Повышение прозрачности инфраструктуры для защиты доступности VPN сервисов и обеспечения производительности приложений

Беспрецедентная и непредвиденная пандемия COVID-19 побудила правительства по всему миру издать распоряжения о самоизоляции, вызвав внезапную массовую миграцию рабочей силы из корпоративных офисов в «офисы на дому». Теперь виртуальные частные сети (VPN) становятся жизненно важной возможностью подключения удаленных сотрудников, которые не способны работать без возможности соединения своих ноутбуков, планшетов, телефонов и рабочих станций с критически важными бизнес-приложениями.

Взрывной рост удаленного доступа привел к быстрому насыщению пропускной способности сетей VPN, и поставил перед специалистами по информационным технологиям и безопасности задачу поиска способа защиты доступности и обеспечения производительности сетей и приложений, необходимых для беспрепятственного ведения бизнеса. Конечно же, решающим фактором является доступность VPN сервиса. Однако не менее важно и сохранение высокого пользовательского опыта сотрудников. Низкая производительность при использовании приложений через корпоративную сеть VPN делает их неэффективными и разочаровывает пользователей. Пользовательский опыт работающих из дома сотрудников должен соответствовать тому уровню, к которому они привыкли в своих офисах.

Проблема

Создание надежной стратегии поддержки сети VPN должно выходить далеко за рамки простого добавления пропускной способности VPN в качестве средства борьбы со снижением производительности и ухудшением доступа. Специалисты должны иметь возможность быстро анализировать потребление ресурсов, определять приоритеты основных услуг, устранять неисправности, влияющие на производительность, оценивать качество обслуживания конечных пользователей, защищать шлюзы VPN от кибератак, нацеленных на эту инфраструктуру.

Рисунок 1: Сети VPN стали важным звеном получения удаленными сотрудниками доступа к корпоративным ресурсам для выполнения своей работы.

Решение, включающее nGeniusONE® Service Assurance и Arbor Edge Defense (AED), позволит специалистам по информационным технологиям и безопасности быстро найти основную причину проблемы. Рассматривается следующее:

• Проблемы, способные повлиять на работу удаленного сотрудника, не всегда являются внутренними. Наличие правильных показателей, позволяющих увидеть потерю пакетов за пределами шлюза VPN, является важным индикатором проблем с производительностью за пределами предприятия, например, у поставщика облачных услуг. Например, когда InfiniStreamNG получает данные до и после шлюза VPN, можно увидеть потерю пакетов у «входной двери».
• Когда потребности пользователей превышают возможности сети, сети VPN могут давать сбои. Такой же эффект могут давать DDoS-атаки, в частности атаки истощения ресурсов состояний TCP. Специалисты должны иметь возможность видеть и способность определять оба эти состояния.
• Не весь трафик критичен для бизнеса, и ИТ-специалистам нужны показатели для анализа различных приложений и служб, составляющих проходящий через сеть VPN объем трафика. Получаемые показатели также помогают компаниям разрабатывать и формулировать политики удаленного доступа. Например, такая простая вещь, как постоянное информирование о том, какие приложения требуют, а какие не требуют доступа к VPN, дают положительный эффект.
• Показатели трафика позволяют организациям принимать более обоснованные решения. Например, в случае обнаружения такого трафика, как потоковое воспроизведение музыки, телепередач или фильмов, ИТ-отдел может принять решение либо увеличить емкость VPN, либо реализовать стратегию раздельного туннелирования, что позволит разгрузить подобный Интернет-трафик и сократить потребление ресурсов корпоративной сети.
• Отражаются ли ограничения емкости вашего шлюза VPN на производительности или снижение производительности происходит при более низком, чем ожидалось, уровне использования? Если это так, ИТ-специалистам необходимо увидеть и понять, что приводит к такому насыщению и что можно сделать для его снижения.
• Возможности постоянного оповещения о DDoS-атаках и их смягчение означают, что ИТ-специалистам не нужно ждать уведомление от облачного провайдера.

Воздействие

Воздействие на предприятия и государственные учреждения с полностью удаленной рабочей силой очень простое: нет доступа, нет бизнеса. Реальность такова, что компании больше не способны выживать в аналоговом мире и должны найти способ поддерживать новую действительность. Задумайтесь, к примеру, о повседневной деятельности банка. Сотрудники банка и их клиенты зависят от онлайн-сервисов, охватывающих весть спектр финансовых услуг – подача и обработка заявок на получение кредитов и ипотеки,управление инвестициями, перемещение средств между счетами, оплата счетов, разговоры с представителями клиентской службы. Все эти задачи сейчас выполняются онлайн, и это лишь первый уровень зависимости банка от цифровых приложений и услуг.

В данной ситуации банки вовсе не одиноки. Поддержание онлайн-операций важно как для обеспечения производительности сотрудников, так и поддержания качества обслуживания клиентов. Компании просто не могут позволить, чтобы объем трафика от недавно ставших удаленными сотрудников захватил всю пропускную способность VPN и создал «бутылочное горлышко» для их взаимодействия с клиентами. Кроме того, невозможно позволить DDoS-атакам беспрепятственно поглощать пропускную способность, особенно когда на многих предприятиях шлюзы VPN уже и так работают практически на полную мощность. Даже небольшая атака способна разрушить весь бизнес.

Когда банк не имеет возможности обрабатывать кредиты или платежи, или производитель или розничный торговец не может принимать заказы и доставлять продукцию клиентам, доходам, рентабельности и удовлетворенности клиентов угрожает реальная опасность. Для быстрого реагирования на подобные угрозы важно обеспечить прозрачность всей системы. И независимо от того, влияет ли проблема на производительность или является угрозой безопасности, у NETSCOUT® имеется достойное решение.

Рисунок 2: Диаграмма сети, показывающая видимость для nGeniusONE и AED линий доступа в Интернет и сетей VPN, входящих в центр обработки данных.

Пример контроля производительности – защита пользовательского опыта при работе через VPN

Чтобы защитить качество обслуживания при подключении работающих удаленно сотрудников к центрам обработки данных и общении через VPN по каналам интернет-провайдера (ISP), организации внедряют решение nGeniusONE Service Assurance. Благодаря проведению мониторинга и анализа в режиме реального времени платформа nGeniusONE и устройства InfiniStreamNG® (ISNG) обеспечивают необходимую прозрачность, которая позволяет быстро определить источник проблемы для скорейшего решения восстановления качества обслуживания конечных пользователей – сотрудников, партнеров и клиентов.

Проблема

Для отслеживания активности на стороне интернет-провайдеров рекомендуется развернуть устройства ISNG и завернуть на этот коллектор трафик с обоих сторон от VPN шлюза, со стороны интернет-провайдера и из внутренних сегментов шлюза VPN (смотрите рисунок 2). При таком варианте развертывания платформа nGeniusONE способна:

• Измерять пользовательский опыт, чтобы убедиться, что шлюз не вносит задержку для пользователей.
• Видеть, какие приложения используются, и подтверждать, что VPN не используется для целей, не связанных с бизнесом.
• Обнаруживать и точно реагировать на такие проблемы трафика, как потеря пакетов.
• Анализировать закономерности использования ресурсов в течение времени.
• Определять загрузку каналов связи в часы пик.

Проводимый платформой nGeniusONE анализ использования полосы пропускания в течение времени покажет увеличение объема трафика из-за недавнего перехода сотрудников на работу из дома в соответствии с требованиями правительства. В этом случае ИТ-отдел будет отслеживать активность, чтобы понять, смогут ли каналы интернет-провайдера и сети VPN поддерживать увеличившийся объем трафика. В последнее время трафик VPN увеличился более чем вдвое по сравнению с объемом трафика до COVID-19, что в пиковые часы потенциально может приводить к превышению пропускной способности. Проводимый платформой nGeniusONE мониторинг позволяет выявлять ранние признаки проблем и подавать соответствующие предупреждения. К примеру, отбрасываемые пакеты могут быть признаком перегрузки и/или превышения полосы пропускания.

Следующим шагом является изучение активности трафика, исходящего от шлюзов VPN. С внутренней стороны от VPN шлюза точки наблюдения платформа nGeniusONE может:

• Анализировать использование бизнес-сервисов по группам пользователей.
• Управлять правами групп или индивидуальных пользователей в соответствии с политиками компании.
• Выявлять ненадлежащее использование корпоративных ресурсов через VPN (например, использование развлекательных потоковых приложений видео и аудио).
• Обнаруживать трафик, производительность которого может ухудшиться из-за нехватки ресурсов VPN концентратора.

Например, если известно, что трафик VPN увеличился из-за роста количества домашних пользователи, и платформа nGeniusONE обнаружила проблему с отбрасыванием пакетов, ИТ-специалисты изучат тип трафика, проходящего через VPN. При резком увеличении трафика через VPN и переходом пользователей на удаленную работу подключенная к сети VPN платформа nGeniusONE позволит анализировать распределение трафика пользовательских приложений и определять, является ли этот трафик бизнес-трафиком. В обоих этих примерах компании настроили полносвязные виртуальные частные сети и не реализовали раздельное туннелирование. В одном случае было обнаружено, что 20% полосы пропускания потребляется YouTube (смотрите рисунок 3). В другом случае платформа nGeniusONE показала, что большая доля пропускной способности потребляется такими потоковыми сервисами музыки, телевидения и кино, как Netflix, Comcast и YouTube.

Рисунок 3: Обнаруженное платформой nGeniusONE использование приложений во времени и сегментированное по определенным URL-адресам, показывает высокий уровень использования сервиса YouTube через корпоративные сети VPN.

Решение

ИТ-организации могут принимать важные решения, используя предоставляемые платформой nGeniusONE аналитические данные о трафике и приложениях. В обоих описанных выше случаях первостепенное значение имеет использование сотрудниками корпоративных ресурсов, поэтому целью было удаление некоммерческого трафика. В первом случае корпоративная политика НЕ предусматривала использования раздельного туннелирования. Поэтому проходящий через VPN и предназначенный для YouTube трафик будет направляться на этот URL-адрес, а брандмауэр был настроен на блокировку любого трафика YouTube.

Во втором случае, когда трафик включал потоковое воспроизведение музыки, телепередач и фильмов, ИТ-персонал решил внести изменения в конфигурацию клиентов VPN, разрешив раздельное туннелирование. Это позволило бы сотрудникам подключаться к основным бизнес-приложениям и службам при работе из дома через безопасную сеть VPN. Однако для других действий, например, поиска в Интернете и использования потоковых служб, трафик будет направляться непосредственно через Интернет, не затрагивая корпоративные ресурсы VPN.

Платформа nGeniusONE помогает определить, как используется трафик через VPN. Это дает ИТ-специалистам возможность достичь своей цели – предложить качественный пользовательский опыт конечным пользователям, использующим корпоративные бизнес-приложения. Наличие информации об активности различных приложений позволяет принимать обоснованные решения на основе политики конкретной организации. В приведенных выше примерах, когда либо блокируется нерабочий трафик, либо выбирается настройка раздельного туннелирования, результатом является восстановление пропускной способности для использования сотрудниками бизнес-приложений, что и является главным требованием к сетям VPN. Кроме того, это позволяет экономить, так как в обоих случаях не нужно вкладываться в дополнительные мощности.

Пример ИБ защиты: Блокировка доступа к корпоративным ресурсам

Благодаря беспрецедентному крупномасштабному переходу на работу из дома шлюз VPN стал важным звеном в цепи соединения домашних/удаленных пользователей с корпоративными ресурсами, которые необходимо защищать от атак. DDoS-атака представляет серьезную угрозу доступности шлюза VPN. Даже небольшая DDoS-атака на шлюз VPN, работающий на пределе своих возможностей или близко к этому пределу, может повлиять на его производительность или вовсе его обрушить. Результат? Для удаленного/домашнего пользователя бизнес фактически останавливается.

Рисунок 4: Многовекторные DDoS-атаки лишают легитимных удаленных сотрудников возможности доступа к корпоративным ресурсам, эффективно препятствуя ведению бизнеса.

Существует два типа DDoS-атак, которые предназначены для воздействия на шлюз VPN:

• Атака истощения ресурсов состояний TCP - Шлюз VPN является устройством с отслеживанием состояния (stateful). Это означает, что он должен контролировать все проходящие через него TCP-соединения. Контроль достигается за счет постоянного обновления имеющей конечные размеры таблицы состояний TCP. Атака истощения ресурсов состояний TCP (например, TCP SYN Flood) специально предназначена для заполнения таблицы состояний TCP поддельными TCP-соединениями. Когда такое происходит в шлюзе VPN, легитимные пользователи не могут пройти через шлюз к находящимся за ним корпоративным ресурсам. Другими словами, с точки зрения удаленных/домашних пользователей корпоративные ресурсы не работают.
• Атака на сетевом уровне - Обычно этот тип DDoS-атаки имеет форму UDP-флуда и предназначен для загрузки сетевого интерфейса шлюза VPN. Обычно, пропускная способность интерфейса шлюза VPN меньше пропускной способности интернет-канала. Этот означает, что DDoS-атака не должна быть такой же большой, как интернет-канал, но достаточно большой для перегрузки сетевых интерфейсов шлюза VPN. Когда это происходит, легитимные пользователи не могут пройти через шлюз к находящимся за ним совместно используемым ресурсам, то есть снова с их точки зрения похоже, что корпоративные ресурсы не работают.

Положение усугубляется тем, что злоумышленники могут легко выполнять эти две разные атаки независимо или одновременно.

Когда шлюз VPN работает плохо или не работает, это может стать сетевой проблемой. В данном случае, возможно, будет сложно определить причину проблемы с помощью традиционных сетевых инструментов управления и устранения неполадок. Для решения потребуется интеллектуальная прозрачность поступающего на шлюз VPN сетевого трафика, которая даст возможность обнаружить аномалии, указывающие на DDoS-атаку. Требуемым решением является разработанная компанией NETSCOUT система защиты Arbor Edge Defense (AED). AED - это встроенное (или виртуальное) устройство безопасности, развертываемое на периметре сети между интернет-маршрутизатором и шлюзом/брандмауэром VPN. Поскольку система AED использует запатентованную масштабируемую технологию обработки пакетов без сохранения состояния (stateless), то не зависит от атак, которые могут повлиять на шлюз VPN.

Рисунок 5: В этом примере система AED обнаружила атаку TCP SYN Flood.

Устранение последствий

Обнаружения DDoS-атаки недостаточно. Для поддержания производительности удаленных сотрудников требуется остановить атаку до того, как она повлияет на доступность шлюза VPN. Когда система AED находится в состоянии активной блокировки, то может автоматически устранять обнаруженные DDoS-атаки. Помимо блокировки атак система AED предоставляет подробную информацию в реальном времени и после атаки, например, о её типе, размере, скорости, стране/IP-хостах источника атаки, протоколах и многом другом, что позволяет пользователю взаимодействовать и по мере необходимости изменять меры защиты.

Возможности AED показаны ниже на рисунке ниже.

Рисунок 6: В этом примере на верхней панели показано, что система AED блокирует атаку 800M UDP Flood, а на нижней панели предоставлена подробная информация об атаке.

Рисунок 7: Появление нескольких стран-источников указывает на то, что это поддельная атака, исходящая из ботнета.

Рисунок 8: В этом примере AED показывает заблокированные хосты, которые являются частью атаки, на выделенной области показано, как законные пользователи могут быть легко занесены в белый список.

Использование системы AED на предприятии, применение технологии обработки пакетов без сохранения состояния, автоматическое обнаружение и блокировка DDoS-атак являются лучшими средствами защиты шлюзов VPN и поддержания доступа удаленных пользователей к корпоративным ресурсам.

Заключение

Такие незапланированные события, как пандемия COVID-19, демонстрируют важность обеспечения прозрачности системы для того, чтобы сотрудники использовали ресурсы корпоративных приложений из дома столь же стабильно и качественно, как и при работе в своих офисах. В данном случае речь идет о поддержании работы предприятий и удовлетворении пользователей за счет предоставления ИТ-отделу необходимых для этого информации и инструментов. В мире, который изменился почти в мгновение ока. Платформа nGeniusONE и система безопасности AED – необходимые решения, которые помогут специалистам достичь этих важнейших целей.