Как защитить корпоративный интернет: возможности Secure Web Gateway
Узнать большеКомпании любого масштаба всё чаще задумываются о защите своих внутренних веб-ресурсов, особенно если к ним необходимо предоставить доступ из внешних сетей — например, для удалённых сотрудников или подрядчиков. Такой доступ может нести серьёзные риски: несанкционированное подключение, атаки со стороны злоумышленников, утечки конфиденциальной информации. Особенно уязвимыми становятся корпоративные данные, если сотрудники работают с ними вне периметра защищённой сети. Чтобы минимизировать угрозы и обеспечить безопасность взаимодействия с внутренними системами, всё чаще применяется технология реверс-прокси — надёжный инструмент для контроля доступа и фильтрации входящего трафика.
Что такое реверс-прокси, чем отличается от прямого прокси
Начнем с понятия прокси-сервера. Это так называемый посредник между пользователем и ресурсом, скрывающий настоящий IP-адрес веб-сервера, анализирующий запросы и фильтрующий передаваемые пакеты данных. Причем пользователи зачастую не подозревают о существовании такого «барьера», думая, что обращаются к веб-серверу напрямую.
Среди основных видов прокси-серверов выделяют прямой и обратный (реверс-прокси), которые выполняют разные функции в зависимости от точки размещения в сети и задач бизнеса.
Прямой прокси находится между клиентом и интернетом, перехватывает запросы и перенаправляет их на целевые веб-ресурсы, при этом может скрывать IP-адрес клиента. То есть ни один запрос напрямую не поступает к веб-серверу — все проходят через прокси.
Реверс-прокси также играет роль посредника и пропускает через себя запросы, но находится между клиентом и внутренними серверами компании, обрабатывая входящие запросы извне и предоставляя доступ только к разрешённым внутренним ресурсам.
Еще одно различие — прямой прокси обеспечивает конфиденциальность пользователей при использовании интернета, обратный — конфиденциальность внутренних веб-серверов.
Ключевые функции реверс-прокси:
- Обеспечение авторизации удаленных пользователей при попытках доступа к корпоративным ресурсам.
- Контроль доступа к внутренним веб-сервисам с целью предотвращения несанкционированного использования корпоративных ресурсов, утечки конфиденциальной информации.
- Усиление информационной безопасности путем сокрытия реальных IP-адресов конкретных серверов и данных о внутренней инфраструктуре.
- Контроль действий в Outlook Web Access, включая загрузку и выгрузку файлов, в интеграции с DLP-системой.
- Обеспечение балансировки нагрузки.
- Кэширование содержимого запросов с целью повышения производительности сетей и ускорения загрузки страниц ресурсов.
Стоит отметить, что прямой и обратный прокси не заменяют друг друга, а скорее дополняют. Многие компании используют эти технологии для комплексного управления трафиком и защиты веб-ресурсов. Solar webProxy реализует как прямую, так и обратную проксируемость в рамках единой политики фильтрации, обеспечивая контроль трафика как от внутренних пользователей в интернет, так и от внешних пользователей ко внутренним системам. Также система выполняет задачи по разграничению доступа в интернет и дает возможность составить полную картину активности сотрудников в сети.
Зачем компаниям реверс-прокси
Обратный прокси используется, если компании нужно:
- Организовать безопасную работу удаленных сотрудников с корпоративными системами.
- С целью предотвращения утечек контролировать, какие файлы загружаются и выгружаются удаленными сотрудниками.
- Организовать централизованный мониторинг активности пользователей, связанной с корпоративными веб-ресурсами.
Solar webProxy может работать в режиме обратного прокси, что позволяет контролировать контролировать трафик, поступающий от внешних пользователей ко внутренним ресурсам, и блокировать попытки выгрузки файлов с конфиденциальной информацией. Эта функция очень важна для всех компаний, которые публикуют внутренние веб-ресурсы «наружу».
Принцип работы реверс-прокси в составе SWG-системы для контроля трафика
Если коротко описать механизм работы SWG-системы в режиме обратного прокси, то он будет выглядеть так:
- Обработка входящих запросов. Когда к опубликованному внутреннему веб-ресурсу обращается пользователь, находящийся вне корпоративной сети, запрос проходит через реверс-прокси. Происходит авторизация клиента и проверка запрашиваемых из локальной сети данных. Пока запрос не будет обработан и одобрен, пользователь не получит доступ к ресурсу, к которому обращается.
- Фильтрация данных. Все выгружаемые файлы по ключевым словам или атрибутам проверяются на наличие конфиденциальной информации. Если обнаруживаются нарушения политик безопасности, доступ к выгрузке блокируется. Если SWG-система работает в интеграции с DLP-решением, то может передать информацию туда для дальнейшего анализа.
Трафик, проходящий через модуль обратного прокси, получает соответствующую маркировку, отображающуюся в интерфейсе системы и в логах.
Преимущества реверс-прокси в Solar webProxy
Какие сильные стороны работы Solar webProxy в режиме обратного прокси можно выделить:
- Поддержка удаленной работы с корпоративными веб-ресурсами. Реверс-прокси позволяет безопасно публиковать внутренние ресурсы для доступа внешних пользователей.
- Быстрая интеграция. Режим обратного прокси-сервера не требует дополнительных настроек при наличии уже созданных политик фильтрации — они будут общими как для прямого, так и для обратного режима работы SWG-системы.
- Поддержка SSL-терминации: Solar webProxy способен расшифровывать трафик HTTPS, что позволяет проверять содержимое зашифрованных запросов и применять политики безопасности, включая контроль по ключевым словам.
- Высокая производительность. Система справляется с большими объемами трафика без снижения скорости обработки.
- Выполнение функции распределения каналов передачи данных между серверами для быстрого доступа к информации.
- Удобство мониторинга. Все события легко анализируются через веб-интерфейс Solar webProxy.
Отдельно отметим общие преимущества Solar webProxy для безопасного использования интернета и защиты корпоративных веб-ресурсов:
- Возможность работать в режиме высоких нагрузок и выполнять задачи крупного бизнеса.
- Быстрый запуск SWG-системы в эксплуатацию — уже после первичных настроек и задания политик фильтрации система начинает обрабатывать трафик сотрудников в соответствии с заданными правилами..
- Централизованное управление геораспределенными инсталляциями с помощью модуля MultiProxy.
- Возможность создавать сложные правила для работы в интернете и доступа ко внутренним веб-ресурсам.
- Наличие сертификата ФСТЭК России по профилю защиты ИТ.МЭ.Б4.ПЗ, возможность использования в рамках импортозамещения.
Широкие возможности интернет-шлюза Solar webProxy позволяют предотвращать утечки, минимизировать риски веб-угроз и соблюдать требования отраслевых регуляторов в части защиты конфиденциальных данных.
