Имеется некий коммерческий web-сервис, которым пользуются внешние клиенты. Сервис реализован как сайт на базе IIS и неких других программных компонентов. Стоит задача - максимально защитить его как от внешних, так и от внутренних угроз, т.е. обеспечить его комплексную защиту. Был бы признателен за отзывы по использованию систем комплексной защиты с указанием конкретных наименований продуктов (критерии: качество защиты, удобство администрирования, гибкость настроек, масштабирование и т.д.). Например, Deep Security (Trend Micro), RealSecure Server Sensor (IBM), продукты от CheckPoint и т.д.

Имеется некий коммерческий web-сервис, которым пользуются внешние клиенты. Сервис реализован как сайт на базе IIS и неких других программных компонентов. Стоит задача - максимально защитить его как от внешних, так и от внутренних угроз, т.е. обеспечить его комплексную защиту. Был бы признателен за отзывы по использованию систем комплексной защиты с указанием конкретных наименований продуктов (критерии: качество защиты, удобство администрирования, гибкость настроек, масштабирование и т.д.). Например, Deep Security (Trend Micro), RealSecure Server Sensor (IBM), продукты от CheckPoint и т.д. »

Как профессионал на данном рынке хочу заметить, что:
- выбор средствазащиты практически не важен, важно "подобрать костюмчик по фигуре";
- идеальных средств нет, поэтому выбор средства или их комплекса зависит от режимов работы самой Автоматизированной системы;
Поэтому без обследования давать рекомендации глупо. Это как лечится без диагностики.
- Главное в средстве это настройки. Настроенные профессионалом встроенные средства Windows гораздо надежнее просто вкряченной супер-пупер хрени;
(кстати сразу хочу сказать, что поддержки по средствам безопасности у вендоров в России тупо нет)

И самое главное: Если сама система сделана говео и не реализует большую часть требований по защите, навесными средствами вы ей не поможете - это зря потраченные деньги.

Настроенные профессионалом встроенные средства Windows гораздо надежнее просто вкряченной супер-пупер хрени; »
согласен. Плюс внешний рутер Cisco или софт-вариант на Freebsd/Openbsd. Это закроет доступ для 90% "хацкеров", но и это уже неплохо.
Сервис реализован как сайт на базе IIS и неких других программных компонентов. »
а вот тут я бы сто раз подумал... IIS не имеет безукоризненной репутации, и делать сервисы на его основе - это постоянный мониторинг, патчинг и прочие радости. И вообще, я бы такой сервер не то что в DMZ, вообще отдельным каналом подключил бы.

Если сама система сделана говео »
что вы имели в виду? :lol:.

а вот тут я бы сто раз подумал... IIS не имеет безукоризненной репутации, и делать сервисы на его основе - это постоянный мониторинг, патчинг и прочие радости. И вообще, я бы такой сервер не то что в DMZ, вообще отдельным каналом подключил бы. »

Это решаемо. Это ошибки, так сказать, реализации индусами. И данные угрозы можно нейтрализовать при помощи реверсивных прокси серверов либо шлюзов доступа типа Checkpoint Connectra.
С другой стороны, о чем обычно не пишут, MS как среда единственная из доступных где поддерживается сквозная усиленная модель аутентификации на сертификатах.
Причем поддерживается давно, уже лет 10.
Развертывание OpenSource сервиса сертфикатов (PKI) корпоративного уровня это особо утонченное садо-мазо :)

Развертывание OpenSource сервиса сертфикатов (PKI) корпоративного уровня это особо утонченное садо-мазо »
оно самое. Но остаются еще рядовые сотрудники, которым ничего не стОит принести конягу на флешке, и по боку вся авторизация. Моё мнение - сервис не должен иметь связи с локальной сетью, либо только через vlan с рабочей машиной администратора. Это ограничит доступ (и как следствие, атаки) с локальных рабочих мест, и даст возможность сосредоточиться только на внешней безопасности. Snort + Unix отсекут еще процентов 60 атакующих ("скрипт-кидди"), а остальных всё равно придется ловить руками. Тут, я думаю, каждый сам выбирает оружие :)

Как профессионал на данном рынке хочу заметить, что:
- выбор средствазащиты практически не важен, важно "подобрать костюмчик по фигуре";
- идеальных средств нет, поэтому выбор средства или их комплекса зависит от режимов работы самой Автоматизированной системы;
Поэтому без обследования давать рекомендации глупо. Это как лечится без диагностики.
- Главное в средстве это настройки. Настроенные профессионалом встроенные средства Windows гораздо надежнее просто вкряченной супер-пупер хрени;
(кстати сразу хочу сказать, что поддержки по средствам безопасности у вендоров в России тупо нет) »
Немного уточню ситуацию. Имеется web-сервис, работающий по ssl, доступ к компу закрыт Циской - оставлен только 443 и 80-порты. От требуемого ПО для защиты требуется, чтобы оно анализировало веб-трафик на предмет зловредов в нем, а также на предмет использования уязвимостей, в т.ч. атаки "нулевого" дня - виртуальный патчинг. Это ПО также должно контролировать целостность файлов приложения и системы (плюс реестр). В нем должна быть возможноть настройки правил для приложений, т.е. что на данном компе могут запускаться и обращаться по сети только явно разрешенные приложения. Плюс подробная журнализация и отображение статистики. Что-то типа такого.

Но остаются еще рядовые сотрудники, которым ничего не стОит принести конягу на флешке, и по боку вся авторизация. Моё мнение - сервис не должен иметь связи с локальной сетью, либо только через vlan с рабочей машиной администратора. Это ограничит доступ (и как следствие, атаки) с локальных рабочих мест, и даст возможность сосредоточиться только на внешней безопасности. »

"Кошерная" реализация требует идентичной процедуры входа и проверки для всех пользователей, в том числе и включая ЛВС. Иное дело, что для Инетовский она должна быть дополнительно усилена. Изоляция системы в отдельный сегмент - это азы, тут даже книжек читать не надо, достаточно все руководящие документы по ИТ безопасности пролистать.

Snort + Unix отсекут еще процентов 60 атакующих ("скрипт-кидди") »
Системы типа IDS, IPS хороши в донастроенном варианте, .т. е. когда настройщик знает точно нормальный режим работы системы и может описать аномалии.

Про SQL-инекции и тому подобные угрозы молчу, т. к. приличная система должна ВСЕГДА анализировать вводимые данные на валидность, вне зависимости от того защищенная она или нет.

От требуемого ПО для защиты требуется, чтобы оно анализировало веб-трафик на предмет зловредов в нем, а также на предмет использования уязвимостей, в т.ч. атаки "нулевого" дня - виртуальный патчинг. »
я из таких знаю только Snort, но он не под винду.
Системы типа IDS, IPS хороши в донастроенном варианте, .т. е. когда настройщик знает точно нормальный режим работы системы и может описать аномалии. »
поэтому только 60% "из коробки".
Про SQL-инекции и тому подобные угрозы молчу »
вроде, нет БД у человека :), а если и есть, то он не написал, какая.

От требуемого ПО для защиты требуется, чтобы оно анализировало веб-трафик на предмет зловредов в нем, а также на предмет использования уязвимостей, в т.ч. атаки "нулевого" дня - виртуальный патчинг »

Автоматический патчинг в больших системах отключают всегда, по малым опыта нет - не подскажу.
Анализировать уже зашифрованный трафик бесмысленно, нужно его распаковывать на реверсивном прокси, анализировать и запаковывать снова. Для рекомендации средства нужно знать модель работы пользователей: с аутентификацией или анонимная. По анонимной советов не даю ибо бесмысленно.
Фиксировать ситему удобно например Symantec Crytical System Protection (это полноценный HIPS), правда он больше ориентирован на группу серверов, т. к. требует отдельного сервера безопасности, что разумно. Хранить логи на защищаемой системе - глупо. Если ее взломают никто не мешает их потереть.

Плюс подробная журнализация и отображение статистики »
Это чень хорошо, но не конкретно. Любой HIPS ведет журналы, главное знать насколько обширные они нужны.

ЗА место Symantec Crytical System Protection, можно ставить Cisco Secure Agent, но к сожалению Cisco снимает его с производства.

можно ставить Cisco Secure Agent, но к сожалению Cisco снимает его с производства. »
Вроде, что-то новое обещали, работающее с новыми Advanced Security Appliances (или они настолько "умны", что дополнительный софт не нужен?)

СУБД - MS SQL 2005.
От требуемого ПО для защиты требуется, чтобы оно анализировало веб-трафик на предмет зловредов в нем, а также на предмет использования уязвимостей, в т.ч. атаки "нулевого" дня - виртуальный патчинг. »
Примеры:
1. Deep Security (Trend Micro),
2. RealSecure Server Sensor (IBM)
Анализировать уже зашифрованный трафик бесмысленно, нужно его распаковывать на реверсивном прокси, анализировать и запаковывать снова. Для рекомендации средства нужно знать модель работы пользователей: с аутентификацией или анонимная. По анонимной советов не даю ибо бесмысленно. »
С аутентификацией.

Для подобных проектов мы использовали:
- CheckPoint Connectra - средство аутентификации, шифрования, анализа трафика и даже проверки рабочей станции (в некоторых режимах)
- Систему фиксировали Symantec Crytical System Protection (шаблоны под IIS есть)
- Антивирусная защита Symantec EndPoint Protection.

Для серверов приложений еще нужно как-то контент анализировать и фиксировать, но тут нужно знать форму самого сайта:
- динамика
- статика
-скрипты
Java

в зависимости от него нужно выбирать средство. Наверное имеет смысл ориентироваться на рекомендации самой MS в плане защиты вашего контента IIS