Задать вопрос

    Поставщик решений в области сетевой безопасности и корпоративной связи

Безопасный, экономичный, унифицированный доступ для распределенных компаний

Безопасный, экономичный, унифицированный доступ для распределенных компаний

Аннотация

Недавняя революция в сфере мобильного доступа принципиально изменила понимание целей корпоративной безопасности. Повсеместное распространение интеллектуальных мобильных устройств и развитие технологии беспроводной связи по локальной сети 802.11xx привело к расширению корпоративных беспроводных сетей, при создании которых часто используются оверлейные сети. Политика защиты доступа к таким сетям отличается от той, которая применяется для существующей проводной инфраструктуры. Все это не только усложняет управление, но и снижает общий уровень защищенности сети вследствие появления новых уязвимостей.

В то же время киберпреступники создают все более сложные способы использования этих уязвимостей, о чем свидетельствуют многочисленные случаи хищения данных, в частности в сфере розничной торговли.

В результате этих изменений традиционные централизованные системы защиты перестали обеспечивать надлежащий уровень безопасности. Кроме того, внедрение таких систем в сотни или даже тысячи удаленных рабочих мест не только затратно, но и значительно усложняет процесс управления.

Наша компания отреагировала на сложившуюся ситуацию разработкой Fortinet Connect and Secure — высокоинтегрированного средства обеспечения единого доступа с централизованным управлением, комплексная многоуровневая структура которого автоматически расширяется при добавлении нового сетевого подключения, как проводного, так и беспроводного. Решение Fortinet Connect and Secure включает в себя Fortinet Secure Access Architecture, что позволяет обеспечить безопасность унифицированного доступа к беспроводным корпоративным сетям на современном уровне, соответствующем самым жестким требованиям.

Сложная задача

  • Для эффективного ведения бизнеса компаниям необходим «прозрачный» доступ к важным приложениям и данным из любой точки мира и с любого устройства. К сожалению, сетевые администраторы не могут полностью контролировать такие подключения.
  • Компании обязаны выполнять условия соглашений с клиентами, бизнес-партнерами и акционерами, а также требования нормативных актов, предусматривающие необходимость защиты деловых данных и приложений от несанкционированного доступа.
  • Количество угроз безопасности стремительно растет; они становятся все более непредсказуемыми и изощренными.
  • Компании не имеют возможности увеличивать бюджеты долгосрочных и текущих расходов в соответствии с растущим уровнем опасности. 


Для крупных сетевых организаций, ориентированных на клиентов, например, в сферах розничной торговли и гостинично- ресторанного бизнеса, также актуальны проблемы, связанные с доступом гостей к сетевым сервисам и Интернету. 


Подобные тенденции настолько снизили уровень сетевой безопасности, что каждый удаленный филиал распределенной организации рассматривается как потенциальная цель для атак злоумышленников. 


Злоумышленники по-прежнему предпочитают атаковать централизованные ресурсы, такие как клиентские базы данных (чаще всего для этого используются распространенные техники, например внедрение кода SQL), однако анализ недавних крупных вторжений показал, что нередко в качестве начальной точки входа использовались уязвимости удаленных или беспроводных клиентских устройств. В сфере розничной торговли в число таких устройств могут входить даже подключенные к сети торговые терминалы (Point of Sale, POS), на многих из которых установлены операционные системы Microsoft Windows. Злоумышленники создают все новые и новые вредоносные программы, предназначенные для взлома терминалов и хищения данных кредитных карт клиентов. 


Один из вариантов борьбы с угрозами повышенной опасности предусматривает дублирование уровней защиты централизованной системы на каждом удаленном пункте. Этот подход имеет свои минусы: его реализация требует не только чрезмерных затрат на приобретение лицензированного аппаратного и программного обеспечения, но и высокого уровня квалификации специалистов на местах, ответственных за настройку и обслуживание подобных решений, сопоставимого с требованиями к квалификации сотрудников главного офиса. 


Намного проще и эффективнее встроить систему безопасности в саму сетевую инфраструктуру, что обеспечит автоматическую защиту подключаемых к сети новых проводных и беспроводных точек доступа. 


Пять ключевых факторов 

Безопасность 

  • 
Эффективность защиты корпоративных данных и приложений основана на комплексе последовательных мер обеспечения безопасности.
  • На первом этапе выполняется идентификация и проверка подлинности пользователей (предпочтительно при помощи системы двухфакторной проверки подлинности, требующей ввода пароля и токена), а также проверка прав доступа к запрошенным данным, приложениям или URL-адресам.
  • В ходе сеанса поведение пользователя сверяется с известными техниками предотвращения вторжения в систему, все отклонения отмечаются и при необходимости регистрируются для дальнейшего анализа.
  • В арсенале киберпреступников огромное количество вредоносных приемов, к которым относятся атаки «нулевого дня», техники социальной инженерии, разнообразные вирусы и множество других способов, поэтому полностью исключить проникновение опасных программ в систему и ее заражение невозможно. В этом случае важнее всего свести до минимума время обнаружения угроз, а затем быстро и эффективно устранить их.
  • И наконец, сетевой администратор должен располагать сведениями о природе и потенциальной вредоносности всех обнаруженных угроз, а зараженные системы следует поместить на карантин и очистить.

В большинстве крупных организаций эти меры безопасности применяются централизованными системами защиты, однако,
как было сказано выше, с распространением беспроводных сетей эти системы перестали обеспечивать надлежащий уровень защиты. До тех пор, пока ко всем новым точкам доступа к проводным и беспроводным сетям не будет применена единая политика безопасности, риск того, что злоумышленники воспользуются незащищенной лазейкой, останется непозволительно высоким.

Возможности подключения

Основной задачей решений для защиты сети является поддержка гибких проводных и беспроводных подключений, которые можно масштабировать в случае появления новых сотрудников и оборудования или при их перемещении между объектами.

Вся система доступа к сети, за исключением проверки подлинности, должна быть открытой для пользователя. Время отклика при выполнении любой задачи — от обращения к клиентской базе данных до голосового вызова по IP — должно быть одинаковым при использовании как WiFi, так и Ethernet-подключения. В настоящее время, когда скорость WiFi-соединения достигла 1,3 Гбит/с, это не только возможно, но и реализуется некоторыми организациями, отказавшимися при создании своих новых сетей от проводных соединений в пользу более экономичного решения.

Большинство крупных организаций в той или иной степени придерживаются политики BYOD (концепция использования сотрудниками собственных устройств), поэтому расширение зоны покрытия высокоскоростных беспроводных сетей стало обязательным требованием к инфраструктуре для многих организаций.

Производительность

Несмотря на распространенность и относительно невысокую стоимость на использование устройств доступа в высокоскоростных проводных и беспроводных сетях, внедрение систем обеспечения безопасности может быть сопряжено с трудностями. Это вызвано тем, что необходимый для поддержки надлежащего уровня защиты анализ трафика связан с большой загрузкой процессора.

Поэтому большое значение имеет не только соответствие средства обеспечения безопасности и единого доступа современным требованиям к пропускной способности и задержке, но и наличие масштабируемой архитектуры, способной подстроиться под возникающие запросы.

Стоимость

Безопасность всегда представляет собой компромисс между рисками и затратами. В случае отсутствия каких-либо вложений в обеспечение безопасности утечка данных практически неизбежна. При наличии большого количества препятствий
между пользователями и необходимыми им для работы данными и приложениями издержки как финансирования, так и производительности становятся чрезмерно высокими.

Установить реальную стоимость средства обеспечения безопасности непросто. Следует учесть не только капитальные и эксплуатационные затраты, но и потенциальные издержки, которые компания может понести в случае нарушения безопасности.
В силу постоянного появления все более продвинутых угроз определенные нарушения безопасности неизбежны, однако последствия каждой конкретной атаки для компании могут на порядок отличаться в зависимости от предпринятых мер. Чем больше времени занимает обнаружение, помещение на карантин и устранение проблемы, тем сильнее падает производительность и тем дороже обходится ликвидация последствий.

Управляемость

Обеспечение безопасности — сложная задача. Помимо базовых требований к управлению сетью — централизованной конфигурации и мониторинга — появляются и другие потребности. Например, может возникнуть необходимость в интеграции системы с серверами проверки подлинности стороннего производителя, работающими на основе протоколов Radius или ActiveX. Кроме того, в случае нарушения безопасности сетевой администратор должен располагать не только данными об этом нарушении, но и средствами решения проблемы. Эффективность работы системы в дальнейшем поддерживается на должном уровне благодаря данным о нарушениях безопасности, не только полученным самой системой, но и поступающим от тысяч аналогичных систем.

Решение

Fortinet Connect and Secure — это пакет продуктов, которые при комплексном применении обеспечивают безопасность унифицированного доступа и защиту от вышеперечисленных опасностей на нужном уровне. Эта защита автоматически распространяется на каждое новое сетевое подключение.

Ключевые преимущества

Безопасность

Для каждого нового проводного и беспроводного подключения применяются комплексные
меры обеспечения безопасности, основанные
на компонентах сетевой инфраструктуры и объединенные в систему с помощью портфеля централизованного управления FortiGate.

Пакет Fortinet Connect and Secure при поддержке сервисов автоматического круглосуточного реагирования на угрозы FortiGuard становится частью масштабной самообучающейся корпоративной сети обеспечения безопасности, которая включает в себя тысячи клиентов компании Fortinet по всему миру и реагирует на новые угрозы в максимально сжатые сроки.

Компоненты сетевой инфраструктуры централизованного управления FortiGate

Возможности подключения

Решение Fortinet Connect and Secure предлагает множество экономичных проводных и беспроводных вариантов подключения, позволяющих удовлетворить любые требования к сетевой инфраструктуре.

Варианты подключения Fortinet Connect and Secure

Производительность

В нашем решении используются специализированные интегральные микросхемы (ASIC), что обеспечивает аппаратное ускорение ключевых функций сетевой обработки и оптимальную пропускную способность даже при работе всех используемых средств безопасности.

Аппаратное ускорение ключевых функций

Стоимость

Благодаря тесной интеграции интерфейсов подключения и средств защиты решению Fortinet Connect and Secure требуется меньшее количество устройств, чем решениям конкурентов. По этой причине отпадает необходимость в дополнительных затратах на лицензирование беспроводного доступа, и клиент может приобрести лицензию только на необходимый ему функционал.

Оптимизация затрат при внедрении Fortinet Connect and Secure

Управляемость

Несмотря на то, что функции обеспечения безопасности решения Fortinet Connect and 
Secure могут быть в полной мере применены
к новым сетевым подключениям (проводным
и беспроводным), в первую очередь это решение рассчитано на централизованное управление.
При его использовании маловероятно возникновение ситуации, когда может потребоваться отправка квалифицированного персонала в удаленные расположения.

Централизованное управление решения Fortinet Connect and 
Secure

Сводная информация

Fortinet Connect and Secure представляет собой экономичное масштабируемое решение, обеспечивающее безопасный унифицированный доступ для распределенных компаний.
Это решение поддерживает внедрение децентрализованной инфраструктуры безопасности корпоративной сети и всех входящих в нее проводных и беспроводных подключений. Передовые средства обеспечения сетевой безопасности FortiGate и FortiWiFi надежно защищают подключения Ethernet
и WiFi. Оба эти средства поддерживают встроенные порты Ethernet и предусматривают необходимость создания новых подключений: высокоскоростные коммутаторы линейки FortiSwitch созданы специально для подключений Ethernet.
Для небольших компаний подойдет средство обеспечения безопасности беспроводных подключений FortiWiFi, а для более крупных расположений разработаны безопасные точки доступа FortiAP. Благодаря встроенным контроллерам системы FortiGate решения FortiSwitch и FortiAP легко интегрируются в систему FortiGate, не оставляя никаких брешей и уязвимостей, которыми могли бы воспользоваться злоумышленники.

Обеспечивающие безопасность компоненты инфраструктуры отличаются высокой гибкостью и масштабируемостью за счет комплексной работы операционной системы FortiOS, решений для проверки подлинности FortiAuthenticator и FortiToken, а также самообучающейся системы автоматического круглосуточного реагирования на угрозы FortiGuard.

Решение FortiGate объединяет инфраструктуру в единую систему, управление которой осуществляется с помощью средств FortiManager и FortiAnalyzer, которые сочетают централизованную настройку с регистрацией событий, их анализом и составлением отчетов, обеспечивая бесперебойную работу центра мониторинга и управления сетями.