Компания Fortinet получила сертификаты ФСТЭК | Новости и мероприятия | Netwell

Что такое ngfw fortigate

FortiGate от компании Fortinet — межсетевой экран нового поколения, по-английски — Next Generation Firewall (NGFW). Он становится ядром информационной безопасности компании и включает в себя большинство традиционных сервисов, таких как проверка трафика, антивирус, VPN и т. д.

В 2000-х годах подход к ИБ был фрагментарным. Новые технологии рождали новые уязвимости в сетях и кибератаки, которые их эксплуатировали. Происходила вирусная эпидемия в мире — рос рынок антивирусов. Под DDoS-атаками отключались крупные сайты — проектировались новые средства защиты от DDoS.

Информационная безопасность компании выстраивалась по такому же принципу: каждую проблему чинили собственным инструментом, чаще всего от разных разработчиков. Антивирусы, маршрутизаторы, VPN-клиенты, спам-фильтры, фаерволы и прокси-серверы устанавливались и интегрировались в инфраструктуру по отдельности.

У подхода «каждой проблеме — свое решение» несколько минусов:

1. каждый сервис ИБ требовал настройки и обслуживания;
2. инфраструктуру было сложно обновить и модернизировать целиком;
3. информация об инцидентах ИБ хранилась каждым сервисом отдельно. Данные не визуализировались, и, чтобы их вытащить, требовалось читать логи. Появились системы SIEM, которые решают проблему и собирают информацию по ИБ с разных источников, но они стали еще одним единичным решением.

Чтобы решить эти проблемы, производители сетевых устройств стали интегрировать всё больше сервисов внутрь продуктов. Так появились универсальные устройства сетевой безопасности, по-английски — Unified Threat Management (UTM).

В их основу лег фаервол, так как через него проходит весь трафик компании. Центральный процессор обрабатывал трафик последовательно, и первые образцы UTM не справлялись с одновременной маршрутизацией и функциями безопасности. Их пропускная способность падала меньше 10 % от заявленной производителем, и при росте нагрузке функции безопасности просто отключались.

Введение

Технологии стремительно развиваются с каждым годом: появляются новые способы обработки и хранения данных, процессы переходят на «цифру», разрабатываются новые системы. Параллельно им прогрессируют и способы несанкционированного доступа. Поэтому важной и нужной мерой представляется, в частности, совершенствование регулирования в сфере защиты информации.

В реестре операторов персональных данных Роскомнадзора имеется уже 404 тысячи записей, в реестре федеральных государственных информационных систем Минкомсвязи России — 341 система, по предварительным расчётам ФСТЭК России в стране — 25 тысяч объектов критической информационной инфраструктуры.

После утверждения профилей защиты для продуктов и решений такого рода далеко не все из них были проверены по новым требованиям: в частности, по шести классам защищённости нет ни одного сертифицированного средства защиты информации. Сильно изменились требования к производителям и их разработкам.

В обзоре рассматриваются межсетевые экраны и системы обнаружения вторжений, имеющие действующий сертификат ФСТЭК России, которые допустимо использовать для защиты объектов информатизации по состоянию на февраль 2020 года.

Выбрать подходящий и соответствующий требованиям регулятора продукт для корпоративной сети — проблемная задача для большинства организаций. В обзоре представлены последние изменения требований к этим видам средств защиты, а также приведён перечень из реестра с краткими описаниями решений.

Сопроцессоры ASIC

Мощности одного процессора не хватает для обработки трафика и применения к нему функций безопасности. Его дешифровка, проверка на наличие вирусных сигнатур и дальнейшая обработка невозможны с текущими объемами.

Поэтому решения NGFW используют специализированные чипы для ускорения самых популярных операций: IPsec, DPI, SSL, антивирусной проверки и других.

FortiGate использует чипы Application Specific Integrated Circuit — ASIC. Это собственная разработка компании, и применяется в устройствах FortiGate в двух вариантах:

1. как отдельные чипы серий NP (network processors) и CP (content processors);
2. как единый SoC (System-on-a-Chip Processor).

SoC (System-on-a-Chip Processor) используется в младших моделях линейки FortiGate и обрабатывает трафик до 1 Гбит/с в режиме Threat Protection c включенными функциями безопасности.

На едином кристалле размещены CP, NP и RISC-based CPU-процессоры. Такая компоновка увеличивает скорость обработки трафика за счет его передачи внутри кристалла, а также упрощает архитектуру платы и устройства.

Младшие модели FortiGate на SoC защищают на 7-м уровне модели OSI, как и старшие. В 2021 году вышло четвертое поколение процессоров SoC: техпроцесс — 28 нм, поддержка памяти DDR4, внутрь интегрированы CP9 и NP6.

Упрощение структуры сети

FortiGate объединяет в себе большинство служб и сервисов ИБ, которые по отдельности требуют управления через разные интерфейсы. Инциденты по ИБ попадают в единое информационное поле, и среди всех событий алгоритмы выделяют связанные друг с другом.

Например, сотрудник компании стал чаще задерживаться на работе вечером. Одно это событие ни о чём не говорит. Но если система безопасности увидит, что он пытался скопировать данные на флешку и вечером использует личные мессенджеры с рабочего компьютера, то это повод для проверки специалиста по ИБ.

Информация о проблемах и угрозах ИБ будет доступна администратору сети или специалисту по ИБ сразу после обнаружения. У специалистов становится больше времени среагировать и свести к минимуму ущерб для компании.

Лицензия ФСТЭК

В России FortiGate лицензирован ФСТЭК по технической защите конфиденциальной информации. Этот сертификат дает возможность использовать FortiGate в сетях госучреждений до 1-го класса защиты включительно и при защите персональных данных до 1-го класса включительно.

Соответствует требованиям документов: 

• требования к МЭ;
• профиль защиты МЭ (А четвертого класса защиты. ИТ.МЭ.А4.ПЗ);
• профиль защиты МЭ (Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ);
• требования к СОВ;
• профили защиты СОВ (сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ).

Если для деятельности вашего бизнеса нужна лицензия не только ФСТЭК, FortiGate соответствует требованиям всех основных регламентов:

Шифрование трафика до облаков

Если компания использует мощности Microsoft Azure, Amazon AWS или других облачных сервисов, FortiGate шифрует трафик между внутренней сетью предприятия и облаками с помощью SSL/TLS.

Помимо этого, фаервол будет использовать необходимые сервисы ИБ:

• находить вторжения и нейтрализовать атаки ботнетов и хакеров (IPS);
• управлять доступом и личными удостоверениями сотрудников (АА);
• защищать инфраструктуру компании на уровне ОС и web-приложений (web-application firewall).

Для самых распространенных облаков компания Fortinet разработала комплексные решения информационной безопасности на основе Security Fabric и FortiWeb Cloud.

Так чувствительные данные и внутренняя структура сети компании становятся дважды защищенными: облачный сервис использует собственные механизмы ИБ, а компании — систему безопасности Fortinet.

Исследовательская лаборатория FortiGuard Labs

FortiGate использует решения и сигнатурные базы угроз, которые создает и разрабатывает научно-исследовательская лаборатория при Fortinet.

Ежедневно лаборатория обрабатывает 100 млрд сигналов об угрозах с устройств Fortinet по всему миру. Вместе с искусственным интеллектом и алгоритмами машинного обучения эта информация превращается в сигнатуры и правила безопасности, которые получают устройства Fortinet.

FortiGuard Labs работает совместно с другими объединениями по ИБ и международными государственными службами, которые занимаются информационной безопасностью.

Если новая угроза возникает в одном месте сети, в течении часа обновляются устройства безопасности Fortinet по всему миру:

• список вредоносных хэшей/URL/IP/доменов обновляется каждые 15 минут;
• базы антивирусных сигнатур обновляются раз в 60 минут;
• уязвимости «нулевого дня» для песочницы обновляются раз в 15 минут;
• подписи IPS обновляются каждые 42 часа.

Таким образом, сеть на устройствах Fortinet будет защищена как от старых, так и от самых новых киберугроз.

Фабрика безопасности Fortinet

FortiGate — ядро информационной безопасности компании. С усложнением задач безопасности защиту можно усилить с помощью других устройств и сервисов Fortinet.

Экосистему информационной безопасности Fortinet называют SECURITY FABRIC, или Фабрикой безопасности. Идея фабрики заключается в использовании решений по ИБ от одного вендора с полной интеграцией и управлением из единого центра.

Если взять точки доступа от Fortinet и подключить их непосредственно к FortiGate, получится защищенная Wi-Fi-сеть. Точками можно управлять через интерфейс FortiGate и там же анализировать трафик с устройств, подключенных к Wi-Fi.

Fortinet — лидер рынка ngfw по гартнеру

Исследовательская и консалтинговая компания Gartner приводит подробные обзоры рынка ИБ-решений в ежегодных отчетах. Самый популярный способ визуализации — магический квадрант Гартнера. С его помощью сравнивают участников рынка, их текущее положение и перспективы роста.

В 2021 году лидерами квадранта Гартнера на рынке NGFW-решений были 4 компании:

• Fortinet
• Palo Alto Networks
• Check Point
• Cisco

Решение FortiGate от Fortinet заняло вторую строчку рейтинга, на первой традиционно находится компания Palo Alto, которая и создала идею NGFW.

Аппаратные межсетевые экраны и шлюзы безопасности huawei

Производитель: Huawei Technologies.

Название в реестре ФСТЭК:

1. Аппаратные межсетевые экраны и шлюзы безопасности Huawei (модель Eudemon 8000E-X3) версии V500.
2. Межсетевой экран серии Huawei (модели: USG6320 (Eudemon200E-N1D), USG6330 (Eudemon200E-N1), USG6350 (Eudemon200E-N2), USG6360, USG6370 (Eudemon200E-N3), USG6380, USG6390 (Eudemon200E-N5), USG6620 (Eudemon1000E-N3), USG6630 (Eudemon1000E-N5), USG6650, USG6660 (Eudemon1000E-N6), USG6670 Eudemon1000E-N7), USG6680 (Eudemon1000E-N7E), USG9560 (Eudemon8000E-X8), USG9580 (Eudemon8000E-X16)) версии V500.

Соответствует требованиям документов:

1. Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А6.ПЗ — тип «А», шестой класс защиты; ИТ.МЭ.Б6.ПЗ — тип «Б», шестой класс защиты).
2. Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты).

Схема сертификации:

1. Серия, модель Eudemon 8000E-X3 версии V500.
2. Серия, модели: USG6320 (Eudemon200E-N1D), USG6330 (Eudemon200E-N1), USG6350 (Eudemon200E-N2), USG6360, USG6370 (Eudemon200E-N3), USG6380, USG6390 (Eudemon200E-N5), USG6620 (Eudemon1000E-N3), USG6630 (Eudemon1000E-N5), USG6650, USG6660 (Eudemon1000E-N6), USG6670 Eudemon1000E-N7), USG6680 (Eudemon1000E-N7E), USG9560 (Eudemon8000E-X8), USG9580 (Eudemon8000E-X16) версии V500.

Сертификат ФСТЭК:

1. № 3909 от 05.04.2021, действует до 05.04.2021.
2. № 4083 от 04.02.2021, действует до 04.02.2024.

Реестр российских программ Минкомсвязи: не включён.

Информация на сайте производителя:    

Варианты работы fortigate в сети

Переход компании на NGFW подразумевает серьезное изменение сетевой архитектуры, настройку и интеграцию других сетевых устройств в единую систему безопасности. Но не всегда такие сильные изменения необходимы и целесообразны.

Поэтому есть 3 сценария использования FortiGate в сети:

1. FortiGate как ядро безопасности NAT/Route. Этот вариант подразумевает установку на периметре сети и обработку внешнего и внутреннего сетевого трафика.
2. FortiGate как устройство безопасности Transparent/Bridge. Он устанавливается за основным маршрутизатором и выполняет функцию инспекции трафика. За маршрутизацию отвечает устройство более высокого уровня.
   Такой подход применим в хорошо спроектированных сетях или в сетях, где усиление безопасности требуется в определенном сегменте. Например, если необходимо защитить серверы с личными данными пользователей приложений.
3. FortiGate можно настроить как сниффер и передавать трафик без задержек сквозь него. Такой вариант установки FortiGate полезен для поиска уязвимостей и узких мест ИБ компании. Инциденты ИБ будут логироваться, анализироваться и поступать в едином окне главному администратору или специалисту по ИБ.

Виртуальное исполнение

FortiGate на виртуальной машине идентичен аппаратной версии: тот же интерфейс, операционная система и функции безопасности.

Однако скорость зависит от купленной виртуальной лицензии и мощности сервера. Такой вариант подойдет и для уже настроенной инфраструктуры с большим объемом свободных серверных мощностей, и для тестового использования.

Fortinet предоставляет для своих продуктов бесплатный тестовый период продолжительностью 1–3 месяца. За это время можно настроить сеть и протестировать функции безопасности на своем трафике.

После замеров администратор перенесет готовые настройки на физическое устройство, если компания решит выбрать аппаратное решение. Интеграция нового устройства произойдет быстрее, без потери работоспособности и снижения безопасности сети.

Изменения в системе сертификации средств защиты информации, уровни доверия

Средства защиты информации (СЗИ) содержат программный код, в котором могут присутствовать компоненты, позволяющие провести успешную атаку на охраняемые объекты. Не указанные в документации или описанные с искажениями функциональные возможности, использование которых приводит к нарушению информационной безопасности, называются недекларированными.

• «Положение о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27  октября 1995 г. № 199);
• руководящий документ «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (утверждён приказом Гостехкомиссии России от 4 июня 1999 г. № 114).

В 2021 и 2021 годах появились новые документы:

• «Положение о системе сертификации средств защиты информации» (утверждено приказом ФСТЭК России от 3 апреля 2021 г. № 55, вступило в силу 1 августа 2021 г.);
• «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (утверждены приказом ФСТЭК России от 30 июля 2021 г. № 131, вступили в силу 1 августа 2021 г., применяются при проведении сертификационных испытаний с 1 мая 2021 г.);
• «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении» (утверждена ФСТЭК России 11 февраля 2021 г., применяется при проведении сертификационных испытаний с 1 мая 2021 г.).

Перечислим основные изменения:

• Увеличение срока действия сертификата соответствия до 5 лет.
• Возможность применения средств защиты информации по окончании срока  действия сертификата.
• Детализация процедур сертификации и установление сроков их осуществления.
• Определение порядка, согласно которому в сертифицированные СЗИ вносятся изменения.
• Повышение требований, предъявляемых к заявителю на сертификацию и к изготовителю СЗИ.
• Уточнение схем сертификации, введение процедуры проверки технической  поддержки.
• Установление критериев, на основании которых можно отказать в принятии решения о проведении сертификации, приостановить и прекратить действие сертификатов.
• Возможность контроля за проведением сертификации.

Требования к изготовителю средств защиты информации

Производители должны обладать соответствующим разрешением ФСТЭК России в зависимости от того, какого рода данные они собираются охранять: лицензией на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, или на деятельность по разработке и производству средств защиты конфиденциальной информации.

Требования доверия

С 1 мая 2021 года подаются только заявки на сертификацию средств защиты информации по «Требованиям к уровням доверия». Если процесс проверки был запущен до этой даты, то можно завершить сертификацию на соответствие старому руководящему документу по уровню контроля недекларированных возможностей.

Критерии оценки СЗИ и профили защиты не затрагивают уровни доверия и применяются только в части общих предписаний, а также требований к функциям безопасности.

«Требования к уровням доверия» предъявляются к программным и программно-аппаратным средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищённые СЗИ. Они представляют собой обязательную часть технического регулирования продукции, работ и услуг по защите сведений, составляющих государственную тайну или относящихся к иной информации ограниченного доступа (в том числе — охраняемой в соответствии с российским законодательством).

Таблица 1. Соответствие между уровнями доверия и системами различных типов

*включая информационные системы общего пользования II класса

Согласно сообщению ФСТЭК России от 29 марта 2021 г. № 240/24/1525, действующие сертификаты нужно пересмотреть до 1 января 2020 г., и в результате в них появится информация о соответствии «Требованиям к уровням доверия».  По состоянию на февраль 2020 года эти указания ещё не выполнены. Пока средства защиты находятся в реестре, применять их допустимо, но ФСТЭК России исключит их при необходимости.

Принятие новых требований повышает остроту вопроса о конкуренции на российском рынке программных средств защиты информации. Не каждый продукт отечественного производителя сразу пройдёт сертификацию по обновлённым критериям, не говоря уже о зарубежных решениях. Возможно, что скоро в этом сегменте в России вообще не останется иностранных разработок.

Лицензия и цены

Недостаточно купить физическое решение FortiGate и быть защищенным на 100 %. Антивирус, DPI, антиспам и другие сервисы безопасности, а также обновление и замена ПО доступны только при покупке дополнительных лицензий.

Цена владения FortiGate складывается из 3-х компонентов:

1. Цена аппаратной версии устройства.
2. Цена поддержки FortiCare.
3. Цена дополнительных расширений.

Все подписки и условия использования FortiGate — в нашем материале Лицензия и ценообразование FortiGate.

Маршрутизаторы esr

Производитель: Предприятие «ЭЛТЕКС».

Название в реестре ФСТЭК: маршрутизатор ESR-1000 с программным обеспечением esr-1000-1.0.7-ST; маршрутизатор ESR-100 с программным обеспечением esr-100-1.0.7-ST; маршрутизатор ESR-200 с программным обеспечением esr-200-1.0.7-ST.

Соответствует требованиям документов: Профиль защиты МЭ (ИТ.МЭ.А5.ПЗ — тип «А», пятый класс защиты).

Схема сертификации: серия; с программным обеспечением esr-1000-1.0.7-ST, с программным обеспечением esr-100-1.0.7-ST, с программным обеспечением esr-200-1.0.7-ST.

Сертификат ФСТЭК: № 3778 от 10.08.2021, действует до 10.08.2020; № 3788 от 10.08.2021, действует до 10.08.2020; № 3789 от 10.08.2021, действует до 10.08.2020.

Модельный ряд fortigate

Компания Fortinet одинаково защищает как большие корпорации с тысячами устройств, так и стартапы на 10 человек. Для этого FortiGate выпускается в разных вариантах исполнения: от low-end-сегмента десктопных версий до отдельных шкафов ЦОДов.

Всего Fortinet выделяет пять линеек моделей:

1. Начальный уровень. Номера 30 — 80 E/F, всего 7 устройств;
2. Бизнес-уровень. Номера 100 — 900 Е/F/D, всего 9 устройств;
3. Профессиональный уровень. Номера 1000 — 4400 Е/F/D, всего 20 устройств;
4. Топ-уровень и модели на базе корпусов. Номера 6300 — 7060 Е/F, всего 6 устройств;
5. Серия для промышленных устройств Rugged. Номера 30 — 90D, всего 5 устройств.

Все модели различаются количеством сетевых интерфейсов и пропускной способностью в различных режимах работы. На пропускную способность влияет тип сопроцессора ASIC, который обрабатывает трафик.

Младшие модели работают на SoC, не требуют установки в серверной и серьезного охлаждения — поставить можно куда угодно.

Большие профессиональные модели обрабатывают трафик на новых чипах ASIC SP9 и NP7, занимают до 6 слотов в серверном шкафу и собираются из модулей как конструктор.

Для сравнения мы выбрали из каждой линейки по одной модели и свели характеристики в единую таблицу:

Подробный обзор всех линеек FortiGate — в статье «модельный ряд FortiGate».

О компании fortinet

Обзор сертифицированных межсетевых экранов и систем обнаружения вторжений

Всякий производитель старается выделить свой продукт, поэтому в обзоре каждая позиция отображена структурированно, по пунктам:

• название в реестре ФСТЭК России (не всегда совпадает с текущим названием продукта),
• соответствие требованиям документов (при выборе решения важно понимать, какой класс защиты СОВ или МЭ необходим; таблицы соответствия размещены в разделе с описанием требований регуляторов),
• схема сертификации (производители любят рекламировать наличие сертификата у их продукции, но важно знать, какая именно версия имеет соответствующий документ; также распространены ситуации, когда сертифицируется не всё оборудование серии, а только конкретная партия под проект),
• действующий сертификат ФСТЭК России (можно использовать продукт с истёкшим сроком действия сертификата, но не стоит рассчитывать, что он надолго задержится в реестре),
• наличие в реестре российских программ (даёт госзаказчику право закупать СЗИ без дополнительных обоснований необходимости их приобретения),
• информация на сайте производителя (наиболее подробный и актуальный источник сведений).

Отказоустойчивый кластер на fortigate

При переходе на UTM и NGFW устройства угрозой ИБ со стороны оборудования становится единая точка отказа. Если NGFW отключится или сломается, вся сеть встает с нулевой защитой.

Решением этой проблемы стало объединение нескольких устройств NGFW в кластеры безопасности. Такой кластер понадобится при:

• потере одного из каналов связи;
• выходе из строя одного или нескольких портов;
• выходе из строя целого FortiGate.

Кластер создается штатными средствами операционной системы FortiOS, для его создания потребуется:

1. FortiGate 2–4 устройства или виртуальных машин. Все они должны быть одной модели, одной версии FortiOS и функционировать в одинаковом режиме
2. Heartbeat линк (минимум 1, лучше — несколько)
3. Подключить порты для трафика в L2-домен

По сравнению с 5.4 версия 5.6 содержит следующие изменения:

• Версия 5.6 позволяет оперативно отслеживать состояние всех элементов безопасности с помощью интерфейса управления из одного окна.
• Более эффективная функция отслеживания Wi-Fi точек доступа, коммутаторов и «песочниц» FortiSandbox, что способствует повышению эффективности и централизации управления сетевыми компонентами и средствами защиты от продвинутых угроз.
• Для обеспечения оперативного принятия мер безопасности на основе полученных данных был разработан обновленный пользовательский интерфейс. Благодаря упрощенному интерфейсу администратор безопасности может легко обнаружить угрозу и расследовать инциденты, связанные с информационной безопасностью.
• Для повышения работоспособности сети обеспечения соответствия требованиям FortiOS6 предоставляет опережающие рекомендации по защите при помощи Security Fabric Audit.
• Управление безопасностью облачных ресурсов и программно-конфигурируемых глобальных сетей (software-definded WAN, SD-WAN). Решение обеспечивает контроль ресурсов, используемых клиентом в частных и публичных облаках, включая Amazon Web Services.
• «Матрицы безопасности» Security Fabric строятся самой Fortinet. Ко всему оборудованию, входящему в «матрицу» можно применять единую политику (например, по блокировке определенного ботнета).
• FortiExplorer позволяет осуществить настройку FortiGate прямо с вашего iPad или iPhone, подключившись к шлюзу через USB, и просматривать данные FortiView из любого удобного места.

Система мониторинга и отчетности FortiView в новой версии FortiOS была переработана таким образом, чтобы администраторы безопасности и системные администраторы могли быстро получать информацию о сетевом трафике и угрозах. Отделы информационной безопасности часто сталкиваются с необходимостью обнаружения трафика сети TOR.

В новой версии вся необходимая информация доступна в краткой и удобной форме.

Еще одна новая функция FortiOS, которую хотелось бы отметить, – Security Fabric Audit. Она позволяет проанализировать фабрики безопасности и предоставить рекомендации для эффективной работы конфигураций. Использование функции аудита позволяет быстро получить информацию о найденных критических уязвимостях.

• Прошивки и подписки
• Дизайн и политика сети
• Ведение журналов аудита и мониторинг
• Управление конечными точками
• Управление угрозами и уязвимостями

По результатам проверки выставляется общая оценка, которая может быть положительной и отрицательной. Устранение найденных недостатков повышает эту оценку. Таким образом, работа системных администраторов может быть оценена самим устройством.

Также оценка может использоваться для того, чтобы проверить, соответствуют ли принятые меры требованиям безопасности как самой организации, так и регуляторов, отраслевых стандартов и нормативов.

Чтобы постоянно видеть оценку Security Fabric Audit, на главный экран можно добавить виджет Security Fabric Score.

В настоящее время решения Fortinet являются единственными зарубежными межсетевыми экранами, сертифицированными ФСТЭК.

Преимущества решений безопасности fortigate enterprise firewall

Решения FortiGate Enterprise Firewall входят в состав платформы безопасности Fortinet Security Fabric, которая выполняет функции отслеживания, интеграции, управления и масштабирования инфраструктуры, обеспечивает эффективную защиту от изощренных современных угроз.

Устройства комплексной сетевой безопасности FortiGate Enterprise Firewall обеспечивают непревзойденную производительность и защиту, позволяют оптимизировать сетевую инфраструктуру предприятия.

Продукты FortiGate Enterprise Firewall обеспечивают высокую защиту против самых современных сетевых угроз и угроз на уровне приложений, поддерживают широкий список сетевых функций, включая поддержку кластеризацию (active/active, active/passive) и возможность создания виртуальных доменов (VDOM).

Преимущества решений безопасности fortigate

Межсетевой экран следующего поколения FortiGate использует специально разработанные лабораторией FortiGuard Labs процессоры и службы безопасности с применением ИИ для обеспечения максимальной защиты и эффективной проверки как незашифрованного, так и зашифрованного трафика. 

FortiGate снижает затраты и сложность решений, обеспечивает полное отслеживание приложений, пользователей и сетей и лучшую защиту в своем классе. Являясь неотъемлемой частью Fortinet Security Fabric, FortiGate поддерживает взаимодействие со всеми защитными решениями Fortinet и с решениями сторонних поставщиков в мультивендорной среде для обмена данными об угрозах и повышения уровня безопасности.

Различия между utm и ngfw

Развитие UTM достаточно банально: разработчики убрали узкие места в производительности и спроектировали одновременную работу большого количества функций ИБ. Так появились решения NGFW.

До сих пор нет четкого ответа о различиях между UTM и NGFW. Маркетологи компаний заявляют, что это разные продукты с четко прописанной областью применения: UTM подходит для малого и среднего бизнеса, NGFW — для больших компаний.

Предлагаю сравнить функции двух решений: SG Series UTM от Sophos и FortiGate NGFW от Fortinet.

Разные названия в даташитах и одинаковые функции в реальности. Если функция безопасности не указана напрямую, она предоставляется по подписке через облачные сервисы производителя в рамках единой инфраструктуры.

По производительности текущие решения UTM и NGFW используют схожий принцип: одновременная обработка трафика на нескольких сопроцессорах.

Еще одним различием между UTM и NGFW называют возможность NGFW создавать правила для приложений: Skype, Word и т. д. Поскольку UTM-решения появились раньше, некоторые из них создают правила маршрутизации на более низких уровнях модели OSI.

Поэтому для организации ИБ в сети можно выбирать решение по характеристикам конкретной модели, не обращая внимания на названия UTM и NGFW.

FortiGate — флагманский продукт Fortinet, и позиционируется он как enterprise-решение для больших компаний со сложной инфраструктурой. В 2021 году он приносил 75 % выручки, или в цифрах финансового отчета Fortinet за 2021 год — $460 млрд.

Тем не менее линейка моделей FortiGate охватывает как коробочные решения для дата-центров, так и low-end-сегмент для небольших компаний на 20–30 устройств.

Ритейл

Каждая точка продаж — это отдельная инфраструктура, которая интегрирована в сеть предприятия и поэтому должна соответствовать требованиям информационной безопасности компании.

Специфика ритейла накладывает ограничения для классических решений ИБ, но идеально подходит для устройств NGFW:

• количество филиалов компании — от 10 до 1000, их быстрый рост;
• подключение разнопланового оборудования в сеть: электронные кассы, камеры наблюдения, складские системы, сканеры и датчики посещений;
• экономические или физические препятствия для технического обслуживания: невозможно закрепить за каждой точкой продаж своего ИТ-специалиста, или же точки территориально труднодоступны.
  Например, заправочные станции в условиях пустыни или крайнего севера.

Каждое устройство FortiGate интегрируется в единую сеть: админ управляет филиалами удаленно из главного офиса по технологии SD-WAN, шифрование и анализ трафика защищает все уровни сети.

FortiGate поддерживает нескольких каналов связи и автоматически балансирует трафик через них. Например, продуктовый магазин в деревне не имеет кабельного доступа в интернет или оборудование провайдера нестабильно и коннект постоянно обрывается.

Такую точку можно подключить к сети через LTE и дублировать спутниковой связью. Спутниковый интернет дорогой, поэтому балансировщик использует его только при отключении основного канала.

Сервисы безопасности fortigate

Антивирус, определение IP/доменов ботнетов, защита мобильных устройств. Определяет шпионское ПО, защищает от вирусов и других атак с помощью анализа содержимого трафика.

Веб-фильтр. Отслеживание, контроль и блокировка доступа к вредоносным веб-сайтам.

Облачная песочница. Файлы с нестандартным поведением анализируются алгоритмами в облаке, отделенном от сетей компании. Это позволяет обнаруживать еще неизвестные атаки с помощью шаблонов поведения и предотвращать вирусные эпидемии.

Защита от вирусных эпидемий. Защищает от неизвестных угроз, которые появились между обновлениями антивирусных сигнатур.

Список скомпрометированных угроз. Постоянное пополнение списка угроз ИБ на всех устройствах FortiGate.

Служба оценки безопасности. Оценка и тестирование инфраструктуры ИБ компании и выдача рекомендаций по ее улучшению.

Служба интернета вещей (IoT). Автоматически обнаруживает подключенные к сети компании IoT-устройства и применяет к ним политики безопасности.

Служба промышленной безопасности. Защищает сеть и фильтрует трафик на уровне промышленных сред, протоколов и оборудования.

Служба IPS. Обновления в реальном времени от FortiGuard Labs для противодействия сложным многокомпонентным угрозам.

Антиспам. Фильтрация спама на периметре сети.

Служба тестирования проникновений. Служба имитирует сценарии проникновения реальных злоумышленников и находит уязвимые места в инфраструктуре компании.

Возможности FortiGate можно расширить с помощью подключения сервисов фабрики безопасности Fortinet. Туда входят как отдельные, так и облачные решения FortiWeb, FortiMail и др.

Сертифицированные межсетевые экраны и системы обнаружения вторжений зарубежного производства

Агентство Reuters в 2021 году опубликовало статью о том, что российские спецслужбы изучают исходные коды программ, которые используются правительством США. Последнее предполагает, что это делается для разведки и применения найденных уязвимостей.

Российские разработки, в свою очередь, выводятся с американского рынка. Например, в 2021 году власти США ввели официальный запрет на использование продуктов «Лаборатории Касперского»,посчитав, что эти решения представляют угрозу безопасности страны и могут использоваться российскими властями для доступа к правительственным документам США.

Эти события и с каждым годом усиливаемые требования регуляторов делают российский рынок малопривлекательным для зарубежных производителей — как минимум в части государственных и других критически важных информационных систем, для которых защита при помощи сертифицированного оборудования обязательна.

Сертифицированные межсетевые экраны и системы обнаружения вторжений российского производства

Кроме требований к самому средству защиты информации, которые предъявляются при сертификации и ограничивают присутствие зарубежных производителей на российском рынке информационной безопасности, существуют также и директивы по импортозамещению для государственных заказчиков.

С 2021 года в соответствии с постановлением Правительства РФ от 16 ноября 2021 года № 1236 такие заказчики обязаны закупать российское программное обеспечение во всех случаях, кроме тех, когда отечественные разработки с необходимыми функциональными, техническими или эксплуатационными характеристиками отсутствуют.

При этом соответствующую потребность нужно обосновать — в порядке, предусмотренном законом о контрактной системе в сфере государственных закупок. Российским признаётся ПО, сведения о котором внесены в единый реестр российских программ и баз данных. Это ещё больше ограничивает круг продуктов, которые используются при защите государственных систем.

Сравним функции, имеющиеся у производителей сертифицированных межсетевых экранов:

Устройства FortiGate 500D позволяют предоставить крупным и средним компаниям широкие возможности управления угрозами. Эти устройства полностью соответствуют всем установленным требованиям в ИТ.МЭ. А4.ПЗ и Б4.ПЗ (подходят для предотвращения несанкционированного доступа к данным, не относящимся к государственной тайне).

Как видим, устройство FortiGate занимает лидирующую позицию среди других сертифицированных устройств. Преимущество Fortigate заключается и в богатых, уникальных функциях, и в высокой пропускной способности (благодаря специализированным процессорам безопасности), что позволяет использовать эти устройства в любых, даже самых сложных сценариях, включая защиту виртуальной инфраструктуры и облачных сред.

Схема подключения двух fortigate в отказоустойчивый кластер

Отказоустойчивый кластер работает в двух режимах:

• Active-Passive. Трафик обрабатывает только мастер-нода, остальные устройства выступают бэкапом.
• Active-Active. Все ноды кластера обрабатывают трафик, поэтому производительность растет, но нелинейно. При подключении 4-х устройств FortiGate скорость не вырастет в 4 раза, потому что весь трафик сначала будет поступать на мастер-ноду, и уже она будет принимать решение, какое устройство его обработает.

Можно настроить наиболее важные параметры для выбора мастер ноды. Например uptime, статус интерфейсов и т. д.

Технические характеристики fortigate 100f в различных режимах обработки трафика

NP (network processors)обрабатывают Ipv4, Ipv6, unicast и multicast. На них также ложится расшифровка IPsec, завершение VXLAN и преобразование адресов.

В UTM эти функции нагружают CPU и снижают пропускную способность устройства. В 2020 году вышел обновленный процессор NP7.

Помимо основных функций безопасности, он записывает события по ИБ самостоятельно и поддерживает политики безопасности на аппаратном уровне.

На NP7 выпущен FortiGate 4400F с пропускной способностью 1.2 Тбит/с в режиме фаервола и поддержкой 600 млн параллельных подключений.

Требования к сертифицированным межсетевым экранам

Текущие требования к межсетевым экранам утверждены ФСТЭК России 12 сентября 2021 года.

Межсетевые экраны типа «А» применяются на физической границе (периметре) информационной системы или между физическими границами её сегментов; брандмауэры типа «Б» — на логической границе или между таковыми; типа «В» — на узле (хосте) информационной системы.

К типу «Г» относятся межсетевые экраны веб-приложений (Web Application Firewall, WAF), которые используются на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов; они могут иметь программное или программно-аппаратное исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от него.

Наконец, продукты типа «Д» — это межсетевые экраны уровня промышленной сети, которые применяются в автоматизированной системе управления технологическими или производственными процессами. Такое решение тоже может быть представлено в программном или программно-техническом исполнении и должно обеспечивать контроль и фильтрацию промышленных протоколов передачи данных.

В этом обзоре рассматриваются только межсетевые экраны типов «А» и «Б».

От класса защиты межсетевого экрана (6-й — самый низкий, 1-й — самый высокий) зависит уровень требований к СЗИ. 

Таблица 2. Соответствие между классами защиты межсетевых экранов и системами различных классов

Требования к сертифицированным системам обнаружения вторжений

Требования к системам обнаружения вторжений (СОВ) утверждены приказом ФСТЭК России № 638 от 6 декабря 2021 года. Профили защиты открыто опубликованы только для четвёртого, пятого и шестого классов защиты, потому что другие связаны с охраной государственной тайны.

Введено два типа систем обнаружения вторжений:

• Система уровня сети подключается к коммуникационному оборудованию (например, коммутатору) и контролирует сетевой трафик, наблюдая за несколькими сетевыми узлами.
• Система уровня узла устанавливается на отдельно взятое устройство и проводит анализ системных вызовов, журналов работы приложений и других источников.

В обзоре мы рассматриваем только СОВ уровня сети.

Так же, как и в случае межсетевых экранов, от класса защиты СОВ зависит уровень предъявляемых требований.

Таблица 3. Соответствие между классами СОВ и системами различных классов

Характеристики fortinet fortigate 60e (fg-60e-lenc-cert)