Сергей Халяпин: «От SD-WAN до доступа c нулевым доверием. Citrix отвечает всем требованиям Gartner для SASE»

Сергей Халяпин

Главный инженер представительства Citrix в России и странах СНГ.

На вопросы главного редактора IT News Геннадия Белаша отвечает Сергей Халяпин, руководитель системных инженеров, Сitrix Восточная Европа и Россия.

Почему традиционные способы обеспечения безопасности устарели?

Под традиционными способами я понимаю те, что были до пандемии, когда четко существовал защищенный периметр организаций. Тогда работа осуществлялась через граничные устройства, установленные ИБ-подразделением на корпоративных девайсах с достаточным уровнем защиты и с использованием корпоративных инструментов. При массовом переходе на удаленную работу традиционный периметр размывается и исчезает. Построить такую же мощную защитную систему вокруг каждого домашнего офиса и обеспечить его всеми инструментами, которые ИБ-подразделение годами обкатывало и настраивало, невозможно. Тем не менее конечным пользователям надо обеспечить комфортную работу со своими приложениями и в то же время надежную защиту корпоративных данных. Таким образом, традиционные способы обеспечения безопасности продолжают действовать для тех, кто работает в офисе и защищенном периметре, но их требуется расширять и дополнять. Повторюсь, полностью защитить такую размытую инфраструктуру невозможно.

Какие сложности возникают у компаний, которые используют VPN?

В таких случаях важно, чтобы необходимые ресурсы находились в зоне, контролируемой ИБ-службой. Мы дома подключаемся с корпоративного устройства, выданного в офисе, к офисной инфраструктуре – и все хорошо работает. Но в последнее время большое количество ресурсов вынесено в облако. По VPN, скорее всего, к ним подключиться не удастся, либо каждое из них будет требовать настройки своего VPN. Корпоративных устройств, которые нужно было выдать всем, кто переходил на дистанционный режим работы, явно не хватало. Поэтому кто-то использовал домашний ПК, кто-то ноутбук, планшет, фаблет и другие устройства. Далеко не под все эти платформы есть VPN-клиенты, либо они не обеспечивают необходимого уровня комфорта. Кроме того, не все могут самостоятельно настроить VPN.

Как это влияет на безопасность, масштабируемость, эффективность работы пользователей?

С точки зрения безопасности, если появляются новые задачи, все традиционные решения, в том числе и VPN, начинают оказывать тормозящий эффект как на масштабируемость, так и на эффективность работы. И здесь в рамках решения Citrix по виртуализации десктопов есть интересная возможность – подключение с любого устройства к физическому ПК, расположенному в офисе. В прошлом году для одного из наших заказчиков мы реализовали подобную задачу. При этом компании не потребовалось докупать большое количество оборудования, поскольку в офисе остались физические устройства, а сотрудники получили возможность использовать для работы любые персональные девайсы. С точки зрения быстроты, комфортности и гибкости такое решение позволило быстро, буквально за 7–10 дней развернуть и перевести около 20 тысяч пользователей на удаленную работу. Поэтому традиционные варианты обеспечения безопасности при традиционной работе с имеющимися ограничениями по-прежнему будут использоваться. В случае если мы выбираем более гибкий режим работы и имеем возможность использовать различные платформы и устройства, то проще использовать новые решения, которые появились на рынке, в том числе у Citrix.

Для чего предназначена SASE и что собой представляет ее модель?

Это концепция, которую предложила Gartner. На схеме можно увидеть, что она включает в себя.

Сергей Халяпин: «От SD-WAN до доступа c нулевым доверием. Citrix отвечает всем требованиям Gartner для SASE». Рис. 1

Важно, что это не один продукт, закрывающий сразу все решения. У всех игроков на рынке это некий бандл, который комбинирует имеющиеся и новые продукты так, чтобы обеспечить решение задач согласно концепции SASE. Citrix – один из немногих вендоров, кто предлагает вариант, который соберет все, что Gartner отнесла как к ключевым, так и рекомендованным возможностям, а также обладает единым интерфейсом администрирования и оркестрации для управления всей этой инфраструктурой.

Какие сервисы входят в архитектуру SASE?

Прежде всего SD-WAN – программно-определяемые сети, включающие в себя аппаратные либо виртуальные решения, которые отвечают за реализацию трех основных задач: оптимизацию использования WAN, виртуализацию использования глобальных и прочих каналов связи, повышение производительности ПО. Поскольку система видит трафик, она понимает на основе шаблона, что это за приложение, и дальше, используя административную консоль, мы однократно настраиваем соответствующие правила, распределяя трафик по имеющимся каналам в зависимости от приоритетности и критичности отправляемых файлов и приложений. При этом система будет динамически регулировать загрузку имеющихся каналов и в случае возникновения сбоев автоматически, без привлечения администратора, перенастроит поток данных таким образом, чтобы он наиболее полно соответствовал требованиям, которые изначально администратор установил в консоли. Кроме того, мы можем управлять ограничениями на уровне приложений. Возьмем, к примеру, Facebook. В компании есть департамент, который занимается маркетингом, продвижением имиджа, бренда, в том числе в соцсетях. Для этих сотрудников нужно максимально полно открыть функционал, предоставляемый Facebook, а для остальных – урезать, если администратор считает его излишним или вредным для компании.

А что идет дальше?

Следующий уровень – поведенческая аналитика, которая позволяет, с одной стороны, иметь четкое представление, что у нас происходит в рамках инфраструктуры, а с другой – обеспечить проактивную защиту. Например, я работаю из Москвы и Московской области, обычно с 9 до 10 вечера, а по воскресеньям стараюсь отдыхать. Система построила такой поведенческий шаблон. И теперь, увидев, что пользователь с данным логином начинает входить, например, с Африканского континента в 2 часа ночи и обращаться к самым разным приложениям, система понимает, что каждое отклонение от традиционного шаблона – это повышение уровня риска. Как только мы пересекаем уровень, который администратор задал как критический, начинают срабатывать политики, которые он прописал. Например, ограничивается доступ учетной записи к бизнес-критичным приложениям, запрещается проброс накопителей внутрь сессии, включается запись действий пользователя в видеофайл, поступает уведомление администратору и офицеру безопасности, а запросы перенаправляются в песочницу. Таким образом, система в зависимости от изменений в поведении пользователя будет самостоятельно применять те или иные политики и иные ограничения, изначально прописанные администратором.

Но ведь сотрудники могут подключаться не только из офиса, но и с домашнего компьютера или, например, из кафе?

Конечно, служба ИБ не может гарантировать, что на персональном устройстве нет вредоносных программ, что дома дети не поймали какой-нибудь троян. И теперь этот зловред окажется внутри корпоративной сети при подключении по VPN. В случае использования решений Citrix мы фактически подключаемся через промежуточный слой, через определенного брокера, который будет смотреть, какие запросы идут, куда мы обращаемся. То есть система изначально рассматривает любое подключение как небезопасное – с нулевым доверием к тем ресурсам, к которым идет запрос и откуда он идет. Citrix Secure Workspace Access дает возможность развернуть в облаке либо внутри собственного дата-центра необходимые браузеры, настроить их подключение к соответствующим ресурсам. Попадая на портальную часть, пользователь видит иконку соответствующего приложения, кликает по ней. В некой песочнице запускается нужный браузер, и пользователь, с чего бы он ни зашел – планшета, смартфона, Mac или Linux, – гарантированно получает доступ к своему приложению. Конечно, мы не можем гарантировать, что пользователь будет относиться к своему устройству так же, как офицер ИБ: педантично проверять и обновлять все решения, развернутые в инфраструктуре компании. Поэтому всегда есть опасность, что пользователи что-то поймали на свой компьютер и эта вредоносная программа постарается попасть в корпоративную среду. Здесь защита работает сразу по двум направлениям. С одной стороны, при подключении к внешним сервисам Secure Internet Access будет проверять, что тот ресурс, ссылку на который мы получили, является доверенным и не выполняет зловредных функций. С другой стороны, с точки зрения DLP мы проверяем, что именно пользователь или приложение, которое вышло в Интернет, пытается передавать и не является ли это нарушением корпоративных правил и политик.

Как выбрать партнера, который сможет установить SASE?

В данном случае хорошим вариантом будет пообщаться с партнером, посмотреть портфолио заказов и решений, которые у него есть, пообщаться с его заказчиками. Если партнер говорит: «Да вы просто скажите, что сделать, я все сделаю!», – это неправильный подход. В случае таких глобальных проектов заказчик сначала должен услышать много предварительных вопросов, в частности: «Что вы планируете через три года? Каким будет развитие вашей инфраструктуры и куда пойдет развитие вашей инфраструктуры рабочих мест?» И если вы видите, что партнер начинает задавать эти вопросы, значит, он придерживается правильного подхода. И, скорее всего, вы вместе, проработав разные концепции, выберете то, что вам больше всего подойдет как конечному заказчику.

В чем заключаются основные характеристики модели нулевого доверия (Zero Trust Network Access, ZTNA)?

Раньше, приходя в офис, пользователь четко знал, что его рабочее место на третьем этаже, кабинет номер 324, стол у окна. IT-специалист понимал, что с такого-то порта началась работа, пришел сотрудник, сел за свой компьютер и работает с теми или иными сервисами и приложениями. Но сейчас тот же сотрудник может подключиться как по кабелю в офисе, так и по Wi-Fi, либо по LTE, либо сидя в кафе. И говорить о том, что мы доверяем этому подключению, невозможно. То же самое с устройствами. Если это корпоративный ноутбук, пользователь вынужден следовать правилам, которые компания применяет к этому устройству, с использованием различных сервисных решений. Если же он работает из дома на своем устройстве, которым пользуются в том числе и его домочадцы, никто не гарантирует, что на нем нет вредоносных программ, способных повлиять на выполнение тех или иных бизнес-функций. Концепция нулевого доверия подразумевает, что по умолчанию мы не можем доверять никому.

Может ли ZTNA обеспечить доступ конкретного ноутбука в конкретное время к конкретной важной базе данных?

Это вообще не про ZTNA. Это про Active Directory, про разграничение прав пользователей, в том числе временных. Мы, понимая, откуда сотрудник подключается, видя его устройство и каким каналом он идет, можем дать ему доступ к тем решениям, к которым он правомочен подключаться, ограничивать либо включать дополнительные механизмы защиты. Например, потребовать не только логин-пароль, если он подключается из дома, но и второй фактор. Либо вообще использовать многофакторную аутентификацию. То есть начинаем строить различные деревья доступа: в этом случае предоставляем полный доступ, в другом – доступ с ограничением, поскольку у нас нулевое доверие к устройству, с которого пришел пользователь. Мы можем отключить возможность сохранять что-либо на этом устройстве, поскольку не уверены, есть ли там антивирус, последние пакеты обновлений. Кроме того, мы можем ограничить навигацию: пользователь получит доступ только к этой web-странице, к этому web-приложению и с этого браузера, а на другое приложение уже перейти не сможет. Ограничение скачивания, логирования клавиатуры, печати, водяные знаки – все это мы применим на той граничной части, которая организует доступ в том числе к веб-решениям и сервисам, к которым мы доступа как администратор не имеем.

Чем отличается подход Citrix от подхода других компаний в использовании SD-WAN?

Тема SD-WAN далеко не новая. Каждый вендор делает упор на интересующие его нюансы и особенности. Что касается Citrix – мы обеспечиваем лучшее понимание трафика, то есть количества приложений и подприложений внутри потока, чем большинство других поставщиков. Кроме того, мы активно интегрируем SD-WAN с решениями по виртуализации десктопов и приложений и другими сервисами, которые предоставляем. Но самое главное – необходимо сравнивать решения разных провайдеров, ориентируясь на задачи, которые стоят перед заказчиком. Например, если у компании уже есть терминальные решения Citrix, конечно, Citrix SD-WAN будет ему более интересен, чем другие, поскольку эти решения можно хорошо интегрировать. Кроме того, если планируется дальнейшее развитие сервисов SASE внутри организации – Citrix тоже есть что предложить, кроме SD-WAN. Если же у заказчика уже развернуто какое-то решение с SD-WAN от другого вендора и он просто что-то докупает – бессмысленно предлагать ему к 100 устройствам одного поставщика добавить 10 устройств другого. Скорее всего, максимальной производительности и максимального функционала при совместной работе они не покажут.

Важно ли подключать ИБ-подразделение к внедрению SD-WAN еще на стадии проектирования? Или ИБ-служба и потом все настроит должным образом?

Очень важно, чтобы ИТ- и ИБ-подразделения на фазе выбора решений и выставления функциональных требований работали совместно. Иначе одна из сторон может не получить необходимый функционал, что в итоге обернется новыми затратами на закупку дополнительных решений и спорами о зонах ответственности между отделами. Поэтому чем раньше и более плотно эти два подразделения начнут работать сообща, тем более гладко пойдут процессы тестирования, внедрения и интеграции решений, а значит, тем правильнее будет подход к построению инфраструктуры.

Как вы оцениваете экономическую эффективность использования SD-WAN?

Это всегда зависит от того, что заказчик хочет получить на выходе, какие ему нужно решить задачи. Если его сейчас все устраивает, значит, он никогда не сталкивался с проблемой потери связи на имеющемся канале, например. Или же готов пережить отсутствие связи в течение суток. Думаю, в таком случае решения SD-WAN вряд ли покажут ему экономическую эффективность. Он поймет, что получит какие-то дополнительные преимущества, но посчитать экономический эффект будет сложно. Другое дело – компания, которая очень сильно завязана на доступности своих сервисов из филиалов или доступности подключения к каким-то облачным платформам. В этом случае мы организуем максимально возможное количество каналов между точкой А и точкой В, и система сама будет определять наиболее оптимальный из них с точки зрения передачи в зависимости от типа трафика.

Журнал IT News [№ 09/2021] Подписка на журналы

Опубликовано 04.10.2021

Citrix Информационная безопасность

Предыдущая
ФИНАНСЫ (16.08 – 15.09.2021)

Следующая
Александр Ложечкин стал руководителем дирекции информационных технологий Райффайзенбанка

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30