- tocdepth
2
Межсетевой экран в облаке Cloud.ru
Межсетевой экран (Firewall) защищает сегменты сети или отдельные хосты от несанкционированного доступа, который возможен из-за уязвимостей в протоколах сетевой модели OSI или в программном обеспечении, используемом внутри контура клиента.
В качестве базового межсетевого экрана для контроля потоков данных на периметре и внутри него можно использовать средства виртуального межсетевого экрана из состава платформы виртуализации. Сервис выполняет фильтрацию трафика между:
виртуальными серверами внутри облака (East–West);
сетями клиента;
внешними сетями (North-South).
Для комплексной фильтрации передаваемых данных предлагается использовать NGFW на базе UserGate — межсетевой экран следующего поколения с дополнительными функциями:
глубокая инспекция протоколов;
предотвращение вторжений;
выявление сетевых аномалий;
управление политиками на уровне приложений и пользователей.
NGFW обеспечивает возможность категоризации сайтов и анализ содержимого для управления доступом к веб-ресурсам.
В качестве дополнительной технической меры по сетевой безопасности настоятельно рекомендуется реализовать сетевую сегментацию для компонентов информационной системы, размещенной в облаке Cloud.ru. В том числе — сегментирование по разным Virtual Private Cloud (VPC) при наличии такой потребности. Необходимо обеспечить контроль потоков данных между сегментами с использованием NGFW на базе UserGate или виртуального межсетевого экрана из состава платформы виртуализации.
Подсказка
При формировании правил межсетевого экрана придерживайтесь принципа минимальных привилегий — разрешайте только необходимые и достаточные взаимодействия. Особое внимание уделите фильтрации по источнику для соединений, направленных в административный контур.
Для выполнения нормативных требований средствами межсетевого экрана можно использовать сертифицированную ФСТЭК-версию NGFW на базе UserGate.
для Dev & Test