Введение в эксплуатацию NGFW
Оглавление
- Этапы внедрения NGFW
- Анализ инфраструктуры.
- Техническое задание.
- Следующий этап — разработка политик безопасности.
- После этого подготавливается инфраструктура.
- Затем выполняется конфигурирование оборудования.
- После базовой настройки выполняется пилотное включение.
- По результатам пилота в конфигурацию вносятся изменения.
- После корректировки выполняется окончательный ввод в эксплуатацию.
- Типичные ошибки при внедрении.
- Введение NGFW в эксплуатацию с интегратором СИБ
Этапы внедрения NGFW
Наличие на периметре NGFW не решает задачу безопасности автоматически: устройство нужно правильно встроить в существующую сеть, настроить политики доступа, контроль приложений, фильтрацию трафика, журналирование, TLS-инспекцию. Ошибка на этом этапе обычно стоит дорого: либо организация теряет защиту, либо получает простои, жалобы пользователей и сбои в работе сервисов.
На практике, чтобы средство защиты действительно работало, а не создавало новые риски, проект проходит несколько этапов.
Анализ инфраструктуры.
На этом этапе определяется, какие каналы связи, сервисы, внешние ресурсы, VPN-соединения, удаленные пользователи и внутренние сегменты должны работать после включения NGFW. Здесь же выявляются критичные зависимости: AD, DNS, NTP, почта, банк-клиент, ЭДО, отраслевые и государственные сервисы, удаленный доступ подрядчиков.
Техническое задание.
На этом этапе формируется техническое задание или план внедрения. Определяется схема включения, состав защищаемых сегментов, требования к отказоустойчивости, перечень правил, порядок переключения, окно работ и сценарий отката. Без этого внедрение превращается в эксперимент на живой организации.
Следующий этап — разработка политик безопасности.
Определяются правила межсетевого взаимодействия, публикации сервисов, доступа пользователей в интернет, применения IPS, веб-фильтрации, контроля приложений, VPN и TLS-инспекции.
После этого подготавливается инфраструктура.
Выпускаются сертификаты, производится настройка доверия на рабочих станциях, подготовка маршрутизации, резервирование каналов, интеграция с каталогом пользователей, системами журналирования и мониторинга.
Затем выполняется конфигурирование оборудования.
Настраиваются интерфейсы, зоны безопасности, NAT, VPN, маршрутизация, профили IPS, фильтрация контента, контроль приложений, политики журналирования и оповещения, резервное копирование конфигурации и роли администраторов.
После базовой настройки выполняется пилотное включение.
Обычно сначала в контролируемом режиме пропускают часть трафика или отдельный сегмент, отслеживают журналы, проверяют доступность ресурсов и собирают обратную связь от пользователей. Это позволяет выявить конфликты и ошибки до полного ввода в эксплуатацию.
По результатам пилота в конфигурацию вносятся изменения.
Корректируются правила доступа, исключения, параметры инспекции, маршрутизация, приоритеты и ограничения. На этом этапе часто выясняется то, что невозможно увидеть по одной схеме сети: неучтенные интеграции, старые сервисы, нестандартные приложения и узкие места по производительности.
После корректировки выполняется окончательный ввод в эксплуатацию.
Конфигурация фиксируется, проверяется работоспособность ключевых сервисов, оформляются эксплуатационные документы, передаются резервные копии конфигурации, перечень правил, схема включения и рекомендации по сопровождению.
Типичные ошибки при внедрении.
Отдельно стоит сказать о типичных ошибках при самостоятельной настройке NGFW.
Недостаточная защита
Одна из наиболее частых ошибок — избыточно широкие разрешающие правила. Формально устройство установлено, но значительная часть трафика проходит без контроля. В итоге NGFW превращается в очень дорогой маршрутизатор с красивым интерфейсом.
Избыточная строгость
Другая сторона той же проблемы — чрезмерно жесткие политики без пилота и согласования исключений. В этом случае ломаются почтовые сервисы, ЭДО, банк-клиенты, интеграции с внешними площадками, доступ к обновлениям и облачным ресурсам. Пользователи быстро начинают воспринимать средство защиты как источник проблем, а не как элемент безопасности.
TLS-Инспекция
Следующая группа проблем связана с TLS-инспекцией. Эта функция создает большу́ю нагрузку на оборудование, и без детального анализа того, какие сервисы можно расшифровывать, а какие нельзя, приводит или перегрузке аппаратуры, или к проблемам с доступностью сервисов и потенциальных юридических последствий в связи с вмешательством в потоки данных, вмешательство в которые по-закону не допускается.
Производительность
Из ошибок на этапе анализа и недооценки требований к производительности вытекает следующий класс проблем — проблемы перегрузки оборудования. Пропускная способность «на бумаге» и реальная необходимая производительность при включенных IPS, AppControl, веб-фильтрации и TLS-инспекции могут драматически различаться. Эти ошибки влекут задержки в обработке трафика, деградацию сервисов и недовольство пользователей.
План отката
В настройках любого сложного оборудования всегда есть риск ошибок. Поэтому наличие заранее продуманного плана отката — важный аспект внедрения систем информационной безопасности. Если что-то идет не так, а резервной схемы нет, восстановление может превращаться в хаотичную импровизацию с длительным простоем.
Сопроводительная документация
Следующий, часто игнорируемый источник проблем — отсутствие эксплуатационной документации и понятной передачи результата. Даже если систему однажды настроили, без описания правил, исключений, схемы включения и резервных копий организация остается зависимой от одного человека, который «помнит, как там было».
Введение NGFW в эксплуатацию с интегратором СИБ
По описанным выше причинам, внедрение NGFW стоит рассматривать как отдельную инженерную услугу, не полагаясь на «интуитивно понятный интерфейс» и обещания производителей что настройка пройдет «в три клика».
Мы занимаемся информационной безопасностью с 2005 года и имеем широкий опыт по внедрению и сопровождению NGFW.
В стоимость такой услуги входит не только первичная настройка, но и обследование, проектирование, безопасное включение, проверка работоспособности, корректировка правил и передача результата в эксплуатацию.
Если в организации нет отдельной команды, готовой тратить время на проектирование, тестирование, разбор инцидентов и доводку политик, самостоятельное внедрение почти всегда обходится дороже, чем профессиональное развертывание. Экономия на старте слишком часто заканчивается простоями, аварийными переделками и повторной настройкой уже после неудачного запуска.
Мы предлагаем полный комплекс по внедрению и развертыванию NGFW: с обследованием, настройкой, пилотным включением, корректировкой, документированием и вводом в эксплуатацию. Такой подход позволяет получить рабочую конфигурацию без лишнего риска для текущей инфраструктуры.
Также мы можем подключиться на любом этапе такого внедрения, если вы столкнулись с трудностями в настройке.
После ввода в эксплуатацию мы обеспечиваем сопровождение и корректировку настроек оборудования. Вы не останетесь с решением один-на-один.