Полтора года назад мы писали о платформе VMware SASE, которая построена на базе технологии программно-определяемых сетей SD-WAN. Концепция SD-WAN позволяет виртуализовать WAN-сети в целях отделения программных сетевых служб от оборудования и оконечных устройств, что дает гибкость, простоту управления, производительность, безопасность и возможность быстрого масштабирования в облаках.
На конференции VMware Explore 2023 был представлен интересный доклад "Fortify Your Branches with Enhanced Firewall Service for VMware", в котором было представлен глубокий обзор функций безопасности VMware SD-WAN Edges. В этой сессии, проведённой экспертами VMware и компании CBTS, было рассказано об эволюционирующем ландшафте сетевой безопасности, функциях безопасности VMware SD-WAN и VMware SASE, а также решениях современных проблем в области безопасности.
Также у VMware есть отличный обзор функций VMware SD-WAN Enhanced Firewall Services в консоли VMware SASE Orchestrator, о которых мы расскажем ниже:
Для решения проблем безопасности современной распределённой корпоративной сети, включая рост объема сетевых сервисов на периферии сети, VMware и предлагает услугу VMware SD-WAN Enhanced Firewall Services. Эта услуга предназначена для предоставления продвинутых функций безопасности непосредственно на границе сети (Edge), что отвечает потребностям распределённой рабочей силы и филиалов.
VMware SD-WAN Enhanced Firewall Services являются важным элементом многоуровневого решения по обеспечению безопасности VMware SASE. Этот сервис, основанный на давно разрабатываемой технологии безопасности NSX от VMware, встроен как в физические, так и в виртуальные устройства VMware SD-WAN Edge.
Сам продукт позволяет повысить и стабилизировать производительность сети и исключить необходимость использования устаревших фаерволов в филиалах, обеспечивая при этом комплексный подход к безопасности. Как и все компоненты VMware SASE, управление Enhanced Firewall Service интегрировано в VMware SASE Orchestrator, что упрощает операции сетевых администраторов и избавляет от необходимости управления безопасностью в разных точках.
Решаемые проблемы
Давайте посмотрим на список проблем, присутствующих в современных распределенных сетевых инфраструктурах крупных предприятий, решением которых занимается Enhanced Firewall Service:
Традиционные офисные и удаленные рабочие места используют неэффективные WAN-архитектуры, изначально разработанные для приложений в корпоративных датацентрах. Обратная передача всего интернет-трафика через эти датацентры для маршрутизации и проверки безопасности уже там приводит к задержкам и сложности управления из-за разных политик безопасности. Также надо отметить, что устаревшая WAN-архитектура часто не включает современные проверки безопасности, оставляя уязвимости для хакерских атак.
Традиционное устройство фаерволов требует установки и управления вместе с другим оборудованием, что приводит к затратам ресурсов ИТ-отделов на их мониторинг и обновления безопасности.
Недостаточная защита в традиционных сетях не может эффективно обнаруживать и защищать от сложных DDoS-атак, что может привести к простоям сетевых сервисов, потере данных или правовым проблемам.
Растущая потребность в поддержке удаленной работы и увеличение числа подключенных к корпоративным сетям устройств IoT создает новые вызовы безопасности. Незащищенные устройства в разных географических локациях увеличивают риск утечек данных и кибератак.
Наличие разнородных сетевых архитектур и отсутствие единой системы управления затрудняют обеспечение комплексной оценки безопасности и своевременное реагирование на угрозы.
Функции VMware SD-WAN Enhanced Firewall Service
Основными функциями Enhanced Firewall Service являются:
1. Система обнаружения и предотвращения вторжений (IDS/IPS)
Функция обнаружения и предотвращения вторжений (IDS/IPS) в усиленном сервисе брандмауэра повышает общую безопасность сети филиалов. IDS и IPS отслеживают сетевой трафик, анализируют его на предмет вредоносных или подозрительных активностей и предпринимают меры для предотвращения возможных атак. Они работают вместе, чтобы обнаруживать и блокировать потенциально опасный трафик до того, как он попадет в сеть. В целом, функция IDS/IPS, интегрированная в Edge, имеет ключевое значение для защиты корпоративных сетей филиалов от киберугроз.
2. Предотвращение DDoS-атак
Отказ в обслуживании (Denial-of-service, DoS) - одна из самых распространенных атак на предприятия, которые наблюдаются ежедневно. В усиленном фаерволе предпринимаются различные меры для защиты всех компонентов VMware SD-WAN. Встроенная функция брандмауэра "network and flood protection" на стороне Edge может обнаруживать и отбрасывать соединения, превышающие настроенный уровень ("flooding"). Она также может автоматически блокировать атаки, основанные на TCP, ICMP и другие известные атаки.
3. Централизованное ведение журналов фаервола, собирающее логи со всех сервисов VMware SASE
Сервис централизованного ведения логов фаервола представляет собой безопасное и масштабируемое решение, предназначенное для организаций любого размера. Это централизует логи в одном облачном местоположении, облегчая отслеживание и анализ событий безопасности в рамках нескольких сайтов и приложений. Облачное ведение журналов брандмауэра обеспечивает видимость сетевого трафика и событий безопасности в реальном времени, позволяя администраторам быстро обнаруживать и реагировать на угрозы. Также функция hosted firewall logging может обеспечить хронологические записи для аудита, требуемые для соответствия регулятивным стандартам, таким как PCI, HIPAA и GDPR.
VMware SD-WAN Edge Firewall сертифицирован организацией ICSA Labs, а сами компоненты Edges соответствуют требованиям комплаенса FIPS 140-2.
4. Stateful inspection (или так называемый dynamic packet filtering) для приложений на уровнях L4-L7
Функция анализа активных соединений для уровней L4-L7 брандмауэра встроена в data plane на стороне Edge. Она осуществляет проверку входящих и исходящих пакетов и учитывает сессии. Поддерживая таблицу соединений и состояний, фаервол пропускает только разрешенные соединения и входящий трафик, блокируя весь остальной трафик от внешних источников. Этот фаервол также осведомлён о работающих приложениях, что позволяет ему определять и блокировать вредоносный трафик.
5. Сегментация трафика, которая разделяет различные его типы
Технология VMware SD-WAN позволяет пользователям разделять сеть с помощью сегментов и функций VRF (Virtual routing and forwarding). Пользователи могут не только отделять разные типы трафика (корпоративный, голосовой, гостевой, и т. д.), но и применять различные политики фаервола, уникальные для каждого сегмента. Например, вы можете изолировать гостевой трафик в отдельном сегменте и отключить функции корпоративного VPN, тем самым уменьшая риск перемещения угроз (Network Lateral Movement) в сети.
6. Шаблонизируемая политика брандмауэра для быстрого создания правил безопасности на основе различных критериев и лёгкого их применения
Edge-фаервол предлагает готовые шаблоны для удобного создания политик и управления ими. Это позволяет администраторам быстро создавать правила безопасности на основе различных критериев и легко применять их к нескольким Edge на разных сайтах, обеспечивая единообразие во всей корпоративной сети и детализированный контроль.
7. Единое управление и мониторинг безопасности в одной консоли с помощью VMware Edge Cloud Orchestrator
Политики фаервола, как и все компоненты инфраструктуры SASE, централизованно управляются из одной консоли с помощью VMware SASE Orchestrator.
Централизованная конфигурация, мониторинг и управление позволяют администраторам поддерживать постоянство политик безопасности на всех сайтах, быстро реагировать на потенциальные события безопасности и эффективно диагностировать и устранять проблемы, тем самым снижая риск утечек данных и других инцидентов безопасности.
Дополнительные возможности обеспечения сетевой безопасности и контроля
Помимо перечисленного, улучшенная служба брандмауэра VMware SD-WAN включает:
Расширенную защиту от вирусов и вредоносного ПО, обеспечивая дополнительный уровень безопасности для предотвращения угроз.
Глубокий анализ пакетов для обеспечения более детального контроля и отслеживания сетевого трафика.
Автоматическое обновление сигнатур безопасности и алгоритмов обнаружения, что обеспечивает актуальность защиты от новейших угроз.
Поддержка облачных сервисов и интеграция с облачными провайдерами, что позволяет легко расширять защиту на облачные ресурсы.
Доступный пользовательский интерфейс для более интуитивного управления политиками безопасности и мониторинга сети.
Возможность интеграции с другими продуктами и сервисами VMware, создавая комплексную систему безопасности для всей ИТ-инфраструктуры компании.
Итоги
VMware SD-WAN Enhanced Firewall Service представляет собой инновационное решение в области сетевой безопасности, предназначенное для среднего и крупного размера, стремящихся обеспечить надежную защиту своих распределенных корпоративных сетей, включая региональные офисы и удаленные филиалы. Это решение особенно актуально для предприятий с распределенной сетью филиалов и облачных сред, которые сталкиваются с вызовами, связанными с устаревшими WAN-архитектурами и необходимостью адаптации к современным угрозам безопасности.