КОРПОРАТИВНАЯ СЕТЬ
Сетевая безопасность становится все важнее и обходится все дороже
Tимоти Дик
В последние два года на первый план постепенно выдвигается организационный аспект сетевой безопасности, который все чаще становится предметом обсуждения на уровне высшего руководства компаний. В результате эта проблема выходит за рамки технических механизмов защиты и попадает в круг административных задач управления рисками, выработки политики, повышения эффективности обучения и подготовки кадров.
"Сегодня отчетливо наблюдается рост спроса на специалистов по управлению рисками, - отмечает Джерри Брейди, главный инженер фирмы Guardent из Атланты, на которого возложено управление защитными службами. - Вот уже года три-четыре фирмы активно приобретают средства безопасности, с помощью которых рассчитывают решить свои проблемы. Однако в большинстве случаев они лишь латают бреши. Но видим мы и то, что фокус постепенно смещается в сторону организационных мер и стандартизации. Оценка системы защиты позволяет определить, откуда именно исходит опасность, а затем разработать план действий по совершенствованию соответствующих процедур и управления ими".
Смене приоритетов способствует и то, что к корпоративной политике безопасности все ближе подбирается длинная рука закона, и для соответствующих подразделений на первый план выходят организационные задачи. Закон Грэма - Лича - Блайли, а также и закон о сохранении медицинской страховки и отчетности по ней (первый в сфере финансовых услуг, второй - в здравоохранении) коренным образом изменили подход к пересылке конфиденциальной информации, методам доступа к ней и обеспечению безопасности.
Принимаются и другие юридические акты, которые заставят высшее руководство корпораций обращать еще больше внимания на вопросы сетевой безопасности.
Скажем, в Калифорнии 1 июля нынешнего года вступила в силу принятая прошлым сентябрем поправка к гражданскому кодексу под номером SB 1386. Хотя формально она носит местный характер, масштаб у нее общенациональный. Дело в том, что под действие этого акта подпадают все организации, общественные и частные, которые поддерживают деловые связи с Калифорнией, владеют или используют по лицензии данные с личной информацией о любых жителях штата.
В соответствии с требованиями SB 1386 организации должны уведомлять своих клиентов обо всех случаях, пусть даже предполагаемых, компрометации таких сведений. Это, как считают законодатели, даст потребителям возможность принять меры для предупреждения утечек личных данных в будущем. Подобные шаги имеют несомненный смысл, однако закон (и угроза судебных исков против его нарушителей) заставляет полностью пересмотреть всю организацию системы безопасности сверху донизу.
В выигрыше здесь окажется криптография, поскольку SB 1386 касается только открытой информации. Шифровать данные позволяют многие СУБД, в первую очередь Oracle одноименной фирмы и DB2 корпорации IBM. Криптозащита всегда была надежным средством обеспечения безопасности данных, а теперь она получает еще и юридическое обоснование.
Безопасность от центра к периферии
Такие местные законы, как SB 1386, и федеральные законопроекты наподобие S.228 и S.223 (внесенные сенатором-демократом от штата Калифорния Дианой Файнштейн, они касаются защиты номеров карт социального обеспечения и кредитных карточек соответственно) - всего лишь малая часть из множества факторов, которые настоятельно требуют изменения самой стратегии сетевой безопасности.
Безопасная сеть
Разумеется, технические разработки необходимо дополнять передовым опытом в области корпоративного обсуждения, работы с кадрами и управления рисками.
Надежная система сетевой защиты строится по принципу капусты: множество слоев вокруг прочного ядра. Точно так же и безопасность должна начинаться с центра и распространяться на периферию.
Слишком многие организации придерживаются неверного подхода, тщательно защищая сетевой периметр и не обращая особого внимания на внутреннюю безопасность сети. При этом полностью игнорируется тот факт, что значительная часть атак исходит именно изнутри либо проводится сообща внутренними и внешними силами. Таким образом, оборона по периметру является весьма уязвимой.
Сегодня, когда к корпоративной сети подключается по VPN множество удаленных сотрудников, а корпоративные приложения зачастую открыты для работы через Интернет, выделить тех, кто работает только изнутри или только снаружи, становится все труднее. Свой вклад в размывание сетевых оборонительных рубежей вносят также частные Web-коммутаторы, Web-сервисы, средства электронного документооборота ED и другие каналы взаимодействия предприятий.
В фокусе - данные
Основное внимание при оценке безопасности должно уделяться информации. Ее защита достигается путем централизации, систематического контроля над доступом к приложениям, шифрования и физической защиты.
Централизация данных существенно упрощает управление всей системой безопасности, снижает количество точек сетевого доступа и размещения серверов, которые должны быть серьезно защищены.
Для отслеживания доступа к сетям и приложениям используются центральные каталоги вроде LDAP, Microsoft Active Directory, Novell eDirectory либо инфраструктуры открытых ключей. Глобальные каталоги очень удобны для администрирования прав пользователей, так как позволяют производить его централизованно. А это значит, что при выборе инфраструктуры сети и приложений особое внимание следует обращать на качество поддержки службы NDS.
Общепринятой и широко распространенной в сетевых операционных системах практикой является шифрование данных на диске, в то время как сетевое шифрование встречается намного реже. Особую остроту эта проблема приобретает в беспроводных сетях. Криптопротокол Secure Socket Layer и VPN сейчас активно используются для закрытия внешнего трафика, и нет никаких причин, которые помешали бы применять эти средства и внутри сети. Помочь здесь, скажем, может комплект WirelessWall Software Suite 2.0 фирмы Granite Systems, способный просто и эффективно шифровать беспроводной трафик.
И наконец, физическая защита. Налаживая четкий контроль доступа к сети, необходимо обеспечить надежную охрану и всего сетевого оборудования - серверов, систем резервирования данных и т. д.
В больших организациях перенос данных на серверы создает немало проблем. Безопасное конфигурирование, дистанционный мониторинг и своевременное обновление "заплат" на тысячах серверов и сотнях тысяч подключенных сетевых устройств ставят перед подразделениями ИТ множество серьезных задач.
На совещании консультативного комитета корпоративных партнеров eWeek этот аспект был признан одним из наиболее насущных. Из тех же соображений было решено присудить системе FoundScan Vulnerability Management System 2.5 награду eWeek Excellence Award в категории средств защиты корпоративных ресурсов. Этот продукт фирмы Foundstone оперативно сканирует уязвимые места большой сети и следит за своевременным обновлением "заплат" в ней. Все это делает его очень полезным для поддержания на высоком уровне защищенности географически распределенных сетей.
Вот уже много лет основным средством защиты сетевого пограничья служат брандмауэры. Однако сейчас основное направление атак смещается на прикладной уровень через HTTP и другие используемые приложениями порты, куда влияние большинства брандмауэров не доходит.
Для предотвращения внешних атак в последнее время применяют и брандмауэры Web-приложений нового поколения, работа которых основывается на "белых списках". Три такие системы были протестированы в eWeek Labs; с результатами можно ознакомиться на сайте www.eweek.com/labs.
Самой же свежей новинкой является обеспечение сетевой безопасности путем анализа протоколов. Один из крупнейших производителей брандмауэров фирма Check Point Software Technologies недавно выпустила свои первые сетевые экраны под конкретные протоколы, которые, инспектируя весь трафик, предотвращают атаки извне. Появление такого продукта наглядно свидетельствует о том, что распространение атак на прикладном уровне приводит к сдвигу в сторону интеллектуальных шлюзов.
