Новый ZTNA-продукт Sangfor aTrust в красивой обертке SSL VPN

SSL VPN является эффективным и безопасным средством для обеспечения удаленного доступа пользователей к корпоративным информационным ресурсам через интернет.

ZTNA или Zero Trust Network Access, представляет собой подход к безопасности, отказывающийся от доверия по умолчанию. В рамках ZTNA каждое подключение, независимо от его источника, рассматривается как потенциальная угроза, и для каждого запроса на доступ к ресурсам требуется аутентификация и авторизация пользователя.

SANGFOR

Компания основана в 2000 году в Китае. Сконцентрирована на разработке технологий, решений, оборудования и программного обеспечения в области информационной безопасности и облачных вычислений. Присутствует в отчетах Gartner. На текущий момент в компании работает более 9,5 тысяч сотрудников и функционирует пять R&D-центров, расположенных в США и Китае, в развитие которых инвестируется порядка 20% ежегодного дохода.

Основной функционал и методы применения

1. Организация SSL VPN при помощи веб-браузера
Удаленные пользователи получают доступ в корпоративную сеть при помощи стандартного веб-браузера без установки дополнительного клиентского программного обеспечения.
Плюсы:
• обеспечивается детализированное разграничение прав доступа пользователей на уровне приложений и максимальный контроль их действий;
• поддерживается всеми современными операционными системами (Windows, macOS, Linux, iOS, Android) и браузерами;
• не требуется установка VPN/ZTNA-клиента;
• простота использования.
Минусы:
• нет защиты рабочей станции на том уровне, на котором это позволяет наличие VPN/ZTNA-клиента с IPS и WAF;
• недоступен функционал защищенного доступа через SPA-ключ;
• недоступна часть функций, привязанных к политикам доступа, вроде проверки актуальности версии приложения VPN/ZTNA-клиента.
2. Организация SSL VPN с использованием VPN/ZTNA-клиента
В данном случае на базе SSL/TLS обеспечивается полноценный сетевой доступ для удаленных пользователей в корпоративную сеть при помощи организации защищенного туннеля между пользовательским устройством и концентратором SSL VPN, установленным в корпоративной сети, с возможностью разграничения и контроля доступа пользователей к информационным ресурсам на уровне приложений.
Плюсы:
• HTTPS-трафик, в отличие от данных, передаваемых по протоколу IPSec, не блокируется и корректно транслируется между «серыми» и «белыми» IP-адресами (NAT, CGNAT) любыми провайдерами во всем мире;
• доступен весь функционал правил и политик для доступа к приложениям, а также защита доступа через SPA-ключ;
• полная защита, обеспеченная VPN/ZTNA-клиентом;
• имеется диагностика системы на наличие угроз, проверка защищенного соединения туннеля, сбор и отправка логов на сервер для анализа.
Минусы:
• требуется установка и настройка дополнительного пользовательского программного обеспечения в виде VPN/ZTNA-клиента;
• в теории могут наблюдаться кратковременные проблемы при выпуске новых версий пользовательских операционных системам (Windows, macOS, Linux, iOS, Android), хотя на практике такое уже вряд ли возможно в силу развитости и широты распространения семейства протоколов SSL/TLS.

Основным отличием по сравнению с доступом при помощи Web-браузера является возможность доступа к любым информационным ресурсам (приложениям) и автоматическое наличие дополнительных факторов аутентификации, которым является сам установленный на пользовательском устройстве VPN/ZTNA-клиент. При этом, понятно, что принцип Single Sign-On никуда не девается, но подбор пароля злоумышленником серьезно усложняется и добавляются механизмы защиты от действий несанкционированных пользователей. Кроме того, установленный на клиентском устройстве VPN/ZTNA-клиент позволяет:

• отправлять корпоративный трафик через защищенный туннель SSL VPN, а остальной трафик напрямую через обычное соединение с интернетом;
• расширить возможности по внедрению двухфакторной аутентификации (2FA);
• улучшить защиту пользовательских устройств (Endpoint Security);
• ограничить доступ к корпоративным ресурсам для определенных пользователей или групп пользователей.

aTrust от Sangfor Technologies

1. Integrated Gateway
Простое и относительно дешевое решение. Поддерживает до 1 200 одновременно работающих пользователей. Ограничено по ресурсам — не больше 4-х ядер процессора и 16-ти Гб оперативной памяти. Не позволяет организовать территориально-распределенную инфраструктуру и не имеет менеджера лицензий. HA-кластер поддерживается в качестве резервирования.
2. Distributed Gateway
Distributed Gateway поддерживает уже до 50 000 одновременно работающих пользователей. Возможно использовать до 64-х Гб оперативной памяти и 48-и ядер процессора. Позволяет организовать аппаратно масштабируемую территориально-распределенную инфраструктуру и имеет единую систему управления и мониторинга и менеджер лицензий.

И то и другое решение является независимым от NGFW Sangfor, поскольку пользователи терминируются не на NGFW, а на отдельном aTrust Gateway (точнее Proxy Gateway, как они это называют).

Sangfor aTrust представлен как Virtual Appliance (пока что во всяком случае) с поддержкой гипервизоров VMware ESXi, MS Hyper-V, Nutanix, Citrix, Sangfor HCI и большого набора методов аутентификации, начиная с распространенных MS AD/LDAP/Radius и заканчивая китайскими WeCom и Zhengfang.

Обзор aTrust 2.3.100.10

Главный экран клиентского приложения включает в себя экран авторизации с полями ввода логина и пароля и вариантом авторизации с помощью QR кода (см. Рис 1).

Рис.1
Экран настройки (см. Рис 2), в котором нужно указать IP-адрес или доменное имя сервера aTrust, а также выбрать язык интерфейса, на текущий момент из двух предлагаемых — английский или китайский. Включить запуск приложения при старте системы и проверить обновления.

Рис.2
При указании IP-адреса сервера, можно выбрать настройку явного указания ключа безопасности SPA, если она включена администратором системы (см. Рис 3). Данная защита скрывает все службы и адрес сервера извне будет недоступен, пока ключ не будет введен в приложении. Пользователю достаточно ввести ключ один раз, а далее запросить доверие в предложенном диалоге после авторизации.

Рис.3
Эти действия позволяют добавить конечного пользователя и его устройство в Trust зону (см. Рис 4). Теперь действия по аутентификации сводятся к нулю, до первого инцидента с угрозой, конечно.

Рис.4
Защита приложений aTrust на пользовательских машинах (Endpoint Security) включает два инструмента: WAF (Web Application Firewall) — защиту от веб-атак и HIPS (Host-based Intrusion Prevention System) — аналог IPS для предотвращения вторжений, что реализуется на основе черного/белого списка. WAF анализирует и фильтрует HTTP-трафик между веб-приложением и интернетом, блокируя попытки эксплойтов и защищая от уязвимостей. HIPS мониторит и анализирует активность на устройстве, обнаруживая подозрительные действия или атаки. Он предотвращает вторжения, блокируя или предупреждая о нежелательных действиях, таких как внедрение вредоносного кода или изменение системных файлов.

Настройка доступа и ограничения.

Доступ к корпоративным ресурсам определяется многоуровневыми политиками и правилами для туннельного либо веб-режима. К примеру, у пользователя версия операционной системы смартфона не обновлена до последней версии? Доступ запрещен. Страна из которой он заходит в сеть, не проходит по правилам политики? Доступ запрещен. Сотрудник входит в сеть в нерабочее время, которое ограничено в политиках? Доступ будет ограничен. Если у вас есть доступ к back/front части сайта, можно при необходимости наложить на веб-страницу водяные знаки, для незаконного копирования контента (см. Рис 5). Список всевозможных настроек достаточно обширен и позволяет создавать пул правил для самых разнообразных задач.

Рис.5
Кроме всего прочего, aTrust может выступать в роли маршрутизатора. Создание своего пула виртуальных расшаренных либо выделенных IP-адресов, позволяет разграничивать доступ между группами пользователей (см Рис 6). Поддерживается статическая маршрутизация.

Рис.6
Реализован механизм кластеризации (см. Рис 7). В Integrated версии для развертывания других кластеров необходимо будет приобретать новую лицензию, с Distributed версией этого не требуется, так как в версии Distributed имеется менеджер лицензий.

Рис.7
От внезапного выхода из строя носителей информации никто не застрахован. Для решения подобных уязвимостей, разработчик добавил очень удобный инструмент резервного копирования и восстановления конфигурации (см. Рис 8). Инструмент включает в себя локальное создание резервных копий по расписанию, а также копирование в облачный сервер или FTP.

Рис.8

Заключение

Предлагая два решения – aTrust Integrated Gateway и aTrust Distributed Gateway, компания Sangfor Technologies удовлетворяет потребности в организации безопасного удаленного доступа пользователей в корпоративную сеть через интернет для небольших, средних и крупных компаний и позволяет создать легко масштабирую, надежную, простую в управлении и эксплуатации, территориально-распределенную SSL VPN инфраструктуру в кратчайшие сроки и по разумной цене.