Меню
Пошук

«Фаєрвол як сервіс» – сучасний захист ІТ-інфраструктури

7 февраль, 2023 - 17:45Андрій Михайленко

На відміну від традиційного програмного фаєрволу, що призначений для захисту комп’ютера чи сервера, «фаєрвол як сервіс» використовується для одночасного захисту кількох клієнтських IT-інфраструктур. Втім це не єдина відмінність такого підходу від традиційних апаратних та програмних рішень.

Традиційний фаєрвол (також відомий як міжмережевий екран або брандмауер) захищає від загроз з локальної мережі або інтернету тільки той пристрій, на якому він встановлений. Це програмне забезпечення здійснює базову фільтрацію мережевого трафіку, у разі небезпеки попереджаючи користувача про ймовірні загрози, або блокуючи потенційно небезпечні з’єднання згідно з певними правилами.

«Фаєрвол як сервіс» (Firewall as a Service, FWaaS) працює на стороні провайдера і являє собою відмовостійкий кластер апаратно-програмних міжмережевих екранів, ресурси яких надаються клієнтам за сервісною моделлю. FWaaS так само виконує перевірку безпеки та служить бар’єром між компонентами IT-інфраструктури клієнта та підключеними до неї системами та мережами.

Як працює FWaaS

Фаєрволи можна умовно поділити на два типи.

Програмний встановлюється на фізичні або віртуальні пристрої й призначений для відстеження вхідного та вихідного трафіку, а також блокування потенційних загроз. Це спеціалізоване програмне забезпечення може встановлюватись безпосередньо на комп’ютер або на сервер, що може виступати в ролі програмного маршрутизатора. Ключовими перевагами програмних міжмережевих екранів можна вважати нижчу порівняно з апаратними вартість, здатність захищати окремі сегменти локальних мереж зсередини, а також можливість розгортати їх на користувацьких комп’ютерах та наявних серверах. До недоліків відноситься обмежена на тлі апаратних рішень пропускна спроможність та в деяких випадках досить трудомістке налаштування.

Апаратний фаєрвол являє собою обладнання, що спроєктовано безпосередньо для обробки трафіку, та працює під керуванням спеціального програмного забезпечення. Така система захищає від мережевих атак підключену до нього фізичну або віртуальну ІТ-інфраструктуру.

Серед популярних міжмережевих екранів можна відзначити такі рішення як Cisco ASA, FortiGate, CheckPoint, SonicWALL та WatchGuard. Вони, як і притаманно апаратним брандмауерам, ефективніші за програмні рішення, вирізняються високою продуктивністю, надійністю, а також простотою підключення та використання. Головним недоліком апаратного фаєрволу є висока вартість, що робить недоцільним його використання для індивідуального захисту.

«Фаєрвол як сервіс»

Фаєрвол, який пропонується за сервісною моделлю, по суті є різновидом апаратного. Це обладнання під керуванням спеціалізованого ПЗ, що дозволяє створювати віртуальні домени – кожен з них обслуговуватиме певного клієнта та забезпечуватиме максимально можливу ізоляцію навантажень клієнтів один від одного. За аналогічним принципом працює віртуалізація, де ізоляцію віртуальних машин забезпечує гіпервізор.

Фактично з послугою «фаєрвол як сервіс» клієнт отримує потужне та ефективне апаратне рішення для захисту будь-якої IT-інфраструктури: хмарної, фізичної чи гібридної. Такий підхід дозволяє зробити дорогі апаратні фаєрволи більш доступними, оскільки передбачає використання потужного пристрою для захисту кількох клієнтських IT-інфраструктур. По суті це той самий принцип, що лежить в основі популярної соціальної економічної моделі шерінгу, коли завдяки поділу якісь цінні ресурси стають доступними для спільного одночасного використання.

«Фаєрвол як сервіс» – сучасний захист ІТ-інфраструктури

Як захищають від загроз міжмережеві екрани нового покоління

Наразі провайдери використовують для захисту від загроз міжмережеві екрани наступного покоління – NGFW (Next Generation FireWall). Такі пристрої відповідають за маршрутизацію трафіку та після поділу на віртуальні домени (інстанси) можуть обслуговувати декілька навантажень клієнта. Потрібна кількість віртуальних інстансів на один NGFW-пристрій визначається залежно від продуктивності обладнання та кількості мережевих портів. Відповідно клієнт замовляє стільки інстансів, скільки йому необхідно для ефективного захисту наявної IT-інфраструктури від небажаного трафіку.

Серед NGFW-пристроїв популярністю користуються, наприклад міжмережеві екрани Fortinet FortiGate. Тому саме на їх базі Colobridge побудувала свою платформу Firewall as a Service. Це апаратно-програмні комплекси з великою кількістю мережевих портів та підтримкою кластеризації. У кожному комплексі встановлено кілька мережевих процесорів для обробки мережного трафіку і ще кілька потужних спеціалізованих чипів для забезпечення функцій безпеки.

Що потрібно знати користувачам послуги FWaaS

«Фаєрвол як сервіс» дозволяє забезпечити захищений доступ до IT-інфраструктури клієнта та реалізувати різні сценарії доступу до його ресурсів. Це економічно обґрунтований інструмент для комплексного захисту від різних типів загроз: шкідливого ПЗ, цільових кібератак і розширених постійних загроз, включаючи новітні – завдяки регулярному оновленню відповідних баз NGFW-пристрою.

Ключові можливості FWaaS:

  • міжмережева фільтрація трафіку;
  • виявлення та запобігання атак;
  • контроль за використанням додатків;
  • фільтрація вебконтенту;
  • захищений віддалений доступ;
  • пріоритезація трафіку;
  • блокування джерел нелегітимного трафіку;
  • захист вебзастосунків.

Клієнти, які обирають FWaaS як додаткову послугу до хмарного або фізичного розміщення своєї IT-інфраструктури, отримують захист мережевого трафіку в режимі реального часу, гарантії відсутності єдиної точки відмови в системі безпеки та можуть прогнозувати свої витрати на відбиття мережних загроз. Фахівці Colobridge рекомендують використовувати «фаєрвол як сервіс» для захисту віртуальних машин у хмарі, приватних та гібридних хмар, виділених серверів – будь-якої реалізації корпоративної IT-інфраструктури, а також загалом для захисту бізнес-додатків.