Решения Juniper в области сетевой безопасности можно условно разделить на две группы: по типу использования и по функциональному назначению систем. Первая группа включает продукты для защиты корпоративной сети, ресурсов центров обработки данных, ресурсов серверов приложений и, наконец, защиты инфраструктуры клиентов как сервис-провайдера.
Ко второй группе можно отнести решения для защиты периметра сети, виртуальной среды, веб-приложений и клиентских сетевых устройств. Также сюда входят унифицированный контроль доступа, управление компонентами и устройствами безопасности, мониторинг событий безопасности.
Многоуровневая структура операционной системы Junos
Защита периметра сети
Только чётко обозначив границы ответственности, очертив периметр, в пределах которого находятся защищаемые ресурсы, можно переходить к правилам, которые будут определять условия пересечения линий разграничения. В информационном пространстве такие границы часто размыты, а правила, по которым происходит обмен данными, выполнить не просто из-за их частой противоречивости и наличия большого числа анализируемых параметров. Перечисленные факты предъявляют высокие требования к функционалу граничных устройств и их производительности.
Структура системы защиты, обеспечивающей безопасность центров обработки данных и корпоративных сетей.
Шлюзы Services Gateway серии SRX для филиалов предприятия объединяют в одной платформе службы коммутации и маршрутизации трафика, трансляции сетевых адресов (NAT), обеспечивают требуемое качество обслуживания (QoS) и мониторинг производительности. Устройства позволяют выполнять безопасное объединение филиалов по шифрованным каналам (VPN) через глобальные сети, поддерживают унифицированное управление защитой от угроз (UTM).
Продукты Services Gateway SRX для центров обработки данных, в первую очередь, предназначены для защиты сетей крупных предприятий, поставщиков телекоммуникационных и сервисных услуг. В дополнение к общим функциональным характеристикам SRX-платформы данный класс устройств обладает уникальной масштабируемостью и производительностью, позволяет проводить потоковую обработку трафика. За счёт модульной архитектуры имеется возможность гибкого наращивания вычислительных и коммуникационных ресурсов платформы, не прерывая работы. Такие характеристики обеспечивают рост сетевой инфраструктуры без ухудшения безопасности, способствуют быстрому развёртыванию управляемых услуг и объединённым решениям по безопасности.
Подсистема AppSecure позволяет выполнять классификацию и идентификацию сетевых приложений для проведения глубокого анализа поведения и поиска уязвимости приложений.
Подсистема AppSecure содержит в своём составе пять логических модулей, которые совместно реализуют комплексный подход к защите сети и управлению политиками безопасности шлюзов серии SRX. Посредством модуля AppTrack осуществляется комплексный анализ данных для получения подробной информации о типах сетевых приложений и их классификации по уровням риска, идентификаторам пользователей, зонам, адресам отправителей и получателей, объёмам переданной информации. Данный модуль используется для оценки соответствия проходящего трафика разрешённым политикам, формирования правил управления полосой пропускания и сбора статистики об активности пользователей и приложений.
Для формирования подробных правил управления трафиком на основе названия приложения или названия группы динамически загружаемых приложений используется модуль AppFW. Для упрощения правил и определения дальнейших действий в отношении анализируемого трафика применяются разрешительные и ограничительные списки приложений.
Стоит отметить, что AppDoS умеет распознавать и отделять вредоносный трафик злоумышленников от нормального трафика, тем самым эффективно предотвращая атаки типа «отказ в обслуживании» (DoS). Многоуровневый алгоритм модуля распознает аномалии в поведении сетевого трафика, сигнализирующие о DoS-атаках, выдаёт предупреждения, блокирует IP-адреса, полностью разъединяет не отвечающие правилам сессии и отбрасывает нестандартные пакеты.
Защита виртуальной среды
Для обеспечения безопасности виртуальных центров обработки данных и облачных служб используется решение Virtual Gateway (vGW), которое защищает виртуальную сетевую инфраструктуру, обеспечивая максимальную масштабируемость и производительность. В этом решении межсетевой экран на основе гипервизора содержит интегрированную систему обнаружения вторжений (IDS), средства антивирусной защиты для виртуальных сред (AV) и средства отслеживания соответствия стандартам сетевого взаимодействия.
Групповые политики создаются по результатам анализа данных, полученных при взаимодействии подсистем VM Introspection и vCenter, и обеспечивают защиту определённых типов виртуальных машин. Так же подсистема VM Introspection обеспечивает полную визуализацию сетевого трафика, передаваемого между виртуальными машинами, что позволяет выполнять полную инвентаризацию параметров виртуальных машин или групп виртуальных машин, включая настройки виртуальных сетей. Кроме того, подсистема позволяет получить подробные сведения о состоянии каждой виртуальной машины, включая тип операционной системы и перечень установленных приложений.
В статье были затронуты лишь самые важные решения для обеспечения безопасности ЦОД. Более подробный обзор – предмет будущих публикаций.