С момента появления на телекоммуникационном рынке блейд-серверов прошло десять лет. На протяжении этого времени ежегодно инновационная блейд-архитектура аппаратного обеспечения отвоевывала в свою пользу доли рынка у традиционных серверных решений. Позитивная реакция рынка на появление концепции блейдов объясняется просто: унификация компонентов, простота и единство систем управления, высокая плотность вычислительных ресурсов, высокая скорость межсерверных каналов связи, уменьшение стоимости инженерной инфраструктуры, снижение квалификационных требований к персоналу эксплуатации — все эти качества обеспечили блейд-серверам очень высокие шансы на успех в состязании с классическими системами.

Концепция блейдов в аппаратном исполнении оказалась настолько хороша, что ее воплощение в программной реализации было лишь вопросом времени. В области информационной безопасности такой идеей не преминули воспользоваться архитекторы и разработчики компании Check Point. В начале 2009 года компания анонсировала архитектуру безопасности Software Blades («программные блейды»), послужившую основой для линеек программных продуктов. Она представляет собой строительную площадку для создания комплексной системы безопасности предприятия любого масштаба и профиля. Главная цель, которую преследовали создатели новой платформы, заключалась в том, чтобы повысить уровень защиты информационных ресурсов за счет унификации требований к условиям внедрения и сопровождения компонентов инфраструктуры.

В мягком воплощении

В основе инициативы Check Point Software Blades лежит идея, реализованная аппаратно в блейд-серверах стандартной архитектуры x86. Ее воплощение в архитектуре Software Blades заключалось в моделировании программного «шасси», которое может заполняться соответствующими программными блейд-модулями по мере возникновения необходимости в более высокой производительности или расширении функционала. Такой подход позволяет осуществлять развитие комплексной системы ИБ в долгосрочной перспективе: производительность единой платформы можно увеличивать шаг за шагом, добавляя требуемый функционал. С появлением новых блейдов в программном «шасси» не только наращивается функционал всей системы ИБ — новые функции немедленно переносятся в привычную для администраторов единую консоль управления.

«В модульной блейд-архитектуре легко и удобно формировать политики безопасности, — комментирует Дмитрий Захаренко, заместитель начальника отдела систем ИБ „Корпорации ЮНИ“. — При работе с единой консолью меньше шансов допустить ошибку, а при появлении новых функций управления такой системой не придется обучать администраторов или нанимать новых».

Работа с консолью, которая развивается одним вендором, проста: для включения на шлюзе функционала антивируса или URL-фильтрации достаточно одной пометки в системе выбора. Модуль протоколирования позволяет сохранять и просматривать журнальные файлы, а функционал корреляции событий — распознавать злонамеренные шаблоны.

«Инициатива Software Blades — это не продукт, а архитектура, — подчеркивает Антон Разумов, инженер в области систем безопасности компании Check Point. — На ее основе здание системы безопасности строится шаг за шагом, из программных „кирпичиков“. Такое решение позволяет легко его наращивать, поскольку в арсенале Check Point существует более двух десятков тщательно „подогнанных“ программных модулей (продукты линеек Power, UTM), из которых, как из строительных блоков, можно быстро и эффективно возводить комплексную систему безопасности». Эти модули обеспечивают функции межсетевого экранирования, фильтрации, управления.

Круг задач, которые решает новая платформа, охватывает три основные области: управление защитой периметра, внутренней зоной сети и обеспечение безопасности в режиме удаленного доступа. Для каждого из направлений разработан набор функциональных модулей. Так, например, в рамках одного клиента можно интегрировать целый набор требуемых функций — антивирус, antispyware, межсетевой экран, шифрование удаленного доступа, подключение периферийных устройств, шифрование жесткого диска и проч. Для удаленного доступа существует специализированный программный блейд, позволяющий подключать корпоративные ноутбуки с предустановленным программным обеспечением в удаленном режиме.

Аппаратная реализация

Существует и аппаратное воплощение программной инициативы Software Blades — в продуктах UTM-1 и Power-1. Эти решения выполнены на базе стандартной архитектуры x86 и работают под управлением операционной системы Secure Platform на базе ОС Linux, которая позволяет, помимо функций по безопасности, решать еще ряд вопросов, связанных с распределением нагрузки между процессорными модулями и резервированием каналов связи. Secure Platform специально оптимизирована для работы с межсетевым экраном Check Point. Подготовленный администратор сможет с комфортом воспользоваться всеми преимуществами операционной среды, а не имеющий соответствующих навыков специалист не испытает неудобств благодаря возможности работать в универсальной открытой архитектуре и наличию привычного веб-интерфейса, с помощью которого можно выполнить все необходимые настройки.

Вывод на рынок UTM-1 и Power-1 связан с интересом определенного круга заказчиков к решению «из одной коробки»: за небольшие деньги они получают серверную платформу и уже готовый к использованию межсетевой экран с определенным набором функций, которые можно варьировать в зависимости от потребностей, в рамках идеологии Software Blades. Такой продукт легко настраивается: в течение одного-полутора часов он может быть полностью подготовлен к работе.

Новые функции

Помимо блейдов, реализующих традиционные функции шлюзов безопасности или системы обнаружения вторжений, в архитектуре Software Blades создано несколько принципиально новых функциональных модулей. Один из них, Blade Provisioning, служит для поддержания работоспособности устройств Check Point. В крупной распределенной корпоративной сети десятки устройств могут быть установлены по разным регионам. В этом случае управление политиками доступа осуществляется, как правило, централизованно. Прежде, если возникала необходимость изменить настройки DNS-сервера, сетевых интерфейсов, записи в таблицы маршрутизации, NTP и иные настройки ОС, приходилось делать это удаленно, вручную на каждой машине. Рано или поздно наступает момент, когда машин становится слишком много, и такие рутинные операции довольно трудоемки, а установка этого модуля избавит администратора от необходимости настраивать вручную каждое устройство безопасности в сети. Blade Provisioning позволяет централизованно автоматически управлять настройками операционных систем, в том числе касающимися резервного копирования, восстановления и сбора статистики. Фактически с помощью Provisioning Blade несколько устройств объединяются в профиль, на который единообразно вносятся все изменения.

Для разделения полномочий администраторов в рамках архитектуры Software Blades реализован новый блейд-модуль Smart WorkFlow. С использованием этого продукта появилась возможность контролировать действия администратора, согласовывать их с другими администраторами, вышестоящим менеджментом или офицером безопасности, с тем чтобы принимаемое администратором решение не шло вразрез с общей политикой безопасности компании. Иными словами, если раньше все действия администраторов можно было проанализировать постфактум, после возникновения какой-то проблемы, то теперь Software Blades разделяет зоны ответственности администраторов, исключая единую точку отказа. В крупных компаниях, когда количество правил безопасности превышает несколько сотен, а процедура внесения изменений весьма трудоемка, потребность в этом продукте очевидна.

Еще один специализированный модуль Web Security Blade, помимо базовых проверок трафика, обеспечивает дополнительную защиту веб-серверов. В таких решениях нуждаются крупные компании, для которых критически важен доступ к базам данных через веб-интерфейс.

Реальная безопасность в виртуальной среде

Для обеспечения безопасности работы в популярной сегодня виртуальной инфраструктуре в рамках архитектуры Software Blades создан специальный модуль VE (Virtual Environment). При необходимости для работы в виртуальной среде можно активировать межсетевой экран, антивирус, URL-фильтрацию, модуль трансляции адресов, встроенную систему предотвращения атак, антиспам: эти функции можно активировать как по отдельности, так и вместе, установив соответствующие модули фактически поверх гипервизора ESX. С точки зрения системы управления неважно, как осуществляется контроль: физическим аппаратным комплексом либо виртуальным шлюзом. Главное, что это единая точка входа для администратора, с единой политикой безопасности и мониторинга.

Виртуализацию системы безопасности обеспечивает решение Check Point VSX: на одном аппаратном устройстве можно реализовать десятки и даже сотни виртуальных устройств — межсетевых экранов, коммутаторов, маршрутизаторов и т. д. Управление этой виртуальной инфраструктурой безопасности осуществляется из единой консоли. Такое решение предпочтительно в компании, где требуется разделение политик безопасности для разных подразделений. Каждой организационной структуре может быть выделен не только собственный межсетевой экран, но и способ управления именно его политикой безопасности. Множество виртуальных серверов управления безопасностью, функционирующих на одном физическом устройстве, остается под централизованным контролем, с возможностью наложить дополнительные ограничения (например из центра на филиалы).

Решения Check Point присутствуют практически на всех уровнях защиты и во всех ее аспектах: обеспечение безопасности пользователей, данных, защиты периметра, внутренней зоны сети, защиты крупных организаций, дата-центров, специализированных сервис-провайдеров. Помимо высокопроизводительных решений для крупных заказчиков, в продуктовой линейке Check Point есть и полнофункциональные системы для небольших компаний, с незначительным объемом трафика.

Идеологически все продукты Check Point — как собственной разработки, так и приобретенные — стремятся к интеграции в единую консоль для удобства администрирования. Признание рынком стратегии Check Point подтверждает тот факт, что 100% компаний из списка Fortune Top 100 являются приверженцами подхода этого разработчика к обеспечению комплексной безопасности.