СОИБ. Проектирование. (де) Централизованный доступ в Интернет

Регулярно сталкиваюсь с вопросом, о том необходимо ли в крупной распределенной компании реализовывать доступ в сеть Интернет через единую  точку / центральный офис.

В случае централизованного доступа, трафик из удаленных офисов и подразделений через VPN направляется в центральный офис (ЦОД), далее попадает в блок взаимодействия с внешними сетями и выходит в сеть Интернет. Такой вариант позволяет контролировать все взаимодействие с внешними сетями в одной точке (или двух для отказоустойчивости). 

Именно в этой точке можно установить продвинутый межсетевой экран (NGFW), систему обнаружения и предотвращения вторжений (IPS), систему фильтрации электронной почты (SMG) и систему предотвращения утечек информации (DLP).Кстати про варианты (NGFW или FW+SWG) защиты взаимодействия с сетью Интернет я уже писал в одной из предыдущих статей.

В случае децентрализованного доступа каждый офис напрямую взаимодействует с сетью Интернет и подвержен связанными с эти всевозможным угрозам: целевые атаки, заражение вредоносным ПО, утечки информации, скрытое управление и наблюдения со стороны АНБ и угрозы связанные с другими несанкционированными действиями. Поэтому в каждом подразделении должен применяться комплекс мер защиты аналогичный, развернутому в центральном офисе. Это было бы неподъёмным вариантом, если бы не придумали специальные устройство UTM, совмещающее в себе все приведенные выше функции – FW, IPS, VPN, SWG, SMG, DLP.

Правда, чтобы все эти функции заработали на небольшом устройстве в удаленном офисе, они упрощаются (уменьшается количество сигнатур, поддерживаемых протоколов) либо настраиваются так, чтобы были задействованы только выборочно несколько функций.  Но обычно есть возможность корректно настроить устройства чтобы в наиболее опасных направлениях была более глубока защита.

Кстати иногда UTMы используются и при централизованном доступе в Интернет и в таком случае направлены на защиту от внутренних угроз в корпоративной сети.

Если провести сравнение этих вариантов, то кратко можно выделить следующие преимущества централизованного варианта доступа в Интернет:

·       Единая точка контроля взаимодействия со внешними сетями, а значит более надежный и простой контроль

·       Меньшие затраты на управление (в данном случае 1 шлюз DLP, а не 50 шлюзов DLP)

·       Меньшие затраты на мониторинг и анализ инцидентов (в данном случае события поступают от 3-5 источников, а не от 50)

Преимущества децентрализованного варианта доступа в Интернет:

·       Независимость от доступности одного-двух офисов

·       Экономия трафика (так как в случае централизованного доступа, трафик из удаленных офисов оплачивается дважды – в центральном офисе для этого должны быть предусмотрены каналы более высокой пропускной способности)

·       Большие возможности для делегирования обязанностей по управлению в удаленные  офисы.

В итоге приведу свое мнение: централизованный вариант доступа в сеть Интернет мне представляется более правильным – более защищенным, управляемым, масштабируемым.  Исключения возможны в следующих ситуациях:

·       В удаленных офисах / подразделения имеются группы администраторов, которых нельзя уволить, а надо обязательно чем-то загрузить. Почему бы не загрузить их управлением и контролем доступа в Интернет и разгрузить администраторов центрального офиса.

·       Удаленные офисы / подразделения – это частично независимые компании. Возможно они будут отделены или выйдут из подчинения головной компании в будущем, поэтому необходимо сохранить у них возможность автономной работы и все собственные сервисы.

PS: приведу цитаты определений некоторых терминов из перечня терминов Gartner

Unified threat management (UTM) is a converged platform of point security products, particularly suited to small and midsize businesses (SMBs). Typical feature sets fall into three main subsets, all within the UTM: firewall/intrusion prevention system (IPS)/virtual private network, secure Web gateway security (URL filtering, Web antivirus [AV]) and messaging security (anti-spam, mail AV).

Next-generation firewalls (NGFWs) are deep-packet inspection firewalls that move beyond port/protocol inspection and blocking to add application-level inspection, intrusion prevention, and bringing intelligence from outside the firewall. An NGFW should not be confused with a stand-alone network intrusion prevention system (IPS), which includes a commodity or nonenterprise firewall, or a firewall and IPS in the same appliance that are not closely integrated.

Secure Web gateway (SWG) solutions protect Web-surfing PCs from infection and enforce company policies. A secure Web gateway is a solution that filters unwanted software/malware from user-initiated Web/Internet traffic and enforces corporate and regulatory policy compliance. These gateways must, at a minimum, include URL filtering, malicious-code detection and filtering, and application controls for popular Web-based applications, such as instant messaging (IM) and Skype. Native or integrated data leak prevention is also increasingly included.

Data loss protection (DLP) describes a set of technologies and inspection techniques used to classify information content contained within an object — such as a file, email, packet, application or data store — while at rest (in storage), in use (during an operation) or in transit (across a network). DLP tools are also have the ability to dynamically apply a policy — such as log, report, classify, relocate, tag and encrypt — and/or apply enterprise data rights management protections.

PPS: Диаграммы из аналитика  Gartner по NGFW и SWG я приводил в одной из предыдущих статей. А диаграмму по UTM привожу ниже: