Введение в эксплуатацию NGFW

Этапы внедрения NGFW

Наличие на периметре NGFW не решает задачу безопасности автоматически: устройство нужно правильно встроить в существующую сеть, настроить политики доступа, контроль приложений, фильтрацию трафика, журналирование, TLS-инспекцию. Ошибка на этом этапе обычно стоит дорого: либо организация теряет защиту, либо получает простои, жалобы пользователей и сбои в работе сервисов.

На практике, чтобы средство защиты действительно работало, а не создавало новые риски, проект проходит несколько этапов.

Сначала проводится обследование инфраструктуры. 

На этом этапе определяется, какие каналы связи, сервисы, внешние ресурсы, VPN-соединения, удаленные пользователи и внутренние сегменты должны работать после включения NGFW. Здесь же выявляются критичные зависимости: AD, DNS, NTP, почта, банк-клиент, ЭДО, отраслевые и государственные сервисы, удаленный доступ подрядчиков.

Далее формируется техническое задание или план внедрения. 

Определяется схема включения, состав защищаемых сегментов, требования к отказоустойчивости, перечень правил, порядок переключения, окно работ и сценарий отката. Без этого внедрение превращается в эксперимент на живой организации.

Следующий этап — разработка политик безопасности.

Определяются правила межсетевого взаимодействия, публикации сервисов, доступа пользователей в интернет, применения IPS, веб-фильтрации, контроля приложений, VPN и TLS-инспекции. 

После этого подготавливается инфраструктура. 

Выпускаются сертификаты, производится настройка доверия на рабочих станциях, подготовка маршрутизации, резервирование каналов, интеграция с каталогом пользователей, системами журналирования и мониторинга. 

Затем выполняется конфигурирование оборудования. 

Настраиваются интерфейсы, зоны безопасности, NAT, VPN, маршрутизация, профили IPS, фильтрация контента, контроль приложений, политики журналирования и оповещения, резервное копирование конфигурации и роли администраторов.

После базовой настройки выполняется пилотное включение.

Обычно сначала в контролируемом режиме пропускают часть трафика или отдельный сегмент, отслеживают журналы, проверяют доступность ресурсов и собирают обратную связь от пользователей. Это позволяет выявить конфликты и ошибки до полного ввода в эксплуатацию.

По результатам пилота в конфигурацию вносятся изменения. 

Корректируются правила доступа, исключения, параметры инспекции, маршрутизация, приоритеты и ограничения. На этом этапе часто выясняется то, что невозможно увидеть по одной схеме сети: неучтенные интеграции, старые сервисы, нестандартные приложения и узкие места по производительности.

После корректировки выполняется окончательный ввод в эксплуатацию. 

Конфигурация фиксируется, проверяется работоспособность ключевых сервисов, оформляются эксплуатационные документы, передаются резервные копии конфигурации, перечень правил, схема включения и рекомендации по сопровождению.

Типичные ошибки при внедрении.

Отдельно стоит сказать о типичных ошибках при самостоятельной настройке NGFW.

Недостаточная защита

Одна из наиболее частых ошибок — избыточно широкие разрешающие правила. Формально устройство установлено, но значительная часть трафика проходит без контроля. В итоге NGFW превращается в очень дорогой маршрутизатор с красивым интерфейсом.

Избыточная строгость 

Другая сторона той же проблемы — чрезмерно жесткие политики без пилота и согласования исключений. В этом случае ломаются почтовые сервисы, ЭДО, банк-клиенты, интеграции с внешними площадками, доступ к обновлениям и облачным ресурсам. Пользователи быстро начинают воспринимать средство защиты как источник проблем, а не как элемент безопасности.

TLS-Инспекция

Следующая группа проблем связана с TLS-инспекцией. Эта функция создает большу́ю нагрузку на оборудование, и без детального анализа того, какие сервисы можно расшифровывать, а какие нельзя, приводит или перегрузке аппаратуры, или к проблемам с доступностью сервисов и потенциальных юридических последствий в связи с вмешательством в потоки данных, вмешательство в которые по-закону не допускается.

Производительность

Из ошибок на этапе анализа и недооценки требований к производительности вытекает следующий класс проблем — проблемы перегрузки оборудования. Пропускная способность «на бумаге» и реальная необходимая производительность при включенных IPS, AppControl, веб-фильтрации и TLS-инспекции могут драматически различаться. Эти ошибки влекут задержки в обработке трафика, деградацию сервисов и недовольство пользователей.

План отката

В настройках любого сложного оборудования всегда есть риск ошибок. Поэтому наличие заранее продуманного плана отката — важный аспект внедрения систем информационной безопасности. Если что-то идет не так, а резервной схемы нет, восстановление может превращаться в хаотичную импровизацию с длительным простоем.

Сопроводительная документация

Следующий, часто игнорируемый источник проблем — отсутствие эксплуатационной документации и понятной передачи результата. Даже если систему однажды настроили, без описания правил, исключений, схемы включения и резервных копий организация остается зависимой от одного человека, который «помнит, как там было».

Введение NGFW в эксплуатацию с интегратором СИБ

По описанным выше причинам, внедрение NGFW стоит рассматривать как отдельную инженерную услугу, не полагаясь на «интуитивно понятный интерфейс» и обещания производителей что настройка пройдет «в три клика».

Мы занимаемся информационной безопасностью с 2005 года и имеем широкий опыт по внедрению и сопровождению NGFW.

В стоимость такой услуги входит не только первичная настройка, но и обследование, проектирование, безопасное включение, проверка работоспособности, корректировка правил и передача результата в эксплуатацию.

Если в организации нет отдельной команды, готовой тратить время на проектирование, тестирование, разбор инцидентов и доводку политик, самостоятельное внедрение почти всегда обходится дороже, чем профессиональное развертывание. Экономия на старте слишком часто заканчивается простоями, аварийными переделками и повторной настройкой уже после неудачного запуска.

Мы предлагаем полный комплекс по внедрению и развертыванию NGFW: с обследованием,  настройкой, пилотным включением, корректировкой, документированием и вводом в эксплуатацию.  Такой подход позволяет получить рабочую конфигурацию без лишнего риска для текущей инфраструктуры.

Также мы можем подключиться на любом этапе такого внедрения, если вы столкнулись с трудностями в настройке.

После ввода в эксплуатацию мы обеспечиваем сопровождение и корректировку настроек оборудования. Вы не останетесь с решением один-на-один.

Заказать консультацию