28.01.2015 | Ukraine

Развитие услуг безопасности операторов связи

Украинские операторы связи уже не первый год работают над тем, чтобы перестать быть просто «транспортом» для различного рода платного контента и платных сервисов. Ведь базовые услуги связи постепенно исчерпывают себя как источник стабильных доходов, а затраты операторов на эксплуатацию и развитие своих сетей все также велики и сплошь и рядом становятся больше. С целью улучшения финансовых показателей украинские операторы стремятся работать не только с массовыми пользователями, но и корпоративными клиентами.

Основное развитие сейчас направлено в сторону «облачных вычислений» – инфраструктура как сервис (IaaS), платформа как сервис (PaaS) и программное обеспечение как сервис (SaaS). Именно развитие «облачных вычислений» подняло новую волну пристального внимания к такому давно обсуждаемому на рынке информационной безопасности (ИБ) направлению, как аутсорсинг услуг информационной безопасности и управляемые услуги безопасности (Managed Security Services). Анализ ситуации с построением сервисов ИБ для корпоративных клиентов – предмет этой статьи.

Managed Security Services (MSS) – готовые решения в виде набора услуг по обеспечению информационной безопасности. Решение частично или полностью может располагаться на площадке сервис-провайдера (оператора) или абонента. Оператор гарантирует заданные параметры качества (SLA), а клиент может управлять набором услуг, контролировать соблюдение SLA, иметь постоянный доступ к отчетам, статистике, диагностической информации.

Перспективы развития облачных услуг безопасности очень велики: по прогнозу аналитических компаний мировой рынок MSSP (Managed Security Services Provider) достигнет $15 млрд. к 2016 году. Стоит отметить, что услуги безопасности особенно будут востребованы в сегменте SMB, который может занять 50% рынка. Аналитическая компания Frost & Sullivan сделала следующий прогноз развития рынка MSSP Северной Америки по вертикалям, см. рис. 1. Предпосылки для роста рынка MSSP следующие:

• Снижение затрат для клиентов
- OPEX – снижение затрат на 60-70%
- CAPEX – снижение затрат на 30-40%
- Быстрый ROI
• Квалифицированная техническая поддержка
- Защита в реальном времени и техническая поддержка 24x7
- Управление изменениями и отчетность
• Простое управление
- Управление сервисами
- Поддержка заданного уровня качества обслуживания


Рис. 1 – Общий объем рынка MSSP: прогноз по вертикальным рынкам Серной Америки, 2007-2015

С точки зрения архитектуры существует две основные модели предоставления услуг MSSP:

• СРЕ-модель. Оборудование защиты располагается на площадке у заказчика. Оператор полностью управляет и сопровождает эксплуатацию этого оборудования. Данная модель наиболее популярна на сегодняшний день.
• Облачная модель. Оборудование располагается на площадке у оператора, а клиенту предоставляется традиционный канал связи, очищенный от вирусов, спама, других угроз безопасности. Данная модель наиболее перспективна, ввиду простого и быстрого подключения клиента.

Услуги MSSP теоритически могут предоставить клиентам полный перечень традиционных методов защиты от известных угроз безопасности. Все оборудование, необходимое для организации комплексной защиты ИТ-инфраструктуры предприятия, можно заменить подпиской на услугу от оператора, см. рис. 2.


Рис. 2 – Варианты предоставления сервисов по модели MSSP

Производители оборудования всегда идут впереди рынка и предлагают решения, на базе которых операторы внедряют новые услуги. Интересное решение предлагает компания Fortinet на базе известных продуктов FortiGate/FortiMail/FortiDDoS. Комплексное решение позволяет реализовать широкий набор сервисов по облачной модели или СРЕ, рис. 3.


Рис. 3 – Перечень сервисов безопасности MSSP на базе решения FortiGate

Пример архитектуры решения Fortinet указан на рис. 4. Решение включает в себя не только оборудование защиты, но также полностью интегрированный портал обслуживания клиентов. Портал позволяет клиентам управлять политиками безопасности, либо оператор может частично участвовать в конфигурации клиентских сервисов. Каждый сервис может предоставляться и тарифицироваться отдельно в зависимости от выбранного пакета услуг.


Рис. 4 – Архитектура сервисов безопасности на базе решения Fortinet

Уникальные решения защиты от DDoS атак предлагают производители Arbor и Radware. Известен тот факт, что защититься от DDoS-атак на канал связи можно только со стороны оператора. Поэтому украинские провайдеры уже сегодня предоставляют такие востребованные услуги для своих корпоративных клиентов. Модель предоставления услуги очень гибкая – клиент может подписаться на услугу на постоянной основе либо временно, только в момент возникновения атаки. сервиса защиты от DDoS атак указана на рис. 5.


Рис. 5 – Архитектура сервиса защиты от DDoS-атак

Модель сервиса защиты от DDoS-атак может использовать СРЕ-устройство или работать из «облака» оператора. Облачный дизайн услуги предполагает защиту от атак в основном на сетевом уровне (flood TCP/ICMP/UDP), используя центр очистки. Центр очистки представляет собой комплекс устройств безопасности, способных обрабатывать большие объемы трафика (центр очистки Radware в точке обмена трафиком Ancotel способен отразить атаки 600 Гб/с). Оборудование центра очистки также включает в себя коллектор, который анализирует весь интернет-трафик оператора по протоколу xflow. На базе коллектора производится аналитика сетевого трафика, что позволяет определить атаки и аномалии в направлении на подсети корпоративных клиентов. После определения атаки коллектор перенаправляет с помощью BGP трафик атакуемого клиента через центр очистки, где отражается атака, рис. 6.


Рис. 6 – Защита от DDoS-атак используя центр очистки

Используя СРЕ-модель, заказчик получает возможность защищаться от DDoS-атак на уровне приложений. Атаки 7-го уровня «медленные» и направлены на исчерпание ресурсов серверов и приложений (HTTP, DNS, SIP). Определить атаки 7-го уровня с помощью коллектора очень сложно, поэтому более эффективно использовать СРЕ-устройства, особенно, если необходимо защищать шифрованный трафик. В случае возникновения атаки на канал, СРЕ-устройство сигнализирует в центр очистки, который по BGP перенаправляет трафик через центр очистки.

Обе модели используют портал обслуживания, который собирает всю статистику и формирует отчеты для клиентов. Работая через портал, клиенты могут самостоятельно активировать и конфигурировать политики безопасности, добавлять новые подсети и уровни защиты сервисов, активировать услугу по требованию.

Для того, чтобы новые сервисы принесли ожидаемый эффект, предлагаемый операторами портфель MSS, включая технические решения (платформы), схемы предоставления услуг и их поддержки, схемы расчетов между сторонами и т.д., должен обладать рядом свойств. Во-первых, обеспечивать хорошее качество базовых сервисов (эффективность решения выбранной платформой своих задач, точность срабатываний и т.д.) и достойные параметры SLA. Во-вторых, «продуктовый портфель» должен быть изменяемым с точки зрения состава и параметров сервисов, что позволит оператору всегда соответствовать потребностям рынка, а каждый сервис должен быть легко масштабируем. В-третьих, сервисы должны быть доступными и удобными для абонентов и самого оператора. Для абонентов важны быстрота, легкость подключения и регулирования параметров услуг, их оплаты, просмотра отчетов и т.д. Для оператора – быстрота и легкость добавления новых абонентов, автоматизация всех связанных с этим процессов, а также гибкость и прозрачность управления услугами, мониторинга их параметров и контроля качества.

Одним из направлений деятельности компании «ЭС ЭНД ТИ УКРАИНА» является информационная безопасность, в рамках которой специалисты компании разрабатывают, проектируют и интегрируют облачные решения безопасности MSSP. В этих решениях используются системы лидеров рынка Cisco, Radware, Fortinet.

Автор - Анатолий Шавловский