6 ситуаций, когда проблему решит NGFW

6 ситуаций, когда проблему решит NGFW

NGFW (Next-Generation Firewall) – это не вещь первой необходимости. Если у вас небольшая команда, несложная ИТ-инфраструктура, то можно обойтись и базовыми средствами. Но есть ситуации, когда именно NGFW поможет решить точечную задачу или сразу закрыть несколько вопросов. В сегодняшней статье и поговорим о таких случаях.

1. Компания вышла за рамки стартапа

Начнем с простого. Да, когда у вас стартап, то все силы брошены на реализацию MVP, привлечение финансирования и маркетинг. Потребности по ИТ-инфраструктуре могут закрываться готовыми SaaS-сервисами. Каждый из них «вещь в себе» и никак не связаны между собой. Как такового корпоративного периметра нет, а вопросы его защиты где-то на втором плане.

Когда стартап «выстреливает», появляется своя ИТ-инфраструктура, сервисы, опубликованные в интернете, растет команда и нужно управлять доступом сотрудников к отдельным ресурсам компании.

Чтобы защитить оформившийся корпоративный периметр, как раз и понадобится NGFW. Он фильтрует входящий и исходящий трафик на основе заранее определенных правил, блокирует зловредный трафик и ограничивает доступ к защищаемым ресурсам. Также NGFW позволяет тонко настраивать правила доступа: определять, какие пользователи и с какими правами могут использовать сетевые ресурсы и приложения. Это будет актуально, когда у компании появятся подрядчики, которые на аутсорсе будут заниматься поддержкой ИТ-инфраструктуры.

2. Нужно найти замену ушедшему вендору сетевого оборудования

Сетевое оборудование мировых лидеров (например, Juniper Networks, Cisco) сейчас официально недоступно на российском рынке. Да, оборудование и ПО продолжают работать, но отсутствие поддержки и своевременных обновлений создают потенциальную уязвимость в сетевой инфраструктуре. Есть варианты получать обновления и патчи через серые схемы. Но если это не выглядит для вас рабочим решением, компенсировать сложности с поддержкой можно в том числе с помощью NGFW, доступных на рынке сейчас. Межсетевой экран нового поколения, помимо защиты сети, способен выполнять и базовые функции сетевого оборудования. Вот с какими сетевыми задачами может помочь NGFW:

  • маршрутизацией, в том числе динамической;
  • SDWAN;
  • сегментацией сети;
  • построением VPN-туннелей. Об это расскажем чуть ниже.

NGFW не закроет задачи полноценного маршрутизатора ядра сети. Но если у вас небольшая и простая инфраструктура, то NGFW вполне справится.

Кроме того, выбирая виртуальный NGFW, вы сможете обойтись без покупки дополнительного оборудования.

3. Вам нужно выполнить требования законодательства

Регуляторы устанавливают конкретные требования по наличию тех или иных средств защиты. Например, в Приказе ФСТЭК России от 18.02.2013 № 21 , который является руководящим документом для закона «О персональных данных» (152-ФЗ), есть требование о наличии межсетевого экрана и системы обнаружения вторжения. Его как раз можно выполнить с помощью NGFW, который сочетает в себе эти функции. Для некоторых информационных систем ФСТЭК требует сертифицированных решений.

Например, если вы обрабатываете персональные данные 1-го уровня защищенности (самого высокого), то в информационной системе вам понадобится сертифицированный межсетевой экран не ниже 4-го класса.

Конечно же, помним про то, что сам по себе сертифированный NGFW не закроет всех требований, предъявляемых к ИТ-инфраструктуре, которая должна быть приведена в соответствие с 152-ФЗ или ГИС. Это, как минимум, не единственная техническая мера – есть еще и организационные, а также большой обвес из «бумажной безопасности».

4. Организация безопасного удаленного доступа

В компании сотрудники подключаются к корпоративной сети через удаленный доступ через open-source решения для VPN. В последнее время Роскомнадзор все чаще блокирует VPN-сервисы (совсем недавно была новость о намерении полной блокировки VPN-сервисов в 2024 году). Это в том числе задевает и VPN-соединения, построенные на открытых протоколах.

В этой ситуации тоже можно использовать NGFW. У NGFW есть полноценные VPN-клиенты (IPsec, SSL), которые не попадают под блокировки РКН. По крайней мере сейчас.

Еще одна полезная функция NGFW в этом направлении – это проверка на соответствие комплаенсу, то есть требованиям политик безопасности компании. Это особенно актуально, когда сотрудники подключаются с личных устройств и нет возможности проконтролировать его состояние. Функция комплаенса работает следующим образом: прежде чем подключиться к корпоративной сети, выполняется проверка на наличие антивируса, его версии, актуальной версии ОС, браузера и прочего.

Кроме того, так как удаленный доступ будет интегрирован с NGFW, вы сможете мониторить сетевую активность удаленных сотрудников и вести журналы событий. Это поможет выявлять аномалии в трафике, своевременно обнаруживать и блокировать угрозы. Помните, что большая атака происходит именно через пользователей.

5. Бюджет на ИБ мал, и нужно выжать из него по максимуму

Если денег на ИБ совсем нет, но защититься надо, то одно из первых решений, которое стоит внедрить, – это NGFW. Помимо защиты сети с помощью своего дополнительного функционала он сможет закрыть много других задач.

Большинство современных NGFW-решений не ограничиваются модулями для фильтрации трафика и предотвращения вторжений (IPS) и умеют:

  • проверять почтовый трафик;
  • защищать веб-приложения (функция WAF);
  • сканировать инфраструктуру;
  • анализировать и визуализировать сетевую активность.

Да, эти дополнительные возможности NGFW скорее всего будут проигрывать в функциональности выделенным решениям (сканерам, почтовым антивирусам и WAF). Но если у вас небольшая и несложная инфраструктура, то от распространенных атак и угроз NGFW вас защитит.

6. Нужна идентификация пользователей сети и предоставление гранулярного доступа к ресурсам

NGFW позволяет точно определять пользователей, подключающихся к сети. Он обеспечивает предоставление доступа к интернет-ресурсам не на основе IP-адреса ПК, а на основе учетной записи, то есть по конкретному пользователю. Это удобно, например, когда сотрудник с ноутбуком ездит по разным офисам компании подключается там к разным wifi, работает из дома или с VDI. Каждый раз делать правила доступа на новый IP-адрес – это сизифов труд. Проще привязать доступы по корпоративной учетной записи. С помощью NGFW как раз можно сделать так, чтобы доступ предоставлялся на основании его учетных данных, независимо от того, где человек находится.

NGFW также позволяет запретить или ограничить доступ к нежелательным ресурсам, например, социальным сетям, видеохостингам, порносайтам, онлайн-магазинам с оружием/наркотиками (да, в нашей практике встречали компании, сотрудники которых имели сомнительные интересы). Подобные ресурсы не только могут быть вне закона, но скорее всего «подарят» вирусы, которые потом будут распространяться по корпоративной сети.

Доступами можно управлять гранулярно. Например, запретить доступ на Youtube всем, кроме маркетолога, который ведет канал компании и загружает туда видео.

***

Кажется, что внедрять средства ИБ – это долго, сложно и дорого. В действительности все не так страшно. NGFW – одно из решений, которое на техническом уровне способно закрыть большую часть задач по защите корпоративной инфраструктуры. Благодаря виртуальным вариантам NGFW не нужно ждать долгие месяцы поставки оборудования.

Если внутри компании нет сотрудников, которые могли бы взять на себя настройку и поддержку NGFW, то этот вопрос тоже решаемый. Можно арендовать виртуальный NGFW по модели управляемого сервиса (Managed Security Service, MSS) у сервис-провайдера. В этом случае вы получите готовый сервис с помесячной оплатой и возможностью масштабирования мощности по мере роста бизнеса или в случае сезонных пиков.

Самое главное, что дает такая модель использования NGFW, – это высокая экспертиза здесь и сейчас, без необходимости поиска дорогих и достаточно редких для российского рынка специалистов. Инженеры провайдера помогут настроить все с нуля или перенести настройки с используемых средств на новые NGFW, будут поддерживать, мониторить и актуализировать настройки, чтобы эффективно защищаться от атак. А вы сможете заниматься тем, что вы умеете лучше всего, – развитием собственного бизнеса.