К 2026 году в Zscaler нет каких‑то уникальных технологий, которых нельзя встретить в других продуктах. По сути, это просто очень удачно собранный и упакованный набор сервисов, который удобно потреблять как SaaS. Проблема в том, что повторить тот же набор возможностей в собственной инфраструктуре — задача нетривиальная: нужны и компетенции, и ресурсы, и бюджет, который для многих компаний оказывается избыточным.
В какой‑то момент наша команда оказались в ситуации, когда нужно было обеспечить непрерывность сервисов для заказчиков в РФ, у которых уже был Zscaler. Это заставило нас пересобрать подход: выделить действительно критичный функционал и понять, как его можно реализовать альтернативным способом.
В этой статье разберу один из вариантов, к которому мы в итоге пришли. Сразу оговорюсь: полную замены Zscaler мы не делали — но закрыть значимую часть задач оказалось вполне реально.
Введение
Концепция SASE
Концепция Secure Access Service Edge — модель сетевой безопасности, при которой средства защиты и сетевые технологии поставляются в виде облачных сервисов от одного провайдера (MSSP или Managed Security Service Provider). Была введена компанией Gartner в 2019 году, чтобы отразить текущее положение рынка ключевых продуктов в области информационной безопасности — все крупные мировые вендоры стали производить продукты способные работать в виде облака (частного или публичного), а некоторые и вовсе отказались от «on‑prem» продуктов.
Можно выделить самые важные компоненты SASE:
Сеть как сервис (SD‑WAN) — часто является транспортной основой
Межсетевой экран как сервис
Прокси как сервис
DLP как сервис
ZTNA (Концепция доступа нулевого доверия)
Zscaler
Zscaler — американская компания в сфере облачной безопасности, уже много лет признанный лидер в своей области. Компания поставляет решения с использованием бизнес‑модели типа «программное обеспечение как услуга» в виде подписки для доступа к облачной платформе вместе с соответствующими услугами поддержки.
Наиболее популярные облачные продукты zscaler, используемые нашими заказчиками:
Zscaler Internet Access (ZIA) — платформа кибербезопасности, аналог прокси сервера;
Zscaler Private Access (ZPA) — позиционируется как альтернатива VPN, но используется концепция ZTA (Zero Trust Access).
Zscaler Internet Access предоставляет такие востребованные функции как фильтрация веб‑трафика: на основе параметров (URL, браузер, пользователь, категории и др.) происходит проверка антивирусом и SSL‑инспекция (расшифровка) трафика. Наряду с традиционными возможностями стандартного прокси, Zscaler предоставляет богатый набор инструментов и технологий, таких как контроль облачных приложений, предотвращение утечек информации, межсетевой экран, безопасность мобильных устройств, песочница, защита от атак нулевого дня и другие.
Zscaler Private Access менее известен, так как концепция ZTA только набирает обороты в мире и России. Часто сервис используется как классический VPN без полноценного функционала «нулевого доверия».
Очевидные плюсы, которые привлекают бизнес в продуктах Zscaler, обычно следующие:
понятная и простая подписочная модель (только OPEX);
быстрое внедрение и масштабирование без капитальных затрат (нет CAPEX);
высокая скорость и низкая задержка трафика за счет использования ближайших шлюзов, расположенных по всему миру;
богатый функционал и возможностей интеграций с другими продуктами;
высокая производительность и отказоустойчивость;
легкая управляемость.
Проблема
При всех очевидных плюсах решения, использование сервиса в РФ оказывается невозможным или довольно рискованным по следующим причинам:
Zscaler не имеет представительств в РФ, поэтому доступ к ключевым серверам может быть в любой момент заблокирован.
В России отсутствуют шлюзы, поэтому скорость доступа для пользователей заметно снижена.
Решение может предоставить доступ к запрещенному контенту на территории РФ. Zscaler не имеет «списков сайтов» и встроенных ограничений для выполнения законов на территории РФ. Единственным «безопасным» решением в этом случае является доступ по «белым спискам», которые придется контролировать самой компании‑пользователю.
Решение недоступно в РФ по причине невозможности оформления подписки. Фактические пользователи в РФ — это компании, имеющие действующую подписку, оформленную за рубежом.
Эти и другие ограничения создают достаточно высокие риски для обеспечения непрерывности бизнес‑процессов компаний, все еще использующих Zscaler как основное решения доступа в интернет и своим информационным системам в России.
Выбор решений
Надо понимать, что вендор Zscaler не предоставляет какие‑то уникальные функции, которых нет в других продуктах. Речь идет об удобной комбинации, просчитанной и оформленной в максимально удобном и «продаваемом» виде как сервис (SaaS).
Внедрение по отдельности всего функционала Zscaler по модели on‑prem возможно, но требует крайне высокого уровня компетенций и несет большие финансовые затраты, которые оказываются неподъемными для большинства компаний.
Не так давно наша команда, имеющая довольно богатый опыт работы на международном рынке, в том числе с сервисами Zscaler, столкнулась с необходимостью обеспечения непрерывности бизнес‑процессов для заказчиков в РФ. Это позволило накопить опыт и определить набор ключевых функций и рабочих решений, эффективно решающих проблему для некоторых заказчиков.
Далее я расскажу про одно из решений, которое получило максимальную популярность среди наших заказчиков. Спойлер: 100%‑ной замены всех сервисов Zscaler, конечно, нет, но часть бизнес‑задач решить удалось.
Решение основано на синергии продуктов Касперского — SD‑WAN и KWTS. Используется модель MSP (Managed Service Provider) при которой всё решение предоставляется как сервис, а сами продукты разделены на тенанты с разграничением доступа. Удалось объединить эти и другие продукты чтобы получить:
понятную и простую подписочную модель (только OPEX);
быстрое внедрение и масштабирование без капитальных затрат (нет CAPEX);
высокую скорость и низкую задержку трафика;
необходимый и достаточный функционал;
высокую производительность и отказоустойчивость.
Статья описывает сервис прокси или, другими словами, «безопасного интернет‑доступа» по аналогии с ZIA. Рассматривается один из самых популярных вариантов среди наших заказчиков.
Архитектура решения
Следующая схема показывает общую архитектуру решения:
Kaspersky SD‑WAN можно с уверенностью назвать центральным компонентом. Трафик пользователей распределяется между свободными узлами прокси кластера: интеллектуальная сеть SD‑WAN «находит» самый быстрый маршрут балансируя трафик через все доступные каналы связи между площадками заказчика и кластером KWTS (Web Gateway). SD‑WAN позволяет сделать такую интеграция максимально бесшовной.
KWTS‑кластер проводит глубокий анализ файлов (трафика) на предмет наличия вирусов, фишинга, опасных ссылок и ресурсов с плохой репутацией. Система ограничивает доступ к определенным категориям ресурсов на основе групп безопасности домена заказчика. Для анализа используется сигнатурная база данных от Лаборатории Касперского, отлично зарекомендовавшая себя в других решениях.
Качественная проверка трафика в режиме онлайн — довольно затратная процедура. Например, при объеме анализируемого трафика 10Тб в день для 5000 пользователей задействуется тысячи виртуальных CPU в моменты пиковой загрузки. Вычислительные ресурсы важны для глубокого анализа трафика в реальном времени. Чтобы справляться с такой нагрузкой вычисления проводятся в параллельном режиме, а оптимальный вычислительный узел выбирается с помощью SD‑WAN и балансировщиков. KWTS позволяет гибко настраивать кластер для таких целей.
Благодаря оркестрации мы получаем автоматическое масштабирование ресурсов по мере необходимости:
Вертикальное масштабирование — полностью автоматическое на уровне одного облака ЦОД IaaS.
Вычислительные ресурсы добавляются и выключаются по мере изменения нагрузки.
Горизонтальное масштабирование — включение в сервис дополнительных ЦОД облаков — выполняется в полу‑автоматизированном режиме, так как всегда имеется своя специфика конфигурирования и доступа у различных провайдеров IaaS.
В результате пользователи получают отклик без видимой задержки, не страдая в часы пиковой загрузки, а компания эффективно использует вычислительные ресурсы.
Для пользователей, работающих удаленно, используется технология Microsoft Always On VPN интегрированная в корпоративные пользовательские ОС семейства Windows. Технология не требует установки агентов и позволяет:
на 100% нативно интегрироваться в систему каталогов Microsoft (PKI или MSCHAPv2);
использовать Full/Split tunneling (отправлять весь трафик в корпоративную сеть или по определенным правилам);
автоматически устанавливать соединение от имени компьютера или пользователя, без возможности ручного отключения;
применять сторонние средства проверки второго фактора, например, Мультифактор;
использовать ограничения доступа на уровне межсетевого экрана и приложений.
Для автоматического конфигурирования всех компонентов на стороне пользователя используется стандартные механизмы, встроенные в ОС Windows и службы каталогов, которые уже функционируют у заказчика. Здесь я уже рассказывал о технологии Always ON VPN. Возможно применение и других вариантов — как, например, описаный в этой статье.
Далее боле детально разберем функционал основных компонентов.
Компонент SD‑WAN
Kaspersky SD‑WAN используется для построения программно‑определяемых распределенных сетей для маршрутизации трафика по каналам передачи данных с применением технологии SDN (Software Defined Networking). Основной особенностью таких сетей является возможность автоматического определения наиболее эффективных маршрутов передачи трафика.
С помощью решения SD‑WAN реализуются следующие функции:
Интеллектуальное управление трафиком
Автоматическая настройка сетевых устройств.
Централизованное управление инфраструктурой сети через веб‑интерфейс оркестратора
Постоянный мониторинг топологии сети и автоматическое реагирование на ее изменение.
Автоматическое реагирование сети на изменения качества обслуживания в каналах передачи данных для удовлетворения требований приложений
Отмечу, что выбор маршрутов и подсчет оптимальной топологии в «честном» SD‑WAN лежит на контролере. Именно такая архитектура позволяет создавать несколько непротиворечивых путей данных для разного вида трафика. В традиционных сетях, где каждый узел просчитывает пути самостоятельно, такие мульти‑топологии становятся либо невозможными, либо слишком громоздкими и крайне тяжело управляемыми. В любом случае это превращается поиск обходных решений, а то время как в SD‑WAN — это базовая часть технологии, которая практический не требует внимания инженеров.
Сегодня уже есть SD‑WAN устройства, сертифицированные как СКЗИ (КС2) и включенные в реестр ТОРП Минпромторга России, поэтому, концепция SASE становится доступна и для критической инфраструктуры.
Наша компания реализует сервис SD‑WAN по модели MSP, поэтому накопила большой опыт использования возможностей технологии. Именно синергия SD‑WAN и KWTS позволила сделать сервис защищённого доступа в интернет управляемым, быстрым и масштабируемым.
До этого я публиковал цикл статей, позволяющих получить представление о технологии SD‑WAN, вот первая из них.
Компонент KWTS
Приложение обеспечивает защиту пользователей при работе с веб‑ресурсами: удаляет вредоносные программы и другие программы, представляющие угрозу, из потока данных, блокирует зараженные и фишинговые веб‑сайты, а также контролирует доступ к веб‑ресурсам на основании категорий веб‑ресурсов и типов контента.
Основной функционал, реализуемый в KWTS:
защита ИТ‑инфраструктуры от большинства современных вредоносных программ и программ‑шифровальщиков благодаря использованию алгоритмов машинного обучения и технологии эмуляции данных в операционных системах;
блокировка доступа к зараженным и фишинговым сайтам;
использование данных Kaspersky Security Network для получения информации о репутации файлов и веб‑ресурсов, обеспечения более высокой скорости реакции приложений «Лаборатории Касперского» на угрозы, не дожидаясь обновления баз приложения, а также снижения вероятности ложных срабатываний;
проверка зашифрованного трафика при замене сертификата на стороне прокси‑сервера;
выполнение контентной фильтрации входящих и исходящих файлов по URL‑адресу, имени файла, MIME‑типу, размеру, типу исходного файла (приложение позволяет определять истинный формат и тип файла, независимо от его расширения), контрольной сумме (MD5 или SHA256);
ограничение доступа к различным категориям веб‑ресурсов, например, азартным играм, лотереям, тотализаторам; для взрослых; тому, что запрещено законодательством.
интеграция с Microsoft Active Directory для назначения ролей и управления правилами доступа и защиты. Реализована поддержка NTLM‑ и Kerberos‑аутентификации в Active Directory для доступа к веб‑интерфейсу. Для пользователей MS AD обеспечивается полноценный SSO без запроса паролей.
Немаловажное условие, что оба решения (SD‑WAN и KWTS) могут работать в мульти‑тенантном режиме и поддерживают механизмы разделения и масштабирования.
Заключение
Итак, можно с уверенностью сказать, что замена получилась.
Скорость «отклика» сетевых ресурсов существенно увеличилась (по мнению пользователей, по сравнению с zscaler в РФ). Возможно это самый важный качественный показатель.
Исключен риск остановки сервиса у наших Заказчиков в связи с ограничениями работы на территории РФ. Ни один компонент не располагается за рубежом.
Компания выполняет требования российского законодательства. Более того, возможно реализация такой модели и для критической инфраструктуры.
Оптимизирована стоимость вычислительного кластера ‑ресурсы выделаются в автоматическом режиме, когда это нужно. «Облако» адаптируется в автоматическом режиме.
Конечно, 100%‑ной замены всех сервисов Zscaler не получилось, но и такой цели перед нами не стояло. Трафик пользователей к веб‑ресурсам является наиболее показательным случаем для концепции SASE, поэтому, именно для основы этой статьи взял именно этот сервис.
Некоторые ИБ‑сервисы также успешно вписались в данную модель, позволяя оптимизировать транспортные потоки, например, сервис мониторинга информационной безопасности (SOC/SIEM), сервис анализа трафика и сервис менеджмента уязвимостей, но это уже тема для других статей.
В случае интереса читателей к данной теме я продолжу цикл статей в этом направлении.
