Мы подготовили список шлюзов сетевой безопасности (Secure Web Gateway, SWG) иностранного производства, вендоры которых решили приостановить деятельность на территории России. Приведём перечень рекомендуемых шлюзов SWG на замену, а также других коммерческих и опенсорсных решений этого класса, позволяющий подобрать оптимальный вариант для внедрения.
Введение
Шлюзы сетевой безопасности (Secure Web Gateway, SWG) представляют собой программно-аппаратные комплексы, которые обеспечивают защищённый доступ к интернету и возможность безопасного использования веб-приложений. Они помогают защищаться от вредоносных действий со стороны инсайдеров, а также нейтрализуют эксплуатацию уязвимостей на стороне внутренней сети предприятия.
Шлюзы SWG развёртываются на границе, разделяющей внешнюю и внутреннюю сети компании. Такой вариант позволяет защитить все ресурсы предприятия ото внешнего вредоносного влияния. Даже если на пользовательских компьютерах во внутренней сети нет антивируса, установленный шлюз помогает заблокировать соединение со вредоносным ресурсом при попытке передать код вируса.
Благодаря шлюзам SWG обеспечивается защита от вредоносного кода, размещаемого внутри веб-трафика. Шлюзы осуществляют фильтрацию сайтов с учётом их категорий и репутации, выполняют проверку приложений, помогают блокировать ботнет-трафик и обнаруживать утечки данных.
Среди других функций решений класса SWG необходимо упомянуть возможность обнаружения вредоносных приложений «нулевого дня». Шлюзы SWG помогают устанавливать запрет на использование потенциально опасных приложений, выполнять проверку SSL-трафика, решать задачи идентификации пользователей в системах AD, LDAP или RADIUS. Доступны также функции контроля пропускной способности по спискам пользователей или ресурсов, различные механизмы анализа происшествий и подготовки детализированных отчётов.
Выбор оптимальных SWG-решений
До сих пор на российском рынке были представлены защищённые веб-шлюзы как российского производства, так и иностранного. Доля последних была очень значительной. После того как многие иностранные вендоры объявили о прекращении деятельности на территории России, вопрос о переходе на продукты отечественных производителей стал острым. Шлюзы защищают различное оборудование, в том числе IP-телефонию, поэтому к выбору такого продукта надо подходить с большим вниманием.
В первом приближении можно воспользоваться каталогом «Российское ПО для импортозамещения», который был подготовлен в 2021 году Ассоциацией российских разработчиков программных продуктов (АРПП) «Отечественный софт». Это — отраслевой бесплатный ресурс, который подходит для поиска российских аналогов зарубежных решений. При его подготовке были протестированы 13 286 отечественных программных продуктов от 4 416 отечественных производителей. Было отмечено, что Ассоциация гарантирует в настоящее время совместимость 988 пакетов, размещённых в каталоге, с российской операционной средой.
Там же имеется каталог совместимости российского ПО, где представлены уже реализованные промышленные решения. В то же время необходимо учесть, что в АРПП предлагают в настоящее время продукты для всего рынка, тогда как пользователям обычно требуются специализированные разработки, которые будут максимально соответствовать их конфигурации.
Описанные выше возможности пересекаются с функциональностью другого класса решений для обеспечения сетевой безопасности — межсетевых экранов нового поколения (NGFW). Поэтому если в компании уже установлен и настроен файрвол, то, возможно, достаточно будет подобрать подходящий прокси-сервер, а не защищённый веб-шлюз.
Варианты импортозамещения SWG
На российском рынке представлен целый ряд отечественных и опенсорсных решений класса SWG. Из разных источников собрана также информациях о наиболее популярных, рекомендуемых решениях, которые предлагается использовать российским компаниям при реализации программы импортозамещения. Эти данные сведены в двух таблицах ниже.
Выбор решения индивидуален для каждой компании. Он может зависеть от наличия сертификатов ФСТЭК России, присутствия в реестре отечественного программного обеспечения, а также от особенностей сетевой конфигурации компании-заказчика.
SWG доступны в различных вариантах поставки — как уже готовые программно-аппаратные комплексы или как различные виды программных решений, — позволяющих донастроить их с учётом конфигурации.
Рекомендации АРПП по импортозамещению (раздел «Защищённый сетевой шлюз») можно изучить в её каталоге.
Заметим также, что проблеме защиты веб-приложений в условиях санкционного давления был посвящён недавний выпуск AM Live, обзор которого можно прочитать здесь.
Таблица 1. Список SWG-шлюзов зарубежных разработчиков, подлежащих импортозамещению
|
SWG зарубежных производителей |
Отечественные аналоги |
Варианты поставки отечественных SWG |
Государственная сертификация и сертификация AM Test Lab |
Особенности отечественных решений SWG |
|
Audiocodes Mediant Avaya Aura Platform SBC Check Point Next Generation Secure Web Gateway Cisco Firepower Cisco Web Security Appliance, Umbrella Dialogic ESET Gateway Security Forcepoint Web Security Fortinet FortiGate SWG Juniper SRX Kerio Control McAfee Web Gateway Microsoft Forefront Threat Management Gateway Oracle AcmePacket Platform Quantum Security Gateway (Check Point Software) Sangoma SBC Sophos Web Gateway Symantec Protection Suite Enterprise Edition Symantec ProxySG Trend Micro InterScan Web Security Zyxel ZyWALL ATP |
Kaspersky Security для интернет-шлюзов Примечание: отдельно и в составе продуктов Kaspersky Security для бизнеса Total и Total Plus, Kaspersky Symphony XDR Вендор: «Лаборатория Касперского» |
Программный продукт |
Включён в реестр отечественного программного обеспечения (№ 202), приказ Минкомсвязи России № 112 от 18.03.2016 Сертификат ФСТЭК России № 3883 (по требованиям доверия, требованиям к САВЗ (ИТ.САВЗ.Б4.ПЗ, ИТ.САВЗ.В4.ПЗ) |
|
|
Вендор: UserGate |
Программно-аппаратный комплекс |
Включён в реестр отечественного программного обеспечения (№ 1194), приказ Минкомсвязи России № 426 от 06.09.2016 Сертификат ФСТЭК России № 3905 (по требованиям к профилям защиты межсетевых экранов типа А, Б и Д 4-го класса защиты, системам обнаружения вторжений 4-го класса защиты и по 4-му уровню доверия) Сертификат AM Test Lab № 231 от 21.09.2018, срок действия — до 21.09.2023 |
|
|
|
Вендор: «Ростелеком-Солар» |
Программный или программно-аппаратный комплекс |
Включён в реестр отечественного программного обеспечения (№ 5984), приказ Минцифры России № 742 от 19.11.2019 Сертификат AM Test Lab № 380 от 14.04.2022, срок действия — до 14.04.2027 |
|
|
|
Вендор: «Айдеко» |
Программно-аппаратные платформы |
Включён в реестр отечественного программного обеспечения (№ 329), приказ Минкомсвязи России № 151 от 08.04.2016 Сертификат ФСТЭК России № 4503 (по требованиям к межсетевым экранам типа А, Б 4-го класса и системам обнаружения вторжений) Сертификат AM Test Lab № 384 от 28.04.2022, срок действия — до 28.04.2027 |
|
|
|
Вендор: Zecurion |
Программный комплекс |
Включён в реестр отечественного программного обеспечения (№ 4616), приказ Минцифры России № 347 от 05.07.2018 |
|
Таблица 2. Список SWG, доступных для российских заказчиков
|
Название продукта |
Описание |
|
3proxy |
Бесплатный кроссплатформенный прокси-сервер. Open Source: лицензия BSD |
|
Huawei USG |
Huawei USG — полнофункциональный и недорогой шлюз безопасности нового поколения. Вендор: Huawei (Китай) |
|
Ideco UTM |
Межсетевой экран, который позволяет предотвращать вторжения. Обеспечивает контроль приложений, многоуровневую антивирусную защиту и антиспам-проверку трафика. Имеет функцию VPN, в том числе с поддержкой удалённого доступа по VPN (Client-to-Site). Российский вендор: компания «Айдеко» |
|
Kaspersky IoT Secure Gateway |
Программный шлюз на базе собственной операционной системы «Лаборатории Касперского» — KasperskyOS. Российский вендор: «Лаборатория Касперского» |
|
Kaspersky Total Security для бизнеса |
Выступает в качестве решения для комплексной защиты инфраструктуры компании, способно обеспечить безопасностью каждый отдельный аспект корпоративной сети. Российский вендор: «Лаборатория Касперского» |
|
Kaspersky Web Traffic Security |
Программное решение, предназначенное для защиты корпоративной сети малого или среднего бизнеса от киберугроз, а также для контроля действий сотрудников в инфраструктуре компании. Российский вендор: «Лаборатория Касперского» |
|
Smart-Soft Traffic Inspector |
Сертифицированное комплексное решение по информационной безопасности. Российский вендор: «Смарт-Софт» |
|
SmartSoft Traffic Inspector Next Generation |
Российское UTM-решение, основанное на исходном коде проекта OPNsense. Разработчики компании «Смарт-Софт» сохранили все возможности решения и добавили больше десятка новых функций. Программно-аппаратный комплекс на основе ОС FreeBSD проходит сертификацию ФСТЭК России по профилю защиты МЭ типа «А» 4-го класса. Разворачивается в качестве шлюза на границе физической сети и управляется через веб-интерфейс по защищённому HTTPS-соединению. Российский вендор: «Смарт-Софт» |
|
Solar webProxy |
Шлюз веб-безопасности (SWG) для контроля доступа сотрудников и приложений к веб-ресурсам и защиты веб-трафика от вредоносных программ и рекламы. Российский вендор: «Ростелеком-Солар» |
|
Squid |
Программный пакет, реализующий функцию кеширующего прокси-сервера для протоколов HTTP, FTP, Gopher и HTTPS. Open Source: лицензия GNU GPL 2+ |
|
SurfSecure |
Отечественный шлюз информационной безопасности, позволяющий решать задачи по URL-фильтрации, управлению интернет-трафиком, контролю приложений, защите от вредоносных объектов. Российский вендор: «ПАЙНАП» |
|
UserGate |
UserGate обеспечивает комплексную безопасность корпоративных сетей любого размера от различных интернет-угроз. Российский вендор: UserGate |
|
Zecurion SWG |
Обеспечивает обнаружение вторжений (СОВ), контроль доступа к веб-приложениям, безопасность облачных сервисов, передачу данных в DLP и внешние системы, идентификацию пользователей, подготовку отчётности по сетевой активности сотрудников, выполнение НПА и отраслевых стандартов. Российский вендор: Zecurion |
|
ПАК «Синоним» |
Система «Синоним» разрабатывается компанией «АйТи БАСТИОН» и представляет собой отечественный шлюз, обладающий функциями по обеспечению информационной безопасности. Российский вендор: «АйТи БАСТИОН» |
Выводы
Представлен список шлюзов SWG иностранного производства и аналогичных по функциональности российских продуктов, которые можно использовать для замены. Представлен также перечень других отечественных и опенсорсных решений класса SWG.
Следует добавить, что развитие концепции SWG продолжается. Год назад Gartner выпустила новый отчёт, где продукты этого класса были объединены с NGFW под общим названием Security Service Edge. Главными свойствами для их оценки были названы прозрачность установки и применения, детальный контроль в режиме реального времени, расширенный набор средств защиты от угроз и контроль данных. Эти инструменты должны помочь корпоративным клиентам безопасно работать с интернетом и облаком.
