Kas ir ugunsmūris?
Ugunsmūris (angliski — firewall) ir tīkla drošības sistēma, kas uzrauga un kontrolē ienākošo un izejošo tīkla trafiku, pamatojoties uz iepriekš definētiem drošības noteikumiem. Ugunsmūris darbojas kā barjera starp uzticamu iekšējo tīklu un neuzticamiem ārējiem tīkliem, piemēram, internetu. Tā galvenais uzdevums — neļaut nesankcionētai trafikam iekļūt organizācijas tīklā, vienlaikus ļaujot leģitīmai saziņai brīvi plūst.
Ugunsmūris ir viens no vecākajiem un fundamentālākajiem kiberdrošības rīkiem, taču mūsdienu ugunsmūri ir krasi atšķirīgi no saviem priekštečiem. Mūsdienu nākamās paaudzes ugunsmūri (NGFW) apvieno tradicionālo trafika filtrēšanu ar dziļo pakešu pārbaudi, ielaušanās novēršanas sistēmām un lietojumprogrammu līmeņa kontroli. CERT.LV regulāri uzsver, ka pareizi konfigurēts ugunsmūris ir pirmā aizsardzības līnija pret kiberdraudiem.
Šajā rakstā apskatīsim ugunsmūru veidus, darbības principus, atšķirības no antivīrusa programmatūras un to, kāpēc katram Latvijas uzņēmumam — neatkarīgi no lieluma — ir nepieciešams ugunsmūris.
Ugunsmūra darbības principi
Ugunsmūra pamatā ir trafika filtrēšana — katrs datu pakete, kas mēģina šķērsot tīkla robežu, tiek pārbaudīta pret noteikumu kopu (ruleset). Šie noteikumi nosaka, kura trafika tiek atļauta un kura bloķēta, balstoties uz parametriem kā avota un mērķa IP adrese, ports, protokols un — modernākos risinājumos — lietojumprogrammas tips un saturs.
Ugunsmūris var darboties dažādos OSI modeļa līmeņos. Vienkāršākie ugunsmūri strādā tīkla līmenī (3. līmenis), pārbaudot tikai IP adreses un portus. Sarežģītāki risinājumi darbojas transporta līmenī (4. līmenis), izsekojot savienojumu stāvokļus. Vismodernākie — lietojumprogrammu līmenī (7. līmenis), analizējot pašu datu saturu.
Katrs ugunsmūris uztur drošības politiku — noteikumu kopu, kas definē atļauto un aizliegto trafiku. Pareiza politikas konfigurēšana ir kritiska — pārāk stingri noteikumi traucē biznesa procesiem, bet pārāk brīvi atstāj drošības caurumus. CERT.LV savos ieteikumos uzsver principu «aizliegt visu pēc noklusējuma» (deny by default) — atļaut tikai to trafiku, kas ir skaidri nepieciešama.
Mūsdienu ugunsmūri bieži ietver arī žurnalēšanas (logging) funkcionalitāti, kas reģistrē visus savienojuma mēģinājumus. Šie žurnāli ir nenovērtējams resurss drošības incidentu izmeklēšanā un atbilstības nodrošināšanā NIS2 un GDPR prasībām.
Ugunsmūru veidi — no pakešu filtrēšanas līdz NGFW
Pakešu filtrēšanas ugunsmūris (packet filtering firewall) ir vienkāršākais veids. Tas pārbauda katru datu paketi individuāli, salīdzinot tās galveni (header) ar noteikumu tabulu. Lēmums — atļaut vai bloķēt — tiek pieņemts, pamatojoties tikai uz avota/mērķa IP adresi, portu un protokolu. Šis veids ir ātrs, bet nespēj analizēt savienojumu kontekstu vai datu saturu.
Stāvokļa pārbaudes ugunsmūris (stateful inspection firewall) ir nākamais evolūcijas solis. Tas izseko aktīvos savienojumus un pieņem lēmumus, balstoties ne tikai uz atsevišķām paketēm, bet uz visa savienojuma kontekstu. Piemēram, tas atpazīst atbildes paketi uz iepriekš atļautu pieprasījumu un ļauj tai iziet cauri bez atsevišķa noteikuma.
Lietojumprogrammu līmeņa ugunsmūris (application-level gateway jeb proxy firewall) darbojas OSI 7. līmenī un analizē pašu lietojumprogrammu trafiku. Tas spēj atpazīt specifiskus protokolus (HTTP, FTP, DNS) un bloķēt aizdomīgu saturu pat leģitīmos savienojumos. Trūkums — augstāka latentuma un resursu patēriņš.
Nākamās paaudzes ugunsmūris (Next-Generation Firewall — NGFW) apvieno visas iepriekšminētās funkcijas un pievieno dziļo pakešu pārbaudi (DPI), ielaušanās novēršanas sistēmu (IPS), lietojumprogrammu atpazīšanu, SSL/TLS trafika inspekciju un integrāciju ar draudu izlūkošanas datubāzēm. NGFW ir mūsdienu standarsts uzņēmumu drošībā — Fortinet, Palo Alto Networks, Check Point un citi ražotāji piedāvā šādus risinājumus. securIT ievieš un pārvalda NGFW risinājumus Latvijas uzņēmumiem.
Aparatūras vs programmatūras ugunsmūris
Aparatūras ugunsmūris ir fiziska ierīce, kas tiek uzstādīta starp organizācijas iekšējo tīklu un interneta pieslēgumu. Tā priekšrocības ietver augstu veiktspēju (dedikēts procesors un atmiņa trafika apstrādei), neatkarību no serveru operētājsistēmām un centralizētu pārvaldību visam tīklam. Aparatūras ugunsmūri parasti izmanto uzņēmumu biroju un datu centru aizsardzībai.
Programmatūras ugunsmūris ir lietojumprogramma, kas darbojas uz konkrēta datora vai servera operētājsistēmas. Windows, macOS un Linux ietver iebūvētus programmatūras ugunsmūrus. Programmatūras ugunsmūris aizsargā konkrēto ierīci, uz kuras tas ir instalēts, un ir īpaši noderīgs mobilajiem darbiniekiem un attālinātajiem savienojumiem.
Optimālā prakse ir abu veidu kombinācija — aparatūras ugunsmūris aizsargā tīkla perimetru, bet programmatūras ugunsmūris nodrošina papildu aizsardzību katrai galiekārtai. Šo pieeju sauc par daudzlīmeņu aizsardzību (defense in depth), un to iesaka gan CERT.LV, gan NIS2 direktīvas kontekstā.
Mazie un vidējie uzņēmumi Latvijā bieži uzskata, ka tiem pietiek ar maršrutētāja iebūvēto ugunsmūri. Tas ir bīstams maldīgs priekšstats — maršrutētāja ugunsmūris parasti piedāvā tikai pamata pakešu filtrēšanu bez NGFW funkcionalitātes, žurnalēšanas un centralizētas pārvaldības.
Ugunsmūris un mākoņpakalpojumi
Mākoņu ugunsmūris (cloud firewall jeb Firewall-as-a-Service — FWaaS) ir ugunsmūra funkcionalitāte, kas tiek nodrošināta kā mākoņpakalpojums. Pieaugot mākoņdatošanas un attālinātā darba popularitātei, tradicionālais perimetra ugunsmūris vairs nepietiek — darbinieki piekļūst resursiem no dažādām vietām un ierīcēm, apiejot biroja tīkla robežu.
Mākoņu ugunsmūris risina šo problēmu, nodrošinot centralizētu drošības politiku neatkarīgi no lietotāja atrašanās vietas. Trafika tiek maršrutēta caur mākoņu drošības infrastruktūru, kur tiek piemēroti filtrēšanas un inspekcijas noteikumi. Šī pieeja ir daļa no plašākas SASE (Secure Access Service Edge) arhitektūras.
Latvijas uzņēmumiem, kas izmanto AWS, Azure vai Google Cloud infrastruktūru, mākoņu platformas piedāvā iebūvētus ugunsmūra rīkus — AWS Security Groups, Azure Firewall, GCP Cloud Firewall. Taču šie rīki aizsargā tikai mākoņu resursu, nevis biroja tīklu vai galiekārtas.
Hibrīdā pieeja — aparatūras ugunsmūris birojā, mākoņu ugunsmūris mākoņu infrastruktūrai un programmatūras ugunsmūris galiekārtām — nodrošina visaptverošu aizsardzību mūsdienu darba vidē. securIT palīdz Latvijas uzņēmumiem projektēt un ieviest šādus hibrīdos risinājumus, nodrošinot vienotu drošības politiku visā infrastruktūrā.
Ugunsmūris vs antivīruss — atšķirības un papildināmība
Ugunsmūris un antivīruss ir divi fundamentāli atšķirīgi drošības rīki, kas aizsargā pret dažādiem draudu veidiem. Ugunsmūris kontrolē tīkla trafiku — tas ir sargs pie vārtiem, kas izlemj, kura trafika drīkst iekļūt tīklā vai iziet no tā. Antivīruss savukārt analizē failus un procesus pašā ierīcē, meklējot ļaunatūru, vīrusus un citus kaitīgus elementus.
Analoģija: ugunsmūris ir kā ēkas apsardze, kas pārbauda, kurš ienāk un iziet pa durvīm. Antivīruss ir kā iekšējā drošības sistēma, kas pārbauda, vai iekšā esošie objekti nav bīstami. Abi ir nepieciešami — viens bez otra nenodrošina pilnvērtīgu aizsardzību.
Mūsdienu draudu ainavā šī robeža kļūst mazāk skaidra. NGFW ugunsmūri ietver antivīrusa funkcionalitāti (skenējot trafiku pēc ļaunatūras parakstiem), bet modernā galiekārtu aizsardzība (EDR/XDR) ietver arī tīkla uzraudzības elementus. Tomēr specializētie risinājumi joprojām pārspēj universālos.
NIS2 un NKDL kontekstā Latvijas uzņēmumiem ir nepieciešami abi — ugunsmūris tīkla drošībai un galiekārtu aizsardzības risinājums (antivīruss vai EDR). CERT.LV savos minimālajos drošības ieteikumos iekļauj abus kā obligātus elementus. securIT piedāvā integrētus drošības risinājumus, kas apvieno tīkla un galiekārtu aizsardzību vienotā pārvaldības konsolē.
Kāpēc katram Latvijas uzņēmumam vajag ugunsmūri
Latvijā kiberdraudu līmenis ir augsts un turpina augt. CERT.LV statistika rāda, ka katru gadu tiek reģistrēti tūkstošiem kiberincidentu, un liela daļa no tiem sākas ar nesankcionētu piekļuvi, ko ugunsmūris būtu spējis novērst. Ģeopolitiskā situācija Baltijas reģionā papildus paaugstina riskus — valsts atbalstīti kiberuzbrucēji aktīvi mērķē uz Latvijas organizācijām.
No regulatīvā viedokļa — NIS2 direktīva un NKDL pieprasa tīklu un informācijas sistēmu drošību, un ugunsmūris ir minimālais nepieciešamais elements šīs prasības izpildei. GDPR kontekstā ugunsmūris palīdz aizsargāt personas datus pret nesankcionētu piekļuvi, kas ir regulas pamatprasība. DVI (Datu valsts inspekcija) var pieprasīt pierādījumus par tehniskiem aizsardzības pasākumiem datu pārkāpuma gadījumā.
Mazie uzņēmumi bieži uzskata, ka tie ir pārāk mazi, lai būtu kiberuzbrucēju mērķis. Statistika pierāda pretējo — mazie uzņēmumi bieži ir vieglāki mērķi, jo tiem trūkst aizsardzības. Automatizēti uzbrukumi (boti, skeneri, ļaunatūras kampaņas) nemērķē uz konkrētu uzņēmumu — tie skenē visu internetu, meklējot neaizsargātas sistēmas.
Investīcija ugunsmūrī ir neliela salīdzinājumā ar potenciālajiem zaudējumiem no veiksmīga kiberuzbrukuma — datu zudums, dīkstāve, reputācijas kaitējums un regulatīvās sankcijas. Sazinieties ar securIT — [email protected] vai +371 27555221 — un mēs palīdzēsim izvēlēties un ieviest jūsu uzņēmuma vajadzībām atbilstošu ugunsmūra risinājumu.
Biežāk uzdotie jautājumi
Vai manam mazajam uzņēmumam tiešām vajag ugunsmūri?
Jā, noteikti. Automatizēti kiberuzbrukumi nemērķē uz konkrētu uzņēmumu pēc lieluma — tie skenē internetu, meklējot jebkuru neaizsargātu sistēmu. Maziem uzņēmumiem bieži trūkst resursu atkopšanai pēc uzbrukuma, tāpēc profilakse ir īpaši svarīga. Pat vienkāršs aparatūras ugunsmūris ar pareizu konfigurāciju būtiski samazina risku. CERT.LV iesaka ugunsmūri kā obligātu minimālo aizsardzības līdzekli visiem uzņēmumiem neatkarīgi no lieluma.
Kāda ir atšķirība starp ugunsmūri un antivīrusu?
Ugunsmūris kontrolē tīkla trafiku — izlemj, kura saziņa tiek atļauta un kura bloķēta. Antivīruss analizē failus un procesus ierīcē, meklējot ļaunatūru. Tie aizsargā pret dažādiem draudu veidiem un papildina viens otru. Mūsdienu kiberdrošībā nepieciešami abi — ugunsmūris tīkla perimetrā un antivīruss vai EDR risinājums katrā galiekārtā. NIS2 un NKDL prasa abus aizsardzības līmeņus.
Kas ir NGFW un kāpēc tas ir labāks par parasto ugunsmūri?
NGFW (Next-Generation Firewall) ir nākamās paaudzes ugunsmūris, kas papildus tradicionālajai trafika filtrēšanai piedāvā dziļo pakešu pārbaudi, ielaušanās novēršanu (IPS), lietojumprogrammu atpazīšanu, SSL/TLS inspekciju un integrāciju ar draudu izlūkošanas datubāzēm. Salīdzinājumā ar parastu ugunsmūri, NGFW spēj atklāt un bloķēt sarežģītus uzbrukumus, kas slēpjas leģitīmā trafikā. Tas ir mūsdienu standarsts uzņēmumu kiberdrošībā.
Cik maksā ugunsmūris uzņēmumam?
Ugunsmūra izmaksas ir atkarīgas no uzņēmuma lieluma un vajadzībām. Mazam uzņēmumam (līdz 25 lietotājiem) aparatūras NGFW risinājums var maksāt no 500 līdz 2000 EUR, plus gada licences maksa par draudu datubāzēm un atjauninājumiem. Vidējam uzņēmumam izmaksas var būt 3000–10 000 EUR. Mākoņu ugunsmūra risinājumi bieži ir pieejami abonēšanas modelī. Sazinieties ar securIT, lai saņemtu individuālu piedāvājumu.
Vai mākoņu ugunsmūris var aizvietot aparatūras ugunsmūri?
Mākoņu ugunsmūris var aizvietot aparatūras ugunsmūri noteiktos scenārijos — piemēram, pilnībā mākonī bāzētiem uzņēmumiem bez fiziska biroja. Taču vairumam uzņēmumu optimālā pieeja ir hibrīda modelis: aparatūras ugunsmūris birojā, mākoņu ugunsmūris mākoņu infrastruktūrai un programmatūras ugunsmūris mobilajām ierīcēm. Šāda daudzlīmeņu aizsardzība nodrošina visaptverošu drošību neatkarīgi no tā, kur darbinieki strādā.