Конференцию открыл системный инженер Cisco Андрей Голованов, затронувший в своем выступлении ключевые аспекты реализации на базе платформ Cisco и особенности стандарта 802.1 ah (MAC-in-MAC), который разделяет сети Ethernet на домены пользователей и поставщиков услуг с полной изоляцией между их MAC-адресами.
Но наибольшее обсуждение вызвал доклад инженера-консультанта Cisco Павла Антонова с темой «Cisco ScanSafe – платформа для организации услуг веб-безопасности операторами связи». Павел описал «облачную» модель построения архитектуры сетевой безопасности без границ практически с нулевыми капитальными затратами. Он рассказал, что компания ScanSafe была основана в 2004 году и на тот момент являлась пионером и мировым лидером в области SaaS-услуг веб-безопасности. На данный момент она имеет клиентов более чем в 100 странах (от SMB до Large Enterprise), 100-процентную доступность сервиса за всю историю компании и обрабатывает более 1 млрд веб-транзакций в день. При этом около 80 % продаж осуществляются через операторов связи.
«В современном мире мобильное взаимодействие растворяет интернет-периметр, а Cloud Computing растворяет границу ЦОДа, поэтому пользователи получают возможность вести бизнес без ограничений от места, канала и доступности сети», – именно так звучит один из постулатов Cisco. По наблюдениям компании, в среднем корпоративные пользователи проводят только 17 % времени в Интернете в защищенных VPN-сетях, поэтому приоритетной задачей становится обеспечение безопасности информации для оставшихся 83 % времени, когда они превращаются в мобильных пользователей.
На данный момент компания ScanSafe имеет 12 ЦОДов, размещенных по всему миру, зарезервированные каналы на 10 Гбайт, тысячи устройств, 100-процентную доступность, SLA по эффективности и непрерывности работы. Масштабируемость решения обеспечивается 1 млрд транзакций в день, архитектурой с параллельными вычислениями, горизонтальным масштабированием и задержкой менее 50 мс. Таким образом, ядро ScanSafe каждый день выдерживает 28 млн уникальных JavaScript, 560 тыс. уникальных PDF и 244 уникальных ShokWave. Безопасность обеспечивают два антивирусных движка от Semantec и «Лаборатории Касперского», False Positive/False Negative rate составляет менее 0,0004 %, а гарантированная доступность достигает 99,999 %.
Фильтрация контента осуществляется следующим образом: традиционная URL-фильтрация с расширенной функциональностью (протоколы HTTPS FTP over HTTP, DLP – «предупредить, но не блокировать» (AUP) и анонимизация). Поддерживается динамическая классификация неизвестных сайтов за 1/1000 секунды при эффективности детектирования сайтов для взрослых, криминальных и т. д. в 99 %. Также ведется обработка поисковых запросов (SerchAhead), классификация по видам угроз и уведомление пользователя. Перенаправление трафика своими силами с изменениями настроек браузера осуществляется загрузкой настроек Proxy на компьютеры из Active Directory (GPO/PAC-файл). При этом МСЭ (межсетевой экран) блокирует исходящий HTTP-трафик на все адреса, кроме ScanSafe. Без изменения настроек браузера перенаправление трафика происходит следующим образом: МСЭ перенаправляет трафик (TCP/port) с помощью функции Port Forward, а Proxy – с помощью функции Cascade Proxy. Мобильные пользователи используют клиент Anywhere+, который устанавливается как сетевой драйвер, автоматически определяет ближайший ЦОД, запоминает информацию о пользователе/группе с последнего логина в AD, шифрует трафик при подключении через публичные сети и защищен паролем от выключения.