В отличие от привычного многим программного фаервола, установленного на компьютере, «фаервол как сервис» используется для одновременной защиты нескольких клиентских IT-инфраструктур. Но не только в этом заключается его отличие от традиционных аппаратных и программных решений.
Традиционный фаервол (другие названия — брандмауэр или межсетевой экран) вроде Windows Defender защищает от угроз из локальной сети или интернета только то устройство, на котором он установлен. Такой фаервол обеспечивает базовую фильтрацию трафика, в случае опасности предупреждая пользователя о вероятных угрозах.
«Фаервол как сервис», он же Firewall as a Service, работает на стороне провайдера и представляет собой отказоустойчивый кластер аппаратных межсетевых экранов, ресурсы которых предоставляются по сервисной модели. FWaaS точно так же выполняет проверку безопасности и служит барьером между всеми компонентами IT-инфраструктуры клиента и подключенными к ней системами и сетями.
Как работает FWaaS
Фаерволы можно условно разделить на два типа.
Программный межсетевой экран представляет собой специальное ПО, которое устанавливается на физические или виртуальные устройства и используется для перехвата потенциальных угроз, отслеживания входящего и исходящего трафика. В качестве примеров можно привести брандмауэр Windows (Microsoft Defender) и iptables в Linux. Есть два варианта установки такого ПО: на компьютер или на сервер, который может выступать в роли программного маршрутизатора.
Главными преимуществами программных межсетевых экранов можно назвать более низкую стоимость по сравнению с аппаратными, способность защищать отдельные сегменты локальных сетей и сети изнутри, а также возможность развертывать фаерволы на уже работающих серверах и пользовательских компьютерах. Недостатки тоже есть: это ограниченная пропускная способность на фоне аппаратных решений и в некоторых случаях — достаточно сложная настройка.
Аппаратный межсетевой экран представляет собой оборудование под управлением специального ПО и состоящее из компонентов, спроектированных под выполнение основной задачи: обработки трафика. Каждый аппаратный фаервол защищает от сетевых атак только подключенную к нему физическую или виртуальную IT-инфраструктуру.
Среди популярных межсетевых экранов можно отметить такие решения как Cisco ASA, FortiGate, Checkpoint, SonicWALL и WatchGuard. Они, как и другие аппаратные фаерволы, эффективнее программных решений, привлекают высокой производительностью, надежностью, а также простотой подключения и использования. Единственный недостаток таких решений — высокая стоимость, что делает нецелесообразным их использование для индивидуальной защиты.
Любой фаервол в виде физического оборудования всегда идет в комплекте с системой управления, но при этом не перестает быть аппаратным решением. Таковым является и фаервол, который предлагается по сервисной модели. Фактически это оборудование, на котором можно создавать виртуальные домены — каждый из них будет обслуживать определенного клиента и обеспечивать максимальную изоляцию нагрузок клиентов друг от друга. По аналогичному принципу работает виртуализация, когда изоляцию виртуальных машин точно так же обеспечивает гипервизор.
Фактически с услугой «фаервол как сервис» вы получаете надежное и эффективное аппаратное решение для защиты любой IT-инфраструктуры: облачной, физической или гибридной. Дорогие аппаратные фаерволы становятся более доступными именно благодаря сервисной модели, когда одно высокопроизводительное устройство используется для защиты нескольких клиентских IT-инфраструктур. Этот же принцип лежит в основе популярной социальной экономической модели шеринга, когда после разделения какие-то ценные ресурсы становятся доступными для совместного одновременного использования.
Как защищают от угроз межсетевые экраны нового поколения
Сегодня для защиты от сетевых угроз провайдеры используют межсетевые экраны следующего поколения — NGFW (Next Generation FireWall). Это одиночные устройства, которые отвечают за маршрутизацию трафика и после разделения на виртуальные домены (инстансы) могут обслуживать несколько клиентских нагрузок. Точное количество виртуальных инстансов на одно NGFW-устройство выбирает провайдер в зависимости от его производительности и количества сетевых портов. А уже клиент заказывает столько инстансов, сколько смогут обеспечить эффективную защиту его IT-инфраструктуры от нежелательного трафика.
Среди NGFW-устройств популярны межсетевые экраны Fortinet FortiGate — именно на базе них построен Firewall as a Service на платформе Colobridge. Это аппаратно-программные комплексы со множеством сетевых портов и поддержкой кластеризации. В каждом таком комплексе установлено несколько сетевых процессоров для обработки сетевого трафика и еще несколько контент-процессоров для обработки функций безопасности. Устройства Fortinet FortiGate поставляются с собственной ОС FortiOS и фирменным ПО — в том числе антивирусом с регулярно обновляемыми базами.
Что необходимо знать пользователям услуги FWaaS
Выбирая «фаервол как сервис», вы обеспечиваете защищенный доступ к своей IT-инфраструктуре и можете реализовать различные сценарии доступа к ее ресурсам. Это реально рабочий и экономически обоснованный инструмент для комплексной защиты от самых разных типов угроз: вредоносного ПО, целевых кибератак и расширенных постоянных угроз, включая новейшие — благодаря регулярно обновляемым антивирусным базам на NGFW-устройстве.
Возможности FWaaS:
- межсетевая фильтрация трафика;
- обнаружение и предотвращение атак;
- контроль за использованием приложений;
- фильтрация веб-контента;
- защищенный удаленный доступ;
- приоритезация трафика;
- блокировки источников нелегитимного трафика;
- защита веб-приложений.
Клиенты, которые выбирают FWaaS в виде дополнительной услуге к облачному или физическому размещению своей IT-инфраструктуры, получают умную защиту сетевого трафика в режиме реального времени, гарантии отсутствия единой точки отказа в системе безопасности и могут прогнозировать свои затраты на отражение сетевых угроз.
Команда Colobridge рекомендует использовать «фаервол как сервис» для защиты виртуальных машин в облаке, частных и гибридных облаков, выделенных серверов — любой реализации корпоративной IT-инфраструктуры, а также в целом для защиты любых бизнес-приложений. Мы поможем выбрать вам оптимальное решение, которое устроит вас по четырем основным критериям: эффективности, производительности, безопасности и стоимости.
