Yêu cầu cơ bản để NGFW bảo vệ mạng doanh nghiệp vào năm 2024

Hãy xem xét các yêu cầu bảo vệ các tổ chức lớn vào năm 2024 bằng cách sử dụng ví dụ về chức năng của tường lửa thế hệ mới Ideco NGFW phiên bản 17. Chúng tôi cũng sẽ lưu ý các đặc điểm của phân khúc doanh nghiệp Nga và xu hướng bảo vệ mạng cho các công ty lớn trong thời gian tới tương lai.

1. Giới thiệu
2. Yêu cầu bảo vệ mạng doanh nghiệp năm 2024
   1. 2.1. Quản lý mạng
      1. 2.1.1. Nhiều thiết bị logic trên máy chủ quản lý
   2. 2.2. Bảo vệ kênh
      1. 2.2.1. Đường hầm
      2. 2.2.2. GRE trên IPsec
      3. 2.2.3. Cổng thông tin VPN
   3. 2.3. Ủy quyền
      1. 2.3.1. BÁNH GIÁ
3. Khái niệm ZTNA trong Ideco NGFW
   1. 3.1. Cấu hình HIP của thiết bị
   2. 3.2. Kiểm soát các thiết bị được kết nối
4. Đặc thù của khu vực Nga
5. Dự báo và xu hướng quốc phòng
   1. 5.1. Lỗ hổng không xác định
   2. 5.2. Hiệu suất
   3. 5.3. Công nghệ ML
   4. 5.4. Hệ sinh thái sản phẩm
6. kết luận

Giới thiệu

Sự số hóa rộng rãi của cuộc sống hiện đại và sự phát triển nhanh chóng của không gian mạng mở ra nhiều cơ hội tuyệt vời cho con người nhưng đồng thời cũng tạo ra những rủi ro hoàn toàn mới. Các cuộc đối đầu về đại dịch và địa chính trị trong những năm gần đây đã đẩy nhanh quá trình chuyển đổi kỹ thuật số một cách tự nhiên và làm leo thang các cuộc đối đầu trong môi trường mạng.

Sự phát triển nhanh chóng của công nghệ học máy (Machine Learning, ML), sự kích hoạt của những kẻ tấn công và dịch vụ tình báo của các quốc gia không thân thiện, sự rời bỏ của các nhà cung cấp phương Tây khỏi thị trường Nga, cũng như nhu cầu thực thi Nghị định của Tổng thống Nga Liên bang ngày 1 tháng 5 năm 2022 Số 250 “Về các biện pháp bổ sung để đảm bảo an ninh thông tin của Liên bang Nga » đặt ra một số nhiệm vụ và yêu cầu đối với các sản phẩm an toàn thông tin cho các tổ chức.

Hình 1. Những khó khăn chính của các công ty ở Nga trong việc đảm bảo quy trình bảo mật thông tin vào năm 2024.

Xây dựng biện pháp bảo vệ mạng cho bất kỳ công ty nào đều bắt đầu từ chu vi mạng và sản phẩm tối ưu cho các nhiệm vụ này trong phân khúc doanh nghiệp hiện là tường lửa thế hệ tiếp theo (NGFW).

Hình 2. Ví dụ về tập hợp hàm trong NGFW

Các NGFW hiện đại có một bộ chức năng phổ quát cho phép chúng không chỉ cung cấp sự bảo vệ đầy đủ cho mạng và người dùng mà còn mang lại hiệu suất cần thiết trong các mạng công ty có tải trọng cao.

Hãy xem xét các yêu cầu bảo vệ của các công ty lớn vào năm 2024 bằng cách sử dụng các khả năng của Ideco NGFW phiên bản 17 làm ví dụ. Ideco NGFW là sản phẩm chủ lực của Ideco và là một trong những sản phẩm an ninh mạng phổ biến trên thị trường Nga.

Chức năng chính của Ideco NGFW:

• Kiểm tra sâu (DPI), Tường lửa ứng dụng web (WAF) và Chuyển tiếp thư (Rơle).
• Giao thức VPN WireGuard, IKEv2/IPsec, SSTP, L2TP/IPsec, PPTP.
• Tích hợp với Zabbix, hệ thống DLP (thông qua ICAP).
• Lọc L7.
• Lọc nội dung với 145 danh mục trang web (500.000.000 URL trong cơ sở dữ liệu được cập nhật).
• Quét chống vi-rút lưu lượng truy cập web bằng công nghệ Kaspersky Lab.
• Hỗ trợ cho các trình ảo hóa VMware, Microsoft Hyper-V, VirtualBox, KVM, Citrix XenServer.
• Tích hợp với nhiều dịch vụ xác thực người dùng khác nhau: ALD Pro, RADIUS, FreeIPA, Microsoft Active Directory.

Chúng tôi cũng sẽ xem xét các đặc điểm của phân khúc doanh nghiệp Nga và đưa ra dự báo về sự xuất hiện của các chức năng liên quan trong tương lai trong tường lửa thế hệ mới.

Yêu cầu bảo vệ mạng doanh nghiệp năm 2024

Các công ty lớn luôn cần thêm thời gian cho các biện pháp tổ chức và sự chuẩn bị cần thiết, do đó, trên con đường thực hiện yêu cầu của Nghị định số 250, các tập đoàn Nga sẽ tích cực nhất vào cuối năm 2024.

Trong những năm gần đây, các nhà cung cấp Nga cũng đã nhanh chóng triển khai và tiếp tục triển khai các chức năng cần thiết trên các thiết bị phần cứng, phần mềm trong bối cảnh thay thế nhập khẩu.

Quản lý mạng

Nhiều thiết bị logic trên máy chủ quản lý

Công nghệ VDOM / VSX / VRF cho phép bạn tạo nhiều thiết bị logic trên một máy chủ, cung cấp nhiều cấp độ bảo vệ dữ liệu và tài nguyên, đồng thời cải thiện tính bảo mật và hiệu quả của hoạt động mạng.

Nhiều thiết bị logic giúp đơn giản hóa đáng kể việc quản lý cơ sở hạ tầng mạng phức tạp của tập đoàn, giảm thiểu rủi ro và cung cấp sự bảo vệ đáng tin cậy trước các mối đe dọa khác nhau. Công nghệ này không được các nhà cung cấp Nga phát triển vì thiết bị của phương Tây được sử dụng rộng rãi.

Ideco NGFW triển khai cơ chế tương tự của cơ chế VDOM / VSX / VRF, được gọi là “công nghệ bối cảnh ảo” (VCE). Nó cho phép bạn bảo vệ mạch mạng ở cấp quản lý thông qua phân đoạn mạng ảo và kiểm soát truy cập cho quản trị viên.

Lưu ý rằng một tính năng tương tự của VDOM cũng đang được các nhà phát triển công cụ bảo vệ mạng khác của Nga triển khai, chẳng hạn như công ty Positive Technologies.

Bảo vệ kênh

NGFW là một hệ thống bảo mật thông tin phổ quát của một mạng công ty lớn, nhưng đồng thời nó là một phần của cơ sở hạ tầng CNTT. Giao điểm này cho phép bạn làm việc với ngăn xếp mạng ở mức độ sâu hơn khi xây dựng bảo mật.

Đường hầm

Mạng công ty phát triển có thể bao gồm các điểm ở các khu vực khác nhau của một quốc gia và lan rộng sang các quốc gia và lục địa khác, do đó cần phải bảo vệ lưu lượng truy cập khỏi bị chặn trong mạng.

Đường hầm đảm bảo tính bảo mật và tính toàn vẹn dữ liệu khi xây dựng cấu trúc liên kết mạng phức tạp trên các mạng công cộng. Đóng gói định tuyến chung (GRE) là một trong những tùy chọn để tạo đường hầm cho các gói mạng của lớp vận chuyển và sự kết hợp giữa đường hầm với mã hóa là khái niệm của VPN.

GRE trên IPsec

Việc sử dụng GRE qua công nghệ IPsec giúp có thể cung cấp kết nối được mã hóa giữa các bộ định tuyến trong các mạng phân tán về mặt địa lý lớn mà không bị ràng buộc với thiết bị mạng, kết hợp chúng thành một mạng cục bộ logic an toàn tích hợp.

Các mạng công ty của Nga đã sử dụng tường lửa của phương Tây hỗ trợ cơ chế GRE, nhưng sau sự ra đi của các nhà cung cấp phương Tây, nhu cầu về chức năng như vậy trong các hệ thống bảo mật thông tin của Nga đã nảy sinh.

Cơ chế GRE over IPsec đã được các nhà phát triển Ideco NGFW triển khai thành công.

Cổng thông tin VPN

Việc sử dụng cổng VPN cho phép nhân viên của công ty trao đổi dữ liệu một cách an toàn và có quyền truy cập an toàn vào các tài nguyên mạng nội bộ của công ty.

NGFW kiểm soát quyền truy cập của người dùng vào cổng VPN và đảm bảo dữ liệu được mã hóa trong quá trình truyền, khiến nó trở thành công cụ quan trọng cho các tổ chức yêu cầu quyền truy cập từ xa vào tài nguyên của công ty.

Cách tiếp cận này đặc biệt thuận tiện với các công ty lớn, khi việc cài đặt, cấu hình và kết nối một máy khách VPN với hàng nghìn nhân viên trên khắp thế giới rất tốn công sức.

Ideco NGFW cho phép quản trị viên triển khai cổng VPN chỉ bằng vài cú nhấp chuột.

Sự kết hợp của ba công cụ được liệt kê sẽ cung cấp mức độ bảo vệ cần thiết cho các kênh liên lạc giữa nhân viên và tài nguyên mạng của công ty vào năm 2024.

Ủy quyền

BÁNH GIÁ

Trong cơ sở hạ tầng CNTT của các công ty lớn có rất nhiều loại thiết bị nên giao thức tối ưu cho việc ủy ​​quyền, xác thực và quản lý quyền truy cập của người dùng vào năm 2024 có thể được gọi là RADIUS (Remote Authentication Dial-In User Service, một giao thức mở rộng cho xác thực người dùng từ xa), thực hiện phương pháp A được tiêu chuẩn hóa để xác thực và cấp quyền truy cập vào tài nguyên mạng.

Việc ủy ​​quyền qua RADIUS cũng cho phép bạn áp dụng các chính sách bảo mật và giám sát hoạt động của người dùng, giảm nguy cơ truy cập trái phép vào tài nguyên mạng của công ty.

Cùng với các giao thức ủy quyền khác (Active Directory, ALD Pro, FreeIPA), Ideco NGFW hỗ trợ RADIUS.

Nói về kiểm soát truy cập, chúng ta không thể không nhắc đến khái niệm ZTNA (Truy cập mạng không tin cậy, truy cập mạng với “không tin cậy”). Hãy xem xét điều này chi tiết hơn.

Khái niệm ZTNA trong Ideco NGFW

Cấu hình HIP của thiết bị

Phiên bản mới của Ideco NGFW 17 giới thiệu khả năng tạo hồ sơ thiết bị, trước đây gọi là hồ sơ HIP (Hồ sơ thông tin máy chủ). Trong mỗi cấu hình, bạn có thể định cấu hình các đối tượng HIP khác nhau và thực hiện các kiểm tra cần thiết.

Khi người dùng kết nối với Ideco NGFW qua Ideco Client, máy khách sẽ tự động gửi thông tin thiết bị bất kể kết nối là qua VPN từ bên ngoài hay từ mạng cục bộ. Quản trị viên tạo trước các hồ sơ thiết bị cần thiết.

Giả sử quản trị viên đã tạo hồ sơ HIP “thiết bị an toàn” để kiểm soát sự hiện diện của phần mềm chống vi-rút tuân thủ tất cả các chính sách bảo mật của công ty, cũng như hệ điều hành Windows 11 và tất cả các bản cập nhật bảo mật mới nhất (KB) của nó. Tất cả điều này chỉ ra rằng thiết bị có thể được kết nối vào mạng.

Nguyên tắc cơ bản là nếu một nhân viên khác kết nối từ một thiết bị không thể tin cậy được (ví dụ: Windows 10 không có phần mềm chống vi-rút và tường lửa), họ sẽ có quyền truy cập hạn chế hoặc hoàn toàn không được phép vào mạng.

Bằng cách tạo hồ sơ, quản trị viên có thể sử dụng chúng trong tường lửa để hạn chế quyền truy cập của nhân viên dựa trên thiết bị họ sử dụng.

Kiểm soát các thiết bị được kết nối

Phiên bản mới của Ideco NGFW 17 bao gồm khả năng kiểm tra các tiến trình đang chạy trên thiết bị, cũng như các dịch vụ, khóa đăng ký, gói dịch vụ, phần mềm chống vi-rút, tường lửa, hệ điều hành và tư cách thành viên miền của thiết bị. Những lần kiểm tra này cho phép quản trị viên tạo các cấu hình thiết bị khác nhau.

Ví dụ: bạn có thể tạo hồ sơ cho một thiết bị chạy Windows 10 và cài đặt phần mềm chống vi-rút Kaspersky Lab với cơ sở dữ liệu cập nhật nhất. Bằng cách này, quản trị viên có thể định cấu hình quyền truy cập của người dùng vào một số tài nguyên nhất định tùy thuộc vào cấu hình của thiết bị mà anh ta được kết nối.

Quyền truy cập vào nhiều tài nguyên, ứng dụng và dịch vụ khác nhau trên mạng cục bộ cũng có thể bị hạn chế tùy thuộc vào loại thiết bị. Ví dụ: để truy cập 1C, bạn có thể cần một thiết bị đáng tin cậy đáp ứng tất cả các yêu cầu bảo mật. Nếu nó không đáng tin cậy và không đáp ứng các yêu cầu, nó có thể không vượt qua được quá trình xác minh, ngay cả khi người dùng đã nhập đúng thông tin đăng nhập và mật khẩu và vượt qua xác thực hai yếu tố thành công. Theo đó, việc thiếu hiểu biết về các chính sách bảo mật thông tin nội bộ có thể dẫn đến việc chặn truy cập nhằm bảo vệ hệ thống khỏi bị hack hoặc rò rỉ thông tin bí mật.

Trong các phiên bản sắp tới của Ideco NGFW, nhà cung cấp sẽ mở rộng bộ chức năng bảo mật mạng dựa trên mô hình ZTNA, mô hình này đã được chứng minh là một yếu tố bảo vệ mạng hiệu quả trong các cơ sở hạ tầng lớn.

Bây giờ chúng ta hãy lưu ý các đặc điểm của phân khúc doanh nghiệp Nga.

Đặc thù của khu vực Nga

Hướng chính mà tất cả các công ty ở Liên bang Nga, bao gồm cả những công ty lớn, hiện đang hướng tới là việc đáp ứng các yêu cầu của Nghị định số 250. Các công ty đang nỗ lực đảm bảo rằng việc thay thế các hệ thống bảo mật thông tin của phương Tây diễn ra với thiệt hại tối thiểu đối với kinh doanh và với việc bảo tồn cơ sở hạ tầng CNTT hiện có, được hình thành trong nhiều năm.

Một đặc điểm khác là năng lực của các chuyên gia làm việc với các hệ thống an ninh thông tin nước ngoài mà không chú ý đến các sản phẩm của Nga.

Các nhà cung cấp trong nước tính đến các tính năng này và cố gắng đảm bảo quá trình di chuyển suôn sẻ nhất có thể: họ duy trì logic thông thường của trải nghiệm người dùng, tự động hóa việc chuyển các quy tắc và chính sách của hệ thống bảo mật thông tin để quá trình chuyển đổi được minh bạch và thoải mái cho cả hai chuyên gia và doanh nghiệp.

Chúng ta hãy lưu ý những lĩnh vực công việc đang được thực hiện trên các chức năng mới trong NGFW, có tính đến những thay đổi trong bối cảnh mối đe dọa và những rủi ro tiềm ẩn trong tương lai.

Dự báo và xu hướng quốc phòng

Lỗ hổng không xác định

Xu hướng thay thế nhập khẩu tăng tốc đang ảnh hưởng đến bối cảnh mối đe dọa. Nếu các lỗ hổng phần cứng, lỗ hổng trong hệ thống và phần mềm ứng dụng của các nhà cung cấp phương Tây được biết đến và phân loại rõ ràng, thì việc chuyển đổi sang các sản phẩm từ các nhà sản xuất Nga sẽ mở ra những chân trời mới cho những kẻ tấn công và các chuyên gia bảo mật thông tin trong việc nghiên cứu và thực hiện các cuộc tấn công mạng, có thể rất quan trọng. do danh sách CVE ở đây chỉ được lập.

Hiệu suất

Cải thiện hiệu suất của NGFW khi xử lý luồng lưu lượng cũng vẫn là một lĩnh vực quan trọng.

Lưu ý rằng dòng sản phẩm của Ideco dành cho khu vực doanh nghiệp bao gồm một thiết bị hiệu suất cao NGFW VPP – tường lửa mà nhà cung cấp đã triển khai trên ngăn xếp công nghệ mạng của riêng mình (dựa trên DPDK / VPP), giúp đạt được tốc độ lọc cao đối với khối lượng lớn lưu lượng truy cập web và độ trễ trong việc đảm bảo an ninh mạng là tối thiểu.

Áp lực trừng phạt hạn chế khả năng tiếp cận của các nhà sản xuất Nga vào thị trường vi điện tử toàn cầu, do đó, một xu hướng đang nổi lên khi các nhà cung cấp từ chối tạo ra một dòng thiết bị riêng lẻ (hệ thống phần mềm và phần cứng) và dựa vào việc sử dụng một phần sức mạnh tính toán máy chủ của công ty để tăng NGFW hiệu suất. Việc phân bổ công suất từ ​​nhóm chung cũng mang lại tùy chọn mở rộng quy mô thuận tiện nếu công ty phát triển.

Công nghệ ML

Các công nghệ máy học tiến bộ cũng sẽ được những kẻ tấn công và trong việc phát triển hệ thống bảo mật thông tin sử dụng tích cực hơn, đặc biệt là trong các mô-đun và sản phẩm phân tích – để tăng tốc độ tìm kiếm mối tương quan trong nhiều luồng dữ liệu, giúp xác định và ngăn chặn các mối đe dọa tiềm ẩn .

Hệ sinh thái sản phẩm

Một đặc điểm xu hướng khác của thị trường an toàn thông tin trong nước là lựa chọn cách thức hình thành hệ sinh thái.

Cách đầu tiên là khi một công ty phát triển một số công cụ bảo mật, trước hết là đảm bảo sự tích hợp giữa các sản phẩm của mình. Theo quy định, các nhà cung cấp lớn của thị trường bảo mật thông tin sẽ phát triển hệ sinh thái của họ.

Phương án thứ hai là tập trung vào một siêu phẩm chất lượng cao, hỗ trợ tối đa khả năng tích hợp đa chức năng với các hệ thống công nghệ thông tin khác trên thị trường Nga. Cách tiếp cận phân bổ năng lực giữa các nhà cung cấp này tạo thành một hệ sinh thái sản phẩm không phải trong một công ty mà trên một thị trường công nghệ thông tin duy nhất, nơi mỗi người tham gia dựa vào chất lượng, tập trung vào sự hoàn thiện của đứa con tinh thần của họ, đồng thời hỗ trợ và phát triển sự tích hợp chéo. Kết quả của việc áp dụng phương pháp này, dần dần có thể hình thành một kho sản phẩm an toàn thông tin cao cấp, đáp ứng yêu cầu của cơ quan quản lý và phù hợp cho cả các công ty khởi nghiệp và các tập đoàn quốc tế lớn nhất.

kết luận

Đến cuối năm 2024, các công ty Nga phải tuân thủ các yêu cầu của Nghị định số 250; Sau thời gian dài chuẩn bị, phân khúc doanh nghiệp đang bước vào giai đoạn chuyển đổi tích cực sang phần mềm và thiết bị trong nước.

Đối với các tập đoàn, giải pháp tối ưu khi xây dựng hệ thống bảo vệ mạng vào năm 2024 sẽ là NGFW, có bộ chức năng phổ quát và đáp ứng các yêu cầu của Luật số 187-FZ.

Tường lửa Ideco NGFW cung cấp khả năng bảo vệ toàn diện cho cơ sở hạ tầng của công ty thông qua sự kết hợp của các chức năng như tạo đường hầm, mã hóa, bảo mật vòng lặp mạng ở cấp quản lý, ủy quyền an toàn và kiểm soát truy cập vào tài nguyên mạng của công ty. Nhà sản xuất lưu ý rằng khả năng của công nghệ mạng trong Ideco NGFW phiên bản 17 đã được nâng lên ngang tầm với các công cụ bảo mật của phương Tây.

Ideco đang đặt cược vào việc phát triển một sản phẩm có thể dễ dàng tích hợp với cả những công ty dẫn đầu thị trường bảo mật thông tin cũng như với phần mềm hệ thống và ứng dụng: ALD Pro, Alt Linux, dịch vụ xác thực đa yếu tố, sản phẩm Kaspersky Lab, v.v.