Check Point Application Control - повний контроль інтернет-додатків і доступу до веб-сайтів

Вступ
Системні вимоги
Функціональні можливості
варіанти застосування
висновки

Наша взаимовыгодная связь https://banwar.org/

Check Point Application Control - програмний блейд, який дозволяє реалізувати мережеві політики використання інтернет-додатків і доступу до веб-сайтів і має гнучкі можливості по розмежуванню доступу. У даній статті наводяться огляд функціональності і варіанти застосування продукту.

1. Введення

2. Системні вимоги

3. Функціональні можливості

4. Варіанти застосування

5. Висновки

Вступ

Розмежування доступу до додатків і веб-сайтів - важлива функціональна можливість для будь-якої компанії, де співробітники користуються інтернетом. Зазвичай при мережевий фільтрації не враховуються особливості мережевих додатків і веб-додатків і блокується доступ або за певним URL-адресою, або в інтернет цілком. Такий підхід не влаштовує більшість бізнес-користувачів, тому що не надає їм необхідний для виконання службових обов'язків доступ, а проти безконтрольного доступу в інтернет виступають офіцери безпеки. Для досягнення балансу інтересів політики безпеки повинні бути максимально гранулярними та виконати установку повинна враховувати особливості конкретного сайту або веб-додатки.

Коли перед ІТ-службою виникає завдання гранулярного розмежування доступу, постає питання практичного впровадження цього рішення. Продукт, який реалізує таку функціональність, повинен не тільки технічно вміти розмежовувати доступ за певними адресами і типам запитів, але і володіти вбудованою базою знань як за звичайними додатками, що працюють в мережі, так і по веб-додатків. При цьому база знань повинна своєчасно оновлюватися, інакше ця робота лягає на плечі ІТ-служби, забирає багато часу у системних адміністраторів, і загальна вартість експлуатації системи значно зростає.

Існують і побічні завдання, не пов'язані безпосередньо з наданням або забороною доступу. Наприклад, виникає необхідність контролювати обсяг споживаного трафіку, оскільки часто доступ в інтернет для організацій тарифікується за обсягом. При цьому, як і з розмежуванням доступу, застосовувати ліміти для всіх сайтів відразу недоцільно - обсяги трафіку повинні бути обмежені для окремих веб-додатків і враховувати специфіку роботи співробітника.

Реалізація мережевих політик безпеки на рівні протоколів програм - одне з ключових відмінностей мережевих екранів нового покоління (NGFW, next-generation firewall) від класичних мережевих пристроїв, за версією Gartner. Повний перелік вимог до NGFW ми приводили в нашій попередній статті з оглядом лінійки пристроїв Check Point. У цій статті розглянемо програмний блейд, який реалізує цю можливість, - Check Point Application Control.

Системні вимоги

Check Point Application Control є програмним Блейд, ця технологія вже знайома нашим читачам по попереднім статтям . Check Point Application Control має ті ж переваги, що й інші рішення в лінійці - просте розгортання, гнучке масштабування, єдине управління і інтеграція з загальними компонентами, наприклад ідентифікацією користувача.

Малюнок 1. Розгортання Check Point Application Control здійснюється за допомогою установки одного перемикача в налаштуваннях пристроїв в Check Point SmartDashboard

Check Point Application Control входить в набір Next Generation Secure Web Gateway, в який також включені блейд Antivirus, URL Filtering, ThreatCloud, IPS, Anti-Bot і інші, і встановлено на наступних пристроях:

4400 NGSWG;
4600 NGSWG;
4800 NGSWG;
12200 NGSWG;
12400 NGSWG;
12600 NGSWG;
13500 NGSWG;
13800 NGSWG;
21400 NGSWG;
21600 NGSWG;
21700 NGSWG;
21800 NGSWG.

При наявності відповідної ліцензії Check Point Application Control може бути встановлений на будь-який пристрій Check Point серій 600, 1100, 2000., 4000, 12000, 13000, 21000 і 61000, а також на пристрої Check Point Power-1, Check Point UTM-1 і Check Point IAS. Підтримуються вбудовані операційні системи GAiA, SecurePlatform і IPSO 6.2.

Як і інші програмні блейд, Check Point Application Control може бути встановлений не тільки на апаратні пристрої, але і на програмні рішення від Check Point, що функціонують під операційною системою Windows.

Робота з Check Point Application Control інтегрована в загальні консолі - Check Point SmartDashboard, Check Point SmartEvent і Check Point SmartReport для управління політиками і настройками, перегляду журналів та побудови звітів відповідно.

Функціональні можливості

Check Point Application Control дає можливість налаштовувати групові політики доступу до веб-додатків: це соціальні мережі, поштові сервіси, веб-чати, системи обміну повідомленнями та звичайні сайти і сервіси, доступ до яких здійснюється за веб-протоколів. Check Point Application Control також дозволяє контролювати доступ для звичайних мережевих додатків, наприклад, заборонити використання інструментів для доступу в анонімну мережу Tor або заблокувати використання Skype для робочого столу. Check Point Application Control дозволяє контролювати як звичайний протокол HTTPS, так і його захищену версію - HTTPS. У другому випадку Check Point Application Control є посередником між браузером користувача та сервером: розшифровуючи трафік від сервера, аналізує його і зашифровує знову вже власним сертифікатом, щоб передати користувачеві.

Малюнок 2. Попередньо встановлено база додатків AppWiki в Check Point Application Control

Check Point Application Control має великий встановленою базою додатків - AppWiki, в якій міститься понад 6000 додатків і веб-сайтів і 300 000 віджетів. При цьому база додатків постійно оновлюється з серверів Check Point і підтримується в актуальному стані. Усі матеріали в базі AppWiki каталогізовані і розбиті на групи - сайти веб 2.0, системи обміну повідомленнями, файлообмінники, відеосервіси і інші. В політиках безпеки можна використовувати як окремі додатки і сайти, так і цілі групи. Таким чином, адміністратор може налаштувати політику, не прив'язує бізнес-користувача до певного сервісу, надаючи йому свободу вибору в рамках діючої політики.

Малюнок 3. Різні функції соціальної мережі «Вконтакте», які можна вказувати в політиках, в базі AppWiki в Check Point Application Control

Різні функції соціальної мережі «Вконтакте», які можна вказувати в політиках, в базі AppWiki в Check Point Application Control

Додатковою особливістю бази AppWiki є поділ різних функцій веб-додатків. Так, наприклад, для соціальної мережі «Вконтакте» виділені функції «скачування», «завантаження», «мультимедіа» і «публікація», що дозволяє надати доступ тільки до окремих функцій соціальної мережі.

Малюнок 4. Додавання нового веб-додатки для Check Point Application Control в програмі управління Check Point SmartDashboard

Check Point Application Control дозволяє адміністраторам самим створювати і управляти записами в базі в разі, якщо такі відсутні в AppWiki. За рахунок цієї можливості адміністратори не мають жорсткої прив'язки політик до встановленої базі даних і можуть при необхідності додавати нові додатки і сайти, які не мають в AppWiki, але якими користуються співробітники.

Малюнок 5. Приклад списку політик Check Point Application Control в програмі управління Check Point SmartDashboard

Приклад списку політик Check Point Application Control в програмі управління Check Point SmartDashboard

Політики безпеки, які дозволяє задати Check Point Application Control, включають в себе різні варіанти дій - заборона доступу, дозвіл доступу, доступ після попередження користувача, обмеження на обсяги вхідного і вихідного трафіку, обмеження на кількість відвідувань сайту. Крім того, політики безпеки можуть бути призначені на певний час доби і дні тижня, дозволяючи реалізувати різні настройки доступу для робочого і неробочого часу.

Малюнок 6. Приклад настроюються попереджень в Check Point Application Control в програмі управління Check Point SmartDashboard

Цікавою особливістю Check Point Application Control є можливість допуску користувача до сайту після ознайомлення з попередженням. За допомогою даної функції користувачам можна дозволити доступ до сайтів, робота з якими поза службових обов'язків небажана, однак може терміново знадобитися співробітнику. В такому випадку Check Point Application Control відображає користувачеві заздалегідь заданий текст і надати їм доступ після того, як користувач підтвердить прочитання. Додатково користувач може залишити опис: наприклад, обґрунтувати необхідність доступу або описати роботу, для якої йому потрібно відвідати сайт. Цей механізм може використовуватися в міжнародних компаніях, так як повідомлення можна складати на різних мовах.

Check Point Application Control володіє широкими можливостями по аудиту, збираючи інформацію про відвідані сайти для всіх користувачів. Налаштування аудиту також входять в політику і дозволяють збирати більш детальну інформацію за окремими правилами політики. В управління Check Point Application Control також вбудований гнучкий механізм звітів, що дозволяє будувати різні графіки і відображати сумарні показники по відвідувань сайтів і обсягами трафіку.

варіанти застосування

Check Point Application Control підтримує безліч варіантів застосування, серед них є як стандартні, так і оригінальні. Як приклад різних політик, які можна налаштувати за допомогою Check Point Application Control, наведемо наступні:

Стандартні сценарії:
- Заборонити доступ до сайтів, що не відносяться до виконання службових обов'язків (онлайн-кінотеатри, соціальні мережі, музичні сервіси, ігри і т. Д.).
- Лімітувати обсяг веб-трафіку для одного користувача в цілях економії бюджету організації.
- Розмежувати доступ до соціальних мереж - дозволити доступ тільки для відділу маркетингу і HR, заборонивши всім іншим.
- Заборонити доступ до Анонімайзера і проксі-серверів для виключення обходу правил веб-фільтрації.
- Заборонити доступ до потенційно небезпечних сайтів і сторінок, що містять шкідливі файли.
- Нестандартні сценарії:
  - Дозволити доступ до сайтів, що не відносяться до робітників, в обідній і неробочий час.
  - Надавати доступ до соціальних мереж, файлообменникам і іншим сайтам, що не відносяться до робітників, після отримання підтвердження від користувача з описом його цілей.
  - Дозволити доступ до неробочим сайтам, але обмежити доступ тільки невеликим числом входів в день: наприклад, відвідування новинних порталів тільки три рази в день.
  - Відправляти повідомлення в HR-відділ в разі відкриття співробітником сайту, призначеного для пошуку роботи.
  - Заборонити окремі функції складних веб-додатків, наприклад викладати файли в соціальні мережі, зберігши при цьому можливість завантажувати файли або читати новинну стрічку.

Check Point Application Control дозволяє комбінувати безліч налаштувань в політиках безпеки, тому наведені вище сценарії - це лише кілька найяскравіших прикладів того, що можна реалізувати за допомогою даного продукту. Основна перевага політик Check Point Application Control - гнучкість і можливість комбінації різних умов. Після впровадження цього продукту можна легко реалізувати складні правила, які будуть максимально відповідати вимогам безпеки і очікуванням бізнес-користувачів.

висновки

Check Point Application Control - програмний блейд, що дозволяє за лічені години значно розширити функціональність шлюзу Check Point, додавши можливість реалізації гранулярних політик доступу до веб-додатків. На відміну від рішень конкурентів, політики Check Point Application Control налаштовуються максимально гнучко, дозволяючи розмежувати доступ для окремих користувачів або груп користувачів до конкретних сайтів або категорій сайтів. Безліч додаткових параметрів політик дозволяють виконати ще більш точну настройку і реалізувати безліч нестандартних сценаріїв. Серед таких параметрів варто відзначити можливість установки лімітів на переданий і отриманий трафік для окремих додатків і веб-сайтів, дія політик за часом доби і дням тижня і гнучкі можливості по аудиту спрацьовування політик. Функція допуску користувача до веб-додатку після ознайомлення з попередженням і введенням додаткової інформації дозволяє реалізувати різні сценарії доступу до небажаних сайтів без втручання з боку адміністратора.

Попередньо встановлено база даних веб-додатків AppWiki допомагає значно скоротити час налаштування та оновлення політик безпеки. Завдяки великій кількості охоплених сайтів, в тому числі російськомовних, адміністратору в більшості випадків не потрібно вручну вносити адреси в список, досить вибрати веб-додаток за назвою або за категорією. При цьому, якщо потрібно додати специфічний сайт, відсутній в базі даних, адміністратору доступний інструмент, який підтримує наскрізну з AppWiki категоризацію, можливість виділення додатків і сайтів різними кольорами і підтримку введення URL-адрес з регулярними виразами.

Підводячи підсумок, підкреслимо, що продукт Check Point Application Control вирішує всі можливі завдання по реалізації політик доступу співробітників в інтернет і підтримує як стандартні, так і оригінальні сценарії щодо розмежування доступу. А завдяки реалізації у вигляді програмного Блейда досягається максимальна інтеграція з іншими продуктами і інфраструктурними рішеннями від Check Point.