СОИБ. Проектирование. (де) Централизованный доступ в Интернет

Регулярно сталкиваюсь с вопросом, о том необходимо ли в крупной распределенной компании реализовывать доступ в сеть Интернет через единую  точку / центральный офис.

В случае централизованного доступа, трафик из удаленных офисов и подразделений через VPN направляется в центральный офис (ЦОД), далее попадает в блок взаимодействия с внешними сетями и выходит в сеть Интернет. Такой вариант позволяет контролировать все взаимодействие с внешними сетями в одной точке (или двух для отказоустойчивости). 
Именно в этой точке можно установить продвинутый межсетевой экран (NGFW), систему обнаружения и предотвращения вторжений (IPS), систему фильтрации электронной почты (SMG) и систему предотвращения утечек информации (DLP).Кстати про варианты (NGFW или FW+SWG) защиты взаимодействия с сетью Интернет я уже писал в одной из предыдущих статей.




В случае децентрализованного доступа каждый офис напрямую взаимодействует с сетью Интернет и подвержен связанными с эти всевозможным угрозам: целевые атаки, заражение вредоносным ПО, утечки информации, скрытое управление и наблюдения со стороны АНБ и угрозы связанные с другими несанкционированными действиями. Поэтому в каждом подразделении должен применяться комплекс мер защиты аналогичный, развернутому в центральном офисе. Это было бы неподъёмным вариантом, если бы не придумали специальные устройство UTM, совмещающее в себе все приведенные выше функции – FW, IPS, VPN, SWG, SMG, DLP.

Правда, чтобы все эти функции заработали на небольшом устройстве в удаленном офисе, они упрощаются (уменьшается количество сигнатур, поддерживаемых протоколов) либо настраиваются так, чтобы были задействованы только выборочно несколько функций.  Но обычно есть возможность корректно настроить устройства чтобы в наиболее опасных направлениях была более глубока защита.
Кстати иногда UTMы используются и при централизованном доступе в Интернет и в таком случае направлены на защиту от внутренних угроз в корпоративной сети.

Если провести сравнение этих вариантов, то кратко можно выделить следующие преимущества централизованного варианта доступа в Интернет:
·       Единая точка контроля взаимодействия со внешними сетями, а значит более надежный и простой контроль
·       Меньшие затраты на управление (в данном случае 1 шлюз DLP, а не 50 шлюзов DLP)
·       Меньшие затраты на мониторинг и анализ инцидентов (в данном случае события поступают от 3-5 источников, а не от 50)

Преимущества децентрализованного варианта доступа в Интернет:
·       Независимость от доступности одного-двух офисов
·       Экономия трафика (так как в случае централизованного доступа, трафик из удаленных офисов оплачивается дважды – в центральном офисе для этого должны быть предусмотрены каналы более высокой пропускной способности)
·       Большие возможности для делегирования обязанностей по управлению в удаленные  офисы.

В итоге приведу свое мнение: централизованный вариант доступа в сеть Интернет мне представляется более правильным – более защищенным, управляемым, масштабируемым.  Исключения возможны в следующих ситуациях:
·       В удаленных офисах / подразделения имеются группы администраторов, которых нельзя уволить, а надо обязательно чем-то загрузить. Почему бы не загрузить их управлением и контролем доступа в Интернет и разгрузить администраторов центрального офиса.
·       Удаленные офисы / подразделения – это частично независимые компании. Возможно они будут отделены или выйдут из подчинения головной компании в будущем, поэтому необходимо сохранить у них возможность автономной работы и все собственные сервисы.

PS: приведу цитаты определений некоторых терминов из перечня терминов Gartner
Unified threat management (UTM) is a converged platform of point security products, particularly suited to small and midsize businesses (SMBs). Typical feature sets fall into three main subsets, all within the UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus [AV]) and messaging security (anti-spam, mail AV).

Next-generation firewalls (NGFWs) are deep-packet inspection firewalls that move beyond port/protocol inspection and blocking to add application-level inspection, intrusion prevention, and bringing intelligence from outside the firewall. An NGFW should not be confused with a stand-alone network intrusion prevention system (IPS), which includes a commodity or nonenterprise firewall, or a firewall and IPS in the same appliance that are not closely integrated.

Secure Web gateway (SWG) solutions protect Web-surfing PCs from infection and enforce company policies. A secure Web gateway is a solution that filters unwanted software/malware from user-initiated Web/Internet traffic and enforces corporate and regulatory policy compliance. These gateways must, at a minimum, include URL filtering, malicious-code detection and filtering, and application controls for popular Web-based applications, such as instant messaging (IM) and Skype. Native or integrated data leak prevention is also increasingly included.

Data loss protection (DLP) describes a set of technologies and inspection techniques used to classify information content contained within an object — such as a file, email, packet, application or data store — while at rest (in storage), in use (during an operation) or in transit (across a network). DLP tools are also have the ability to dynamically apply a policy — such as log, report, classify, relocate, tag and encrypt — and/or apply enterprise data rights management protections.

PPS: Диаграммы из аналитика  Gartner по NGFW и SWG я приводил в одной из предыдущих статей. А диаграмму по UTM привожу ниже:



Комментарии

А.А. написал(а)…
Что за вопрос? Конечно надо через единую точку так или иначе проводить доступ.
Сергей Борисов написал(а)…
Из моей практики "как это сейчас реализовано в разных компаниях" получается что примерно 50/50. Значит не для всех этот вопрос очевидный.

Вот вы почему считаете что надо через одну точку?

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

КИИ. ОКВЭД vs 187-ФЗ

Модель угроз безопасности клиента финансовой организации