Организации из многих отраслей начали перемещать свою IT-инфраструктуру в облака активнее, чем когда-либо ранее. Когда мы говорим об инфраструктуре – это не только сервер, база данных, хранилище – это намного больше.
Типичная средняя или крупная организация, как правило, имеет следующие компоненты инфраструктуры:
- сервер;
- балансировщик нагрузки;
- база данных;
- система обмена сообщениями;
- хранилище;
- средства безопасности / защита от DDoS;
- и файрвол.
В традиционной инфраструктуре файрвол может стоить порядка нескольких тысяч долларов и требует администратора для управления. Это дорого.
Поблагодарим управляемый файрвол — вам не нужно покупать дорогостоящее оборудование и нанимать администратора для него.
Управляемый файрвол – это сервис, которому вы платите за то, что используете его по мере необходимости или ежемесячно. Вы можете не беспокоиться об оборудовании. Вы можете администрировать правила файрвола из интуитивного графического интерфейса или командной строки.
Примечание: В дальнейшем речь идет про инфраструктурный файрвол, не путайте с файрволом веб-приложений.
Давайте рассмотрим некоторые управляемые файрволы, которые вы можете использовать для защиты своей рабочей инфраструктурной среды.
1. HeatShield
HeatShield работает с любым облаком, выделенной или гибридной инфраструктурой Linux серверов. Он «из коробки» поддерживает защиту от брутфорс атак на SSH и позволяет быстро просматривать и обновлять файрвол на всех ваших серверах.
Вы можете запустить его бесплатно, блокируя весь трафик за исключением SSH, HTTP и HTTPS на неограниченном количестве серверов. В соответствии с платным тарифом, вы полностью контролируете правила файрвола и можете задействовать неограниченный набор правил.
Если у вас есть серверы у нескольких облачных провайдеров, например, GCP, AWS, Linode, Rackspace, Azure, DigitalOcean и т.д., и вы хотите управлять файрволом централизованно, то HeatShield будет правильным выбором.
В настоящий момент он поддерживает следующие дистрибутивы Linux:
- Ubuntu;
- Debian;
- RHEL;
- CentOS;
- Fedora.
2. Google Cloud Platform (GCP)
Google Cloud создает правила файрвола по умолчанию для каждой сети VPC (Virtual Private Cloud). Вы можете разрешать или запрещать соединения для правил входящего или исходящего трафика и они будут применяться немедленно.
Он поддерживает порядок приоритетов между 0 и 65535, где правило с наименьшим номером получит наивысший приоритет. Все управляется либо через раздел «Правила файрвола» в cети VPC, либо через командную строку.
Я использую GCP и люблю простоту.
В качестве источника поддерживается несколько параметров, таких как диапазон IP, подсети, тег источника или служебные учетные записи, а в одной строке вы можете указать несколько номеров портов.
Если вы уже используете Google Cloud, то поэкспериментируйте с правилами, чтобы изучить возможности укрепления и защиты сервера на уровне сетевого файрвола.
3. Check Point
Известное имя в сфере безопасности – Checkpoint для обеспечения безопасности публичных и частных облаков предлагает продукт vSEC, доступный для публичных облаков, таких как AWS, GCP, Azure & Vmware, и частных облаков, например, OpenStack, VMware NSX и Cisco ACI.
vSEC обеспечивает расширенную защиту от угроз, включая файрвол, IPS (система предотвращения вторжений), антивирус, антибот, защиту от уязвимости нулевого дня, DLP (предотвращение потери данных) и управление приложениями.
Вы можете заказать бесплатный тест-драйв.
4. DigitalOcean
Облачный файрвол от DigitalOcean является бесплатным, и вам не потребуется устанавливать дополнительное программное обеспечение на ваш сервер. Вы можете контролировать, какие службы разрешены на вашем дроплете и из каких источников.
Файрвол DigitalOcean прост в использовании, и вы можете управлять правилами в одном представлении для всей инфраструктуры.
5. Barracuda
Файрвол Barracuda NexGen доступен для публичного облака — AWS, GCP & Azure. NexGen — это полнофункциональные решение файрвола, обеспечивающее защиту сетевого уровня.
Он действует как сетевой шлюз между вашей сетью и Интернетом и проверяет весь входящий и исходящий трафик, чтобы обеспечить защиту на основе политик безопасности.
Файрвол NexGen имеет встроенную SD-WAN (программно-определяемые WAN) для обеспечения связи между облаком и локальным центром обработки данных.
6. Dome9
Network Security от Dome9 доступна для всех трех основных поставщиков облачных технологий: Amazon Web Services, Google Cloud Platform и Microsoft Azure.
Не просто файрвол, Dome9 имеет мощную визуализацию облачных активов, встроенные возможности устранения проблем и возможность многоуровневого управления.
У Dome9 доступна бесплатная пробная версия.
7. Zscaler
Облачный файрвол Zscaler использует запатентованные технологии, такие как SSMA, ByteScan, PageRisk, Nanolog, PolicyNow, для обеспечения повышенной безопасности.
Вы можете создать детальный уровень политик безопасности для управления протоколами, портами, расположением, отделом пользователей и др.
Если вы ищете решение для обеспечения сетевой безопасности по принципу «все-в-одном» со следующими функциями, то попробуйте Zscaler:
- облачный файрвол;
- фильтрация DNS/URL;
- управление пропускной способностью;
- безопасность DNS;
- антивирус;
- контроль за типами файлов;
- система предотвращения потери информации.
Я надеюсь, что вы получили некоторые идеи относительно облачных управляемых файрволов, доступных на рынке для защиты мелкого и не очень бизнеса.
Если у вас простое приложение, блог или веб-сайт, и вы не можете тратить слишком много, то в качестве альтернативы можете попробовать CloudWays, который предлагает файрвол на уровне платформы.
Заглядывайте на VPS.today — сайт для поиска виртуальных серверов. 1500 тарифов от 130 хостеров, удобный интерфейс и большое число критериев для поиска самого лучшего виртуального сервера.