ГОСТ Р ИСО/МЭК 27033-4-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности

6 Обзор

 

Шлюз безопасности размещается на границе между двумя или более сегментами сети, например между внутренней сетью организации и общедоступной сетью, для фильтрации трафика, проходящего через границу, в соответствии с задокументированной политикой доступа к функциям шлюза безопасности для этой границы. Другое использование шлюзов безопасности - это разделение сегментов сети при использовании услуг, которые могут иметь несколько арендаторов; например, при использовании служб облачных вычислений шлюз безопасности будет защищать информацию организации, применяя политику безопасности организации.

Пример сетевого окружения показан на рисунке 1, который в данном обзоре используется только для иллюстрации. ДМЗ, называемая сетью периметра, представляет собой физическую или логическую подсеть, которая содержит и предоставляет внешние услуги организации для общедоступной сети, обычно сети Интернет. Целью ДМЗ является добавление дополнительного уровня безопасности к внутренней сети организации; внешний злоумышленник имеет доступ только к услугам в ДМЗ, а не к какой-либо другой части внутренней сети. Все внешние подключения к сетевым услугам должны завершаться внутри систем ДМЗ, а системы ДМЗ должны иметь ограниченный доступ или вообще не иметь доступа к внутренним системам. Проектирование сети таким способом не устраняет риск компрометации внутренней сети, а только усложняет ее. Злоумышленник, преодолевший защиту периметра внутренней сети, затем сможет использовать другую уязвимость для развития атаки на ресурсы внутренней сети. По этой причине, среди прочих, внутренняя сеть должна быть максимально защищенной.

 

 

Рисунок 1 - Пример сетевого окружения

 

Большинство организаций может иметь несколько "зон" или областей ДМЗ для уровней веб, приложений и баз данных и для выполнения некоторых нормативных требований или требований политики безопасности организации.

В настоящее время существуют "гибридные" решения, применимые в нескольких функциональных областях. Существующие межсетевые экраны с фильтрацией пакетов содержат в себе прокси-сервер для определенных служб и включают больше мер обеспечения ИБ для такого контекста, как, например, роль, время суток и т.д.

Сетевая структура организации, называемая интранетом, управляется и поддерживается уполномоченными этой организации. Каждая организация независимо от размера должна иметь отдельные сегменты сети, между которыми потоки трафика будут контролироваться внутренними шлюзами безопасности. Для специальных целей в интранете может быть создана отдельная инфраструктура. Например, если WLAN используется как часть интранета, то она должна быть изолированной и требовать дополнительной аутентификации, поскольку это создает дополнительные риски. Для защиты активов организации от атак при такой сегментации может использоваться внутренний шлюз безопасности.

Организация обменивается данными с доверенными третьими сторонами, расширяя интранет в сторону сети партнеров, что называется экстранетом. Для устранения угроз, создаваемых этим расширением, может применяться шлюз безопасности экстранета. При использовании таких услуг, как облачные вычисления, шлюз безопасности ограничивает доступ пользователей к ним, применяя политики безопасности организации к логическим сетям. Деятельность организации требует коммуникаций и обмена данными с деловыми партнерами, клиентами и широкой общественностью через общедоступную сеть, примером которой является сеть Интернет. Поскольку уровень доверия к общедоступной сети относительно низок, для устранения рисков, вызванных ею, необходимы шлюзы безопасности, называемые Интернет-шлюзами.