Más contenido relacionado La actualidad más candente (20) Similar a MSSP - услуги безопасности. Есть ли место VPN услугам? (20) Más de LETA IT-company (20) MSSP - услуги безопасности. Есть ли место VPN услугам?1. Secure Information Flow
MSSP - услуги безопасности
Есть ли место VPN услугам?
Mikhail Romanov
CISSP,CISM,CISA, CSGA,CIPSE
Директор по развитию бизнеса, Russia, CIS
October 12, 2011
Slide 1 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
2. Более половины бюджетов тратится на сетевую
безопасность и защиту конечных станций
Slide 2 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
3. Ландшафт рынка
• Обычно провайдеры MSSPs предлагают набор
услуг
authentication Firewall IPS/IDS VPN Encrypted Email DDoS
Identity manag Log Analysis Vulnerability Analysis Antivirus Web sec
• Разные услуги предоставляются по разному ….
• в ряде услуг присутствует криптографическая
компонента
• Для предоставления услуг где используется
криптография необходима лицензия ФСБ !
Slide 3 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
4. Модели MSSP (1/2)
облачная модель
Достоинства
• Более высокий контроль над
устройствами безопасности
• Эффективность , соотношение
цена - качество
• Гибкость
• Меньше ответственности со
стороны клиента
недостатки
• Черный ящик для клиента
• Отсутствие доверия к сервисам
• Для распределенных клиентов
MSSP должен работать как
провайдер услуг связи по всей
территории страны или даже
интернационально
Slide 4 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
5. Модели MSSP (2/2)
Управление оборудованием на площадке клиента
Benefits
• Не занимает места на
территории или в здании где
работает MSSP
• Гораздо более низкие
инвестиции у провайдера
• Все более прозрачно для
клиента
• Клиент более просто
контролирует устройства
безопасности и др.
Недостатки
• Больше стоимость
• Сложнее контролировать
устройства
• Невысокая возможность
расширения
Slide 5 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
6. MSSP - услуги можно условно поделить на
категории .
Собственно сервисы безопасности не требующие
криптографической защиты :
Защита от DDoS, Antispam, Antivirus , Security Scan …..
Сервисы безопасности по шифрованию :
VPN между филиалами, шифрование данных,
PUSH почта - (канал как правило шифрован) и др.
Сервисы где предоставляется услуга по
шифрованию:
аутентификация клиентов;
обеспечение безопасного доступа ( SSL, IPSec…..)
защита собственно предоставляемого сервиса
Управление ключами
По сути к любым облачным сервисам доступ
предоставляется с шифрованием ..……
Slide 6 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
7. А нужны ли лицензии на предоставление
услуги ?
• ФЕДЕРАЛЬНЫЙ ЗАКОН О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ
ВИДОВ ДЕЯТЕЛЬНОСТИ № 99-ФЗ (в ред. Федерального закона от
18.07.2011 N 242-ФЗ)
• 1. В соответствии с настоящим Федеральным законом
лицензированию подлежат следующие виды деятельности:
• 1) разработка, производство, распространение шифровальных (криптографических)
средств, информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств, выполнение работ,
оказание услуг в области шифрования информации, техническое обслуживание
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств (за исключением случая, если техническое
обслуживание шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, осуществляется для обеспечения собственных нужд
юридического лица или индивидуального предпринимателя);
• -------
• 4) разработка и производство средств защиты конфиденциальной информации;
• 5) деятельность по технической защите конфиденциальной информации;
Slide 7 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
8. Отдельные виды информации защищаются в
соответствии с требованиями законов
ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ
И О ЗАЩИТЕ ИНФОРМАЦИИ N 149-ФЗ
• Статья 5. Информация как объект правовых отношений
• Информация в зависимости от категории доступа к ней
подразделяется на общедоступную информацию, а также на
информацию, доступ к которой ограничен федеральными
законами (информация ограниченного доступа).
• Информация в зависимости от порядка ее предоставления или
распространения подразделяется на:
• 1) информацию, свободно распространяемую;
• ……….
• 4) информацию, распространение которой в Российской
Федерации ограничивается или запрещается.
• 4. Законодательством Российской Федерации могут быть
установлены виды информации в зависимости от ее содержания
или обладателя.
Slide 8 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
9. Отдельные виды информации защищаются в
соответствии с требованиями законов
ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ
И О ЗАЩИТЕ ИНФОРМАЦИИ N 149-ФЗ
• Статья 9. Ограничение доступа к информации
• 1. Ограничение доступа к информации устанавливается федеральными
законами в целях защиты основ конституционного строя, нравственности,
здоровья, прав и законных интересов других лиц, обеспечения обороны
страны и безопасности государства.
• 2. Обязательным является соблюдение конфиденциальности информации,
доступ к которой ограничен федеральными законами.
• 4. Федеральными законами устанавливаются условия отнесения информации
к сведениям, составляющим коммерческую тайну, служебную тайну и иную
тайну, обязательность соблюдения конфиденциальности такой информации,
а также ответственность за ее разглашение.
• 5. Информация, полученная гражданами (физическими лицами) при
исполнении ими профессиональных обязанностей или организациями при
осуществлении ими определенных видов деятельности (профессиональная
тайна), подлежит защите в случаях, если на эти лица федеральными
законами возложены обязанности по соблюдению конфиденциальности такой
информации.
Slide 9 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
10. Например
Коммерческая тайна Федеральный закон от 29.07.2004 N 98-ФЗ
"О коммерческой тайне"
Статья 1465 Гражданского кодекса РФ
(часть четвертая)
Конфиденциальность Статья 7 Федерального закона от
персональных данных (фамилия, 27.07.2006 N 152-ФЗ "О персональных
имя, отчество, год, месяц, данных"
дата и место рождения, адрес, Статья 12 Федерального закона от
семейное, социальное, 15.11.1997 N 143-ФЗ
имущественное положение,
образование, профессия,
доходы, другая информация)
Налоговая тайна Статьи 102 и 313 Налогового кодекса РФ
Slide 10 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
11. Список на самом деле можно продолжать
Банковская тайна Статья 857 Гражданского кодекса РФ (часть
вторая)
Статья 26 Федерального закона от
02.12.1990 N 395-1 "О банках и банковской
деятельности"
Врачебная тайна Статья 61 Основ законодательства
Российской Федерации об охране здоровья
граждан от 22.07.1993 N 5487-1
Статья 15 Семейного кодекса РФ
Статья 14 Закона РФ от 22.12.1992 N 4180-1
Статья 9 Закона РФ от 02.07.1992 N 3185-1
Тайна следствия Статья 161 Уголовно-процессуального
кодекса РФ
Статья 20 Федерального закона от
10.06.2008 N 76-ФЗ
Тайна судопроизводства Статья 194 Гражданского процессуального
кодекса РФ
Статья 20 Арбитражного процессуального
кодекса РФ
Статьи 298 и 341 Уголовно-процессуального
кодекса РФ
Slide 11 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
12. Сертифицированные средства или нет ?
•в законах есть прямые указания на сертификацию в основном
для гостайны, служебной информации, критических систем и
теперь персональных данных …
• Косвенно – другие виды в соответствии с законами …
• Однако оператор предоставляет услуги на основе лицензии,
где лицензиату могут быть предъявлены требования, при
рассмотрении претензий сертифицированность средств
является аргументом …
• В соответствии с постановлением 58 проводится оценка
соответствия …. Процедура оценки не оговорена…
• в законе РФ «О сертификации продукции и услуг» дается
следующее определение:
• «Сертификация продукции - это деятельность по
подтверждению соответствия продукции установленным
требованиям».
Slide 12 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
13. «Страшная правда» - услуги
безопасности и VPN
• Предоставление VPN реально делать только с установкой
оборудования на площадке клиента – проблемы с
управляемостью …
• Если предоставляется услуга с использованием
шифрсредств – лицензия, сертификат или спец
разрешение! Сертификат конечно избавляет от проблем…
• Даже если предоставляется услуга в облаке ( например
оборудование или бизнес система) – услуга по
шифрованию предоставляется ( опять либо
сертифицированные средства либо спец разрешение….)
• Как правило это удаленное управление а это доп
проблемы – канал управления также должен защищаться
сертифицированным образом …..
Slide 13 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
14. Проблемы безопасности с использованием
криптосредств в организациях
•Управление шифровальными
средствами – проблемы компетенции:
• Плановая смена ключей (многие думают что все
автоматически …. и при этом очень безопасно)
• Компрометации - как обеспечить безопасность ?
• Выдача новых ключей и выведение из эксплуатации
• Каналы управления ключами и конфигурациями
должны быть зашифрованы по ГОСТ !
Eсли предоставление услуги – лицензия
ФСБ и возможны проверки и
ответственность …
Slide 14 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
15. Так есть ли место услугам VPN ?
Даже если мы не хотим этого – такая
услуга в любом случае
предоставляется …..
Slide 15 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
16. Проблемы
• Предоставление услуг сертифицированными
средствами :
• Нет средств которые были бы подготовлены к
предоставлению услуг …
• Нет средств которые обеспечивают простой
удаленный доступ …. (есть библиотеки или VPN
клиенты …)
• Управляемость текущих сертифицированных
средств оставляет желать лучшего ….
• Виртуализация ?
Slide 16 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
17. Проблемы оператора MSSP
• Компетенция – если услугу трудно предоставлять – она будет наказанием
• Скорость предоставления услуги и изменения – нужно много ресурсов
• Подготовленность оборудования к предоставлению услуг - даже
великолепное решение которое используется на периметре, при
предоставлении услуг становится непригодным.
• Необходимы средства которые позволяют дать доступ к логам, а иногда и
к управлению части функций клиенту без ущерба работы комплекса в
целом.
• Оператору все - таки выгоднее предоставлять услугу (серию услуг )
самому а не перепродавать чужие – иначе отсутствует «изюминка»
предложения
• Лучше иметь готовое решение для предоставления сразу комплекса услуг
( VPN, Firewall, AV, URL Filtering, IPS и др.) с единым управлением –
большое количество разнородных устройств делают услуги очень
дорогими
• Наличие у решения всевозможных сертификатов приветствуется –
повышает доверие к услуге ( как это не странно ).
Slide 17 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
18. StoneGate выполняет трудновыполнимые требования
MSSP провайдеров
• Централизованное управление минимизирует затраты на
администрирование (TCA)
• Обеспечение полноценного соответствия требованиям
регуляторов прямо «из коробки»
• Обеспечение доступности 24/7 для всех компонент
• Хорошие возможности для сбора и корреляции лог информации
(управление событиями оборудования «третьих фирм» 3rd)
• Высококачественные устройства с большими возможностями по
отказоустойчивости и удаленной управляемости с большим
набором функций
• Делает жизнь провайдера услуг безопасности (MSSP) проще
Slide 18 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
19. Новые возможности по управлению
Готовое решение по предоставлению услуги
Административный
доступ основанный на
делегировании Видит свою
ответственности инфраструктуру через
портал
администратор
Клиент
Изолированные домены на
основе одного центра
управления
Slide 19 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
20. Действительно централизованный менеджмент
One-step Management
• Одно место для управления
инфраструктурой безопасности
• Один центр управления как для
виртуальной так и физической среды
environment
Единая консоль управления
• Мониторинг для всех устройств не Однажды создав объект можно
зависимо он венодра использовать его по всей
• Управление событиями безопасности инфраструктуре , автоматическое
управление политиками /правилами
разных вендоров
реагирование в реальном режиме
• Быстрый контроль всех устройств времени
• Соответствие требованиям
регуляторов
• Делегирование полномочий
• Масштабируемость
Virtual FW Virtual FW
Slide 20 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
21. Возможности StoneGate для MSSP
Stonesoft покрывает практически все сервисы MSSP
• Распределенная
архитектура и простая
установка и управление
• Domains – управление
изолированными
инфраструктурами
закачтика
• Web Portal – избирательный
доступ пользователей к
своим услугам
• Функции высокой
доступности
• Полноценная
виртуализация
Slide 23 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
22. Возможности StoneGate для MSSP
Домены SHARED DOMAIN
• Изолированные инфраструктуры
заказчиков
• Использование одной политики для
всех с автоматическим
подставлением нужных параметров
• Разделение администраторских CUSTOMER DOMAINS
полномочий
• Беспрецедентные возможности по
управлению доступом для
администратора и организации его
окружения
Slide 24 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
23. Сертификации производства по
ФСТЭК:
Межсетевой экран StoneGate cертифицирован по 2 классу для
МЭ, 1 класс ПДн, 1Г, 4 класс НДВ
• в составе МЭ сертифицированы по ТУ встроенные антивирус, механизм инспекции трафика Deep Inspection и др.
• в составе МЭ сертифицирован VPN клиент как часть распределенного МЭ
StoneGate IPS cертифицирована как прозрачный МЭ 3 класса,
а также по ТУ как IPS, 1 класс ПДн, 1Г, 4 класс НДВ.
• По ТУ сертифицированы механизмы предотвращения вторжений, анализ аномалий, виртуальный патч и др.,
Шлюз защиты удаленного доступа StoneGate SSL* – 3 класс
МЭ, 1класс ПДн, 4 класс НДВ.
• В составе сертифицирована система многофакторной аутентификации!
В составе каждого средства защиты как компонент
сертифицирован центр управления! А также сертифицирована
версия продуктов для виртуальной среды!
Slide 25 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
24. Особенности сертификации ФСБ
Сертифицируются решения SSL VPN и IPSEC VPN
(с VPN клиентом )
Классы защиты КС1 – КС3!
SSL VPN – 9 исполнений!
IPSec VPN - 11 исполнений!
(поддержка МАРШ, различные операционные
системы )
SSL VPN поддерживает работу на клиентском
компьютере – Crypto Pro, ValiData.
Тестируется совместимость: Signal-Сom, VipNet
(TLS).
Slide 26 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
25. Некоторые особенности
• Stonesoft – единственный вендор имеющий решения Firewall и IPS и
SSL одновременно для физической среды и виртуальной среды !
• Один из немногих вендоров прошедших сертификацию IPS по ICSA
• Один из немногих вендоров кто имеет сертификаты на всю линейку
продукции в России от ФСТЭК в том числе для виртуальной среды.
• Один из немногих вендоров находящийся на сертификации в ФСБ
• Один из немногих кто имеет полностью готовое решение по
предоставлению услуг MSSP
• Единственный вендор где внедрены технологии отказоустойчивости
по всей инфраструктуре
• Полноценная централизация управления – одна из самых лучших в
мире
• Обеспечивает экономию на операционных телекоммуникационных
расходах и др. – один из самых низких ТСО в отрасли
• Интегрируется с другими системами безопасности
Slide 27 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
27. Отзывы клиентов
“StoneGate дает самый быстрый ROI и самую низкую стоимость владения (TCO), мы получили все
что было необходимо AIT для обеспечения доступности сервисов и улучшения управляемости нашей
сети с использованием универсальной системы управления ”
Dan Chesler, Network Administrator, AIT Worldwide Logistics
“отличная сторона решения Stonesoft в том что оно предоставляет все что нам нужно, за
приемлемую цену и работает прекрасно ! Решение очень мощное и при этом стоимость поддержки и
операционные расходы на управление остаются низкими .мы используем решение около пяти лет и
оно очень эффективное с точки зрения цены – качества – эффективности и дает великолепные
результаты возврата инвестиций (ROI).”
Michael Robertson, Director, Commerce Media
“StoneGate значительно снизил затраты на связь, и при этом увеличил скорости взаимодействия
сетей, как и расширил возможности по удаленному доступу. Централизованное управление
позволило DéLonghi управлять и обновлять устройства удаленно исключая необходимость затрат на
поездки администраторов и на содержание квалифицированного персонала на местах - позволяя
получить быстрый возврат вложений .”
Daniele Faccioni, General Manager E-Services, De´Longhi
Giorgio Parpinelli, Project Manager, Logical Security
“Решение StoneGate уже помогло сохранить время и расходы на управление и обновления .
Например удаленные апдейты управляются при пмощи процедур которые занимают минуты а не
часы или дни как в других решениях.”
Andrea Bigolin, Product Manager Security, Top Companies, FastWeb
Slide 29 Copyright © 2008 Stonesoft Corporation. Confidential, All rights reserved.
28. Узнайте как сделать информационную
безопасность персональных данных
проще !
www.newinfosec.ru
Copyright © 2009 Stonesoft Corporation. All rights reserved.