Технoлoгии защиты инфoрмациoннoй инфраcтруктуры дoлжны oбеcпечивать дocтатoчнo выcoкую уcтoйчивocть к неcанкциoнируемым вoздейcтвиям, oднакo этo прoиcхoдит только в cлучае грамотного поcтроения cиcтемы защиты и ее адекватной экcплуатации. Кроме того, угрозы информационной безопаcноcти поcтоянно меняютcя, хотя, cтоит отдать должное, и cистемы защиты становятся все более сложными. При этом, правда, приходится использовать все большее число продуктов безопасности, аппаратных платформ, консолей управления и систем для ежедневного мониторинга. Устройства «все в одном», особенно если они управляемы и масштабируемы, решают проблемы безопасности предприятий без лишних затрат.
Новая архитектура компании Check Point Software Technologies предлагает бизнесу единую платформу, на которую можно установить независимые, модульные и взаимодействующие приложения безопасности, или «программные блейды» (Software Blades), такие как межсетевой экран, виртуальная частная сеть (VPN), система защиты от вторжений (IPS), антивирусное ПО, управление политиками безопасности.
Архитектура позволяет выбрать нужные программные блейды и затем объединить их в единый, централизованно управляемый шлюз безопасности. С ее помощью можно переносить функциональность с одной системы на другую, объединять или распределять функции между ними и обеспечивать требуемую пропускную способность для каждого блейда. Благодаря модульному подходу снижаются затраты предприятий, поскольку программные блейды можно развернуть динамично, без обновления оборудования, программно-аппаратных средств или драйверов. С помощью централизованного управления обеспечивается быстрое развертывание функций защиты и повышенная производительность системы, для достижения нужной производительности устанавливается уровень пропускной способности на каждом программном блейде.
Software Blades можно установить на специализированных устройствах Check Point UTM-1 или Power-1, а также на серверах стандартной архитектуры.
В этом году компания Check Point® Software Technologies объявила о выпуске новой линейки аппаратных устройств Check Point – VSX-1™, предназначенных для построения многоуровневой, многодоменной виртуализованной защиты. VSX-1 позволяют создавать на единой аппаратной платформе до 150 шлюзов безопасности, включающих межсетевой экран, IPsec и SSL VPN, защиту от вторжений, защиту протокола VoIP и URL-фильтрацию.
Линейка новых устройств Check Point VSX-1 представлена тремя моделями: VSX-1 3070 позволяет объединять до десяти виртуализованных шлюзов безопасности, при этом пропускная способность межсетевого экрана и VPN 4,5 и 1,1 ГБ/сек соответственно. VSX-1 9070 поддерживает до 150 шлюзов безопасности, пропускная способность межсетевого экрана и VPN 13,5 и 3,5 ГБ/сек. Третья модель, VSX-1 9090, также поддерживает до 150 межсетевых экранов, однако пропускная способность межсетевого экрана и VPN 27 и 7 ГБ/сек соответственно. Каждый виртуализованный шлюз безопасности в устройстве VSX-1 обеспечивает тот же уровень защиты, что и физические шлюзы безопасности Check Point, и полностью интегрирован с центральной консолью управления Check Point.
С помощью VSX (ПО или аппаратного устройства) администраторы могут создавать виртуализованные версии популярных физических топологий и дизайнов сети, например, центральных и демилитаризованных зон. VSX позволяет создавать и управлять 250 полностью независимыми системами безопасности на единой или кластерной аппаратной платформе. При этом повышается масштабируемость, значительно снижаются инвестиции в оборудование, необходимость в помещении и затраты на поддержку.
Так же, как обычные маршрутизаторы и коммутаторы, виртуализованные маршрутизаторы и коммутаторы можно использовать для перенаправления трафика в сетях, применяемых для виртуализованных систем. VSX обеспечивает гибкое сетевое соединение и способен поддерживать широкий спектр сценариев маршрутизации.
VSX подготовлен для работы с виртуализованными системами в режиме моста или маршрутизатора. Развертывание виртуализованных систем в режиме моста позволяет администраторам использовать уровень-2 (bridge) вместо IP-маршрутизации, а также добавлять к сети виртуализованные системы без необходимости правок в настройках сети и топологий.
При соединении виртуализованной системы с виртуализованным маршрутизатором или коммутатором администратор может распространить информацию по маршрутизации на подсоединенные виртуализованные устройства. Благодаря этому сетевые узлы, которые соответствуют виртуализованным системам, могут взаимодействовать без необходимости ручной настройки.
С устройством VSX проще выполнить соединение, при котором многие сетевые сегменты имеют один диапазон IP-адресов, например, когда шлюз VSX обеспечивает защиту нескольких независимых сетей, назначающих конечным точкам сети IP-адреса из одного пула. Таким образом, одинаковый IP-адрес могут иметь несколько конечных точек сети, при условии, что каждая из них принадлежит различным виртуализованным системам. Перекрывающийся пул IP-адресов в средах VSX возможен, поскольку каждая виртуализованная система обладает уникальной таблицей состояния и таблицей маршрутизации. Данные таблицы могут содержать идентичные записи, но внутри различных изолированных областей.
Маршрутизация на основе источника пакета позволяет администратору определять критерии маршрутизации, превалирующие над обычным способом маршрутизации (на основе доставки). Маршрутизация пакетов выполняется согласно IP-адресу источника пакета или одновременно по двум IP-адресам – источника и назначения пакета. Маршрутизация на основе источника пакета особенно полезна, когда единый физический интерфейс без тега VLAN соединяет несколько защищенных сетей заказчика. Каждая виртуализованная система соединена с внутренним виртуализованным маршрутизатором, который обеспечивает маршрутизацию трафика к виртуализованной системе на основе IP-адреса источника пакета. IP-адрес задан в таблицах маршрутизации.
Виртуальные устройства могут взаимодействовать и обмениваться маршрутами благодаря динамической маршрутизации. Для виртуализованных систем и маршрутизаторов VSX обеспечивает динамическую маршрутизацию третьего уровня с поддержкой следующих протоколов: OSPF, RIP-v1/2, BGP-v4, IGMP, PIM-SM, PIM-DM.
Для сетей высокой пропускной способности необходимы высокопроизводительные шлюзы, рассчитанные на поддержку тысяч приложений и пользователей. В VSX применяются технологии ускорения Check Point SecureXL™, что позволяет получать максимальную пропускную способность устройств и открытых серверов, даже во время DoS-атак. VPN-1 Power VSX может развертываться на ряде платформ операторского класса, что позволяет получать многогигабитные уровни пропускной способности по защищенному трафику, обеспечивая защиту на скорости протокола.
Контроль использования ресурсов VSX дает возможность администраторам управлять нагрузкой, обеспечивая оптимизацию потребления ресурсов процессора каждой из виртуализованных систем. Ненужные одной виртуализованой системе ресурсы автоматически становятся доступны другим виртульным системам. Кроме того, администраторы могут ограничить время нагрузки процессора для систем с низким приоритетом и увеличить его для критически-важных систем.
Обеспечение гарантированного уровня качества сервиса в сетевой среде VSX осуществляется благодаря поддержке протокола Differentiated Services (DiffServ) и заданию оптимальных характеристик передачи для различных уровней обслуживания. При сильной загрузке ресурсов сетевой инфраструктуры данная технология позволяет установить приоритеты, по которым обрабатывается трафик.
Применение технологии ClusterXL позволяет распределять нагрузку и обеспечивает высокую доступность для бесперебойной работы системы защиты. Трафик между кластерами резервных шлюзов распределяется таким образом, что при отказе одного из них другой немедленно принимает на себя все сетевые функции и функции защиты.
Благодаря применению технологий FireWall-1® и SmartDefense™, устройства VSX обеспечивают в сложных инфраструктурах комплексную защиту сетей или виртуализованных локальных сетей VLAN, устанавливая защищенные соединения c совместно используемыми ресурсами, такими как Интернет и демилитаризованные зоны. Шлюзы VSX основаны на запатентованной технологии Check Point Stateful Inspection, являющейся стандартом де-факто для интернет-безопасности. Без дополнительной настройки поддерживаются более 150 приложений, протоколов и служб. VSX обеспечивает защиту от угроз безопасности широкого спектра приложений, используемых бизнесом при входе в сеть.
Поддержка Voice over IP, поскольку многие компании используют приложения VoIP с целью снижения расходов на связь, VSX обеспечивает комплексную поддержку протокола VoIP для защиты бизнес-коммуникаций. В числе поддерживаемых протоколов VoIP: H.323, SIP, MGCP и Skinny (SCCP).
Системы моментальных сообщений и одноранговые сети являются частыми объектами атак со стороны вирусов, червей и шпионского ПО. VSX обеспечивает защиту данных приложений благодаря проверке контента и предотвращения вторжений при входе в корпоративную сеть.
Управление VSX осуществляется с помощью решений Check Point SmartCenter™ и Provider-1®. Это мощные средства централизованного конфигурирования, управления и мониторинга шлюзов VSX, виртуализованных систем и физических шлюзов VPN-1, основанные на архитектуре Check Point Security Management Architecture (SMART). Выбор одного или другого из них определяется требованиями конкретной сети. Кроме того, технология Check Point One-Click VPN позволяет легко включать в состав VPN-сообщества дополнительные виртуализованные системы. При этом используется автоматическое наследование необходимых свойств, так что новая система оказывается немедленно готова проводить защищенные сеансы с любыми другими членами сообщества VPN. Использование дополнительных инструментов, таких как мастера создания виртуализованных систем и шаблоны, дополнительно упрощает процесс развертывания и конфигурирования VSX.
Используя VSX с Provider-1, предприятие может сегментировать различные группы пользователей, классифицировать сеть по функциональным признакам или поделить ее на сегменты. Тем самым администраторы могут устанавливать отдельные политики безопасности для различных сегментов сети и делить крупные базы правил на несколько, чтобы упростить управление и усилить контроль системы сетевой безопасности.
VSX обеспечивает применение политик безопасности нажатием одной кнопки, что позволяет провайдерам услуг предлагать услуги безопасности по самой низкой цене. Новые возможности включают URL-фильтрацию, благодаря которой обеспечивается безопасность пользователей и ограничивается доступ вредоносного контента.