Wewnętrzna ochrona sieci. Zapora ISFW OPRACOWANIE

Podobne dokumenty
OMÓWIENIE ROZWIĄZANIA. Zapora ISFW. Ochrona przed propagacją zagrożeń i uszkodzeniami w sieci wewnętrznej

OMÓWIENIE ROZWIĄZANIA. Connect & Secure. Bezpieczny, opłacalny i jednolity dostęp do sieci w przedsiębiorstwach rozproszonych.

Zabezpieczanie centrum danych

WHITE PAPER. Pełna ochrona wewnątrz sieci Internal Network Firewall (INFW)

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Podstawy bezpieczeństwa

Pełna ochrona wewnątrz sieci Internal Network Firewall (INFW) WHITE PAPER

OMÓWIENIE ROZWIĄZANIA. Secure Access Architecture. W pełni bezpieczny dostęp do sieci

Małe i średnie firmy Rozwój, konsolidacja i oszczędności

OMÓWIENIE ROZWIĄZANIA. Tworzenie naturalnej aktywnej odporności na zaawansowane zagrożenia

OMÓWIENIE ROZWIĄZANIA. Secure Access Architecture. W pełni zabezpieczony dostęp do sieci przedsiębiorstwa

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Bezpieczeństwo z najwyższej półki

STRATEGIE OBRONY SIECI BEZPRZEWODOWYCH W ERZE INTERNETU RZECZY

SIŁA PROSTOTY. Business Suite

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

OCHRONA SIECI DLA KAŻDEJ CHMURY

Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS

CENTRALA ŚWIATOWA Stevens Creek Blvd. Cupertino, CA USA

9. System wykrywania i blokowania włamań ASQ (IPS)

Znak sprawy: KZp

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Zabezpieczenie przemysłowych systemów sterowania za pomocą rozwiązań Fortinet Kompleksowe mechanizmy zabezpieczeń zgodne z normą IEC-62443

Produkty. MKS Produkty

INTERNET i INTRANET. SUPPORT ONLINE SP. z o.o. Poleczki 23, Warszawa tel support@so.com.pl

155,35 PLN brutto 126,30 PLN netto

RAPORT Z ANKIETY. Ankieta dotycząca bezpieczeństwa komunikacji bezprzewodowej 2015 Wdrożone zabezpieczenia komunikacji bezprzewodowej: Stan rynku

Fortinet: Infrastruktura Advanced Threat Protection

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

FortiSandbox. Główne zalety. Proaktywne wykrywanie i ochrona. Obserwacja podejrzanych elementów. Łatwość wdrożenia

Wprowadzenie do Kaspersky Value Added Services for xsps

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Bitdefender GravityZone

OPRACOWANIE. Zwiększanie dynamiki i bezpieczeństwa dzięki konsolidacji centrum danych

OCHRONA PRZED RANSOMWARE

Zaawansowane zagrożenia, zaawansowane rozwiązania Integracja bezpiecznego środowiska testowego z infrastrukturą zabezpieczeń

PRZYGOTOWANIE DO WDROŻENIA OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (GDPR)

ZiMSK. VLAN, trunk, intervlan-routing 1

Oracle Log Analytics Cloud Service

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Wyższy poziom bezpieczeństwa

Translacja adresów - NAT (Network Address Translation)

ZAPEWNIENIE NOWOCZESNYCH MECHANIZMÓW OCHRONY DANYCH NA POTRZEBY RODO

Różnice pomiędzy hostowanymi rozwiązaniami antyspamowymi poczty firmy GFI Software

Przełączanie i Trasowanie w Sieciach Komputerowych

Skalowanie wydajności zabezpieczeń sieciowych za pomocą technologii 100 Gb Ethernet

7 głównych warunków dobrego działania sieci Wi-Fi w chmurze

Gmina Lesznowola ul. Gminna Lesznowola NIP: Lesznowola znak sprawy: INF AM ZAPYTANIE OFERTOWE

Bitdefender GravityZone Advanced Business Security

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

Rzut oka na środowisko sandbox

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

BRINET Sp. z o. o.

Temat: Windows 7 Centrum akcji program antywirusowy

Licencjonowanie funkcji zarządzania System Center 2012 Server

F-SECURE ZABEZPIECZ SWÓJ BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI

Zabezpieczenia sieci sterowanych programowo w środowiskach centrów danych VMware

Symantec Enterprise Security. Andrzej Kontkiewicz

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Arkanet s.c. Produkty. Norman Produkty

sprawdzonych porad z bezpieczeństwa

POLITYKA E-BEZPIECZEŃSTWA

Najwyższa jakość ochrony na każdym poziomie.

Polityka ochrony danych osobowych w programie Norton Community Watch

FortiSandbox. Wielowarstwowa proaktywna ochrona przed zagrożeniami

Nowa koncepcja ochrony sieci korporacyjnej OPRACOWANIE

Wirtualizacja sieci - VMware NSX

Kaspersky Security Network

Włącz autopilota w zabezpieczeniach IT

Bezpieczeństwo dla wszystkich środowisk wirtualnych

Audytowane obszary IT

Zapory sieciowe i techniki filtrowania.

Panda Global Business Protection

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

BITDEFENDER GRAVITYZONE

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Zadania z sieci Rozwiązanie

OCHRONA SYMANTEC ENTERPRISE SECURITY. Kompleksowe rozwiązania ochrony przed włamaniami opracowane przez firmę Symantec

Specyfikacje. Tabela 1. Cechy usługi. Sposób realizacji usługi. Dostęp do zasobów technicznych. Analiza i rozwiązywanie

Barracuda Advanced Threat Protection

Netia Mobile Secure Netia Backup

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

ZiMSK NAT, PAT, ACL 1

Projektowanie bezpieczeństwa sieci i serwerów

Bitdefender GravityZone

System zarządzania i monitoringu

OGŁOSZENIE O ZAMÓWIENIU

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Nowoczesne narzędzia HR. Waldemar Lipiński DMZ-CHEMAK sp. z o.o.

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Otwock dn r. Do wszystkich Wykonawców

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Transkrypt:

Wewnętrzna ochrona sieci Zapora OPRACOWANIE

Spis treści Streszczenie...2 Zaawansowane zagrożenia wykorzystują słabe strony płaskich sieci wewnętrznych...3 Odpowiedzią na te zagrożenia jest zapora...4 Wymagania techniczne zapory...6 Podsumowanie...8 Streszczenie Przez ostatnią dekadę firmy i instytucje próbowały chronić swoje sieci za pomocą zabezpieczeń wdrażanych wzdłuż granic tych sieci (granica z Internetem, bariery, punkty końcowe i centra danych, w tym strefa DMZ). Takie zewnętrzne podejście opierało się na przekonaniu, że wystarczy kontrolować wyraźnie zdefiniowane punkty wejścia do sieci, aby w ten sposób zabezpieczyć wartościowe zasoby. Podejście to przewidywało również wdrażanie maksymalnie silnych zabezpieczeń na granicach sieci oraz założenie, że żadne zagrożenie nie przedostanie się przez zaporę. W miarę wdrażania przez firmy i instytucje najnowszych technologii informatycznych, w tym aplikacji na urządzenia przenośne i chmur obliczeniowych, tradycyjne granice sieci stają się jednak coraz trudniejsze do kontrolowania i ochrony. Obecnie można uzyskać dostęp do sieci korporacyjnej na wiele różnych sposobów. Od niedawna producenci zapór zaczęli oznaczać porty na swoich urządzeniach jako zewnętrzne (niezapewniające bezpieczeństwa) i wewnętrzne (zapewniające bezpieczeństwo). Zaawansowane zagrożenia wykorzystują jednak słabe strony wspomnianego podejścia, ponieważ jeśli uda im się przeniknąć przez granicę sieci, mogą bez problemu penetrować całą sieć wewnętrzną. Sieć wewnętrzna zazwyczaj składa się z niezabezpieczonych urządzeń takich jak przełączniki, rutery i mostki. Jeśli zatem haker, podwykonawca lub nawet nieprzyjaźnie nastawiony pracownik uzyska dostęp do sieci wewnętrznej, wówczas będzie mieć swobodny dostęp do wszystkich wartościowych zasobów. Podstawowe wymagania PEŁNA OCHRONA Stała wewnętrzna ochrona sieci przed zaawansowanymi zagrożeniami w ramach jednej infrastruktury bezpieczeństwa OPARCIE NA ZASADACH W celu lepszej kontroli i segmentacji użytkowników oraz ograniczenia zagrożeniom potencjalnych ścieżek dostępu do zasobów wrażliwych ŁATWE WDROŻENIE Domyślne zastosowanie trybu przezroczystego oznacza brak konieczności zmiany architektury sieci oraz możliwość centralnego wdrożenia i zarządzania DUŻA WYDAJNOŚĆ Obsługa wielogigabitowej przepustowości nie spowalnia przepływu danych między maszynami wirtualnymi Aby temu zapobiec, należy zastosować nowy rodzaj zapory zaporę (ang. internal segmentation firewall), którą wdraża się w strategicznych punktach sieci wewnętrznej. Zaporę taką można umieścić przed serwerami zawierającymi cenną własność intelektualną lub urządzeniami użytkowników lub aplikacjami sieciowymi w chmurze. 2 www.fortinet.com

OPRACOWANIE WEWNĘTRZNA OCHRONA SIECI ZAPORA Po wdrożeniu zapora musi w czasie rzeczywistym zapewniać widoczność danych przepływających do i z danego zasobu sieciowego. Wspomniana widoczność ruchu sieciowego jest wymagana natychmiastowo, bez trwającego miesiącami procesu planowania i wdrażania. Ponadto zapora musi przede wszystkim zapewniać ochronę, ponieważ wykrywanie zagrożeń to tylko część rozwiązania. Analiza danych z dzienników i alertów może trwać tygodniami i miesiącami, natomiast zapora musi zapewniać proaktywną segmentację i ochronę w czasie rzeczywistym na podstawie najnowszych aktualizacji zabezpieczeń. Zapora musi być również na tyle elastyczna, aby mogła być wdrożona w dowolnym miejscu w sieci wewnętrznej i zostać zintegrowana z innymi elementami infrastruktury bezpieczeństwa w ramach jednego ekranu kontrolnego. Inne zabezpieczenia także mogą zapewniać dodatkową widoczność i ochronę. Obejmują one bramy poczty elektronicznej, bramy sieciowe, zapory brzegowe, zapory chmurowe i punkty końcowe. Ponadto zapora musi być zdolna do obsługi zarówno małych, jak i dużych przepustowości, oraz być możliwa do wdrożenia w ramach sieci globalnej. Zaawansowane zagrożenia wykorzystują słabe strony płaskich sieci wewnętrznych Obecnie cyberprzestępcy przeprowadzają ataki niestandardowe, aby uniknąć tradycyjnych zabezpieczeń, a po przeniknięciu do sieci wewnętrznej nie dać się wykryć i wykraść wartościowe dane. Istnieje niewiele systemów zdolnych do wykrywania ataków typu APT lub zabezpieczania się przed nimi. Na rys. 1 przedstawiono cykl życia zagrożenia, z którego wynika, że po przeniknięciu przez granicę sieci większość aktywności ma miejsce wewnątrz sieci. Aktywność taka obejmuje wyłączanie zabezpieczeń opartych na agentach, odbieranie zaktualizowanych instrukcji z centrali lub systemu kontrolnego, dodatkowe infekcje oraz wykradanie określonych zasobów. RYSUNEK 1. CYKL ŻYCIA ZAAWANSOWANEGO ZAGROŻENIA SIEĆ ZEWNĘTRZNA SIEĆ WEWNĘTRZNA Skanowanie w poszukiwaniu luk Przygotowywanie fałszywych e-maili Dostosowanie złośliwego oprogramowania itp. Inżynieria społeczna Ataki typu zero day Złośliwe adresy URL Złośliwe aplikacje itp. 1 Ścieżka ataku Infekcja 2 Przygotowanie ataku + rekonesans APLIKACJA ADRES URL 4 Wydobycie danych Komunikacja 3 Usunięcie Tworzenie pakietów i szyfrowanie Ukrywanie się, rozprzestrzenianie się, rozbrajanie, uzyskiwanie dostępu, kontaktowanie się z centralą sieci botnet, aktualizacja 3

OPRACOWANIE: WEWNĘTRZNA OCHRONA SIECI ZAPORA Odpowiedzią na te zagrożenia jest zapora W ciągu minionej dekady działanie większości zapór było skupione na ochronie granic sieci, granicy z Internetem, barier (zapora serwera), punktów końcowych, centrów danych (strefa DMZ) lub chmury. Na początku stosowano zapory akumulujące stan, ale potem wzbogacono je o funkcje jednolitego zarządzania ochroną przed zagrożeniami (ang. unified threat management, UTM) do obsługi sieci rozproszonych. W ten sposób w ramach jednego rozwiązania można było otrzymać zaporę, system ochrony przed włamaniami i program antywirusowy. Następnie pojawiły się zapory następnej generacji (ang. next generation firewall, NGFW), które obejmowały funkcje ochrony przed włamaniami oraz kontroli aplikacji na granicy z Internetem. Ze względu na duży wzrost szybkości przesyłania danych pojawiły się ostatnio zapory do centrów danych (ang. data center firewall, DCFW), które obsługują przepustowość przekraczającą nawet 100 Gb/s. Wszystkie te zapory mają wspólną cechę: chronią sieć z zewnątrz. Wdrożenie zapory Przedsiębiorstwa powinny wdrażać zapory z funkcjami następnej generacji w strategicznych punktach sieci wewnętrznej, aby w ten sposób uzyskać dodatkową warstwę zabezpieczeń i następujące korzyści: Kontrola dostępu do najważniejszych zasobów w miejscu maksymalnie zbliżonym do użytkownika w ramach segmentacji opartej na zasadach. Ustanowienie barier służących zatrzymaniu i ograniczeniu niekontrolowanego rozprzestrzeniania się zagrożeń i działań hakerów w sieci wewnętrznej w wyniku implementacji zaawansowanych mechanizmów bezpieczeństwa. Ograniczenie zakresu potencjalnych szkód wyrządzonych przez zagrożenia w ramach sieci wewnętrznej. Zwiększenie widoczności zagrożeń oraz rozszerzenie możliwości wykrywania przypadków i zapobiegania przypadkom naruszenia bezpieczeństwa. Poprawa ogólnej sytuacji w zakresie bezpieczeństwa. Do ochrony sieci wewnętrznej potrzebny jest jednak obecnie nowy rodzaj zapór zapory. Zapory te mają nieco inną charakterystykę niż zapory brzegowe. Różnice zostały przedstawione na rys. 2. Tryb wdrożenia NGFW DCFW UTM CCFW Cel Widoczność i ochrona segmentów sieci wewnętrznej Widoczność i ochrona przed zagrożeniami z zewnątrz, w tym zagrożeniami z Internetu Wydajna ochrona sieci przy małym opóźnieniu Widoczność i ochrona przed zagrożeniami z zewnątrz, w tym zagrożeniami ze strony użytkowników Bezpieczeństwo sieci dla usługodawców Lokalizacja Warstwa dostępu Brama do Internetu Warstwa podstawowa/ brama do centrum danych Brama do Internetu Różne Tryb działania sieci Tryb przejrzysty Tryb routingu/nat Tryb routingu/nat Tryb routingu/nat Tryb routingu/nat Wymagania sprzętowe Większa gęstość portów w celu ochrony wielu zasobów Porty GbE i 10 GbE Duża przepustowość (GbE/10 GbE/40 GbE/100), duża gęstość portów, przyspieszenie sprzętowe Duża gęstość portów GbE, zintegrowane połączenia bezprzewodowe i PoE Duża przepustowość (GbE/10 GbE/40 GbE), duża gęstość portów, przyspieszenie sprzętowe Zabezpieczenia Zapora, ochrona przed włamaniami, infrastruktura ATP, kontrola aplikacji (Oparta na użytkowniku) zapora, wirtualna sieć prywatna, ochrona przed włamaniami, kontrola aplikacji Zapora, zabezpieczenia przed atakami typu DDoS Kompleksowa i rozszerzalna integracja klientów i urządzeń Zapora, CGN, LTE i zabezpieczenia urządzeń przenośnych Inne cechy Szybkie wdrożenie minimalna konfiguracja Integracja z infrastrukturą ATP (Sandbox) Duża dostępność Różne sieci rozległe Opcje podłączania, w tym 3G/4G Duża dostępność RYSUNEK 2. RÓŻNICE MIĘDZY POSZCZEGÓLNYMI TYPAMI ZAPÓR 4 www.fortinet.com

OPRACOWANIE WEWNĘTRZNA OCHRONA SIECI ZAPORA Zapora musi pozwalać na segmentację opartą na zasadach Segmentacja oparta na zasadach zapewnia lepszą kontrolę i fragmentację dostępu użytkownika do aplikacji i zasobów realizowaną za pomocą powiązania tożsamości użytkownika z egzekwowaniem określonych zasad zabezpieczeń. Wspomniana segmentacja może ograniczyć ścieżki potencjalnych ataków z zewnątrz i niepożądanych działań użytkownika od wewnątrz. Istotą segmentacji opartej na zasadach jest automatyczne przypisanie tożsamości użytkownika do egzekwowanej zasady zabezpieczeń. Tożsamość użytkownika może zostać zdefiniowana jako zestaw atrybutów (na przykład lokalizacja fizyczna, typ urządzenia używanego do uzyskania dostępu do sieci lub używana aplikacja). Tożsamość taka może zmieniać się w sposób dynamiczny, egzekwowana zasada zabezpieczeń musi zatem również dynamicznie i automatycznie podążać za wspomnianymi zmianami. W celu uzyskania wymaganego poziomu identyfikacji użytkownika oraz ogólnych parametrów niezbędnych do tworzenia i egzekwowania szczegółowych zasad zabezpieczeń zapora musi pozwalać na: 1. Identyfikację użytkownika, urządzenia i aplikacji. 2. Integrację z systemem usług katalogowych w celu identyfikacji tożsamości użytkownika. 3. Dynamiczne przypisywanie do tożsamości użytkownika konkretnej zasady zabezpieczeń i egzekwowanie takiej zasady. Zapora musi zapewniać pełną ochronę Pierwszym elementem systemu bezpieczeństwa jest zapewnienie widoczności. Widoczność jest jednak tak dobra, jak jakość posiadanych informacji o pakiecie w sieci. Jak wygląda przepływ pakietów dla konkretnej aplikacji, jakie są jego źródła, jakie jest jego miejsce docelowe, jakie działania są podejmowane (pobieranie, wczytywanie...). Drugim równie istotnym elementem systemu bezpieczeństwa jest ochrona. Czy dane aplikacje, treści lub działania mają charakter złośliwy? Czy ten typ przepływu danych powinien być realizowany między tymi zestawami zasobów? Zapewnienie ochrony w ramach różnych typów aplikacji i treści jest zadaniem bardzo trudnym, ale jednocześnie jest to podstawowa funkcja zapory. Zdolność do wykrywania złośliwych plików, aplikacji i programów wykorzystujących luki w zabezpieczeniach daje atakowanemu czas na odpowiednią reakcję i eliminację zagrożenia. Aby były skuteczne, wszystkie elementy systemu ochrony muszą znajdować się na jednym urządzeniu. Zapora musi być łatwa we wdrożeniu Zapora musi być łatwa we wdrożeniu i zarządzaniu. W rozumieniu działu IT zapora jest łatwa we wdrożeniu, jeśli można ją wdrożyć bez potrzeby większej konfiguracji i bez konieczności istotnej modyfikacji istniejącej sieci. Zapora musi być również zdolna do ochrony różnych typów zasobów wewnętrznych znajdujących się w różnych punktach sieci. Zasobami takimi może być grupa serwerów zawierających wartościowe dane o klientach lub grupa urządzeń końcowych, które z jakichś przyczyn nie mogą być aktualizowane za pomocą najnowszej wersji oprogramowania zabezpieczającego. Ponadto zapora musi dać się zintegrować z innymi elementami istniejącej infrastruktury bezpieczeństwa. Inne zabezpieczenia także mogą zapewniać dodatkową widoczność i ochronę. Obejmują one bramy poczty elektronicznej, bramy sieciowe, zapory brzegowe, zapory chmurowe i punkty końcowe. Wszystkie te zabezpieczenia muszą być zarządzane z jednego ekranu konsoli. W efekcie zasady bezpieczeństwa będą spójne na granicach i wewnątrz sieci, a nawet poza jej granicami w poszczególnych chmurach. Ponadto tradycyjne zapory są zazwyczaj wdrażane w trybie routingu. Interfejsy (porty) są dobrze zdefiniowane za pomocą adresów IP. Wymaga to często miesięcy prac dotyczących planowania i wdrożenia. W obecnym świecie cyberataków wspomniany czas jest bardzo dobrze zainwestowany. Zapora może być wdrożona w ramach sieci szybko i z minimalnymi zakłóceniami dotyczącymi przesyłu danych w tej sieci. Włączenie takiej zapory powinno wymagać jedynie włączenia urządzenia i poczekania na połączenie. Sama zapora powinna być przejrzysta zarówno dla sieci, jak i dla aplikacji. Zapora musi zapewniać odpowiednią szybkość działania Zapory są wdrażane razem zgodnie ze strefowym podziałem sieci, muszą być zatem bardzo wydajne, aby spełniać wymogi ruchu wschód zachód (wewnętrznego) oraz nie stać się wąskimi gardłami. W przeciwieństwie do zapór znajdujących się na granicy sieci, które mają do czynienia z dostępem do sieci rozległej lub do Internetu o szybkości przesyłu danych na poziomie maksymalnie 1 Gb/s, przesył danych w sieci wewnętrznej jest o wiele szybszy i jest liczony w wielu gigabitach na sekundę. W takim przypadku zapora musi obsługiwać taki wielogigabitowy przesył danych i być zdolna do szczegółowej weryfikacji pakietów/połączeń bez spowalniania działania całej sieci. Zarówno funkcje widoczności, jak i ochrony silnie zależą od działania centralnego systemu wykrywania zagrożeń w czasie rzeczywistym. Zawsze warto zadać sobie następujące pytanie: jak skuteczne są wdrożone funkcje zapewniania widoczności i ochrony? Czy funkcje te są zdolne do wykrywania najnowszych zagrożeń? Z tego względu wszystkie usługi zabezpieczeń powinny być na bieżąco sprawdzane i certyfikowane przez niezależny podmiot. 5

OPRACOWANIE: WEWNĘTRZNA OCHRONA SIECI ZAPORA Wymagania techniczne zapory Elastyczny system operacyjny do obsługi sieci Niemal wszystkie tryby wdrożenia zapór wymagają przydzielenia numerów IP i ponownej konfiguracji sieci. Takie działania definiujące model routingu sieciowego pozwalają na zapewnienie odpowiedniej widoczności przesyłu danych i ochronę przed zagrożeniami w sieci. Na drugim końcu tego spektrum znajduje się tryb nasłuchu (ang. sniffer mode), który jest łatwiejszy w konfiguracji i zapewnia odpowiednią widoczność, ale nie zapewnia żadnej ochrony. Tryb przezroczysty łączy w sobie korzyści wynikające z modelu routingu sieciowego i modelu nasłuchu, ponieważ nie tylko jest szybki we wdrożeniu i oferuje odpowiednią widoczność, ale przede wszystkim zapewnia ochronę. Stosowne różnice zostały przedstawione na rys. 3. Skalowalna infrastruktura sprzętowa Szybkość przesyłu danych w sieciach wewnętrznych jest bardzo duża, zapora musi być zatem zdolna do zapewnienia odpowiedniej ochrony w przypadku przepustowości liczonej w wielu gigabitach na sekundę. Architektury oparte wyłącznie na procesorach są całkiem elastyczne, w przypadku wspomnianej dużej przepustowości stają się jednak wąskimi gardłami. Najlepsza architektura nadal korzysta z zapewniających elastyczność procesorów, ale jest uzupełniona o technologię ASIC, która przyspiesza weryfikację danych i połączeń w ramach sieci. Zapora jest wdrażana w pobliżu danych i urządzeń, może zatem mieć czasami do czynienia z bardziej wymagającym środowiskiem. Z tego względu większa wytrzymałość jest kolejnym wymaganiem wobec wspomnianej zapory. Tryb wdrożenia Złożoność wdrożenia Funkcje sieciowe Duża dostępność Widoczność przesyłu danych Routing sieciowy Duża Routing L3 Tryb przejrzysty Niska Mostek L2 Tryb nasłuchu Niska X X X Ochrona przed zagrożeniami RYSUNEK 3. RÓŻNICE MIĘDZY POSZCZEGÓLNYMI TYPAMI ZAPÓR Punkt końcowy Kampus SIEĆ WEWNĘTRZNA Zapora brzegowa (NGFW) CHMURA Aplikacje Wirtualna zapora INTERNET SIEĆ WEWNĘTRZNA Zapora centrum danych (DCFW) Centrum danych Oddział Zapora UTM SIEĆ WEWNĘTRZNA RYSUNEK 4. WDROŻENIE ZAPORY 6 www.fortinet.com

OPRACOWANIE WEWNĘTRZNA OCHRONA SIECI ZAPORA Segmentacja w sieci zintegrowane przełączanie obsługujące duże przepustowości Stale rozwijanym aspektem trybu przezroczystego jest zdolność do fizycznego oddzielenia podsieci i serwerów za pomocą przełączników sieciowych. Na rynku są coraz częściej dostępne zapory z w pełni funkcjonalnymi zintegrowanymi przełącznikami sieciowymi. Te nowe zapory obejmujące wiele interfejsów portów 10 Gigabit Ethernet okazują się idealnymi rozwiązaniami do fizycznego i wirtualnego zabezpieczania serwerów w centrach danych w architekturze ToR (ang. top-of-rack). Ponadto podobne zintegrowane z przełącznikami zapory o dużej gęstości interfejsów portów 1 Gigabit Ethernet okazują się idealne do oddzielenia podsegmentów sieci lokalnej. Zapora powinna pełnić obie te role i jako taka powinna też udostępniać w pełni funkcjonalne zintegrowane funkcje przełączania. Ochrona w czasie rzeczywistym Zapory muszą być zdolne do zapewnienia pełnego spektrum zaawansowanych usług zabezpieczeń, w tym ochrony przed wirusami, włamaniami i spamem, zapewnienia widoczności aplikacji oraz integracji z opartym na chmurze bezpiecznym środowiskiem testowym (ang. sandbox), aby odpowiednio egzekwować zasady uzupełniające zasady egzekwowane przez standardowe zapory znajdujące się na granicy sieci. Taka widoczność i ochrona w czasie rzeczywistym jest niezbędna w celu ograniczania skali rozprzestrzeniania się złośliwego oprogramowania w sieci wewnętrznej. Przykład wdrożenia zapory w kontekście całej sieci Większość przedsiębiorstw chroni granice sieci za pomocą zapór NGFW i UTM. Mimo to nadal istnieją obszary, w których ochrona zapewniana przez te sieci jest niewystarczająca. Aby zatem poprawić bezpieczeństwo, można wdrożyć w strategicznych punktach sieci wewnętrznej zapory. Mogą to być punkty, w których trudno jest aktualizować zabezpieczenia, lub serwery przechowujące własność intelektualną. WARSTWA DYSTRYBUCJI/ PODSTAWOWA SERWERY LOKALNE WARSTWA DOSTĘPU Brama do Internetu Przełącznik dostępu / wirtualna sieć lokalna RYSUNEK 5. WDROŻENIE ZAPORY Przełącznik do warstwy podstawowej/dystrybucji URZĄDZENIA SIECIOWE UŻYTKOWNIKA Przechwyt danych przewodowych przez FortiGate za pomocą przejrzystej pary portów Duża przepustowość podłączanego interfejsu Ochrona przed włamaniami, infrastruktura ATP i kontrola aplikacji Rozszerzenie zakresu ochrony przed atakami APT dzięki widoczności sieci wewnętrznej Odpowiednie podejście do zabezpieczania sieci przed atakami APT powinno obejmować trwały cykl, na który składa się zapobieganie atakom, wykrywanie ataków i ochrona przed atakami. Zazwyczaj zapora NGFW służy jako podstawowy element systemu zapobiegania atakom, który zapewnia m.in. zaporę dla warstwy L2/L3, ochronę przed włamaniami i kontrolę aplikacji w celu blokowania znanych zagrożeń i przekazywania podejrzanych pakietów nieznanych danych do bezpiecznego środowiska testowego w celu wykrycia ewentualnych zagrożeń. Zapora NGFW wdrożona tradycyjnie na granicy sieci zapewnia jednak tylko częściową widoczność przebiegu ewentualnego ataku, przede wszystkim w momencie mijania pakietów danych przez granicę sieci. Przykład wdrożenia zapory w kontekście segmentacji Zapora jest zazwyczaj wdrażana w warstwie dostępu i chroni określone zasoby. Początkowo zapora jest przezroczysta między przełącznikami warstwy dystrybucji i dostępu. W dłuższym okresie czasu zintegrowane przełączniki mogą zająć miejsce przełączników warstwy dystrybucji i dostępu, aby zapewnić dodatkowe zabezpieczenie fizyczne. RYSUNEK 6. INFRASTRUKTURA ATP 7

OPRACOWANIE: WEWNĘTRZNA OCHRONA SIECI ZAPORA Wdrożenie zapory może zapewnić jeszcze lepszą widoczność ewentualnych działań hakerów w sieci wewnętrznej, jeśli uda im się przełamać zabezpieczenia granic sieci. Specyfika takich działań często pozwala na wykrycie złośliwej działalności, ponieważ hakerzy próbują zidentyfikować i pobrać wartościowe dane. Z tego względu zapewnienie pełnej widoczności działań mających miejsce w ramach i na granicy sieci znacznie zwiększa skuteczność wdrożonego rozwiązania służącego do ochrony przed zaawansowanymi zagrożeniami (infrastruktury ATP). Przepływ danych w sieci wewnętrznej często jest kilkukrotnie wyższy niż przepływ rejestrowany na granicy sieci, ale zapora ma znacznie więcej mechanizmów pozwalających na ograniczenie rozprzestrzeniania się zagrożenia (na przykład pozwala na szybsze przekazywanie bardziej zagrożonych elementów do bezpiecznego środowiska testowego w celu bardziej szczegółowej analizy). Podsumowanie Zaawansowane zagrożenia w pełni wykorzystują słabe strony płaskich sieci wewnętrznych. Po przeniknięciu przez zabezpieczenia granic sieci mogą niemal bez przeszkód penetrować sieć wewnętrzną i umożliwiać hakerom kradzież cennych zasobów. Tradycyjne zapory zostały zaprojektowane pod kątem obsługi niższych przepustowości na granicy z Internetem, trudno jest zatem wdrażać te rozwiązania w ramach sieci wewnętrznej. Poza tym konfiguracja sieciowa takich zapór (adresy IP) jest procesem długotrwałym. Zapory to nowa klasa zabezpieczeń, które mogą być szybko wdrożone bez większych zakłóceń działania sieci oraz które obsługują istniejące w sieci wewnętrznej przepustowości rzędu wielu gigabitów na sekundę. Ponadto w wybranych obszarach sieci wewnętrznej można wdrożyć mechanizmy zapewniające odpowiednią widoczność i ochronę. SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA 94086 Stany Zjednoczone Tel.: +1.408.235.7700 www.fortinet.com/sales BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: +33 4 8987 0510 BIURO SPRZEDAŻY REGION APAC 300 Beach Road 20-01 The Concourse Singapur 199555 Tel.: +65 6513 3730 BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Paseo de la Reforma 412 piso 16 Col. Juarez C.P. 06600 México D.F. Tel.: 011-52-(55) 5524-8428 POLSKA ul. Złota 59/6F Budynek Lumen II (6 piętro) 00-120 Warszawa Polska Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi spółki Fortinet, Inc. Pozostałe nazwy związane z Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi Fortinet. Wszelkie inne nazwy produktów lub spółek mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, faktyczna wydajność może być zatem inna. Na wartość parametrów wydajności mogą mieć wpływ zmienne sieciowe, różnorodne środowiska sieciowe i inne uwarunkowania. Żadne ze stwierdzeń zawartych w tym dokumencie nie stanowi wiążącego zobowiązania ze strony Fortinet, a Fortinet odrzuca wszelkie wyraźne lub dorozumiane gwarancje i rękojmie, z wyjątkiem gwarancji udzielonych przez Fortinet na mocy wiążącej umowy z kupującym podpisanej przez głównego radcę prawnego Fortinet, w której Fortinet zagwarantuje, że określony produkt będzie działać zgodnie z wyraźnie wymienionymi w takim dokumencie parametrami wydajności, a w takim przypadku wyłącznie określone parametry wydajności wyraźnie wskazane w takiej wiążącej umowie pisemnej będą wiązać Fortinet. Wszelka tego typu gwarancja będzie dotyczyć wyłącznie wydajności uzyskiwanej w takich samych warunkach idealnych, w jakich Fortinet przeprowadza wewnętrzne testy laboratoryjne. Fortinet w całości odrzuca wszelkie wyraźne lub dorozumiane przyrzeczenia, oświadczenia i gwarancje związane z tym dokumentem. Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia lub innego korygowania niniejszej publikacji bez powiadomienia (zastosowanie ma najnowsza wersja publikacji). listopada 19, 2015 12:43 PM D:\Projects_Mario\Fortinet\P-11165_proof_PL\to_send\WP-Protecting-Your-Network-From-the-Inside-Out_A-PL

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres