На відміну від звичного багатьом програмного фаєрволу, встановленого на комп’ютері, «фаєрвол як сервіс» використовується для одночасного захисту кількох клієнтських IT-інфраструктур. Але не тільки в цьому полягає його відмінність від традиційних апаратних та програмних рішень.
Традиційний фаєрвол (інші назви — брандмауер або міжмережевий екран) на кшталт Windows Defender захищає від загроз з локальної мережі або інтернету тільки той пристрій, на якому він встановлений. Такий фаєрвол забезпечує базову фільтрацію трафіку, у разі небезпеки попереджаючи користувача про ймовірні загрози.
«Фаєрвол як сервіс», він же Firewall as a Service, працює на стороні провайдера і є відмовостійким кластером апаратних міжмережевих екранів, ресурси яких надаються за сервісною моделлю. FWaaS так само виконує перевірку безпеки та служить бар’єром між усіма компонентами IT-інфраструктури клієнта та підключеними до неї системами та мережами.
Як працює FWaaS
Фаєрволи можна умовно поділити на два типи.
Програмний є спеціальним ПЗ, яке встановлюється на фізичні або віртуальні пристрої та використовується для перехоплення потенційних загроз, відстеження вхідного та вихідного трафіку. Як приклади можна навести брандмауер Windows (Microsoft Defender) та iptables в Linux. Є два варіанти встановлення такого ПЗ: на комп’ютер або сервер, який може виступати в ролі програмного маршрутизатора. Головними перевагами програмних міжмережевих екранів можна назвати нижчу вартість порівняно з апаратними, здатність захищати окремі сегменти локальних мереж і мережі зсередини, а також можливість розгортати фаєрволи на серверах, що вже працюють і користувацьких комп’ютерах. Недоліки теж є: це обмежена пропускна спроможність на тлі апаратних рішень і в деяких випадках досить складне налаштування.
Апаратний являє собою обладнання під керуванням спеціального програмного забезпечення та що складається з компонентів, спроєктованих під виконання основної задачі: обробки трафіку. Кожен апаратний фаєрвол захищає від мережевих атак лише підключену до нього фізичну або віртуальну ІТ-інфраструктуру.
Серед популярних міжмережевих екранів можна відзначити такі рішення як Cisco ASA, FortiGate, Checkpoint, SonicWALL і WatchGuard. Вони, як і інші апаратні фаєрволи, ефективніші за програмні рішення, приваблюють високою продуктивністю, надійністю, а також простотою підключення та використання. Єдиним недоліком таких рішень є висока вартість, що робить недоцільним їх використання для індивідуального захисту.
Будь-який фаєрвол у вигляді фізичного обладнання завжди йде в комплекті із системою керування, але при цьому не перестає бути апаратним рішенням. Таким є і фаєрвол, який пропонується за сервісною моделлю. Фактично це обладнання, на якому можна створювати віртуальні домени — кожен з них обслуговуватиме певного клієнта та забезпечуватиме максимальну ізоляцію навантажень клієнтів один від одного. За аналогічним принципом працює віртуалізація, коли ізоляцію віртуальних машин так само забезпечує гіпервізор.
Фактично з послугою «фаєрвол як сервіс» ви отримуєте надійне та ефективне апаратне рішення для захисту будь-якої IT-інфраструктури: хмарної, фізичної чи гібридної. Дорогі апаратні фаєрволи стають більш доступними саме завдяки сервісній моделі, коли один високопродуктивний пристрій використовується для захисту кількох клієнтських IT-інфраструктур. Цей принцип лежить в основі популярної соціальної економічної моделі шерінгу, коли після поділу якісь цінні ресурси стають доступними для спільного одночасного використання.
Як захищають від загроз міжмережні екрани нового покоління
Сьогодні для захисту від мережевих загроз провайдери використовують міжмережні екрани наступного покоління — NGFW (Next Generation FireWall). Це окремі пристрої, які відповідають за маршрутизацію трафіку та після поділу на віртуальні домени (інстанси) можуть обслуговувати декілька навантажень клієнта. Точну кількість віртуальних інстансів на один NGFW-пристрій вибирає провайдер залежно від його продуктивності та кількості мережевих портів. А вже клієнт замовляє стільки інстансів, скільки зможуть забезпечити ефективний захист його IT-інфраструктури від небажаного трафіку.
Серед NGFW-пристроїв користуються популярністю міжмережеві екрани Fortinet FortiGate — саме на базі них побудовано Firewall as a Service на платформі Colobridge. Це апаратно-програмні комплекси з безліччю мережевих портів та підтримкою кластеризації. У кожному комплексі встановлено кілька мережевих процесорів для обробки мережного трафіку і ще кілька контент-процесорів для обробки функцій безпеки. Пристрої Fortinet FortiGate поставляються з власною ОС FortiOS і фірмовим ПЗ — у тому числі антивірусом з базами, що регулярно оновлюються.
Що потрібно знати користувачам послуги FWaaS
Обираючи «фаєрвол як сервіс», ви забезпечуєте захищений доступ до своєї IT-інфраструктури та можете реалізувати різні сценарії доступу до її ресурсів. Це реально робочий і економічно обґрунтований інструмент для комплексного захисту від різних типів загроз: шкідливого ПЗ, цільових кібератак і розширених постійних загроз, включаючи новітні — завдяки антивірусним базам, що регулярно оновлюються на NGFW-пристрої.
Можливості FWaaS:
- міжмережева фільтрація трафіку;
- виявлення та запобігання атак;
- контроль за використанням додатків;
- фільтрація вебконтенту;
- захищений віддалений доступ;
- пріоритезація трафіку;
- блокування джерел нелегітимного трафіку;
- захист вебзастосунків.
Клієнти, які обирають FWaaS як додаткову послугу до хмарного або фізичного розміщення своєї IT-інфраструктури, отримують розумний захист мережевого трафіку в режимі реального часу, гарантії відсутності єдиної точки відмови в системі безпеки та можуть прогнозувати свої витрати на відбиття мережних загроз.Команда Colobridge рекомендує використовувати «фаєрвол як сервіс» для захисту віртуальних машин у хмарі, приватних та гібридних хмар, виділених серверів — будь-якої реалізації корпоративної IT-інфраструктури, а також загалом для захисту будь-яких бізнес-додатків. Ми допоможемо обрати вам оптимальне рішення, яке влаштує за чотирма основними критеріями: ефективністю, продуктивністю, безпекою та вартістю.