SlideShare uma empresa Scribd logo

Экранирование локальных пользователей при выходе в публичные сети: эталонная архитектура от F5

Dmitry Tikhovich
Dmitry Tikhovich

Перспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение F5 Secure Web Gateway Services.

Tecnologia
1 de 20
Baixar para ler offline
Техническая статья Дэвид Холмс Эталонная архитектура решения F5 Secure Web Gateway Services Перспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение F5 Secure Web Gateway Services.
2 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Содержание Введение 3 Сложности защиты исходящих соединений 3 Решение F5 Secure Web Gateway Services 4 Преимущества решения F5 4 Три основных свойства защищенного веб-шлюза 5 Явные и прозрачные прокси-серверы 6 Использование решения Secure Web Gateway Services заказчиками компании F5 6 Сценарии развертывания 7 Сценарий развертывания в крупной компании 8 Сценарий развертывания гостевого доступа 14 Сценарий развертывания в ДМЗ, соответствующий требованиям PCI 15 Пользовательские сценарии и сценарии развертывания 17 Миграция с решения Microsoft Forefront TMG 18 Определение технических характеристик платформы 19 Лицензирование и одновременно работающие пользователи 19 Заключение 20
3 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Введение Наиболее известные взломы систем безопасности последнего времени начинались с направленных фишинг-атак. Целью этих кампаний являлись сотрудники определенных организаций, которых обманным путем побуждали загружать в корпоративную сеть файлы, содержащие вредоносные программы. Эти вредоносные программы затем организовывали утечку секретных и персональных данных заказчиков, производственных секретов и финансовых активов. Сейчас в Интернете ежедневно появляются еще более изощренные и опасные угрозы: внезапные загрузки, постоянно обновляемые вирусы и атаки путем взлома часто посещаемых сотрудниками компании сайтов. Опасность и масштабы этой деятельности вынуждают ИТ-подразделения организаций усиливать меры безопасности, связанные с доступом сотрудников в Интернет. Попытки организации защиты сотрудников при работе в Интернете традиционно заключались в том, что организация требовала использовать прямой прокси-сервер, который перехватывал и проверял исходящие интернет-соединения пользователей. Любой, кому приходилось работать в относительно крупной корпоративной сети, наверняка имел дело с такими прокси-серверами (и, возможно, пытался обойти их). Есть компании, специализирующиеся на разработке таких прокси-серверов уже более десяти лет, однако сама технология с течением времени не слишком усовершенствовалась. Сложности защиты исходящих соединений Технология прямых прокси-серверов стоит на месте, чего нельзя сказать о задачах, которые они должны решать. Появляются новые сложности, связанные, в частности, с перечисленными ниже тремя факторами. • Распространение повсеместного использования технологии SSL «ослепляет» обычные прямые прокси-серверы. • Неожиданно серьезные последствия фишинговых атак приводят к повышению ставок. • Бесконтрольное распространение устройств и административные требования вынуждают организации задуматься о консолидации оборудования. Эти изменения происходят во всем мире, и технология прямых прокси-серверов не успевает за ними. Администраторам требуется решение, позволяющее справляться с новыми сложностями. Традиционные прямые прокси «не видят» SSL-трафик и вредоносное ПО, поэтому для создания завершенного решения часто требуются дополнительные устройства.
4 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Решение F5 Secure Web Gateway Services Поскольку продукты F5 располагаются в стратегической точке контроля сети, компания F5 Networks имеет уникальную возможность помогать организациям в обеспечении безопасности пользователей при доступе к Интернету с использованием тех же самых высокопроизводительных платформ, которые они применяют для контроля доставки приложений. Преимущества решения F5 Чем решение F5® Secure Web Gateway Services отличается от традиционных прямых прокси-серверов? Можно выделить пять основных отличий, которые крайне важны для понимания возможности использования решения F5 для создания завершенной эталонной архитектуры интернет-безопасности. • Встроенные средства обнаружения вредоносного ПО. Обычные прямые прокси- серверы осуществляют аналогичную фильтрацию URL, однако для обнаружения вредоносного ПО им требуются дополнительные устройства или комплекты устройств. Решение Secure Web Gateway Services позволяет реализовать эту функцию на той же платформе. • Масштабирование и производительность. Масштабируемость эталонной архитектуры решения Secure Web Gateway Services гораздо выше, чем у традиционных прямых прокси-серверов. Это позволяет сократить количество устройств, обеспечивающих безопасность работы в Интернете, и уменьшить капитальные затраты предприятия. • Перехват SSL. Распространение технологии SSL в организациях привело к возникновению необходимости в перехвате и инспектировании SSL-соединений. В традиционных решениях для этого часто используется контроллер доставки приложений F5 Application Delivery Controller (ADC). Встраивание Secure Web Gateway Services в главную платформу ADC обеспечивает консолидацию системы и сопутствующие этому преимущества. • Федеративный единый вход (single sign-on). Решение F5 единственное на рынке сегодня предлагает встроенные функции федеративного единого входа. Технология F5 позволяет компании создать страницу внутреннего портала, чтобы пользователи проходили на ней проверку подлинности каждое утро, а затем
5 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services пользовались единым входом до конца рабочего дня. Это удобно для сотрудников и экономит их время. • Консолидация сервисов безопасности. Все перечисленные сервисы для обеспечения безопасности доступны на любой платформе F5 (как и функции защиты входящих соединений). Это дает возможность консолидировать все функции управления входящим и исходящим доступом, а также защиты входящих и исходящих соединений в одной стратегической точке контроля в сети. Эти различия позволяют использовать решение F5 Secure Web Gateway Services для создания комплексной архитектуры безопасности приложений и доступа в Интернет. Три основных свойства защищенного веб-шлюза Все примеры использования Secure Web Gateway Services основаны на трех функциях безопасности: фильтрации URL, поиске вредоносного ПО и создании отчетов. Распределение URL по категориям и их фильтрация Простейшей из этих функций является распределение URL по категориям и их фильтрация. В Secure Web Gateway Services ежедневно загружается база данных, содержащая миллиарды URL с присвоенными им оценками и категориями. Обновление этой базы данных производится каждые несколько минут. База содержит URL сайтов, содержащих вредоносное ПО, фишинговые прокси-серверы и страницы с невидимыми слоями. Специалисты компании- пользователя могут настроить базу данных с учетом своей специфики. Поиск вредоносного ПО База данных URL может уведомить Secure Web Gateway Services о том, что определенный контент необходимо дополнительно проверить на наличие вредоносного ПО. После этого решение F5 может начать перехватывать и проверять содержимое и ссылки на файлы большинства популярных форматов, таких как Adobe Flash и Adobe PDF. Создание отчетов Для выработки хорошо работающей политики, а также для соблюдения отраслевых и государственных нормативных требований администраторы должны понимать происходящие процессы. Поскольку решение Secure Web Gateway Services выступает в качестве стратегической точки контроля для исходящего доступа в Интернет, будет естественно использовать его для отслеживания тенденций использования Интернета и Рис. 1. Категория безопасности базы данных URL Ядром F5 Secure Web Gateway Services является база данных Websense, используемая для распределения URL по категориям. Компания Websense ежедневно проверяет миллиарды URL-адресов, обновляя информацию об угрозах в режиме реального времени.
6 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services составления соответствующих отчетов. Политики некоторых организаций требуют фиксации в журнале каждого запроса, тогда как в других организациях фиксируются только запросы, при которых срабатывает система оповещения об опасности. Решение F5 позволяет использовать любой из этих подходов. Одним из наиболее популярных отчетов, например, является отчет о пользователях сети, потребляющих наибольшее количество пропускной способности. Явные и прозрачные прокси-серверы Решение F5 Secure Web Gateway Services может автоматически работать в качестве прозрачного прямого прокси-сервера, обрабатывающего все запросы пользователей, проходящие через него в Интернет. При использовании решения в таком режиме администраторам не нужно менять настройки каждого устройства или групповую политику, чтобы получить возможность перехватывать сеансы пользователей. Secure Web Gateway Services также может работать в качестве явного прокси-сервера. В отличие от прозрачного режима, режим явного прямого прокси-сервера требует от администратора явным образом указать исходящий прямой прокси-сервер для каждого устройства (и пользователя) в сети. Хотя это связано с увеличением объема работ по администрированию, организации пришли к выводу, что режим явного прокси-сервера имеет значительные преимущества с точки зрения безопасности. Secure Web Gateway Services автоматически создает файлы автоматической настройки в формате WPAD или PAC. Параметры явного прокси можно также распространять через групповую политику или другое корпоративное решение для управления. Использование решения Secure Web Gateway Services заказчиками компании F5 Эталонная архитектура Secure Web Gateway Services предполагает четыре типичных пользовательских сценария. Эти сценарии не являются взаимоисключающими и нередко используются в связке. • Обеспечение безопасности с учетом контекста. Решение Secure Web Gateway Services обеспечивает безопасность пользователей в знакомой корпоративной среде. • Контроль полосы пропускания. Решение F5 может ограничивать потребление пропускной способности канала с учетом типа мультимедийного содержимого, влияя тем самым на поведение пользователей. • Представление правил использования сети. Secure Web Gateway Services помогает организациям снять с себя большую часть ответственности при обеспечении
7 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services доступа в Интернет для посетителей, требуя от них согласиться с правилами использования сети. • Соответствие нормативным требованиям. Согласно требованиям отрасли платежных карт (PCI) к защите номеров кредитных карт, серверы в информационной среде владельцев платежных карт (CDE) должны использовать прямой прокси при доступе к серверам обновления в Интернете. Сценарии развертывания Для выполнения задач пользовательских сценариев развертывание Secure Web Gateway Services обычно должно соответствовать одной из трех моделей: корпоративная, гостевой доступ и ДМЗ информационной среды владельцев платежных карт, соответствующей требованиям PCI. Эти сценарии развертывания, поддерживающие сценарии с несколькими заказчиками, отличаются друг от друга включенными в каждом из них функциями. Кроме того, вне зависимости от сценария развертывания решение поддерживает следующие возможности: • распределение URL по категориям и их фильтрация; • поиск вредоносного ПО; • создание отчетов.
8 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Сценарий развертывания в крупной компании В корпоративной среде решение Secure Web Gateway Services может иметь различные конфигурации, учитывающие требования сети и безопасности. Хотя каждая организация по- своему уникальна, в большинстве их них Secure Web Gateway Services обеспечивает защиту исходящего интернет-трафика сотрудников, распределяя по категориям и фильтруя URL, проверяя контент на наличие вредоносного ПО и в некоторых случаях ограничивая непродуктивную деятельность пользователей в Интернете. Обычно в корпоративной архитектуре используются базовые функции Secure Web Gateway Services (фильтрация URL, поиск вредоносного ПО, создание отчетов) и популярный набор дополнительных возможностей: • интеграция с корпоративной службой каталогов для идентификации пользователей; • перехват SSL; • федеративный единый вход. C A B C GOOD BETTER BEST SWG A B /
- Kerberos NTLM Basic Auth 407 Active Directory -
 Secure Web Gateway Services BIG-IP Access Policy Manager + Secure Web Gateway Services  -

. 
URL Secure Web Gateway
+  +  
­ +
€ BIG-IP ‚
 Facebook -   YouTube Facebook ‚
 ‚
 Salesforce.com B2B -API ƒ 
Рис. 2. Сценарий развертывания в корпоративной сети с возможностью поддержки всех четырех пользовательских сценариев

Recomendados

безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Media Gorod
 
SafeNet Authentication Service
SafeNet Authentication ServiceSafeNet Authentication Service
SafeNet Authentication Service
Michael Oreshin
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
безопасность
безопасностьбезопасность
безопасность
Shoplist
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
Замена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 NetworksЗамена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 Networks
Dmitry Tikhovich
 
Cisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционалаCisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционала
Cisco Russia
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Clouds NN
 

Recomendados

безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Media Gorod
 
SafeNet Authentication Service
SafeNet Authentication ServiceSafeNet Authentication Service
SafeNet Authentication Service
Michael Oreshin
 
Безопасность
БезопасностьБезопасность
Безопасность
1С-Битрикс
 
безопасность
безопасностьбезопасность
безопасность
Shoplist
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
Замена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 NetworksЗамена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 Networks
Dmitry Tikhovich
 
Cisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционалаCisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционала
Cisco Russia
 
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
CloudsNN 2014. Юрий Бражников. Безопасность виртуализации Microsoft и выполне...
Clouds NN
 
Listovka cyren2-web
Listovka cyren2-webListovka cyren2-web
Listovka cyren2-web
Anna Selivanova
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco Russia
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
Positive Hack Days
 
SSL VPN
SSL VPNSSL VPN
SSL VPN
Sergey Marunich
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Альбина Минуллина
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
1С-Битрикс
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Cisco Russia
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
Cisco Russia
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
Татьяна Янкина
 
Средства контроля использования Интернета Cisco IronPort Web Usage Controls
Средства контроля использования Интернета Cisco IronPort Web Usage ControlsСредства контроля использования Интернета Cisco IronPort Web Usage Controls
Средства контроля использования Интернета Cisco IronPort Web Usage Controls
Cisco Russia
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
VirtSGR
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
 
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасностиCheck point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасности
Expolink
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
Denis Bezkorovayny
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
Mikhail Vanin
 
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности
Expolink
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days
 
Обзор новых возможностей Contact Center Enterprise версии 10
Обзор новых возможностей Contact Center Enterprise версии 10 Обзор новых возможностей Contact Center Enterprise версии 10
Обзор новых возможностей Contact Center Enterprise версии 10
Cisco Russia
 
КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD
КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYODКОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD
КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD
Dmitry Tikhovich
 
VMware NSX: эталонная архитектура F5
VMware NSX: эталонная архитектура F5VMware NSX: эталонная архитектура F5
VMware NSX: эталонная архитектура F5
Dmitry Tikhovich
 

Mais conteúdo relacionado

Mais procurados

Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco Russia
 
Средства контроля использования Интернета Cisco IronPort Web Usage Controls
Средства контроля использования Интернета Cisco IronPort Web Usage ControlsСредства контроля использования Интернета Cisco IronPort Web Usage Controls
Средства контроля использования Интернета Cisco IronPort Web Usage Controls
Cisco Russia
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
VirtSGR
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days
 
Обзор новых возможностей Contact Center Enterprise версии 10
Обзор новых возможностей Contact Center Enterprise версии 10 Обзор новых возможностей Contact Center Enterprise версии 10
Обзор новых возможностей Contact Center Enterprise версии 10
Cisco Russia
 

Mais procurados (20)

Listovka cyren2-web
Listovka cyren2-webListovka cyren2-web
Listovka cyren2-web
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
 
SSL VPN
SSL VPNSSL VPN
SSL VPN
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
 
Контроль доступа к Интернет
Контроль доступа к ИнтернетКонтроль доступа к Интернет
Контроль доступа к Интернет
 
Data line security_as_a_service
Data line security_as_a_serviceData line security_as_a_service
Data line security_as_a_service
 
Средства контроля использования Интернета Cisco IronPort Web Usage Controls
Средства контроля использования Интернета Cisco IronPort Web Usage ControlsСредства контроля использования Интернета Cisco IronPort Web Usage Controls
Средства контроля использования Интернета Cisco IronPort Web Usage Controls
 
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.RuvGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
vGate R2_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасностиCheck point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасности
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
 
Blitz Identity Provider
Blitz Identity ProviderBlitz Identity Provider
Blitz Identity Provider
 
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности
 
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
Positive Hack Days. Лысенко. Уязвимости систем виртуализации и варианты защит...
 
Обзор новых возможностей Contact Center Enterprise версии 10
Обзор новых возможностей Contact Center Enterprise версии 10 Обзор новых возможностей Contact Center Enterprise версии 10
Обзор новых возможностей Contact Center Enterprise версии 10
 

Destaque

КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD
КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYODКОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD
КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD
Dmitry Tikhovich
 
VMware NSX: эталонная архитектура F5
VMware NSX: эталонная архитектура F5VMware NSX: эталонная архитектура F5
VMware NSX: эталонная архитектура F5
Dmitry Tikhovich
 
Решения F5 в сфере безопасности
Решения F5 в сфере безопасностиРешения F5 в сфере безопасности
Решения F5 в сфере безопасности
Dmitry Tikhovich
 
VMware Horizon View: эталонная архитектура от F5 и VMware
VMware Horizon View: эталонная архитектура от F5 и VMwareVMware Horizon View: эталонная архитектура от F5 и VMware
VMware Horizon View: эталонная архитектура от F5 и VMware
Dmitry Tikhovich
 
F5 Carrier-Grade NAT (CGNAT): техническое описание
F5 Carrier-Grade NAT (CGNAT): техническое описаниеF5 Carrier-Grade NAT (CGNAT): техническое описание
F5 Carrier-Grade NAT (CGNAT): техническое описание
Dmitry Tikhovich
 
Консолидация управления удаленным доступом с F5 Access Policy Manager
Консолидация управления удаленным доступом с F5 Access Policy ManagerКонсолидация управления удаленным доступом с F5 Access Policy Manager
Консолидация управления удаленным доступом с F5 Access Policy Manager
Dmitry Tikhovich
 
VMware Horizon View: оптимизированный защищенный доступ
VMware Horizon View: оптимизированный защищенный доступVMware Horizon View: оптимизированный защищенный доступ
VMware Horizon View: оптимизированный защищенный доступ
Dmitry Tikhovich
 
Интеллектуальное масштабирование DNS: эталонная архитектура
Интеллектуальное масштабирование DNS: эталонная архитектураИнтеллектуальное масштабирование DNS: эталонная архитектура
Интеллектуальное масштабирование DNS: эталонная архитектура
Dmitry Tikhovich
 
F5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данныхF5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данных
Dmitry Tikhovich
 
Обзор партнерства F5 и Cisco
Обзор партнерства F5 и CiscoОбзор партнерства F5 и Cisco
Обзор партнерства F5 и Cisco
Dmitry Tikhovich
 
Защита от DDoS: эталонная архитектура от F5
Защита от DDoS: эталонная архитектура от F5Защита от DDoS: эталонная архитектура от F5
Защита от DDoS: эталонная архитектура от F5
Dmitry Tikhovich
 
Безопасность для операторов: эталонная архитектура от F5
Безопасность для операторов: эталонная архитектура от F5Безопасность для операторов: эталонная архитектура от F5
Безопасность для операторов: эталонная архитектура от F5
Dmitry Tikhovich
 
F5 Networks: миграция c Microsoft TMG
F5 Networks: миграция c Microsoft TMGF5 Networks: миграция c Microsoft TMG
F5 Networks: миграция c Microsoft TMG
Dmitry Tikhovich
 

Destaque (20)

КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD
КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYODКОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD
КОСВЕННОЕ ВОЗДЕЙСТВИЕ НОСИМОЙ ТЕХНИКИ НА КОНЦЕПЦИЮ BYOD
 
VMware NSX: эталонная архитектура F5
VMware NSX: эталонная архитектура F5VMware NSX: эталонная архитектура F5
VMware NSX: эталонная архитектура F5
 
Решения F5 в сфере безопасности
Решения F5 в сфере безопасностиРешения F5 в сфере безопасности
Решения F5 в сфере безопасности
 
F5 Value for VMware RUS
F5 Value for VMware RUSF5 Value for VMware RUS
F5 Value for VMware RUS
 
VMware Horizon View: эталонная архитектура от F5 и VMware
VMware Horizon View: эталонная архитектура от F5 и VMwareVMware Horizon View: эталонная архитектура от F5 и VMware
VMware Horizon View: эталонная архитектура от F5 и VMware
 
Take5, June'15: Monthly Partners Newsletter
Take5, June'15: Monthly Partners NewsletterTake5, June'15: Monthly Partners Newsletter
Take5, June'15: Monthly Partners Newsletter
 
F5 Carrier-Grade NAT (CGNAT): техническое описание
F5 Carrier-Grade NAT (CGNAT): техническое описаниеF5 Carrier-Grade NAT (CGNAT): техническое описание
F5 Carrier-Grade NAT (CGNAT): техническое описание
 
Консолидация управления удаленным доступом с F5 Access Policy Manager
Консолидация управления удаленным доступом с F5 Access Policy ManagerКонсолидация управления удаленным доступом с F5 Access Policy Manager
Консолидация управления удаленным доступом с F5 Access Policy Manager
 
Инфографика: переход на HTTP/2
Инфографика: переход на HTTP/2Инфографика: переход на HTTP/2
Инфографика: переход на HTTP/2
 
VMware Horizon View: оптимизированный защищенный доступ
VMware Horizon View: оптимизированный защищенный доступVMware Horizon View: оптимизированный защищенный доступ
VMware Horizon View: оптимизированный защищенный доступ
 
Партнерство F5 и VMware
Партнерство F5 и VMwareПартнерство F5 и VMware
Партнерство F5 и VMware
 
Интеллектуальное масштабирование DNS: эталонная архитектура
Интеллектуальное масштабирование DNS: эталонная архитектураИнтеллектуальное масштабирование DNS: эталонная архитектура
Интеллектуальное масштабирование DNS: эталонная архитектура
 
F5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данныхF5 и Cisco: комплексное решение для сети центра обработки данных
F5 и Cisco: комплексное решение для сети центра обработки данных
 
Обзор партнерства F5 и Cisco
Обзор партнерства F5 и CiscoОбзор партнерства F5 и Cisco
Обзор партнерства F5 и Cisco
 
Защита от DDoS: эталонная архитектура от F5
Защита от DDoS: эталонная архитектура от F5Защита от DDoS: эталонная архитектура от F5
Защита от DDoS: эталонная архитектура от F5
 
Доступность приложений в гибридных ЦОД
Доступность приложений в гибридных ЦОДДоступность приложений в гибридных ЦОД
Доступность приложений в гибридных ЦОД
 
Безопасность для операторов: эталонная архитектура от F5
Безопасность для операторов: эталонная архитектура от F5Безопасность для операторов: эталонная архитектура от F5
Безопасность для операторов: эталонная архитектура от F5
 
F5 EMEA Webinar Oct'15: http2 how to ease the transition
F5 EMEA Webinar Oct'15: http2 how to ease the transitionF5 EMEA Webinar Oct'15: http2 how to ease the transition
F5 EMEA Webinar Oct'15: http2 how to ease the transition
 
F5 Networks: миграция c Microsoft TMG
F5 Networks: миграция c Microsoft TMGF5 Networks: миграция c Microsoft TMG
F5 Networks: миграция c Microsoft TMG
 
Оптимизированное решение F5 для VMware Horizon View: рекомендации по дизайну ...
Оптимизированное решение F5 для VMware Horizon View: рекомендации по дизайну ...Оптимизированное решение F5 для VMware Horizon View: рекомендации по дизайну ...
Оптимизированное решение F5 для VMware Horizon View: рекомендации по дизайну ...
 

Semelhante a Экранирование локальных пользователей при выходе в публичные сети: эталонная архитектура от F5

Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура" Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура"
Fwdays
 
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии SУстройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Cisco Russia
 
FortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложенийFortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложений
Sergey Malchikov
 
битрикс Framework сергей рыжиков
битрикс Framework сергей рыжиковбитрикс Framework сергей рыжиков
битрикс Framework сергей рыжиков
Media Gorod
 
Oracle минеев
Oracle минеевOracle минеев
Oracle минеев
Expolink
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
Expolink
 
Современные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задачСовременные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задач
UltraUnion
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
Dmitry Evteev
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
MrCoffee94
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat Defense
Cisco Russia
 

Semelhante a Экранирование локальных пользователей при выходе в публичные сети: эталонная архитектура от F5 (20)

Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура" Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура"
 
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии SУстройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
 
FortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложенийFortiWeb - межсетевой экран для веб-приложений
FortiWeb - межсетевой экран для веб-приложений
 
Губкин Александр
Губкин АлександрГубкин Александр
Губкин Александр
 
битрикс Framework сергей рыжиков
битрикс Framework сергей рыжиковбитрикс Framework сергей рыжиков
битрикс Framework сергей рыжиков
 
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом
 
Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач Современные технологии сайтостроения для решения бизнес-задач
Современные технологии сайтостроения для решения бизнес-задач
 
Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.
Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.
Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.
 
Oracle минеев
Oracle минеевOracle минеев
Oracle минеев
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
 
Безопасность гибридных облаков
Безопасность гибридных облаковБезопасность гибридных облаков
Безопасность гибридных облаков
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
 
Современные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задачСовременные технологии сайтостроения для решения бизнес задач
Современные технологии сайтостроения для решения бизнес задач
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетях
 
Cisco Cyber Threat Defense
Cisco Cyber Threat DefenseCisco Cyber Threat Defense
Cisco Cyber Threat Defense
 
Архитектура и технологии Pryaniky.com
Архитектура и технологии Pryaniky.comАрхитектура и технологии Pryaniky.com
Архитектура и технологии Pryaniky.com
 
Kerio WinRoute Firewall 6.7
Kerio WinRoute Firewall 6.7Kerio WinRoute Firewall 6.7
Kerio WinRoute Firewall 6.7
 

Último

Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 

Último (9)

Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 

Экранирование локальных пользователей при выходе в публичные сети: эталонная архитектура от F5

  • 1. Техническая статья Дэвид Холмс Эталонная архитектура решения F5 Secure Web Gateway Services Перспективно мыслящие ИТ-специалисты, которым приходится постоянно иметь дело с попытками взлома систем безопасности, целенаправленными устойчивыми угрозами и сотрудниками из поколения 2000-х, которым нужен доступ в Интернет 24 часа в сутки, теперь могут создать единую точку контроля для доступа в Интернет и обеспечения безопасности, используя решение F5 Secure Web Gateway Services.
  • 2. 2 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Содержание Введение 3 Сложности защиты исходящих соединений 3 Решение F5 Secure Web Gateway Services 4 Преимущества решения F5 4 Три основных свойства защищенного веб-шлюза 5 Явные и прозрачные прокси-серверы 6 Использование решения Secure Web Gateway Services заказчиками компании F5 6 Сценарии развертывания 7 Сценарий развертывания в крупной компании 8 Сценарий развертывания гостевого доступа 14 Сценарий развертывания в ДМЗ, соответствующий требованиям PCI 15 Пользовательские сценарии и сценарии развертывания 17 Миграция с решения Microsoft Forefront TMG 18 Определение технических характеристик платформы 19 Лицензирование и одновременно работающие пользователи 19 Заключение 20
  • 3. 3 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Введение Наиболее известные взломы систем безопасности последнего времени начинались с направленных фишинг-атак. Целью этих кампаний являлись сотрудники определенных организаций, которых обманным путем побуждали загружать в корпоративную сеть файлы, содержащие вредоносные программы. Эти вредоносные программы затем организовывали утечку секретных и персональных данных заказчиков, производственных секретов и финансовых активов. Сейчас в Интернете ежедневно появляются еще более изощренные и опасные угрозы: внезапные загрузки, постоянно обновляемые вирусы и атаки путем взлома часто посещаемых сотрудниками компании сайтов. Опасность и масштабы этой деятельности вынуждают ИТ-подразделения организаций усиливать меры безопасности, связанные с доступом сотрудников в Интернет. Попытки организации защиты сотрудников при работе в Интернете традиционно заключались в том, что организация требовала использовать прямой прокси-сервер, который перехватывал и проверял исходящие интернет-соединения пользователей. Любой, кому приходилось работать в относительно крупной корпоративной сети, наверняка имел дело с такими прокси-серверами (и, возможно, пытался обойти их). Есть компании, специализирующиеся на разработке таких прокси-серверов уже более десяти лет, однако сама технология с течением времени не слишком усовершенствовалась. Сложности защиты исходящих соединений Технология прямых прокси-серверов стоит на месте, чего нельзя сказать о задачах, которые они должны решать. Появляются новые сложности, связанные, в частности, с перечисленными ниже тремя факторами. • Распространение повсеместного использования технологии SSL «ослепляет» обычные прямые прокси-серверы. • Неожиданно серьезные последствия фишинговых атак приводят к повышению ставок. • Бесконтрольное распространение устройств и административные требования вынуждают организации задуматься о консолидации оборудования. Эти изменения происходят во всем мире, и технология прямых прокси-серверов не успевает за ними. Администраторам требуется решение, позволяющее справляться с новыми сложностями. Традиционные прямые прокси «не видят» SSL-трафик и вредоносное ПО, поэтому для создания завершенного решения часто требуются дополнительные устройства.
  • 4. 4 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Решение F5 Secure Web Gateway Services Поскольку продукты F5 располагаются в стратегической точке контроля сети, компания F5 Networks имеет уникальную возможность помогать организациям в обеспечении безопасности пользователей при доступе к Интернету с использованием тех же самых высокопроизводительных платформ, которые они применяют для контроля доставки приложений. Преимущества решения F5 Чем решение F5® Secure Web Gateway Services отличается от традиционных прямых прокси-серверов? Можно выделить пять основных отличий, которые крайне важны для понимания возможности использования решения F5 для создания завершенной эталонной архитектуры интернет-безопасности. • Встроенные средства обнаружения вредоносного ПО. Обычные прямые прокси- серверы осуществляют аналогичную фильтрацию URL, однако для обнаружения вредоносного ПО им требуются дополнительные устройства или комплекты устройств. Решение Secure Web Gateway Services позволяет реализовать эту функцию на той же платформе. • Масштабирование и производительность. Масштабируемость эталонной архитектуры решения Secure Web Gateway Services гораздо выше, чем у традиционных прямых прокси-серверов. Это позволяет сократить количество устройств, обеспечивающих безопасность работы в Интернете, и уменьшить капитальные затраты предприятия. • Перехват SSL. Распространение технологии SSL в организациях привело к возникновению необходимости в перехвате и инспектировании SSL-соединений. В традиционных решениях для этого часто используется контроллер доставки приложений F5 Application Delivery Controller (ADC). Встраивание Secure Web Gateway Services в главную платформу ADC обеспечивает консолидацию системы и сопутствующие этому преимущества. • Федеративный единый вход (single sign-on). Решение F5 единственное на рынке сегодня предлагает встроенные функции федеративного единого входа. Технология F5 позволяет компании создать страницу внутреннего портала, чтобы пользователи проходили на ней проверку подлинности каждое утро, а затем
  • 5. 5 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services пользовались единым входом до конца рабочего дня. Это удобно для сотрудников и экономит их время. • Консолидация сервисов безопасности. Все перечисленные сервисы для обеспечения безопасности доступны на любой платформе F5 (как и функции защиты входящих соединений). Это дает возможность консолидировать все функции управления входящим и исходящим доступом, а также защиты входящих и исходящих соединений в одной стратегической точке контроля в сети. Эти различия позволяют использовать решение F5 Secure Web Gateway Services для создания комплексной архитектуры безопасности приложений и доступа в Интернет. Три основных свойства защищенного веб-шлюза Все примеры использования Secure Web Gateway Services основаны на трех функциях безопасности: фильтрации URL, поиске вредоносного ПО и создании отчетов. Распределение URL по категориям и их фильтрация Простейшей из этих функций является распределение URL по категориям и их фильтрация. В Secure Web Gateway Services ежедневно загружается база данных, содержащая миллиарды URL с присвоенными им оценками и категориями. Обновление этой базы данных производится каждые несколько минут. База содержит URL сайтов, содержащих вредоносное ПО, фишинговые прокси-серверы и страницы с невидимыми слоями. Специалисты компании- пользователя могут настроить базу данных с учетом своей специфики. Поиск вредоносного ПО База данных URL может уведомить Secure Web Gateway Services о том, что определенный контент необходимо дополнительно проверить на наличие вредоносного ПО. После этого решение F5 может начать перехватывать и проверять содержимое и ссылки на файлы большинства популярных форматов, таких как Adobe Flash и Adobe PDF. Создание отчетов Для выработки хорошо работающей политики, а также для соблюдения отраслевых и государственных нормативных требований администраторы должны понимать происходящие процессы. Поскольку решение Secure Web Gateway Services выступает в качестве стратегической точки контроля для исходящего доступа в Интернет, будет естественно использовать его для отслеживания тенденций использования Интернета и Рис. 1. Категория безопасности базы данных URL Ядром F5 Secure Web Gateway Services является база данных Websense, используемая для распределения URL по категориям. Компания Websense ежедневно проверяет миллиарды URL-адресов, обновляя информацию об угрозах в режиме реального времени.
  • 6. 6 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services составления соответствующих отчетов. Политики некоторых организаций требуют фиксации в журнале каждого запроса, тогда как в других организациях фиксируются только запросы, при которых срабатывает система оповещения об опасности. Решение F5 позволяет использовать любой из этих подходов. Одним из наиболее популярных отчетов, например, является отчет о пользователях сети, потребляющих наибольшее количество пропускной способности. Явные и прозрачные прокси-серверы Решение F5 Secure Web Gateway Services может автоматически работать в качестве прозрачного прямого прокси-сервера, обрабатывающего все запросы пользователей, проходящие через него в Интернет. При использовании решения в таком режиме администраторам не нужно менять настройки каждого устройства или групповую политику, чтобы получить возможность перехватывать сеансы пользователей. Secure Web Gateway Services также может работать в качестве явного прокси-сервера. В отличие от прозрачного режима, режим явного прямого прокси-сервера требует от администратора явным образом указать исходящий прямой прокси-сервер для каждого устройства (и пользователя) в сети. Хотя это связано с увеличением объема работ по администрированию, организации пришли к выводу, что режим явного прокси-сервера имеет значительные преимущества с точки зрения безопасности. Secure Web Gateway Services автоматически создает файлы автоматической настройки в формате WPAD или PAC. Параметры явного прокси можно также распространять через групповую политику или другое корпоративное решение для управления. Использование решения Secure Web Gateway Services заказчиками компании F5 Эталонная архитектура Secure Web Gateway Services предполагает четыре типичных пользовательских сценария. Эти сценарии не являются взаимоисключающими и нередко используются в связке. • Обеспечение безопасности с учетом контекста. Решение Secure Web Gateway Services обеспечивает безопасность пользователей в знакомой корпоративной среде. • Контроль полосы пропускания. Решение F5 может ограничивать потребление пропускной способности канала с учетом типа мультимедийного содержимого, влияя тем самым на поведение пользователей. • Представление правил использования сети. Secure Web Gateway Services помогает организациям снять с себя большую часть ответственности при обеспечении
  • 7. 7 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services доступа в Интернет для посетителей, требуя от них согласиться с правилами использования сети. • Соответствие нормативным требованиям. Согласно требованиям отрасли платежных карт (PCI) к защите номеров кредитных карт, серверы в информационной среде владельцев платежных карт (CDE) должны использовать прямой прокси при доступе к серверам обновления в Интернете. Сценарии развертывания Для выполнения задач пользовательских сценариев развертывание Secure Web Gateway Services обычно должно соответствовать одной из трех моделей: корпоративная, гостевой доступ и ДМЗ информационной среды владельцев платежных карт, соответствующей требованиям PCI. Эти сценарии развертывания, поддерживающие сценарии с несколькими заказчиками, отличаются друг от друга включенными в каждом из них функциями. Кроме того, вне зависимости от сценария развертывания решение поддерживает следующие возможности: • распределение URL по категориям и их фильтрация; • поиск вредоносного ПО; • создание отчетов.
  • 8. 8 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Сценарий развертывания в крупной компании В корпоративной среде решение Secure Web Gateway Services может иметь различные конфигурации, учитывающие требования сети и безопасности. Хотя каждая организация по- своему уникальна, в большинстве их них Secure Web Gateway Services обеспечивает защиту исходящего интернет-трафика сотрудников, распределяя по категориям и фильтруя URL, проверяя контент на наличие вредоносного ПО и в некоторых случаях ограничивая непродуктивную деятельность пользователей в Интернете. Обычно в корпоративной архитектуре используются базовые функции Secure Web Gateway Services (фильтрация URL, поиск вредоносного ПО, создание отчетов) и популярный набор дополнительных возможностей: • интеграция с корпоративной службой каталогов для идентификации пользователей; • перехват SSL; • федеративный единый вход. C A B C GOOD BETTER BEST SWG A B /
  • 9. - Kerberos NTLM Basic Auth 407 Active Directory -
  • 10.  Secure Web Gateway Services BIG-IP Access Policy Manager + Secure Web Gateway Services  -
  • 11. 
  • 13. URL Secure Web Gateway
  • 14. +  +  
  • 15. ­ +
  • 16. € BIG-IP ‚
  • 17.  Facebook -   YouTube Facebook ‚
  • 19.  Salesforce.com B2B -API ƒ 
  • 20. Рис. 2. Сценарий развертывания в корпоративной сети с возможностью поддержки всех четырех пользовательских сценариев
  • 21. 9 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Использование корпоративных служб каталогов для идентификации пользователей Решение Secure Web Gateway Services обеспечивает защиту трафика на уровне 7. Это достигается благодаря способности работать с прикладными протоколами платформы ADC. Однако решение перехватывает и трафик на уровнях 3 и 4, а также IP- и TCP-трафик. Поскольку эти уровни не обеспечивают привязки к пользователю, протокол Secure Web Gateway Services может взаимодействовать со службой Microsoft Active Directory, связывая IP-адрес с вошедшим в систему пользователем. Взаимодействие Secure Web Gateway Services и Active Directory позволяет администраторам видеть, какие действия выполнял тот или иной пользователь и когда он это делал, а также предполагать, чьи компьютеры могут быть заражены вредоносным ПО. Если включено взаимодействие с Active Directory, журнал аудита содержит для каждого запроса имя связанного с ним пользователя. Если связать запрос с пользователем не удается (это может происходить, например, при наличии в сети несанкционированного устройства), решение Secure Web Gateway Services предлагает три возможных варианта обработки соединения. 1. Отказ в соединении для обеспечения максимальной безопасности. 2. Применение к соединению намного более строгих правил безопасности. 3. Перенаправление соединения на внутренний портал, где пользователь должен будет пройти проверку подлинности (это позволит Secure Web Gateway Services отследить пользователя, связанного с данным устройством). Проверка зашифрованного трафика Проверка зашифрованного исходящего трафика больше не является необязательной. Все более широкое использование HTTPS в качестве протокола передачи данных по умолчанию означает, что администраторы должны иметь возможность «вскрывать» такие соединения для проверки. Для реализации перехвата SSL решение Secure Web Gateway Services автоматически создает сертификаты, имитируя для внутренних пользователей целевой сайт. Браузер, для которого цифровой сертификат решения является доверенным, будет считать, что взаимодействует напрямую с целевым веб-сайтом. Хотя перехват SSL является очень полезной функцией, в некоторых случаях администраторы не должны перехватывать соединения. В частности, это относится к перечисленным ниже типам сайтов. • Сайты интернет-банкинга. Обычно администраторы не должны перехватывать данные, которыми пользователь обменивается с финансовыми учреждениями.
  • 22. 10 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services • Веб-сайты, требующие проверки подлинности с использованием сертификата клиента. Структура протокола SSL не позволяет Secure Web Gateway Services перехватывать данные сайтов, которые требуют проверки подлинности с использованием сертификата клиента. • Сайты, проверяющие цифровой отпечаток сертификата сервера. В клиентское ПО серверов автоматического обновления бывает встроен целевой сертификат, поэтому при использовании перехвата SSL они выдают ошибку. • Сайты SaaS («ПО как услуга»). Многие администраторы имеют отношения с высоким уровнем доверия с наиболее часто используемыми платформами SaaS. Для повышения производительности они могут отключить перехват и проверку пользовательских соединений с этими сервисами. Необходимо учитывать, что проверка с использованием сертификатов клиентов несовместима с прозрачными SSL-прокси. То же относится и к сервисам, использующим сохранение сертификатов (certificate pinning) и любым сервисам, проверяющим цифровой отпечаток сертификата сервера (например, Microsoft Windows Update). Чтобы пользователи могли работать с сайтами, использующими сертификаты клиента и другие функции, несовместимые с SSL-прокси, администраторы могут создать специальный белый список сайтов, для которых проверка не будет осуществляться. В конечном итоге выбор сайтов, для которых не должен осуществляться перехват SSL, является политическим решением, принимаемым администратором. Для управления категориями сайтов, для которых не должен осуществляться перехват SSL, можно использовать шаблон F5® iApps® Template для Secure Web Gateway Services. Рис. 3. Управление категориями, для которых не должен осуществляться перехват SSL, в шаблоне iApps Template Поставщик удостоверений SAML позволяет превратить внутренний портал в страницу федерации.
  • 23. 11 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Безопасность как корпоративная политика Современные браузеры и поисковые машины содержат механизмы фильтрации, блокирующие отображение в результатах поиска сайтов, о которых известно, что они заражены вредоносным ПО. Соответствующая технология компании Google называется SafeSearch, компания Microsoft называет ее SmartScreen Filter. Если сотрудники не используют браузеры с поддержкой безопасного режима, они могут подвергаться опасности заражения и сталкиваться с вредоносными URL в неотфильтрованных результатах поиска. Кроме того, большинство поисковых систем теперь используют только протокол SSL, затрудняя задачу системам интернет- безопасности при работе с результатами поиска. Решение Secure Web Gateway Services умеет распознавать и блокировать ссылки в результатах поиска, обеспечивая безопасность всех пользователей компании. Федеративный единый вход Одной из важнейших функций Secure Web Gateway Services является федеративный единый вход. Решение можно настроить для взаимодействия со средствами единого входа (с использованием SAML и других технологий), чтобы данные для входа в Интернет использовались и для доступа с проверкой подлинности к корпоративным порталам и SaaS-приложениям. Это дает возможность применять политики, чтобы отслеживать и контролировать посещение определенными пользователями определенных сайтов, время их посещения и возникающие при этом риски.
  • 24. 12 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Рис. 4. Пример страницы федеративного единого входа Представьте организацию с 20 интегрированными SaaS-приложениями в облаке. Функция федеративного единого входа Secure Web Gateway Services позволяет пользователям автоматически проходить проверку подлинности во всех 20 сервисах, не вводя каждый раз свои данные. Это экономит время и, что более важно, консолидирует проверку подлинности в рамках одного сервиса, сводя к минимуму необходимость управления паролями. Некоторые поставщики удостоверений SAML могут использовать для прозрачного входа технологию NTLM, полностью избавляющую сотрудников от необходимости вводить имя пользователя и пароль. Если пользователь вошел в систему на своем компьютере, при первом посещении внутреннего портала его браузер просто будет перенаправлен на определенную страницу, и ему не придется нигде вводить имя пользователя и пароль. Проверка конечных точек Политики доступа Secure Web Gateway Services допускают проведение проверок на стороне клиента для сбора и проверки информации о системе пользователя. Эти проверки необходимы, чтобы убедиться, что удаленные сотрудники установили на свои компьютеры антивирусы и службы защиты от вредоносного ПО. Данное правило можно сделать обязательным на определенном уровне безопасности, не позволяя не выполнившим его пользователям получить доступ к сетевым ресурсам.
  • 25. 13 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Контроль над пропускной способностью Решение Secure Web Gateway Services предоставляет организациям возможность влиять на поведение пользователей при помощи средств управления пропускной способностью с учетом типа контента (потоковые мультимедийные данные и пр.), категорий URL, используемых приложений и протоколов (например, FTP). Функции ограничения пропускной способности могут быть полезны при относительно узком канале, а также, если организация хочет ограничить доступ к определенным типам контента («пожирателям канала»), чтобы способствовать изменению поведения пользователей. Квоты на передачу данных (общее количество трафика, потребленное за определенное время) не обеспечивают контроль в режиме реального времени, однако позволяют достичь той же цели — ограничить использование приложений, сильно загружающих канал передачи данных. • Ограничение доступа к вирусным видеороликам без полного запрета на развлечения. В базе данных Secure Web Gateway Services содержатся тысячи сайтов, отнесенных к категории развлекательных. Администраторы могут использовать эту категорию не только для контроля доступа к таким сайтам, но и определять, насколько свободным должен быть доступ к ним. Предположим, например, что определенному сотруднику периодически нужен доступ к веб-сайту с видеороликами для выполнения рабочих обязанностей, однако организация не хочет, чтобы ее сотрудники смотрели множество вирусных видеороликов, каждый день распространяющихся среди офисных служащих. Secure Web Gateway Services позволяет реализовать такую политику с использованием специальной категории в базе данных Websense, содержащей URL вирусных видеороликов. Эта часто обновляемая категория содержит список популярных в текущий момент видеороликов. Администратор может создать правило, позволяющее ежедневно просматривать лишь определенное количество видеороликов из данного списка. Компании, столкнувшиеся с этой проблемой, по достоинству оценили уровень контроля, предоставляемый решением Secure Web Gateway Services. • Контроль над доступом к сервису Netflix. С помощью Secure Web Gateway Services можно контролировать доступ к еще одной категории развлекательных сайтов – службам потокового мультимедиа, таким как Netflix. Некоторые организации хотели бы навсегда закрыть доступ к ним для всех пользователей. Другие могут разрешать доступ к ним только после окончания рабочего дня (например, для сотрудников, которые должны находиться на рабочем месте, но могут быть не заняты). Все эти разновидности политик можно реализовать для разных групп сотрудников.
  • 26. 14 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Сценарий развертывания гостевого доступа Более специфический сценарий развертывания Secure Web Gateway Services связан с реализацией правил использования сети при предоставлении гостевого доступа. При развертывании в соответствии с этим сценарием решение F5 обеспечивает защиту доступа в Интернет для пользователей-гостей, к которым, в частности, относятся посетители, использующие гостевую беспроводную сеть, и независимые подрядчики, работающие с собственной сетью. Службы Secure Web Gateway Services позволяют осуществлять аутентификацию пользователей-гостей. Однако большинство организаций просто предлагают таким пользователям согласиться с правилами, а затем доверяют Secure Web Gateway Services их защиту от вредоносных веб-сайтов и программного обеспечения. Обеспечение безопасности и создание отчетов о соединениях для гостевого доступа мало отличается от выполнения этих задач в корпоративной среде. Однако для посетителей, использующих беспроводную сеть, ограничения могут быть менее строгими (например, без запрета доступа к развлекательным сайтам), а для подрядчиков – более строгими. A B C -
  • 28.   C  Facebook Secure Web Gateway Services BIG-IP Access Policy Manager + Secure Web Gateway Services  - GOOD BETTER BEST  -   ­
  • 29. B2B
  • 30. YouTube Facebook Salesforce.com -API     SWG
  • 31. / 
  • 33. - Secure Web Gateway € BIG-IP  +   + ‚ ƒ
  • 34. + SWG Рис. 5. Развертывание гостевого доступа с внутренним порталом Типичная конфигурация Secure Web Gateway Services с гостевым доступом предполагает включение ряда функций: Для обеспечения максимальной безопасности в ДМЗ информационной среды владельцев платежных карт, соответствующей требованиям PCI, администратор может создать «белый список» сайтов, настроив для них отдельную категорию.
  • 35. 15 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services • режим прозрачного прокси; • внутренний портал; • фильтрация URL; • поиск вредоносного ПО; • создание отчетов. Все они важны, однако главной отличительной чертой этой модели является внутренний портал. Внутренний портал Любой пользователь, когда-либо использовавший гостевую точку беспроводного доступа в кафе или гостинице, знаком с понятием внутреннего портала. Внутренний портал – это веб-страница, через которую пользователь должен пройти, чтобы войти в сеть. Иногда внутренний портал требует ввода регистрационных данных (например, гостиничного номера) для выставления счета. В большинстве случаев внутренний портал, как минимум, требует от пользователя выразить согласие с правилами обслуживания. Требуя от пользователя подтвердить согласие с правилами использования сети, организация может переложить часть ответственности на этого пользователя. Обычно правила запрещают пользователям заниматься подменой пакетов, атаковать другие компьютеры или сети, а также перехватывать трафик других пользователей. Если пользователь занимается чем-либо из вышеперечисленного и это приводит к судебному процессу, организация может сослаться на то, что пользователь нарушил свое обещание. Сценарий развертывания в ДМЗ, соответствующий требованиям PCI Этот сценарий связан с развертыванием Secure Web Gateway Services для обеспечения соответствия требованиям PCI в сфере безопасности. Например, решение Secure Web Gateway Services часто используется для создания информационной среды владельцев платежных карт (CDE), соответствующей стандарту безопасности данных отрасли платежных карт (PCI DSS). Раздел 1.3.7 стандарта PCI DSS требует, чтобы при любом подключении сервера в среде CDE к Интернету использовался контролирующий прямой прокси-сервер, обеспечивающий его защиту. Развертывание Secure Web Gateway Services в среде CDE обеспечивает соответствие этому требованию и позволяет защитить исходящие соединения и обмен данными.
  • 36. ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services 16 /
  • 37. - -
  • 39. / DDoS . URL
  • 40. Secure Web Gateway +  +  
  • 41. +   PCI CDE   HTTP-  PCI.
  • 42.  1.3.7 PCI DSS   .     
  • 43. -. Secure Web Gateway Services BIG-IP Access Policy Manager + Secure Web Gateway Services ­ -
  • 44. -API  €  Рис. 6. Развертывание решения F5 в информационной среды владельцев платежных карт (CDE), соответствующей требованиям отрасли платежных карт (PCI) В этих случаях задачей администратора системы безопасности является максимальное проксирование для уменьшения фронта возможной атаки. Если один из серверов в системе все-таки будет взломан, прокси с функцией распознавания вредоносного ПО сможет затруднить злоумышленнику загрузку на этот сервер средств для организации атаки. Типичное защищенное развертывание Secure Web Gateway Services в демилитаризованной зоне предполагает использование в дополнение к базовому функционалу режима прозрачного прокси-сервера. Использование явного прокси-сервера для защиты служб DNS Одним из преимуществ явных прокси-серверов с точки зрения безопасности является то, что прокси выступает в качестве используемого по умолчанию сервера имен для всех внешних запросов. Это позволяет администратору изолировать внутренний DNS-сервер от обработки внешних адресов, уменьшив фронт возможной атаки только до службы имен. Представим, например, злоумышленника, который, действуя извне, создал карту сети и обнаружил внутренний DNS-сервер имен intra.example.com. Если этот внутренний сервер имен изолирован от обслуживания внешних адресов, злоумышленник не сможет отравить его кэш. При использовании решения Secure Web Gateway Services в явном режиме его можно связать с внешним DNS-сервером. Это позволяет освободить внутренний корпоративный DNS-сервер от разрешения внешних адресов. В этом случае внутренний DNS-сервер можно настроить таким образом, чтобы он не перенаправлял запросы для внешних
  • 45. 17 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services ресурсов (поскольку это будет делать решение Secure Web Gateway Services). Таким образом можно уменьшить фронт возможной атаки, защитив внутренний DNS-сервер от отравления кэша и т. д. Случайное изменение регистра запросов Случайное изменение регистра запросов — это техника, позволяющая добавить дополнительный уровень защиты путем случайного изменения регистра имени и проверки ответа, имя в котором должно иметь в точности такой же регистр, как в модифицированном запросе. Например, если пользователь запрашивает адрес www.example.com, Secure Web Gateway Services или другой сервис, выполняющий случайное изменение регистра запроса, может изменить запрос на wWw.EXamPle.com. При обработке ответа производится проверка регистра, который должен совпадать с использованным в запросе. Это не позволяет злоумышленникам подменять адреса путем рассылки фальшивых ответов на запросы к популярным сайтам, например, почтовой службе Google Mail или финансовым учреждениям. Пользовательские сценарии и сценарии развертывания Три описанных выше базовых сценария развертывания поддерживают использование четырех типичных пользовательских сценариев, предоставляя организациям варианты конфигурации, лучше всего соответствующие их целям. Режим развертывания Интернет- безопасность с учетом контекста Контроль над пропускной способностью Показ правил использования сети Соответствие нормативным требованиям Корпоративный • • • — Гостевой доступ • • • — ДМЗ среды CDE, соответствующей требованиям PCI — — — • Рис. 7. Поддержка сценариями развертывания различных пользовательских сценариев
  • 46. 18 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Миграция с решения Microsoft Forefront TMG Прекращение разработки Microsoft Forefront Threat Management Gateway (TMG) дало многим организациям возможность перейти на решение F5 Secure Web Gateway Services. BIG-IP Local Trac Manager
  • 48. , 
  • 49. ,
  • 50. 
  • 51.  URL- . 
  • 52.     
  • 54. -
  • 55. - -
  • 58. 
  • 59. 
  • 61. Рис. 8. Положение массива Microsoft TMG в типичной корпоративной сети Решение F5 может стать больше, чем просто заменой TMG, поскольку на устройствах F5 BIG-IP® Local Traffic Manager™ (LTM) можно включить поддержку прямого прокси-сервера, который в TMG подключался отдельно. Интеграция в платформу BIG-IP защиты с использованием прямого прокси-сервера позволяет сократить капитальные и текущие расходы и повысить производительность. - A B C
  • 62. - , , ,  
  • 63. URL-  .     - - - TMG - SecureNAT A +   +   +    BIG-IP B APM LTM AFM ­   B C Secure Web Gateway Services € - + Secure Web Gateway Services GOOD BETTER BEST BIG-IP Access Policy Manager BIG-IP Local Tra‚c Manager BIG-IP Advanced Firewall Manager Рис. 9. Сеть после миграции с TMG на Secure Web Gateway Services
  • 64. 19 ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services Определение технических характеристик платформы Как и все решения компании F5, Secure Web Gateway Services можно развернуть на любой платформе из портфеля F5. Специалист по техническому обслуживанию может помочь заказчикам F5 определить, достаточно ли уже имеющихся у них платформ для работы Secure Web Gateway Services. Метод BIG-IP 2200 BIG-IP 5200 BIG-IP 10200 Явный фильтр, сканирование транзакций/с 1800 5700 8300 Только явный фильтр транзакций/с 9800 37 000 45 000 Прозрачный фильтр, сканирование транзакций/с 1700 5600 8300 Только прозрачный фильтр транзакций/с 11 200 40 000 41 000 Рис. 10. Масштабирование платформы F5 Лицензирование и одновременно работающие пользователи Для каждой платформы F5 установлен лимит конкурентных сеансов, призванный обеспечить удобство работы пользователей. Веб-страницы разных размеров по-разному влияют на производительность Secure Web Gateway Services. Оптимальное количество одновременно работающих лицензированных пользователей варьируется для разных платформ F5 в диапазоне от 100 до 30 000. Платформа F5 Одновременные сессии Secure Web Gateway VIPRION 2400 30 000 Серия 10000 20 000 Серия 7000 15 000 Серия 5000 10 000 Серия 4000 5000 2200 1000 VE 100 Рис. 11. Количество одновременно работающих лицензированных пользователей для популярных платформ F5 при среднем размере страниц в 16 КБ
  • 65. ТЕХНИЧЕСКАЯ СТАТЬЯ Эталонная архитектура решения F5 Secure Web Gateway Services . F5 Networks, Inc. Главный офис info@f5.com F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com F5 Networks Азиатско-Тихоокеанский регион apacinfo@f5.com F5 Networks Ltd. Европа, Ближний Восток и Африка emeainfo@f5.com F5 Networks Япония f5j-info@f5.com Авторское право © 2014 F5 Networks, Inc. Все права защищены. F5, F5 Networks и логотип F5 являются товарными знаками F5 Networks, Inc. в США и ряде других стран. Список других товарных знаков компании F5 см. на сайте f5.com. Названия любых других продуктов, служб или компаний, упомянутые в настоящем документе, могут являться товарными знаками их владельцев; их упоминание не является прямой или косвенной рекомендацией со стороны компании F5. 06/14 WP-SEC-23060 0614 Заключение Данная эталонная архитектура показывает, чем решение F5 Secure Web Gateway Services может быть полезно ИТ-администраторам крупных компаний, компаний небольших и средних размеров, а также центров обработки данных платежных систем. • Организации используют решение F5 для защиты внутренних пользователей при работе в Интернете. Функции распределения URL по категориям и их фильтрации не позволяют пользователям заходить на зараженные сайты и сдерживают непродуктивное использование Интернета. Развертывание политик безопасности с учетом множества мелких факторов обеспечивает более строгие ограничения для работающих на территории организации подрядчиков. • Небольшие компании используют Secure Web Gateway Services, чтобы предоставлять доступ в Интернет своим посетителям, не принимая на себя при этом дополнительную ответственность. • Центры обработки данных платежных систем используют Secure Web Gateway Services для защиты серверов обработки платежей путем создания демилитаризованной зоны информационной среды владельцев платежных карт, соответствующей требованиям PCI. Экономическое преимущество решения F5 Secure Web Gateway Services заключается в том, что оно позволяет реализовать перечисленные сервисы на платформе, которую организация уже установила в стратегической точке контроля в сети. Однако в современной опасной информационной среде, для которой характерны адресные фишинговые атаки, внезапные загрузки, атаки путем взлома посещаемых сотрудниками компании сайтов и целенаправленные устойчивые угрозы, экономические преимущества не могут быть единственным решающим фактором – решение также должно обеспечивать более надежную защиту. Поэтому важными компонентами системы безопасности являются реализованные в Secure Web Gateway Services функции перехвата SSL-соединений и проверки на наличие вредоносного ПО, помогающие уменьшить фронт возможной атаки и упрощающие работу администраторов ИТ-систем.