UserGate NGFW — один из базовых инструментов обеспечения информационной безопасности для любой сети передачи данных. Он объединяет в себе функционал межсетевого экрана, маршрутизации сетевого трафика, шлюзового антивируса, системы обнаружения и предотвращения вторжений (СОВ), VPN‑сервера, системы контентной фильтрации, мониторинга, статистики и многие другие функции.
Рассказываем, как с помощью межсетевого экрана нового поколения, развернутого на инфраструктуре Yandex Cloud, обеспечить защиту сети компании и эффективно предотвращать интернет‑угрозы.
Вне зависимости от того, будет межсетевой экран принимать весь корпоративный трафик, или только трафик, направленный к облачным системам, он будет блокировать атаки и фильтровать соединения по заданным правилам:
-
L3/L4 — фильтрация пакетов по сетевым признакам (к примеру, разрешается доступ только с выделенных IP‑адресов компании и только по ограниченным портам);
-
L7 — ограничение протоколов и приложений, таких как Tor, YouTube, почта, различные VPN и анонимайзеры, работающие по протоколам HTTP и HTTPS.
В правилах можно указывать пользователей, которым разрешены или запрещены определённые действия. Или можно запретить доступ к внутренним сервисам для всех неавторизованных пользователей.
Обнаружение вторжений производится собственным высокопроизводительным ядром по сигнатурам производителя. Идёт поиск следов вирусной активности, попыток обойти фильтрацию приложений, эксплуатации уязвимостей и тому подобное.
Межсетевой экран нового поколения выявляет передаваемые в трафике файлы и анализирует их перед доставкой получателю.
Письма, проходящие через UserGate NGFW, проверяются целой группой фильтров. От подозрительных отправителей из чёрных списков письма блокируются. Заголовки, содержание, ссылки и вложения анализируются на признаки спама или фишинга.
Если доступ к внутренним ресурсам компании (базы данных, файловые серверы, CRM и т. д.) нужно предоставить работникам, которые не находятся в локальной сети, немедленно возникает вопрос безопасности. Ведь вывести эти ресурсы в публичный доступ невозможно, они тут же станут мишенью для злоумышленников. Можно расположить их за VPN, но потребуется дополнительная настройка VPN‑сервера и VPN‑клиентов. UserGate NGFW предлагает в качестве решения безопасную публикацию ресурсов. Пользователь авторизуется на специальном портале, и только после этого для него появляется ссылка на внутренний ресурс.
UserGate NGFW в облаке можно также использовать в качестве прокси‑сервера, если он будет являться точкой выхода в интернет для локальной сети, VDI или рабочих мест. При этом будет доступен большой арсенал настроек: ограничение конкретных запрещённых сайтов, чёрные и белые списки (в т. ч. Роскомнадзора), категорирование сайтов, определение тематики сайта по морфологии, разграничение доступа по роли пользователя, блокировка рекламных и вредоносных скриптов на веб‑страницах.
UserGate NGFW осуществляет построение Site‑to‑Site VPN, защищённого канала с другим межсетевым экраном или маршрутизатором с функцией VPN. В частности, это необходимо для конфиденциальной передачи данных между облаком и локальной сетью. Кроме того, поддерживается работа клиентских VPN, чтобы пользователи могли подключаться и работать из любой точки мира.
В облачном межсетевом экране есть возможность гибко менять конфигурацию устройства и используемые модули, чтобы адаптировать его к меняющейся нагрузке и оптимизировать затраты.
Ещё одним преимуществом UserGate NGFW является сертификат ФСТЭК, подтверждающий соответствие требованиям к межсетевым экранам типа, А, Б и Д четвертого класса защиты, требованиям к системам обнаружения вторжения уровня сети четвертого класса защиты и требованиям, предъявляемым к четвертому уровню доверия. Таким образом, UserGate NGFW полностью удовлетворяет запросам к защите конфиденциальной информации, которая хранится и обрабатывается в Yandex Cloud.
Стоит отметить, что облако Yandex Cloud имеет аттестат на соответствие требованиям по защите персональных данных (ФЗ‑152) и другим индустриальным стандартам.
