ViPNet xFirewall xF65000
Описание
ПАК ViPNet xFirewall – это шлюз безопасности, межсетевой экран нового поколения, сочетающий функции классического межсетевого экрана: анализ состояния сессии, трансляция адресов; с расширенными функциями анализа и фильтрации трафика такими как: глубокая инспекции протоколов, выявление и предотвращения компьютерных атак, инспекции SSL/TLS трафика, взаимодействие с антивирусными решениями, DLP и песочницами; устанавливается на границе сети, предназначен для комплексного решения задач информационной безопасности в корпоративных сетях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений и обеспечивает обнаружение и нейтрализацию сетевых вторжений.
Особенности межсетевого экрана для ЦОД
Потребности ЦОД
Производительность
С точки зрения информационной безопасности ЦОД является уникальным объектом, потому что в нем сосредоточены все сервисы и данные компании, что представляет интерес для злоумышленников и тем самым он является важнейшим объектом, требующим защиты. Особенностью ЦОД являются информационные потоки и сетевая топология. Информационные потоки ЦОД принято разделять на два типа North-South и East-West. North-South информационные потоки описывают взаимодействие ЦОД с пользователями, сервисами, другими словами данные виды информационных потоков отвечают за взаимодействие ЦОДа с внешним миром. East-West информационные потоки описывают взаимодействие различных сервисов, служб внутри ЦОДа.
Классической задачей межсетевого экрана является контроль трафика входящего и выходящего из сети организации, поэтому межсетевой экран устанавливается на границе сети и его принято называть периметровым межсетевым экраном.
Применительно к задачам защиты ЦОД периметровый межсетевой экран выполняет задачу контроля информационных потоков North-South. Но в условиях ЦОД этого недостаточно, так как есть еще информационные потоки East-West, которые так же необходимо контролировать. East-West информационные потоки существенно отличаются как по качеству, так и по количеству от North-South потоков. East-West информационные потоки представляют собой трафик взаимодействия серверов, СХД и сетевого оборудования между собой. Что касается объемов то по разным оценкам East-West трафик составляет до 80% всех информационных потоков в ЦОДах, в то время как North-South не превышает 20%. В этой связи для контроля такого трафика нужен еще более производительный межсетевой экран.
Firewall | Next Gen Firewall | L3 new Connection | Max CC Connection |
76 Гбит/сек | 13 Гбит/сек* | 364 000 соединиений/сек | 30 000 000 соединений** |
* – Результаты получены для трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.
** - ограничение средства генерации и измерения.
Эффективная защита
Прозрачность/Visibility
При обеспечении безопасности ЦОД необходимо обеспечить прозрачность всех происходящих процессов, для этого необходимо реализовать контроль за деятельностью пользователей, устройств, сетей, приложений, рабочих нагрузок и процессов. Она может ускорить обнаружение атак и облегчить выявление злоумышленников, пытающихся украсть конфиденциальные данные или нарушить работу.
Прозрачность помимо повышения эффективности защиты, облегчает обнаружение узких мест в производительности, что позволяет оптимизировать процессы в ЦОД и прогнозировать его развитие.
Прозрачность, помимо облегчения контроля, также сокращает время реагирования на инциденты и помогает в расследовании инцидентов.
Сегментация/Segmentation
Сегментация позволяет локализовать и остановить продвижение злоумышленников/распространение атаки по инфраструктуре ЦОДа. Многие атаки направлены на получение прямого доступа к системе, чтобы скомпрометировать ее через уязвимости в приложениях, незащищенные порты или атаки типа "отказ в обслуживании" (DoS). Защититься от такого типа атак на 100 % практически невозможно, но сегментация - ценный инструмент, позволяющий замедлить действия хакера и дать командам безопасности время для выявления проблемы, ограничения воздействия и реагирования на атаку.
Оптимальный профиль защиты
Разные системы требуют разных средств защиты и разных подходов. Для примера, периметровые межсетевые экраны в офисах предназначены для защиты клиентов от угроз, исходящих из сети Интернет, и контроль доступа к нежелательному контенту, в то время как в ЦОДа требуется защита серверов.
Для защиты ЦОДа требуется:
IPS (Intrusion Prevention System) - обнаруживает и предотвращает вредоносное или нежелательное ПО, попытки эксплуатировать уязвимости, компьютерные атаки. В случаях с zero-day уязвимостей, сигнатуры IPS можно использовать как виртуальные патчи, которые позволяют выявлять эксплойты до тех пор, пока не будут устранены уязвимости в ПО. Используются сигнатуры от входящей в группу компаний ИнфоТеКС компании «Перспективный мониторинг», которая на регулярной основе разрабатывает экспертные данные для множества СЗИ. Для актуализации базы решающих правил мы ежемесячно анализируем до 100 000 образцов вредоносного кода и различных индикаторов компрометации, исследуем инструментарий злоумышленников и разрабатываем системы аналитики и приоритизации информации об угрозах, в результате чего каждый месяц подключаем до 1500 новых сигнатур AM Rules, которые учитывают российскую специфику атак.
SDP (Software-defined perimeter) – программно-определяемый периметр – это подход к разграничению доступа основанных на Прозрачности и Сегментации. Это позволяет на логическом уровне создать для каждого пользователя доступ к ресурсам посредством разрешенных протоколов.
AppControl (DPI) | Идентификация пользователей | IPS | SDP |
Более 5000 протоколов и приложений | - Синхронизация с контроллерами доменов - Captive Portal синхронизированный с LDAP-каталогами | Мгновенное выявление сбоя и переключение на резервное устройство | Разграничение доступа с учетом разумной необходимости и достаточности |
Отказоустойчивость
Высокая доступность
Высокая доступность - это концепция организации отказоустойчивости системы за счет избыточности и сведение к минимуму времени простоя в случае сбоя. Избыточность достигается за счет объединения двух устройств в единый комплекс – кластер. Сведение к минимуму времени простоя достигается за счет того, что одно из устройств кластера – активное, постоянно синхронизирует свое состояние на пассивную (резервную) по специально выделенному каналу резервирования. Пассивное устройство же отслеживает состояние активной и в случае сбоя мгновенно переходит в активный режим.
Маршрутизация
Центры обработки данных и сети, требующие высокой доступности и быстрого восстановления после сбоев, нуждаются в чрезвычайно быстром обнаружении сбоев, которое обеспечивает протокол BFD.
Протокол BFD (bidirectional forward detection) распознает сбой между двумя маршрутизаторами. Обнаружение сбоев с помощью BFD происходит очень быстро по сравнению с мониторингом соединения или частыми динамическими проверками состояния маршрутизации, такими как пакеты Hello или keepalive, используемыми в BGP, что позволяет ускорить процесс выявления сбоя и переключиться на резервный канал практически мгновенно.
Резервное питание | HA-Cluster | Failover | Резервирование каналов связи |
2 блока питания | Синхронизация таблицы состояния сессий с активного устройства на резервное | Мгновенное выявление сбоя и переключение на резервное устройство | Поддержка протоколов динамической маршрутизации BGP, OSPF совместно с BFD |
ИнфоТеКС оставляет за собой право без уведомления вносить изменения в поставляемую продукцию (характеристики, внешний вид, комплектность), не ухудшающие ее потребительских свойств
Производительность1
Исполнение | xF65000 |
МЭ, 1518 байт UDP (Мбит/сек)2 | 76 000 |
МЭ (пакетов/сек) | 6 600 000 |
МЭ, TCP (Мбит/сек) | 36 000 (ограничение средства измерения) |
Application Control (МЭ+DPI)3 (Мбит/сек) | 16 000 (ограничение средства измерения) |
NGFW Throughput4 (Мбит/с) | 13 500 |
SSL Inspection5 (Мбит/с) | * |
Соединений в секунду | 622 000 |
Кол-во одновременно обслуживаемых соединений | 30 000 000 (ограничение средства измерения) |
Аппаратные характеристики
Наименование аппаратной платформы | xF65000 Q1 |
Форм-фактор | ПАК (19’ Rack 2U) |
Размеры (ШхВхГ) | 483 x 88 x 558 мм |
Масса | До 24 кг |
Источник питания | Два встроенных БП с функцией «горячей» замены, 110-240 В, 800 Вт |
Порты ввода/вывода | 1 x VGA 2 x USB 3.0 (тип A) 1 x USB 3.0 (тип C) 1 x miniUSB (тип B) |
1Производительность исполнения зависит от аппаратной платормы, активированных функций, характеристик обрабатываемого сетевого трафика: протоколов, размера пакетов. Производительность может меняться вследствие изменений, вносимых в новые версии программного обеспечения.
2Результаты получены на основании методики АО «ИнфоТеКС».
3Результаты получены для трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.
4Результаты получены для активированных МЭ, DPI, IPS с использованием актуальной на момент теста базы правил IPS, при анализе трафика EMIX, который представляет собой смесь трафиков различных прикладных протоколов: BitTorrent, HTTP, HTTPS, Oracle DB, SMTP, SSH и др.
5Результаты получены для SSL/TLS соединений, осуществляется методом измерения показателей передачи HTTPS-трафика. Измерение производительности проводиться на фоне передачи вредоносного трафика, который должен отфильтровываться контентными фильтрами и антивирусной проверкой.
* - результаты будут предоставлены позже.