Обзор архитектур систем информационной безопасности

Введение

Архитектура системы информационной безопасности — это совокупность технических средств защиты и организационных мер, направленных на противодействие актуальным ИБ-угрозам и на снижение ИБ-рисков для защиты активов компании.

Оптимальная архитектура СИБ должна соответствовать нескольким базовым принципам:

1. Воплощать в себе концепцию многоэшелонированной защиты (Defense in depth). Ограничившись установкой межсетевого экрана, вы не решите всех проблем ИБ.
2. Иметь возможности для расширения и роста, горизонтального и вертикального масштабирования. Построенная система должна отвечать растущим потребностям бизнеса на закладываемый промежуток времени.
3. Быть простой в эксплуатации и диагностике. Вам не придется спешить ночью в ЦОД при потере доступа к централизованной системе управления, чтобы немедленно восстановить работоспособность приложений, нарушенную из-за неверно настроенного правила.
4. Иметь возможности для интеграции со всеми необходимыми инфраструктурными системами компании. Если вы используете службу каталогов AD (Active Directory) при аутентификации администраторов во всех системах, то средство защиты должно также интегрироваться с AD.
5. Реально повышать уровень защищенности. Можно установить все возможные средства защиты, но при неправильно выстроенной архитектуре или неверной настройке этих средств, информационная безопасность все равно останется на прежнем уровне.

Основными компонентами СИБ являются:

• средства защиты периметра (межсетевые экраны, системы защиты от утечек данных DLP, системы защиты почты, системы обнаружения и предотвращения вторжений IDS/IPS, сетевые экраны для защиты веб-приложений WAF, сетевые «песочницы», средства организации защищенного удаленного доступа к сети NAC, системы защиты от атак DDoS);
• средства криптографической защиты информации (СКЗИ);
• средства защиты внутренней сетевой инфраструктуры (здесь тоже используются межсетевые экраны, средства контроля доступа к сети NAC, сетевые IDS/IPS);
• средства защиты серверной инфраструктуры и рабочих мест (антивирусные решения, средства защиты баз данных, хостовые «песочницы», хостовые IDS/IPS, средства контроля доступа);
• средства мониторинга состояния средств защиты, сбора и корреляции событий ИБ, сканеры уязвимостей (NMS, SIEM-системы).

Любую архитектуру и состав ее компонентов нужно строить с учетом актуальных угроз, ценности защищаемых активов (как количественных, так и качественных) и вероятности реализации угрозы. Например, нет смысла внедрять ИБ-решения, стоимостью в десятки миллионов рублей, для защиты активов, стоимость которых оценивается в десятки раз меньше. Однако такие решения целесообразно внедрить, если организации грозят крупные штрафы регулятора или она понесет репутационные потери, грозящие банкротством.

Обычно каждый компонент СИБ направлен на выполнение конкретной функции, но существуют и многофункциональные компоненты: межсетевые экраны нового поколения (Next-Generation Firewall, NGFW), устройства, обеспечивающие комплексную защиту от сетевых угроз (Unified threat management, UTM), WAF с функциями балансировки и Anti-DDoS и т. п. Поэтому зачастую выгоднее покупка многофункциональных компонентов.

Классификация архитектур СИБ

Архитектуры СИБ можно поделить на моновендорные и мультивендорные, а также на централизованные и децентрализованные.

Проведем анализ каждого типа архитектуры.

Для моновендорных архитектур можно выделить следующие преимущества и ограничения (плюсы и минусы):

Плюсы

Минусы

Построение единой унифицированной архитектуры с интеграцией всех компонентов между собой. Цена закупки компонентов СИБ у одного вендора обычно ниже, чем у нескольких (из-за больших объемов поставки одним вендором).

Риски ухода производителя с рынка, риски прекращения развития данного средства защиты, регуляторные риски (запрет на использование конкретных зарубежных СЗИ). Использование проприетарных технологий одного вендора, с помощью которых нельзя будет построить аналогичную архитектуру на оборудовании другого вендора. Неполное покрытие актуальных уязвимостей (наполнение и частота обновления сигнатурных баз обычно сильно отличается у разных вендоров). Слабые стороны вендора не компенсируются.

Что касается мультивендорных архитектур, то они имеют следующие преимущества и недостатки:

Плюсы	Минусы
Независимость от одного конкретного поставщика решений. Покрытие всевозможных актуальных уязвимостей. Сильные стороны одних вендоров компенсируют слабые стороны других.	Отсутствие или сложность полной интеграции средств защиты между собой. «Зоопарк» решений — необходимо иметь специалистов в штате, умеющих эксплуатировать оборудование каждого вендора. Стоимость закупки отдельных средств защиты у нескольких вендоров обычно выше, чем у одного вендора.

В централизованной архитектуре можно выделить такие сильные и слабые стороны, как:

Сильные стороны	Слабые стороны
Управление и мониторинг из единого места. Централизованное применение политик безопасности. Более высокий контроль действий администраторов средств защиты за счет их интеграции в централизованную систему управления. Простота эксплуатации.	Необходимо приобретать централизованную систему управления. Локальное управление устройствами некоторых вендоров невозможно без централизованной системы управления. Как следствие, в случае недоступности системы управления или потери связи с управляемыми устройствами вся конструкция может стать неэксплуатируемой. Риск внесения неверной конфигурации может оказать воздействие на всю архитектуру.

Децентрализованная архитектура тоже имеет сильные и слабые стороны:

Сильные стороны	Слабые стороны
Отсутствие затрат на централизованную систему управления. Независимое локальное применение политик безопасности.	Сложность эксплуатации. Недостаточно высокий уровень контроля над действиями администраторов средств защиты.

Крупные компании чаще применяют комбинированный подход, предполагающий построение централизованной архитектуры на базе решений различных производителей.

В небольших организациях зачастую используется моновендорная архитектура (как централизованная, так и децентрализованная). На рынке информационной безопасности на данный момент присутствует несколько компаний, которые предлагают комплексный подход к построению архитектуры ИБ: Fortinet, Cisco Systems, Palo Alto Networks, Check Point Software Technologies. Рассмотрим решения некоторых из них.

Fortinet Security Fabric

Система Fortinet Security Fabric, разработанная компанией Fortinet, реализует подход к безопасности, который дает организации возможность обеспечивать интеллектуальную, комплексную безопасность и отказоустойчивость. Производитель предлагает ИБ-решения для обеспечения всесторонней защиты сети: конечных точек, сетевых элементов, точек доступа, центра обработки данных и приложений.

В Fortinet Security Fabric можно добавлять продукты сторонних вендоров, включенные в партнерскую программу Fabric-Ready Partner Program.

Все элементы в Fortinet Security Fabric работают как единое целое для обмена информацией об угрозах. Этот подход расширяет видимость ситуации в сети и обеспечивает быстрое обнаружение угроз в режиме реального времени. Кроме того, появляется возможность инициировать и синхронизировать скоординированный ответ средств защиты независимо от того, какая часть сети подвергается риску.

Архитектура позволяет собирать, совместно использовать и сопоставлять сведения об угрозах между устройствами безопасности и сетевыми устройствами, централизованно управлять политиками, а также координировать реагирование на угрозы, обнаруженные в любой точке сети. Интерфейс управления предоставляет возможность настроить тревожные предупреждения о событиях безопасности, выдачу рекомендаций и отчетов об аудите, организовать полный контроль над политикой безопасности в рамках Fortinet Security Fabric.

Основными компонентами Fortinet Security Fabric являются:

1. FortiGate. Межсетевой экран следующего поколения.
2. FortiSandbox. Сетевая «песочница».
3. FortiMail. Защита электронной почты.
4. FortiSIEM. Сбор и корреляция событий безопасности.
5. FortiManager. Централизованная система управления всеми устройствами Fortinet Security Fabric.
6. FortiWeb. Защита веб-приложений.
7. FortiClient. Защита конечных точек (устройств), клиент удаленного доступа.
8. FortiDDoS. Защита от DDoS-атак.
9. FortiNAC. Контроль доступа к сети.

Cisco SAFE

Архитектура Cisco SAFE (Security Architecture for Enterprise) обеспечивает глубокую защиту и противодействие всевозможным векторам атак, благодаря правильной расстановке продуктов безопасности и грамотному использованию возможностей Cisco в части межплатформенного взаимодействия. Архитектура учитывает уникальные требования различных защищаемых систем, существующих в инфраструктуре. Как результат — продукты Cisco развертываются там, где они приносят наибольшую пользу без снижения качества работы бизнес-приложений.

Основными принципами архитектуры Cisco SAFE являются:

• Defense in depth (средства защиты разворачиваются на разных уровнях и в различных точках архитектуры);
• модульная инфраструктура (всю инфраструктуру можно разделить на модули с различным функциональным назначением);
• отказоустойчивость и катастрофоустойчивость (резервирование интерфейсов, кластеризация, запасные пути движения трафика и т. п.);
• соответствие требованиям регуляторов (встроенные базовые параметры безопасности и возможности аудита на предмет соответствия установленным стандартам и политикам);
• контролируемые изменения (средства контроля и анализа вносимых изменений).

Основными компонентами архитектуры Cisco SAFE являются:

1. Cisco Firepower (FTD либо ASA). Межсетевой экран следующего поколения.
2. Cisco ISE (NAC). Контроль доступа к сети.
3. Cisco Email Security Appliance (Mail-security). Защита электронной почты.
4. Cisco AMP. Защита конечных точек (устройств), «песочница», Threat Intelligence.
5. Cisco FMC. Централизованная система управления.
6. Cisco WSA (Web-security). Защита веб-приложений.

На российском рынке также присутствует несколько игроков, которые предоставляют широкие возможности по построению архитектуры ИБ на базе собственных продуктов.

«Код Безопасности»

Компания «Код Безопасности» — российский разработчик сертифицированных средств защиты информации. Продукты компании обеспечивают защиту конечных станций и серверов, периметра сети, современных виртуальных инфраструктур и мобильных устройств сотрудников.

Основными направлениями деятельности компании являются:

• Сетевая безопасность — АПКШ «Континент», Континент TLS, Континент WAF, Континент АП, СОВ «Континент» (IPS), а также собственная система централизованного управления на базе ПУ ЦУС «Континент».
• Защита конечных точек (устройств) — SecretNet, Соболь.
• Защита виртуальных сред — vGate.
• Защита мобильных платформ — Континент АП, Континент TLS.

Positive Technologies

Компания Positive Technologies фокусируется на защите веб-приложений, анализе защищенности и соответствии стандартам, а также выявлении инцидентов информационной безопасности.

Из передовых продуктов компании можно выделить:

• MaxPatrol SIEM — выявление инцидентов ИБ.
• PT AF — защита веб-приложений.
• MaxPatrol 8 — контроль и анализ защищенности.
• PT Sandbox — сетевая песочница.

ИнфоТеКС

Компания ИнфоТеКС – один из крупнейших в России поставщиков средств защиты, который фокусируется на сетевой безопасности, защите конечных точек, а также на централизованном управлении средствами защиты.

Основные направления включают в себя следующие продукты:

• Сетевая безопасность — ViPNet Coordinator HW, ViPNet IDS, ViPNet xFirewall.
• Защита конечных точек (устройств) — ViPNet Client, ViPNet Personal Firewall.
• Централизованное управление средствами защиты — ViPNet Administrator, ViPNet Policy Manager.

Комбинируя решения от различных отечественных поставщиков, можно построить комплексную систему защиты с учетом регуляторных требований (ФСТЭК России, ФСБ России).

Как выбрать архитектуру СИБ

При выборе целевой архитектуры следует в первую очередь руководствоваться данными о существующей инфраструктуре компании, о целях, которые необходимо достичь (повышение общего уровня защищенности, соответствие требованиям регуляторов, внедрение нового функционала и т. п.), и об эксплуатационных возможностях.

Централизованная архитектура подойдет тем компаниям, у которых:

• крупный бизнес с четко выделенными ЦОД или ключевыми площадками;
• большая распределенная региональная структура, отсутствие квалифицированного персонала для административных функций на удаленных площадках;
• большая частота изменений политик безопасности на средствах защиты, большой объем используемых средств защиты;
• требуется обеспечить синхронизацию политик безопасности между разными площадками.

Децентрализованная архитектура, в свою очередь, будет удобна тем компаниям, у которых:

• независимые бизнес-направления, франшизы или крупные филиалы со своими политиками безопасности;
• имеется квалифицированный персонал для выполнения административных функций на каждой площадке;
• низкая частота изменений политик безопасности на средствах защиты, небольшой объем используемых средств защиты;
• не требуется обеспечивать синхронизацию политик безопасности между разными площадками.

Если говорить о применении мультивендорной архитектуры, то она предпочтительна для компаний со следующими характеристиками:

• требуется обеспечить независимость от конкретного поставщика решений (должна быть реализована возможность свободного встраивания в архитектуру решений других поставщиков);
• имеются существенные бюджеты на информационную безопасность;
• требуется обширный ИБ-функционал, который не может закрыть один поставщик решений, либо его продукты имеют слабые стороны в том или ином направлении;
• имеется высококвалифицированный персонал, который может работать с различными решениями от разных поставщиков и с разным функционалом.

Моновендорная архитектура больше подойдет, если:

• нет больших потребностей по функционалу (один поставщик может закрыть все нужды);
• бюджет на информационную безопасность невелик;
• нет ограничений по использованию проприетарных технологий;
• есть персонал с экспертизой по решениям конкретного поставщика, либо его легко обучить или нанять;
• уже имеются решения от поставщика в инфраструктуре, можно выстроить архитектуру на базе лучших практик этого вендора.

Связь архитектур ИТ и ИБ

Любая архитектура ИБ выстраивается на основе существующей ИТ-инфраструктуры компании. Вот ключевые принципы для их эффективного сочетания:

1. Сегментация существующей инфраструктуры по функциональному назначению и выделение соответствующих зон безопасности (DMZ, корпоративная зона, управление, АСУ ТП, отдельные зоны для серверов и АРМ). Зон безопасности может быть гораздо больше — в зависимости от потребностей компании. Взаимодействие между разными зонами безопасности должно осуществляться только через межсетевой экран.


2. Определение политик безопасности при взаимодействии внутри защищаемого периметра зоны и с внешними системами и сервисами (в том числе Интернета).
3. Осуществление Device Hardening — укрепление каждого компонента внутри зоны встроенными либо устанавливаемыми средствами защиты, обновление ОС до актуальных версий, отключение неиспользуемых сервисов, парольная политика.
4. Мониторинг событий ИБ и дальнейший непрерывный анализ текущего уровня защищенности.

Следует отметить, что внедряемые средства защиты должны оказывать минимальное воздействие на бизнес-процессы, базирующиеся на выстроенной ИТ-инфраструктуре. Например, установка некоторых средств защиты «в разрыв» может вносить недопустимые задержки либо внезапно блокировать определенный функционал для конкретных прикладных сервисов. Поэтому приходится находить компромисс между уровнем защиты и качеством ИТ-сервисов, необходимых бизнесу.

Сравнение подходов к горизонтальному и вертикальному масштабированию СЗИ в архитектуре

Рост потребностей бизнеса приводит к увеличению нагрузки на средства защиты, поэтому необходимо заранее продумать подход к масштабированию используемых ИБ-решений. Чаще применяются горизонтальный и вертикальный подходы.

Горизонтальное масштабирование подразумевает установку СЗИ (например, межсетевых экранов) одинаковой производительности в ряд.

Вертикальное масштабирование предполагает установку СЗИ высокой производительности (с запасом по росту).

Оба подхода имеют как преимущества, так и недостатки:

	Горизонтальное масштабирование	Вертикальное масштабирование
Плюсы	Для увеличения производительности легко добавить оборудование аналогичной мощности.	Для увеличения производительности достаточно приобрести дополнительные аппаратные модули, либо заранее купить высокопроизводительное устройство. Вариант, доказавший надежность успешной эксплуатацией. Выход из строя Master-устройства не приводит к снижению производительности, т. к. Standby-устройство рассчитано на такую же производительность.
Минусы	Ограниченное число устройств в кластере (зависит от компании-производителя) и, как следствие, ограничение роста производительности. Выход из строя отдельного устройства приводит к снижению производительности. Большинство катастрофоустойчивых active-active решений являются проприетарными и не предусматривают возможность замены в кластере на решение другого производителя. Необходим внешний балансировщик, который может служить единой точкой отказа. Требуется больше места в стойках для размещения.	Рост производительности ограничен конкретной моделью СЗИ. Высокая стоимость оборудования, которое необходимо приобретать «с запасом» на будущее. Standby-устройство фактически простаивает 99% процентов рабочего времени.

Заключение

В заключение рассмотрим архитектуру СИБ на условном примере (активное сетевое оборудование в данном случае не рассматривается):

В верхней части схемы приведены актуальные угрозы, исходящие из сети Интернет.

Каждый компонент, представленный на схеме, реализует одну или несколько функций безопасности, которые позволяют предотвратить указанные угрозы.

На данной схеме можно отметить реализацию нескольких подходов, которые описывались выше:

1. Мультивендорная архитектура. В части мультивендорной архитектуры реализуется архитектура Two-Tier DMZ, в которой на периметре устанавливается два межсетевых экрана разных производителей. Это позволяет в случае эксплуатации уязвимости в демилитаризованной зоне DMZ через NGFW External не допустить аналогичной эксплуатации через NGFW Internal (другая сигнатурная база).
2. Многоэшелонированная защита. Defense in depth в данном случае означает использование функций защиты в разных местах, а также применение разнообразных средств защиты с реализацией одинаковых функций (например, предотвращение вторжений, антивирус).
3. Отказоустойчивость. Все основные компоненты дублируются.
4. Покрытие всевозможных угроз. К примеру, ограничившись только установкой Anti-DDoS с функциями защиты L3/L4, вряд ли удастся отразить атаку DDoS, нацеленную на уязвимости в приложениях, трафик до которых зашифрован с помощью TLS. Поэтому требуется установка WAF с возможностью раскрытия шифрованного трафика для нейтрализации данной угрозы.

Подводя итог, отметим, что любая архитектура требует не только правильного построения, но и постоянного совершенствования и улучшения в соответствии с меняющимися векторами угроз и потребностями бизнеса.

Автор:
Александр Асмолов, архитектор инфраструктуры ИБ Центра информационной безопасности компании «Инфосистемы Джет»