Введение
С развитием технологий и переходом к цифровой экономике маркетплейсы становятся одними из ключевых элементов бизнес-инфраструктуры. Однако, с ростом значимости электронной коммерции, возрастает и риск потери конфиденциальной информации, атак со стороны злоумышленников и т.д. Надо отметить, что в отрасли E-commerce озаботились проблемой информационной безопасности не так уж и давно. Ранее проблемы кибератак волновали банки, телеком операторов, крупные корпорации и т.д. Но в последнее время угрозы информационной безопасности стали реализовываться и в секторе электронной коммерции. Ниже отметим типовые угрозы, которые характерны для маркетплейсов.
- Кража конфиденциальных данных. Маркетплейсы содержат большое количество личной и финансовой информации о пользователях, продавцах и компаниях. Атаки на маркетплейсы направлены на похищение этих данных с целью последующего их использования или продажи на черном рынке.
- Финансовые мошенничества. Необходимость проведения финансовых операций на маркетплейсах открывает двери для мошеннических схем, включая виртуальные мошенничества, возвраты средств и манипуляции с платежными системами.
- Доступ к бизнес-данным. Многие маркетплейсы объединяют продавцов и покупателей, предоставляя им доступ к бизнес-данным. Нарушение безопасности может привести к утечкам коммерческой информации, включая стратегии продаж и планы развития.
Одной из основных угроз для маркетплейсов являются атаки на сетевой периметр. Эти атаки могут осуществляться с целью кражи конфиденциальной информации, таких как данные пользователей, или для нарушения работы системы. Межсетевые экраны (МЭ) являются одним из основных способов защиты сетевого периметра от таких атак.
Ранее многие маркетплейсы использовали импортное оборудование для защиты сетевого периметра. Однако, в связи с изменением геополитической ситуации, многие производители импортного оборудования перестали обслуживать свои решения на территории России. Это создало необходимость в переходе на российские МЭ в рамках программы импортозамещения.
К примеру, темой данной статьи послужил кейс по замене импортных межсетевых экранов FortiGate 200 и FortiGate 400 на российское оборудование, так как компания FortiGate прекратила обслуживание данной техники на территории РФ.
Далее рассмотрим основные технические характеристики МЭ, которые и послужили критериями выбора решения для маркетплейса.
Характеристики FortiGate
Fortinet FortiGate 200F
— Пропускная способность: 27 Гбит/с,
— Пропускная способность IPS: 5 Гбит/с,
— Пропускная способность NGFW: 3.5 Гбит/с,
Fortinet FortiGate 400E
— Пропускная способность: 32 Гбит/с,
— Пропускная способность IPS: 7,8 Гбит/с,
— Пропускная способность NGFW: 6 Гбит/с,
Критерии выбора МЭ
Сложность защиты от угроз ИБ маркетплейсов заключается в следующих факторах:
— Большой объем данных. Маркетплейсы хранят и обрабатывают большие объемы данных, включая персональные данные пользователей, информацию о транзакциях и т. д. Эти данные представляют собой ценный актив для злоумышленников.
— Сложность архитектуры. Маркетплейсы имеют сложную архитектуру, которая включает в себя различные компоненты, такие как веб-серверы, базы данных, системы хранения данных и т. д. Это затрудняет обеспечение безопасности всей системы.
— Большое количество пользователей. Маркетплейсы обслуживают большое количество пользователей, что увеличивает вероятность того, что кто-то из них будет атакован, например, продавцы, которые размещают товары на маркетплейсах.
С учетом вышеприведенных факторов необходимо подойти к формированию критериев выбора отечественного межсетевого экрана.
VPN. Расширенные опции.
Итак, первый фактор, который нужно учесть при выборе МЭ — это VPN.
Туннелирование позволяет передавать трафик через защищенные каналы. Туннелирование используется в VPN-технологиях для обеспечения безопасности трафика. Маркетплейсы часто применяют VPN для подключения удаленных офисов, филиалов и сотрудников. МЭ должен поддерживать все необходимые протоколы и алгоритмы шифрования для обеспечения безопасной работы VPN. Основное требование при подборе решения для маркетплейса — это VPN с большим набором опций. К примеру, необходима такая опция, как SSL VPN.
SSL VPN (Secure Sockets Layer Virtual Private Network):
- Плюсы:
- Позволяет пользователям безопасно подключаться к корпоративным ресурсам через шифрованный туннель, используя веб-браузер, что упрощает настройку.
- Не требует установки клиентских приложений на устройствах пользователей (за исключением некоторых случаев).
- Часто используется для предоставления доступа к веб-приложениям и сервисам.
- Минусы:
- Может страдать от ограничений веб-браузеров, таких как поддержка определённых плагинов и апплетов.
- Некоторые корпоративные приложения могут быть несовместимы с SSL VPN без дополнительной настройки.
Конечно же, МЭ должен поддерживать такой стандартный протокол, как L2TP/IPsec. Это тип протокола VPN, который сочетает в себе протокол туннелирования уровня 2 (L2TP) и протокол безопасности интернет-протокола (IPsec).
IPSec — это протокол, который обеспечивает шифрование и аутентификацию трафика на уровне IP, он применяется для организации VPN-соединений.
- Плюсы:
- Одна из самых безопасных опций благодаря сочетанию L2TP (для создания туннеля) и IPsec (для шифрования данных).
- Поддерживается большинством платформ и устройств без необходимости установки дополнительного программного обеспечения.
- Минусы:
- Настройка и налаживание работы может быть сложнее по сравнению с SSL VPN.
- Использование строгой NAT может вызвать проблемы с подключением.IPSec поддерживает два режима работы:
— Policy-based: в этом режиме правила фильтрации трафика задаются на основе политики безопасности.
— Route-based: в этом режиме правила фильтрации трафика задаются на основе маршрутов.
Для защиты маркетплейсов рекомендуется использовать режим Policy-based, который позволяет более гибко настроить правила фильтрации трафика, но и режим Route-based также должен быть реализован в выбираемом МЭ.
Дополнительно необходимо, чтобы МЭ поддерживал режим Site-to-site VPN. Это технология, которая позволяет создавать VPN-соединения между двумя точками. Site-to-site VPN часто используется в маркетплейсах для подключения к поставщикам и партнерам. В общем, это отличный способ защитить бизнес-данные внутри маркетплейса.
Site-to-site VPN требует поддержки следующих функций межсетевого экрана:
— Поддержка протокола IPSec для аутентификации и шифрования трафика VPN.
— Поддержка протокола BGP (Border Gateway Protocol) для обмена маршрутами между VPN-узлами.
Для расширения возможностей протокола IPsec, применяется протокол GRE, настроенный поверх IPsec. Протокол GRE производит инкапсуляцию сетевых пакетов в IP-пакеты, что разрешает передавать по IPsec-протоколу любой трафик.
Еще один интересный режим, который хотелось бы видеть реализованным в отечественных МЭ — это DMVPN (Dynamic Multipoint VPN). Это технология, которая позволяет создавать VPN-сети с динамической маршрутизацией. DMVPN часто используется в маркетплейсах для подключения удаленных точек продаж и складов. DMVPN требует поддержки следующих функций межсетевого экрана:
— Поддержка протокола GRE (Generic Routing Encapsulation) для создания туннелей VPN.
— Поддержка протокола IKE (Internet Key Exchange) для аутентификации и шифрования трафика VPN.
— Поддержка протокола NHRP (Next Hop Resolution Protocol) для определения маршрута через VPN-туннели.
Также должны поддерживаться протоколы динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP.
Аутентификация сообщений IKE используется для защиты VPN-соединений от подделки. Для защиты маркетплейсов рекомендуется использовать алгоритмы аутентификации SHA-2, которые обеспечивают более высокий уровень безопасности, чем MD5 и SHA-1. Однако, хороший МЭ должен поддерживать все три алгоритма аутентификации сообщений IKE: MD5, SHA-1, SHA-2.
Алгоритмы шифрования DES, 3DES, AES, Blowfish, Camelia используются для защиты трафика VPN от несанкционированного доступа. Это еще один критерий выбора МЭ для маркетплейса.
Firewall, режим L3.
Межсетевой экран может работать в L2 и L3 режиме (выполнять коммутацию или маршрутизацию соответственно). В L2 режиме МЭ практически не заметен для серверов и другого оборудования (ставится в разрыв кабеля как обычный мост/коммутатор). В L3 режиме появляется дополнительный переход через маршрутизатор (hop). Современные межсетевые экраны могут заниматься маршрутизацией (поддерживать большое число протоколов динамической маршрутизации). В целом хотелось бы, чтобы межсетевой экран имел продвинутые и надежные сетевые опции.
- Плюсы:
- Основан на фильтрации пакетов данных на сетевом (третьем) уровне модели OSI, что позволяет управлять трафиком по IP-адресам и портам.
- Может масштабироваться для обработки больших объемов трафика с минимальным воздействием на производительность.
- Прост в настройке и управлении по сравнению с фаерволами более высоких уровней.
- Минусы:
- Не распознает прикладные протоколы, что ограничивает глубину анализа трафика.
- Не может защищать от угроз, которые не дифференцируются только на основании IP-адресов и портов.
Система обнаружения вторжений (СОВ).
Наличие системы IDS/IPS является дополнительным плюсом, но это не обязательный параметр при выборе МЭ. Система обнаружения вторжений (Intrusion Detection System, IDS) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими, в основном через Интернет.
- Плюсы:
- IDS мониторит трафик и выдает предупреждения при обнаружении подозрительной активности.
- IPS работает активно, блокируя атаки в реальном времени и предотвращая потенциальный ущерб.
- Комбинация этих систем предлагает глубокий анализ пакетов и поведенческое мониторинг для распознавания и реагирования на сложные угрозы.
- Минусы:
- Ошибки настройки могут привести к ложным срабатываниям (false positives) или пропуску атаки (false negatives).
- Высокие затраты на изначальную настройку и постоянное обновление сигнатур и политик обнаружения.
- Могут требоваться значительные вычислительные ресурсы и специализированное оборудование для обработки высоких скоростей сетевого трафика.
Вышеперечисленные опции и параметры были приняты как наиболее важные при выборе отечественного МЭ для маркетплейса. При выборе рассматривались решения, которые на настоящий момент доступны в Реестре Минпромторга. Этот документ помогает при выборе аналогов импортной продукции.
Выбираем отечественные решения
Итак, в первичном отборе для маркетплейса участвовали решения следующих российских производителей: Код Безопасности, UserGate, Diamond, Ideco, С-Терра, Рубикон, Numa, Элтекс.
Первичный отбор прошли следующие модели:
- Код Безопасности: IPC-R300 и IPC-R550, 800, 1000.
- UserGate: C100, С150, D200, D500, Е1000.
- Diamond: серии 4000, 5000.
- Ideco: Ideco MX cert, Ideco LX+, Ideco MX 2 cert, Ideco LX+.
- С-Терра: Шлюз 200, Шлюз 1000, Шлюз 3000.
- Эшелон: Рубикон-K mini,
- Элтекс: ESR 30, ESR 3200, ESR-1000, ESR 3200.
- Numa: Edge 100R, Edge 180R, Edge 1100, Edge 2000, Edge 3000.
Для технического теста специалисты отобрали решения от Элтекс и С-Терра, так как они лучше всего подошли по выставленному техническому заданию.
В общем, как показали результаты тестирования, решения от С-Терра и Элтекс могут частично заменить МЭ FortiGate в рамках поставленных задач. В практической работе технические специалисты отметили межсетевые экраны Элтекс за более «легкую» систему управления, они просты в настройке и обслуживании. С-Терра более «тяжела», однако и гибкости в ней больше.
Выводы
Что же делать, когда импортное оборудование перестал поддерживать производитель? Значит назрела необходимость перехода на отечественные решения. В данной статье изложен практический кейс по переходу на отечественные МЭ для защиты маркетплейса. Если резюмировать данный опыт, то можно составить простой алгоритм по переходу на российские решения.
1) Задать технические критерии, которые требуются для оборудования (или ПО), которое будет защищать вашу компанию.
2) Составить таблицу с техническими параметрами на основе данных критериев.
3) Заглянуть в Реестр Минпромторга и посмотреть, какие решения отечественных производителей подходят вам.
4) Проанализировать технические характеристики этих решений.
5) Подобрать необходимые решения для теста.
6) Провести тест отобранных решений и выбрать подходящее для вашей компании.
7) Заказать необходимое решение у поставщика/интегратора
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: