmentacji opartej na zasadach w ramach integracji aplikacji FortiAuthenticator (zapewniającej integrację i automatyzację zapór FortiGate) z usługami katalogowymi. 4. Zapewnienie przez rozwiązania FortiAnalyzer i FortiView szczegółowej i zagregowanej widoczności ruchu danych (danych o użytkownikach, urządzeniach, aplikacjach, zagrożeniach itp.) w ramach całej organizacji. Podsumowanie W miarę wzrostu liczby, zaawansowania i oddziaływania zagrożeń oczywistym jest, że skupienie zabezpieczeń na granicy sieci nie jest wystarczające. Zapora ISFW zapewnia firmom i instytucjom dodatkową warstwę ochrony sieci wewnętrznej w celu zabezpieczenia najważniejszych aktywów oraz poprawy zdolności do wykrywania przypadków naruszenia bezpieczeństwa i zmniejszania opóźnień. Dzięki wydajnym wirtualnym i fizycznym zaporom ISFW zarządzanym z poziomu jednego ekranu Fortinet oferuje kompleksowe, szczegółowe, opłacalne i wydajne rozwiązanie ISFW do zastosowań w najbardziej wymagających środowiskach i organizacjach. 6

7 OMÓWIENIE ROZWIĄZANIA ZAPORA ISFW 7

8 SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA Stany Zjednoczone Tel.: BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: BIURO SPRZEDAŻY REGION APAC 300 Beach Road The Concourse Singapur Tel.: BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P Del. Alvaro Obregón México D.F. Tel.: (55) POLSKA ul. Złota 59/6F Budynek Lumen II (6 piętro) Warszawa Polska Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi spółki Fortinet, Inc. Pozostałe nazwy związane z Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi Fortinet. Wszelkie inne nazwy produktów lub spółek mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, faktyczna wydajność może być zatem inna. Na wartość parametrów wydajności mogą mieć wpływ zmienne sieciowe, różnorodne środowiska sieciowe i inne uwarunkowania. Żadne ze stwierdzeń zawartych w tym dokumencie nie stanowi wiążącego zobowiązania ze strony Fortinet, a Fortinet odrzuca wszelkie wyraźne lub dorozumiane gwarancje i rękojmie, z wyjątkiem gwarancji udzielonych przez Fortinet na mocy wiążącej umowy z kupującym podpisanej przez głównego radcę prawnego Fortinet, w której Fortinet zagwarantuje, że określony produkt będzie działać zgodnie z wyraźnie wymienionymi w takim dokumencie parametrami wydajności, a w takim przypadku wyłącznie określone parametry wydajności wyraźnie wskazane w takiej wiążącej umowie pisemnej będą wiązać Fortinet. Wszelka tego typu gwarancja będzie dotyczyć wyłącznie wydajności uzyskiwanej w takich samych warunkach idealnych, w jakich Fortinet przeprowadza wewnętrzne testy laboratoryjne. Fortinet w całości odrzuca wszelkie wyraźne lub dorozumiane przyrzeczenia, oświadczenia i gwarancje związane z tym dokumentem. Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia lub innego korygowania niniejszej publikacji bez powiadomienia (zastosowanie ma najnowsza wersja publikacji). 19 lis :54 PM D:\Projects_Mario\Fortinet\P-11165_proof_PL\to_send\SG-Internal Segmentation Firewall-PL