2024/05/20 15:56:17

Обзор нового NGFW «Континент 4»

В апреле этого года отечественный ИБ-вендор «Код Безопасности» выпустил очередную версию флагманского продукта NGFW «Континент 4» (версия 4.1.9). Решение получило значительные улучшения функционала, которые позволяют повысить уровень автоматизации процессов администрирования и общую безопасность защищаемых ИТ-инфраструктур.

Содержание

Новые версии NGFW «Континент 4», приобретая новые функции, следуют общему вектору развития, намеченному компанией. В первую очередь речь идет о создании КиберАльянса — концепции технологических партнерств с продуктами ведущих игроков различных сегментов российского ИТ и ИБ-рынка.

«
Мы не разрабатываем какие-то коннекторы для подключения к тем или иным системам, а детально прорабатываем интеграцию с отдельными решениями, расширяя функционал своих продуктов навстречу друг другу, — отмечает ведущий специалист отдела продвижения продуктов «Кода Безопасности» Дмитрий Лебедев. — В итоге заказчики получают полноценное решение, которое не требует дополнительной обкатки.
»

Подобные технологические партнерства создаются в каждом сегменте информационной безопасности: с песочницами (Positive Technologies, AVSOFT), индикаторами компрометации («Лаборатория Касперского», R-Vision, Security Vision), балансировщиками нагрузки (DS Integrity), системами многофакторной аутентификации (Avanpost, Multifactor) и так далее. Все это продолжено и в «Континент 4.1.9».

Среди других особенностей новой версии:

  • виртуальные маршрутизаторы (VRF);
  • явный прокси-сервер (Explicit proxy);
  • URL-фильтрация без вскрытия TLS/SSL-трафика (по SNI);
  • расширение источников Threat Intelligence;
  • временные правила МСЭ;
  • поддержка крупных доменов в SSO и Captive Portal;
  • инструменты автоматизации работы администратора.

Прежде чем мы перейдем к описанию ключевых нововведений стоит отметить, что на момент релиза версия сертифицирована по следующим требованиям ФСТЭК:

  • 4-й класс защиты МЭ типа «А»;
  • 4-й класс защиты МЭ типа «Б»;
  • 4-й класс защиты СОВ уровня сети;
  • 4-й уровень доверия.

Также в ближайшее время ожидается сертификация по требованиям ФСТЭК по 4-му классу защиты МЭ типа «Д», то есть для обеспечения безопасности АСУ ТП.

VRF всему голова

Наиболее значительным обновлением новой версии NGFW «Континент 4» можно считать виртуальные маршрутизаторы (VRF). В предыдущих релизах продукт имел общую таблицу маршрутизации для всех подключенных сетей. Это накладывало определенные ограничения, например, запрет на использование пересекающихся IP-адресов из одинаковых сетей на разных интерфейсах. С внедрением VRF появляется возможность использовать пересекающиеся IP-адреса, а также изолировать трафик, в том числе на логическом уровне, между отдельными критичными сегментами, что в целом приводит к повышению сетевой функциональности и уровня безопасности.

«
Важно понимать, что VRF — это не VDOM, как у Fortinet, или VSX у многих других вендоров, — говорит Дмитрий Лебедев. — VRF позволяет создавать несколько таблиц маршрутизации, и они не будут пересекаться между собой, при этом таблицы могут иметь и статические, и динамические маршруты.
»

Image:VRF_всему_голова.png

У администраторов есть возможность контролировать динамическую маршрутизацию в рамках VRF, а также изолировать правила межсетевого экрана и NAT. Можно создавать те или иные политики и включать их отдельно взятым VRF.

Image:VRF.png

По пути автоматизации

Расширение сетевой топологии и, как следствие, увеличение уязвимой поверхности в условиях нехватки ИБ-специалистов создает потребность в автоматизации кибербезопасности. За последние несколько лет «Код Безопасности» разработал ряд соответствующих инструментов. Например, в предыдущих версиях были реализованы: генерация логических интерфейсов VLAN, экспорт конфигурации в сторонние Центры управления сетями (ЦУС) и иные системы, создание бэкапов по расписанию, установка политик по расписанию и многое другое.

«
В «Континент 4.1.9» появилась возможность импортировать объекты индикаторов компрометации (IoC) от R-Vision и Security-Vision или же собственный списки. Также добавлена функция создания правил фильтрации и трансляции через API «Континент 4», — поясняет Лебедев. — Последняя функция также позволяет осуществить миграцию с NGFW от западного вендора Palo Alto. Ранее в «Континент 4» были автоматизированы миграции с продуктов Check Point, Cisco и Fortinet.
»

Для облегчения работы администраторов и повышения управляемости решением специалисты «Кода Безопасности» добавили возможность создания временных правил межсетевого экранирования. Теперь администраторы могут указать правила, которые будут действовать до определенного момента, после чего исчезнут из цепочки обработки трафика. Такой подход сокращает нагрузку на NGFW, поскольку в прежних версиях администраторы могли забыть удалить временные правила МЭ из обработки, что снижало эффективность работы «Континент 4».

Делимся ссылкой на репозиторий «Кода Безопасности» с инструментами автоматизации.

Усиление контроля за трафиком

В предыдущих версиях «Континент 4» реализован прокси-сервер, однако он работал только в прозрачном режиме. В версию 4.1.9 добавлен явный прокси-сервер. Теперь администратор может выбирать режим работы прокси-сервера.

Такой подход дает администраторам широкий инструментарий, например, возможность сегментировать средства защиты информации по задачам. Например, полный функционал NGFW работает на защиту корпоративной сети, а отдельный «Континент 4» настроен на явный прокси, через который пользователи выходят в интернет.

Image:NGFW.png

В контексте контроля за трафиком также появилась URL-фильтрация и категоризация без вскрытия TLS/SSL-трафика через технологию SNI (Server Name Indication). Этот тип фильтрации реализован на уровне контроля приложений, что позволяет исключить ограничения прежних версий, при которых нельзя одновременно использовать веб-фильтрацию и контроль приложений для одинаковых отправителей-получателей.

Image:NGFW_2.png

Вместе с тем в новой версии расширено количество источников Threat Intelligence — индикаторов компрометации, с помощью которых можно запретить вредоносный трафик на основе определенных параметров. Для этого «Континент 4» использует три независимые базы: собственные фиды «Кода Безопасности», фиды от «Лаборатории Касперского» и фиды от Центрального Банка РФ (ФинЦЕРТ). Кроме того, в версии 4.1.9 добавлены фиды от «Технологии киберугроз». Также появилась возможность скоринга фидов:

Image:Возможность_скоринга_фидов.png

«Континент 4.1.9» станет, по сути, последней версией в линейке прежних NGFW, поскольку новую веху в развитии Межсетевых экранов нового поколения откроет «Континент 4.2», который появится уже летом этого года. Помимо уже имеющихся функций, в продукте будет реализован новый VPN, в котором объединятся IPsec AES и IPsec ГОСТ. Это позволит строить безопасные VPN-соединения между «Континент 4», а также устройствами аналогичного класса как от зарубежных, так и от отечественных вендоров. Подробнее об объединении IPsec AES и IPsec ГОСТ, а также нововведениях в «Континент 4.2» читайте в следующих материалах.