Обеспечение защиты информации — это такая задача, которая рано или поздно встает перед любой организацией. И уже, ни одна кампания не работает без внутренней сети, простейшая схема которой представлена на рисунке 1.
Чтобы внести ясности в рисунок, стоит пояснить, что пограничное устройство в самом простом исполнении – это «домашний» маршрутизатор. На котором настроены правила проброса портов (Port forwarding), разрешающие\запрещающие правила для межсетевого экрана (FireWall), предоставление доступа в сеть интернет (NAT, PAT и т.д.). Оценим достоинства и недостатки такого решения:
Плюсы:
Низкая стоимость пограничного устройства; Простота настройки пограничного устройства.Минусы:
Ограниченный набор сетевых сервисов; Сложность в масштабировании сети; Низкая пропускная способность.Вывод: Такая схема очень дешевая и простая в настройке, но в данном варианте в жертву принесена безопасность защиты информации. А именно под ограниченным набором сервисов понимается:
В межсетевом экране очень сложно, а в 80% случаем вообще невозможно настроить сложные правила для защиты сети.
Отсутствуют защита веб приложений (WAF), а это уже грозит угрозами конфиденциальности и отказа в обслуживании, что в свою очередь не очень хорошо сказывается на репутации компании.
Отсутствие средства обнаружение\предотвращения вторжений (IDS\IPS), необходимо чтобы знать об атаках заранее, в худшем случае вовремя, но никак не после, когда злоумышленник уже добился своего и замел все следы.
Отсутствие технологии VPN, а это грозит большим количеством открытых портов, отсутствием зашифрованного канала, что в свою очередь можно сравнить с тем, что вы сами отдаете нарушителю все свои сокровенные данные и секреты.
С самой простой реализацией сети мы разобрались, перейдем к следующей (рисунок 2), той что посложнее, но обо всем по порядку.
Чтобы внести ясности в рисунок, стоит разобраться со схемой и понять, чем же она все-таки отличается от предыдущей помимо того, что там больше оборудования. Под шлюзом безопасности в лучшем случае понимается специальный набор технических и программных средств, работающих совместно, а в худшем случае может быть обычный компьютер. Чем же это лучше предыдущей схемы? Дело в том, что на шлюзе безопасности можно установить и настроить необходимые средства защиты информации, которых нет в маршрутизаторе из первого примера (VPN, WAF, IDS/IPS, …).
Также стоит понимать, что шлюз безопасности может быть 2х видов: модульный, т.е. на каждый сервис свой модуль или единый шлюз безопасности где все модули собраны в одном месте, т.е. универсальном устройстве, которое носит название UTM-система (устройство). Вот об этом и стоит поговорить по подробнее.
UTM – это универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную безопасность от сетевых угроз. UTM, условно можно назвать, как продукт «все включено», который объединяет в себе: в систему обнаружения/предотвращения вторжений, межсетевой экран, VPN, антивирус. UTM системы разрабатывают и продают мировые лидеры в сфере IT безопасности, за огромные суммы.
UTM систему можно реализовать самому, используя Open Source решения, тем самым сэкономить и ограничится от огромных вложений в безопасность, которая при должной настройке не будет уступать мировым лидерам.
Но окончательное решение всегда остается за вами, с уважением Дмитрий Цыбулин.
Вступите в группу, и вы сможете просматривать изображения в полном размере
Это интересно
0
|
|||
Комментарии временно отключены