Роль пограничных средств защиты в современном миреАндрей Терехов - Fortinet
Алексей Голдбергс - SberCloud
FortinetОб эволюции пограничных средств защиты
© Fortinet Inc. All Rights Reserved.
• Компрометация Windows ПК без патчей – 20 минут (2004)
• Значительный ущерб, >$10 млн. расходы властей Атланты (2018)
• Актуальная угроза – BlueKeep (2019)
• Q2-2019: 800 тыс. уязвимых узлов
• FortiGuard IPS - CVE-2019-0708
Пограничные средства защиты
3
Proportion of devices detecting RDP exploit attempts in Q2 2019
Источники: Статья CNET «Study: Unpatched PCs compromised in 20 minutes» (2004)
Отчёт Fortinet «2Q 2019 Quarterly Threat Landscape Report» (2019)
Статья SecurityWeek «Atlanta Says Further $9.5 Million Needed for Ransomware Recovery» (2018)
© Fortinet Inc. All Rights Reserved.
Пограничные: шлюзы
• Плюсы:
+ Универсальность
+ Независимость от приложений
• Минусы:
- Сложности с шифрованным трафиком
- Границы в сторонних сетях
Узловые: программные агенты
• Плюсы:
+ Лучшая видимость
+ Применимость в сторонних сетях
• Минусы:
- Влияние на ПО
- Применение в OT/IoT/BYOD/Mobile
- Масштабируемость управления
Средства защиты: пограничные и узловые
4
Источники: Статья CNET «Study: Unpatched PCs compromised in 20 minutes» (2004)
Отчёт Fortinet «2Q 2019 Quarterly Threat Landscape Report» (2019)
Статья SecurityWeek «Atlanta Says Further $9.5 Million Needed for Ransomware Recovery» (2018)
© Fortinet Inc. All Rights Reserved.
Вчера
• Они необходимы, но не достаточны - 1997
• Предотвращение угроз (IPS) - 2003
• Периметров больше нет – 2005
• Эффективное управление - 2012
Сегодня
• 1,1 млн устройств поставлено в 2018, рост 20%
• SD-WAN - FortiOS 5.6 (2017)
• NGFW -> Enterprise Firewall (2018)
Практика применения пограничных СЗИ
Завтра
• 5G и IoT
• Повсеместное шифрование
• Защита в «облаках»
5
Источники: «Web Security and Commerce», G. Spafford, S. Garfinkel (1997)
Документ Gartner «Intrusion Detection On The Way Out» (2003)
Cтатья «The Deperimeter Problem», CSO Online (2005)
Статья «Why you don't need a firewall», CSO Online (2012)
Документ Gartner Research «Next-Generation Firewall Hype Has Become an Obstacle for Enterprises», 2018
Данные агентства IDC, «Worldwide Quarterly Security Appliance Tracker», 2019
Статья «The role of next-gen firewalls in an evolving security architecture», IDG Insider Pro, 2019
© Fortinet Inc. All Rights Reserved.
Вызов - повсеместное шифрование
6
Источники: Отчёт Google «Шифрование интернет-соединения по протоколу HTTPS» (2019), https://transparencyreport.google.com
Отчёт PrivSec «The hidden threat in GDPR’s encryption push» (2019)
Отчёт NSS Labs «TLS/SSL: Be Wary of What Travels Inside The Encrypted Web: Part 2 – Malicious Traffic» (2017)
Отчёт NSS Labs «SSL Performance Problems: Significant SSL Performance Loss Leaves Much Room For Improvement» (2013)
Отчёт NSS Labs «2019 Next Generation Firewall Comparative Analysis» (2019)
Зашифрованное ВПО
60%
Атак на предприятия будут
использовать TLS для
сокрытия ВПО к 2019 году
© Fortinet Inc. All Rights Reserved.
Вызов - повсеместное шифрование
7
Источники: Отчёт Google «Шифрование интернет-соединения по протоколу HTTPS» (2019), https://transparencyreport.google.com
Отчёт PrivSec «The hidden threat in GDPR’s encryption push» (2019)
Отчёт NSS Labs «TLS/SSL: Be Wary of What Travels Inside The Encrypted Web: Part 2 – Malicious Traffic» (2017)
Отчёт NSS Labs «SSL Performance Problems: Significant SSL Performance Loss Leaves Much Room For Improvement» (2013)
Отчёт NSS Labs «2019 Next Generation Firewall Comparative Analysis» (2019)
Зашифрованное ВПО
60%
Атак на предприятия будут
использовать TLS для
сокрытия ВПО к 2019 году
© Fortinet Inc. All Rights Reserved.
Вызов - повсеместное шифрование
8
Источники: Отчёт Google «Шифрование интернет-соединения по протоколу HTTPS» (2019), https://transparencyreport.google.com
Отчёт PrivSec «The hidden threat in GDPR’s encryption push» (2019)
Отчёт NSS Labs «TLS/SSL: Be Wary of What Travels Inside The Encrypted Web: Part 2 – Malicious Traffic» (2017)
Отчёт NSS Labs «SSL Performance Problems: Significant SSL Performance Loss Leaves Much Room For Improvement» (2013)
Отчёт NSS Labs «2019 Next Generation Firewall Comparative Analysis» (2019)
© Fortinet Inc. All Rights Reserved.
Вызов - повсеместное шифрование
9
Источники: Отчёт Google «Шифрование интернет-соединения по протоколу HTTPS» (2019), https://transparencyreport.google.com
Отчёт PrivSec «The hidden threat in GDPR’s encryption push» (2019)
Отчёт NSS Labs «TLS/SSL: Be Wary of What Travels Inside The Encrypted Web: Part 2 – Malicious Traffic» (2017)
Отчёт NSS Labs «SSL Performance Problems: Significant SSL Performance Loss Leaves Much Room For Improvement» (2013)
Отчёт NSS Labs «2019 Next Generation Firewall Comparative Analysis» (2019)
© Fortinet Inc. All Rights Reserved.
Вызов - повсеместное шифрование
10
Источники: Отчёт Google «Шифрование интернет-соединения по протоколу HTTPS» (2019), https://transparencyreport.google.com
Отчёт PrivSec «The hidden threat in GDPR’s encryption push» (2019)
Отчёт NSS Labs «TLS/SSL: Be Wary of What Travels Inside The Encrypted Web: Part 2 – Malicious Traffic» (2017)
Отчёт NSS Labs «SSL Performance Problems: Significant SSL Performance Loss Leaves Much Room For Improvement» (2013)
Отчёт NSS Labs «2019 Next Generation Firewall Comparative Analysis» (2019)
FortiGate - минимальное снижение производительности при раскрытии TLS
?
FGT 500E
PA 5250 CK 15600
FP 4120
-8%
-49%
-75%-78%
-89%
-100%
-90%
-80%
-70%
-60%
-50%
-40%
-30%
-20%
-10%
0%
Fortinet Vendor B PAN Checkpoint Versa
Первый Enteprise Firewall с поддержкой раскрытия TLS 1.3
© Fortinet Inc. All Rights Reserved.
Вызов – защита в «облаках»
11
Эксперимент – honeypot в популярном облаке
Один защищен FortiGate, другой открыт
© Fortinet Inc. All Rights Reserved.
Без защитыС защитой FortiGate
Вызов – защита в «облаках» (2)
12
© Fortinet Inc. All Rights Reserved.
Решение – Согласованная защита
13
Private Data Center
ПолитикаFortiAnalyzer FortiManager
1.Существующий собственный ЦОД
2. Исходное развертывание
3. Размещение средств защиты
4. Согласованность: правила доступа, администрирование
V
M
V
M
5. Масштабирование
© Fortinet Inc. All Rights Reserved.
Защита в облаках – портирование
14
Autoscaling and
HA Betw. Zones
Active-Passive
HA
Azure Security
Center Integration
Topology and
CVE Integration
Cross AZ HA
Support
SR-IOV Support
A-P HA between
AZs
Autoscaling
© Fortinet Inc. All Rights Reserved.
Защита в облаках – динамичность
15
Fabric Connectors: FortiOS/FortiManager 6.2
Amazon WebService (AWS)
Microsoft Azure
Google Public Cloud (GCP)
Oracle Cloud Infrastructure (OCL)
AliCloud
FortiGuardCategory
IP Address Domain Name
Malware Hash
Active Directory RADIUS Fortinet SSO
Общие
облака
Частные
облака
Единый
вход
Индикаторы
(IOC)
Kubernetes VMware ESXi
VMware NSX OpenStack(Horizon)
Cisco ACI Nuage
Коннекторы к облакам
• Идентификация по метаданным
• Динамические объекты
• Правила доступа
• Микросегментация
© Fortinet Inc. All Rights Reserved.
Защита в облаках - эластичность
16
• Удобная, гибкая и масштабируемая программа (MSSP/MSP)• Развертывание по запросу
• Без ограничений по ресурсам
• Биллинг по времени использования
• Сервисная модель (PAYG, OPEX)
FortiCare Cloud FortiManager FortiOS-VM, FortiWebOS-VM
Отправка статистики
использования
Используемые
сервисы и услуги &
учёт использования
Программа Fortinet VM On-Demand
Опыт построения защищенной облачной платформы
Алексей Голдбергс
Директор Центра киберзащиты
© Fortinet Inc. All Rights Reserved.
Область управления Собственный ЦОДПубличное облако
IaaS PaaS SaaS
ПользователиРолевые модели, многофакторная аутентификация
ДанныеШифрование, контроль передачи (DLP), мониторинг активности СУБД
ПриложенияСтатический и динамический анализ защищенности, WAF
Среда исполненияУправление уязвимостями
Операционная системаЗащита от вредоносного ПО
Виртуальная сетьСегментирование, межсетевое экранирование, выявление и
предотвращение вторжений
Средства виртуализацииКонтроль действий привилегированных
пользователей
СерверыКонтроль конфигураций и целостности
Подсистема храненияШифрование, резервное копирование
Физическая сетьЗащита периметра и защита от DDoS, контроль
конфигураций, анализ трафика
Доступ в ЦОДСКУД, видеонаблюдение
Шифрование, контроль передачи (DLP), мониторинг активности СУБД
Ролевые модели, многофакторная аутентификация
Статический и динамический анализ защищенности, WAF
Управление уязвимостями
Защита от вредоносного ПО
Сегментирование, межсетевое экранирование, выявление и предотвращение вторжений
Контроль действий привилегированных
Контроль конфигураций и целостности
Шифрование, резервное копирование
Защита периметра и защита от DDoS, контроль
конфигураций, анализ трафика
СКУД, видеонаблюдение
Меры компенсации киберрисков
18
© Fortinet Inc. All Rights Reserved.
Защита инфраструктуры облачной платформы
Защита от DDoS-атак Межсетевой экран Межсетевой экран для веб-
приложений
19
© Fortinet Inc. All Rights Reserved.
Защита виртуального ЦОД
Защита от DDoS-атак Межсетевой экран Межсетевой экран для веб-
приложений
20
© Fortinet Inc. All Rights Reserved.
Требования к средствам защиты периметра
Многопользовательская архитектура
Масштабируемость Гибкий APIГибкая схема
лицензирования
21