Компании «С-Терра СиЭсПи» и «ИТ-Экспертиза» сообщили о разработке решения для организации контролируемого защищённого подключения удалённых пользователей к корпоративной сети и реализации концепции контроля сетевого доступа (NAC) или сетевого доступа с нулевым доверием ZNTA. Продукт полностью соответствует требованиям российского законодательства.

В основу представленного решения положены VPN‑инструменты «С-Терра» и комплекс информационной безопасности САКУРА, созданный в «ИТ-Экспертиза». САКУРА позволяет контролировать состояние удалённых рабочих мест и других устройств в круглосуточном режиме и предотвращать последствия нарушения правил информационной безопасности.

Упрощенная схема решения / Источник изображения: «С-Терра СиЭсПи»

Совместное решение предназначено для организации защищённого удалённого доступа с проверкой политики безопасности пользовательских рабочих станций. Среди ключевых возможностей продукта названы: предоставление доступа к конфиденциальной информации только с проверенных устройств; оперативное реагирование на проблемы безопасности пользователя в реальном времени; профилирование устройства (в зависимости от результата проверки пользовательского АРМ выдаётся удалённый доступ к разным сетевым ресурсам).

«Интеграция продуктов САКУРА и С-Терра VPN даёт нашим заказчикам возможность реализовать уже ставшую стандартом в современных условиях концепцию ZTNA — выполнять проверку комплаенса безопасности и "на лету" управлять доступом рабочих мест к инфраструктуре организации в зависимости от соблюдения требований безопасности», — отмечают партнёры.

В решении сохранены все преимущества VPN-клиентов «С-Терра Клиент»/»С-Терра Клиент А» для удалённого доступа, в том числе интеграция с Active Directory через механизм xAuth и возможность использования двухфакторной аутентификации через одноразовые пароли, SMS или Telegram.

В эпоху новых платформ, когда даже HPC-задачи могут выполняться в облаке, значение технологий, обеспечивающих информационную безопасность как никогда велико. Однако и сами технологии ИТ-безопасности можно не просто ускорить с помощью сопроцессоров, но и предлагать их в качестве услуги.

Сама по себе изоляция сетевого стека от ОС и приложений не нова — ещё в 2006 году Bigfoot Networks представила первые адаптеры Killer NIC, где обработка трафика выполнялась на набортном процессоре с архитектурой PowerPС, который позволял также запускать и специфический набор приложений, полностью независимый от ЦП и не подверженный, таким образом, вирусным атакам со стороны заражённой хост-системы.

На тот момент идея особой популярности не снискала, однако за прошедшие 15 лет возможности и производительность современных «умных» сетевых карт выросли на порядки и в настоящее время мы видим ренессанс идеи на новом уровне. DPU/IPU уже никого не удивить, однако NVIDIA предлагает для них не просто реализацию подхода «нулевого доверия» (Zero Trust), но и значительное упрощение его внедрения с помощью SDK DOCA 1.2.

В качестве аппаратной основы для DOCA используются DPU серии BlueField, благо уже второе поколение этих решений обеспечивает линейные скорости 200 Гбит/с, поддержку RoCE, GPUDirect Storage и обработку трафика на уровне десятков миллионов пакетов в секунду. Новое, третье поколение BlueField будет ещё мощнее и поднимет скорость до 400 Гбит/с на порт — и это с полноценным шифрованием, аппаратным брандмауэром, продвинутой телеметрией, а также с поддержкой изоляции и контейнеризации микросервисов.

В DOCA NVIDIA унифицировала стандарты разработки ПО для собственных DPU, подобно тому, как она сделала это для CUDA. Разработка безопасных сетевых сред на базe BlueField стала не просто доступной, но и сделала возможным предоставление таких сред в качестве услуги. Такая услуга может полностью управлять доступом к ресурсам ЦОД, осуществлять валидацию всех пользователей и любых приложений + изолировать потенциально уязвимые системы и не давать возникшей ИТ-угрозе распространиться за пределы «карантинной зоны».

Релиз DOCA 1.2 дополняет обновлённый фреймворк NVIDIA Morpheus, предназначенный для разработки средств кибербезопасности с элементами машинного обучения. Благодаря этому комплексу ПО, DPU и EGX поведенческий анализ и детектирование угроз происходит в 600 раз быстрее, чем при исполнении на CPU. Инициативу уже поддержали такие крупные игроки на рынке сетевых средств безопасности, как Juniper Networks и Palo Alto Networks. Ранний доступ к NVIDIA DOCA 1.2 будет открыт 30 ноября, а Morpheus доступна уже сейчас.

Microsoft опубликовала результаты исследования в области кибербезопасности Zero Trust Adoption Report за 2021 год, посвящённого изучению отношения организаций к подходу Zero Trust («нулевого доверия»).

Модель безопасности «нулевого доверия» подразумевает возможность компрометации любой информации, что обуславливает необходимость проверки защищённости всех учётных записей, конечных точек, сети и других ресурсов на основе всех имеющихся данных. Модель опирается на ситуативное применение политик в режиме реального времени и предоставление минимального привилегированного доступа. Для быстрого обнаружения хакерских атак, а также их предотвращения и устранения последствий используются автоматизация и машинное обучение.

Основные выводы исследования:

• Подход Zero Trust стал главным приоритетом безопасности. 96 % респондентов, ответственных за обеспечение безопасности, подтвердили критически важную роль подхода Zero Trust для успеха их организации. Главными факторами, послужившими его внедрению участники опроса назвали большую гибкость в обеспечении безопасности и соответствии нормативным требованиям, повышенную скорость обнаружения и устранения угроз, а также простоту и доступность аналитики.
• Подход Zero Trust получает всё большее распространение и известность. 90 % респондентов осведомлены с особенностями подхода Zero Trust, а 76 % заняты его внедрением.
• Переход к гибридной работе также способствует внедрению подхода «нулевого доверия»: 81 % участников исследования уже начали переход к гибридному рабочему месту.
• Более половины опрошенных считают, что работают с опережением во внедрении подхода. 52 % опрошенных заявили, что работают с опережением планов по внедрению Zero Trust, а 57 % считают, что они опережают другие организации.
• Zero Trust является бизнес-приоритетом. Более половины респондентов прогнозируют рост реализации стратегии Zero Trust к 2023 году, а 73 % ожидают роста бюджета на её внедрение.