Обзор подготовлен

версия для печати
ИТ-инфраструктура учится самозащите

ИТ-инфраструктура учится самозащите

Разговоры о том, как интегрировать средства безопасности между собой, похоже, перемещаются в плоскость рассуждений о том, какие элементы ИБ должны быть интегрированы в модули инфраструктуры, то есть речь идет о самозащищающейся архитектуре. В этой связи встает вопрос о будущем "навесных" средств безопасности.

Будем считать, что в рамках данного обзора к инфрастуктуре относятся сетевое оборудование (коммутаторы, маршрутизаторы, беспроводные точки доступа, SAN-оборудование и т.п.), серверы и рабочие станции, операционные системы (ОС), системы управления базами данных (СУБД) и т.п.

Первое, с чего обычно начинают строить инфраструктуру, - это маршрутизаторы, коммутаторы и точки беспроводного доступа. Это закономерно – трафик в сети и за ее пределами не может миновать эти устройства. И если раньше весь "интеллект" и ресурсы тратились на эффективную передачу трафика из точки А в точку Б, то сегодня технологии развились так, что часть из них может быть выделена на дополнительные задачи, например, безопасность.

Причем с точки зрения защиты трафика современный маршрутизатор за редким исключением мало чем уступает отдельным защитным устройствам. Возьмем, к примеру, Cisco Integrated Services Router (ISR), который, согласно данным исследователей Synergy за 1 квартал 2008г., захватил 80% сегмента защищенных маршрутизаторов. В его состав входит целый набор механизмов и подсистем защиты.

Встроенные средства современного маршрутизатора

Тип средства ИБ
1 Межсетевой экран с контролем состояния (имеет сертификат ФСТЭК по 3-му классу)
2 Система предотвращения атак
3 Система контентной фильтрации URL
4 Система построения VPN – IPSec и SSL
5 Сервер сертификатов PKI
6 Поддержка технологии NAC
7 Расширенный анализ и контроль мультимедиа приложений, P2P и IM
8 Поддержка различных механизмов аутентификации и идентификации (Kerberus, RADIUS, TACACS+, сертификаты и т.п.)

Источник: Cisco, 2008

Если говорить о внутренней сети и средстве их организации – коммутаторах и точках беспроводного доступа, то современные реализации этих устройств также обладают широким спектром защитных механизмов, которые можно с большой пользой применять для защиты корпоративных активов.

Встроенные механизмы безопасности беспроводных сетей

Тип средства ИБ
1 Списки контроля доступа, в т.ч. доступ по времени суток
2 Сегментация и разделение трафика разных пользователей/приложений
3 Защит от подмены MAC и IP-адресов
4 Предотвращение хаоса в сети с помощью уязвимого протокола Spanning Tree
5 Отражение атак "отказ в обслуживании", эпидемий червей и иных вредоносных программ
6 Обнаружение и ограничение/блокирование аномальной активности
7 Защита от перехвата трафика
8 Обнаружение несанкционнированных точек доступа и беспроводных клиентов, включая их подавление
9 Аутентификация устройств по протоколу 802.1x и т.д.

Источник: Cisco, 2008

Современное оборудование для организации как проводных, так и беспроводных сетей способно самостоятельно защитить трафик практически от всех видов специфических угроз. А как же остальные элементы инфраструктуры?

Разговоры о безопасности современных ОС и СУБД похожи на фантомные боли

С безопасностью операционной системы ситуация аналогичная. Более того, достаточно странно слышать высказывания некоторых разработчиков, считающих, что навесная система защиты более эффективно решает задачу, чем встроенная функциональность.

Михаил Башлыков, руководитель направления информационной безопасности компании "Крок":

Игорь Малышев Мне кажется, что на сегодняшний день корректнее ставить вопрос не о замене навесных средств информационной безопасности (ИБ) встроенными, а о тех преимуществах, которые открываются при их совмещении.

Рассмотрим классические информационные системы (ИС) современной компании: корпоративные порталы, системы документооборота, корпоративные каталоги и базы данных, системы кадрового учета, а также специализированные бизнес системы (финансовые, CRM, биллинговые системы) и т.д. Сложность использования встроенных средств безопасности в вышеперечисленных системах состоит в том, что в них функции безопасности изначально вторичны по отношению к бизнес-функционалу. Конечно, функции информационной безопасности (ИБ) в современных продуктах, как правило, реализованы, но при интеграции часто встает вопрос - правильно ли они настроены?

Поэтому, мне кажется, гораздо логичнее вынести функции безопасности в отдельное сертифицированное средство ИБ, а бизнес-системам предоставить возможность заниматься исключительно бизнес-логикой. Причем лучшим решением является создание единого слоя безопасности, в котором работают все информационные системы компании. Ярким примером для решения это задачи может служить технология Access Management.

программных продуктов, физических серверов, то есть имеет сложную архитектуру. Поэтому персонально настраивать средства безопасности для каждой ИС - очень трудоемкое занятие. Более того, при изменении политики безопасности компании для каждой из ИС придется персонально настраивать встроенные средства. Процесс и параметры настройки средств безопасности необходимо документировать, следить за изменениями. Такой подход приводит к тому, что ИТ-специалисты компании, прежде всего ориентированные на предоставление сервисов, просто-напросто не смогут справиться с обилием задач по настройке встроенных средств ИБ. В этом случае на помощь по поддержке политик ИБ и управлению ИБ приходят навесные средства, которые как раз и решают задачи централизованного управления. Примером комплексного использования навесных и встроенных средств ИБ может служить проект компании "Крок" для "РАО "ЕЭС России" по внедрению программного пакета IBM Tivoli Access Manager для корпоративного портала с дополнительными функциями Single Sign-on (единый вход во все интегрированные системы) на основе смарт-карт. С помощью IBM Tivoli Access Manager объединены многочисленные комбинации паролей и идентификационных данных пользователей, пользователям предоставлена возможность однократной регистрации и управление доступом к актуальным приложениям.

Этому противоречит здравый смысл. Встроенные механизмы гораздо лучше интегрированы в ОС, чем любая внешняя система, пусть и использующая API. Они более стабильны, более надежны, более целостны и т.д. Рассмотрим, какие механизмы предлагают нам современные ОС.

Про Linux и другие *nix-системы изначально разрабатывались с учетом ИБ и содержат достаточное количество защитных механизмов. Обычно вся полемика о незащищенности идет вокруг Windows – о ней и поговорим.

Если обратиться к перечню защитных возможностей Windows, то мы видим, что в ней реализованы почти все необходимые в жизни механизмы защиты – разграничение доступа, шифрование файлов, аутентификация пользователя, регистрация событий, групповые политики, обновление системы и т.п.

Разумеется, встает вопрос управления этими механизмами. Но эта тема касается почти любой системы защиты – будь она навесная или встроенная. Конечно, не все версии ОС Windows или иных операционных систем имеют сертификат ФСТЭК и соответствуют требованиям каких-либо руководящих документов. Но, пожалуй, это единственный их недостаток. В остальном же они позволяют реализовать почти все, что требуется пользователям на практике.

С СУБД ситуация аналогичная. Если мы берем решения Microsoft, IBM, Oracle или Sybase, то получаем достаточно широкий спектр защитных возможностей. Конечно, есть темы, которые пока выпадают из поля зрения разработчиков СУБД, но их очень немного и обычно они не обладают первостепенной важностью в реальной жизни.

Безопасность серверов и ПК: новые технологии приходят на помощь

С серверами, рабочими станциями, лэптопами и другими оконечными устройствами на практике обстоит все также хорошо. Если не брать в расчет "наколеночные поделки", собранные в подвалах, то производители предлагают достаточно защищенные компьютеры, которые сильно затрудняют жизнь злоумышленникам, пытающимся проникнуть в секреты предприятия.

Начнем с того, что помимо BIOS современные материнские платы (и Intel, и AMD) оснащаются специальными модулями, которые реализуют аппаратную аутентификацию пользователя, хранение ключей шифрования и сертификатов открытых ключей и т.п. Такой модуль имеет микропроцессор, плюс энергонезависимую память, что делает его независимым защитным контроллером.

Эта технология получила название Trusted Platform Module (TPM). Суть ее проста – переложить критические задачи безопасности на микросхему, которая является неотъемлемой частью материнской платы. Помимо TPM рынку сегодня предлагаются и другие, более продвинутые вещи. Например, технология vPro от Intel.

Одно из главных преимуществ этой технологии – возможность удаленной диагностики и устранения проблем не только при выключенном ПК, но даже и при "убитой" операционной системе. vPro включает в себя TPM, но не только. В микропроцессоре Intel vPro реализован (схожие подходы реализует и AMD) целый арсенал средств ИБ.

Встроенные средства безопасности процессоров(на примере Intel vPro)

Тип средства ИБ
1 Система фильтрации сетевого взаимодействия и обнаружения аномального трафика
2 Антивирусная защита (эта будущая функция анонсирована, как результат альянса с компанией Symantec)
3 Контроль наличия защитных агентов до загрузки ОС
4 Защита от загрузки с посторонних носителей (флешек, дискет, CD, сети и т.п.)
5 Устранение обнаруженных проблем
6 Конфиденциальность и шифрование данных на жестком диске
7 Аутентификация (за счет технологии Intel Trusted Execution Technology, ранее называвшейся LaGrande)
8 Запуск приложений в изолированном защищенном пространстве
9 Защищенное взаимодействие между USB, клавиатурой, мышью и приложениями
10 Обеспечение пересылки графического изображения на монитор без возможности его перехвата со стороны ПО и т.п.

Источник: Cisco, 2008

Есть вопрос, который пока остается за рамками внимания разработчиков. Речь идет о ПЭМИН (или TEMPEST в западной терминологии). За границей эта тема давно забыта и не рассматривается как угроза для 99% пользователей коммерческих предприятий.

В России эта тема всплыла совсем недавно в связке с вопросом о сохранении персональных данных. Ведь согласно разработанным ФСТЭК документам, каждый компьютер, сервер, сетевое устройство, КПК, телефон, обрабатывающие персональные данные определенного класса, должны защищаться от утечек по побочным электромагнитным излучениям и наводкам. Вопрос пока решается…

Цена безопасности

В итоге встроенная ИБ функциональность (зачастую имеющая сертификат ФСТЭК) позволяет реализовать практически все типовые задачи, стоящие перед большинством организаций в области информационной безопасности. Встает вопрос о цене данной функциональности: не дешевле ли купить самостоятельные средства защиты и наложить их на инфраструктуру. Как показывает опыт, ответ на этот вопрос будет отрицательным.

Не стоит забывать, что цена безопасности складывается не только и не столько из стоимости лицензии на ПО или стоимости "железа". Согласно оценкам экспертов, это составляет не более 15-20% от совокупной стоимости владения системой, которая включает в себя обучение, эксплуатацию, внедрение и т.п.

А если вспомнить о необходимости интеграции системы защиты в ИТ-инфраструктуру или даже в ИБ-инфраструктуру и о создании единой консоли управления ИБ предприятия, то будет ясно, что использование изначально интегрированного решения более бы выгодно по всем показателям.

Значит ли это, что нужно отказаться от навесных систем защиты в пользу интегрированных? Тоже нет. У выделенных решений все же сохранятся свои ниши, и выбор в их пользу зависит от множества факторов, например, от того, кто принимает решение о закупке. Это может быть подразделение, отвечающее за телекоммуникации или информатизацию, которое, как правило, имеют дело с ИТ-инфраструктурой и компонентами, ее составляющими, или отдел защиты информации, специализирующийся на вопросах ИБ, в т.ч. внедрении и управлении межсетевыми экранами, VPN-устройствами и системами обнаружения и предотвращения атак.

Помимо всего прочего, важно и то, кто будет управлять защитным решением, Где установлено решение - в центре обработки данных или В удаленном офисе, а также какие приложения или сервисы будут защищаться с помощью предлагаемого решения и вообще нужно ли сертифицированное решение заказчику.

Алексей Лукацкий

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS