`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Cisco: проблемы безопасности разрешимы только в сети

+35
голосов

В феврале 2012 г. компания Cisco анонсировала новую концепцию противодействия современным ИТ-угрозам. Три основные тенденции (мобильность, «облака», целевые угрозы), преимущественно определяющих риски безопасности, имеют один общий аспект – сеть, в которой содержатся данные, к которой подключаются устройства, где происходит управление потоками. Именно она в той или иной степени касается всех пользователей. Поэтому, по мнению Cisco, сеть – единственное место, где необходимо сосредоточить усилия по разрешению проблем безопасности.

Проблема защиты корпоративных данных от внешнего доступа возникла одновременно с началом практики подключения внутренних сетей к Интернету. Потребность гарантировать конфиденциальность, целостность, доступность данных и сетевых ресурсов породила целую индустрию инструментов защиты, которая развивалась вокруг технологий межсетевых экранов.

Первое поколение архитектур межсетевых экранов было разработано подразделением Cisco IOS в 1985 г., а первая статья с описанием работы фильтра пакетов вышла только в 1988 г. Принцип работы первого поколения брандмауэров, фильтров пакетов, состоит в анализе сетевого трафика на уровне протокола передачи. Система сканирует все пакеты IP сети на соответствие правилам, и, на основании данных заголовков (адреса отправителя и получателя, номер порта источника и получателя, информации о приложении или протоколе) разрешает, либо запрещает коммуникации.

Второе поколение межсетевых экранов было разработано в 1989-90 гг. в недрах AT&T Bell Laboratories. Шлюзы сеансового уровня следят за подтверждением связи между авторизованным клиентом и внешним хостом (и наоборот), определяя, является ли запрашиваемый сеанс связи допустимым. Фильтрация пакетов основана на информации, содержащейся в заголовках IP-пакетов сеансового уровня протокола TCP, т.е. архитектура второго поколения работает на два уровня выше, чем фильтры пакетов. Шлюз сеансового уровня выполняет также функции сервера-посредника, который преобразует внутренние IP-адреса в один IP, ассоциируемый с самим брандмауэром – все исходящие пакеты отправляются из шлюза сеансового уровня, а прямой контакт между внутренней и внешней сетью исключаются.

Межсетевые экраны третьего поколения основаны на исследованиях 1980-90 гг. преимущественно американских ученых из Purdue University и AT&T Bell Laboratories, принципы их работы были описаны в публикациях 1990-91 гг. и реализованы впервые в коммерческом продукте SEAL компании Digital Equipment Corporation. Это фильтры прикладного уровня, которые перехватывают входящие и исходящие пакеты, и работают в качестве прокси-сервера (исключая прямые соединения между клиентом и внешним хостом), а для перенаправления данных через шлюз используют специальные программы-посредники. Они выявляют отдельные виды команд или специфические данные в протоколах уровня приложений, и обрабатывают исключительно пакеты служб, для которых имеются соответствующие посредники.

В 1991 г. в Bell Laboratories занялись созданием технологий динамической фильтрации пакетов. В 1992 г. аналогичное направление стали развивать в Университете Южной Калифорнии, и на основе их разработки Visas в 1994 г. компания Check Point выпустила первый коммерческий продукт, в котором реализован межсетевой экран четвертого поколения. Технология динамического фильтра пакетов анализирует состояние сессии: каждый раз, когда устанавливается разрешенное внешнее, либо внутреннее, TCP или UDP соединение, информация о нем (адрес источника и назначения, номера портов, порядковые номера сессии, дополнительные флаги) запоминается в таблице состояния (state table). Данная технология работает и с пакетами и с соединениями, а поскольку информация о каждом соединении сохраняется, позволяет определить является ли данный пакет частью определенного соединения.

В 1996 г. Global Internet Software Group разработала план архитектуры пятого поколения, Kernel Proxy, прокси уровня ядра, а первый коммерческий продукт на основе этой архитектуры, Centri Firewall, был выпущен Cisco в 1997 г. Когда на такой брандмауэр поступает пакет, создается новый виртуальный сетевой стек, который состоит из прокси только тех протоколов, которые нужны для проверки именно этого пакета. Затем производится анализ данных заголовков на уровне каналов, сети, сеансов, транспорта, приложений, и, если хотя бы в результате одной проверки брандмауэр идентифицирует пакет как небезопасный, он уничтожается.

В 1998 г. вышел программный брандмауэр Cisco Centri Firewall, в котором реализована архитектура автономных агентов. Все задачи системы делятся на независимые процессы, обслуживаемые разными, специализированными автономными агентами, и, поскольку каждый выполняет простые операции, качество и надежность его работы легче гарантировать. Агенты взаимодействуют друг с другом через веб-интерфейс, что позволяет формировать сложную систему защиты ПК, сетей и их фрагментов, отдельных пользователей или групп, и предохраняет информационную инфраструктуру от проникновения вирусов ActiveX и Java.

Все эти технологии в комплексе применялись длительное время и обеспечивали защиту, с большей или меньшей степенью надежности разграничивая внутрикорпоративную и внешнюю среду. Но с появлением и популяризацией таких технологий как виртуализация и «облачные» вычисления, интеграция в бизнес-процессы разнообразных мобильных устройств, социальных сетей, в значительной мере изменились принципы функционирования ЦОД, бизнес-модели, ИТ-сервисы, архитектуры. Модификация способов распространения приложений, и использование новых типов устройств повысила сложность сетей. К тому же возникла потребность защищать коммуникации между виртуальными машинами, обеспечить безопасную связь с «облаками», дать равный доступ к приложениям с фиксированных и мобильных клиентов. Поиск баланса между потребностью защиты бизнес-информации и гарантии продуктивности сотрудников вынуждает отойти от технологий межсетевых экранов, которые не обеспечивают достаточную видимость данных – соответственно, изменить парадигму защиты, от разграничения сетей к защите данных в самой сети, с использованием единых подходов как для физических так и для виртуальных сегментов инфраструктуры. Именно эту цель преследует анонсированная Cisco в начале года, на форуме 2012 RSA Conference, новая концепция контекстной безопасности Cisco SecureX.

Cisco: проблемы безопасности разрешимы только в сети

Одна из реализаций этого нового видения систем защиты – новое поколения межсетевых экранов Cisco Adaptive Security Appliance (ASA), на основе платформы Context-Aware. Достоинство новой архитектуры в том, что для нее не имеет значения, какой вариант доступа к тем или иным сетевым ресурсам используется, в любом случае применяются единые принципы защиты и механизмы контроля трафика на предмет поиска следов вредоносной и подозрительной активности. Cisco ASA умеет работать с контекстом и блокировать приложения с изменяющимися портами и протоколами (скажем, Skype и Р2Р) на основе политик, которые учитывают пользователя, локальный контекст (Cisco TrustSec), глобальный контекст (Cisco Security Intelligence Operations), используемое устройство и местонахождение (Cisco AnyConnect). О первых двух компонентах мы уже писали здесь, а последний, AnyConnect, обеспечивает дифференцированный доступ в сеть отдельных пользователей или групп в зависимости их расположения, а, в случае необходимости, позволяет блокировать доступ к корпоративной сети с утерянных или украденных аппаратов. Эта система умеет автоматически создавать защищенные связи и поддерживать доступ при переходе из зоны Wi-Fi в зону мобильной связи и в обратном направлении, а для обеспечения безопасности используется AES-шифрование с 256-битным ключом, стандарты DTLS или SSL.

Управляется Cisco ASA с помощью еще одного нового продукта, Cisco Prime Security Manager. Он позволяет из единого центра видеть не только межсетевые экраны Cisco ASA, но и устройства для предотвращения вторжений Cisco IPS, безопасные мобильные клиенты Cisco AnyConnect Secure Mobility Client (они имеются для всех популярных мобильных систем, iOS, Android и Windows 8) и маршрутизаторы Cisco Secure Router, выполнять непрерывный мониторинг устройств. Система предупреждает о достижении пороговых значений параметрами сети, а также позволяет выполнять обмен данными с другими сетевыми сервисами, в том числе системами анализа информационной безопасности.

Итак, современные модели Cisco ASA различают 1 тыс приложений и 75 тыс микро-приложений (в том числе и наиболее популярные для Facebook, Skype, «ВКонтакте», Youtube, iTunes, LinkedIn) и дают возможность разумно ограничить деятельность сотрудников в этих приложениях. Например, можно оставить полный набор инструментов для решения бизнес-задач в социальных сетях, и блокировать игровые компоненты (Facebook Games, пр.), разрешить коммуникации через службы мгновенных сообщений, но запретить передачу через них файлов. Именно такой гибкий подход, реализованный как для отдельных компонентов, так и для целых групп, позволяет безопасно инкорпорировать в бизнес-процесс мобильные устройства и социальные сети, при этом обеспечив должный контроль.

В новое семейство Cisco ASA 5500-X Series входит несколько моделей, ориентированных на установку в граничных областях сетей и предназначенных для предприятий разного размера, от SMB до корпоративного уровня. Младшие модели поддерживают 10-25 соединений через 2 сети VPN, фильтрацию трафика и блокировку сетевых атак. Старшие модели, с объемом памяти до 16 Гб сочетают функции системы IPS и VPN межсетевого экрана (предусмотрены режимы работы на уровнях 2 и 3), расширенные средства анализа пакетов. При этом пропускная способность межсетевого экрана достигает 320 Гб/с, системы IPS до 60 Гб/с, поддерживается до 1 млн соединений в секунду и 50 млн одновременных соединений, чего достаточно для работы крупных ЦОД. Масштабирование достигается за счет кластеризации, таким образом, при наращивании стека ASA им можно управлять как единым логическим устройством. А интеграция с Cisco Cloud Web security (ScanSafe) позволяет без потери производительности выполнять сканирование и разбор контента, поддерживать расширенные функции защищенного удаленного доступа по каналам IPv6, шифрование, пр.

Не так давно появились данные тестирования производительности ASA 5500-Х в сравнении с аналогами производства Check Point и Fortinet, проведенного независимой компанией Miercom в разных сценариях использования. По результатам исследования, производительность устройств ASA 5515-Х и 5525-X по корпоративному трафику (ЕМ IX) по меньшей мере на 99% выше, чем у аналогов Check Point 4210 и FortiGate 310В, производительность по протоколу UDP при использовании усредненного интернет-трафика (IМIХ) (IРv4 и IРc6) у ASA 5500-Х – на 57% выше, производительность по трафику HTTP – на 60% выше. В среднем Cisco ASA 5500-Х могут обрабатывать на 10% соединений в секунду больше при использовании протокола IPv4 и на 24% больше при работе с протоколом протокола IPv6.

Евгений Чулков

специалист компании «Интеграционные Системы» по решениям информационной безопасности

Все, кто пристально следит за тенденциями в области информационной безопасности, не могли не отметить, что в последние пару лет акценты сильно сместились в направлении защиты «облаков», мобильности – популярной на сегодня концепции Bring Your Own Device (BYOD) и контекстной фильтрации данных в сети.

Именно уход от концепции простого «разграничения сетей и фильтрации устройств по IP-адресам» к концепции «видимости происходящего в сети», когда на первый план выходит задача организации доступа к сетевым ресурсам для тех или иных пользователей, вне зависимости от выбранного варианта доступа, является ключевым в последнее время.

Все ключевые игроки на рынке шлюзов безопасности четко понимают, что назрела необходимость нового подхода в виде шлюзов безопасности следующего поколения или так называемых Next Generation Firewall. На данный момент на рынке выделяются некоторые вендоры со своими разработками и Cisco один из них.

Новое поколение устройств Cisco ASA научилось работать с контекстом, разделять доступ для пользователей, согласно политикам безопасности, более «глубоко» инспектировать приложения, веб-сервисы, особенно те, которые работают с изменяющимися портами (Skype и Р2Р).

Постоянная работа над уже существующими продуктами, а так же активное развитие интегрируемых облачных сервисов ИБ, таких как ScanSafe, еще сильнее укрепляют позиции Cisco в сегменте информационной безопасности и выгодно выделяют ее среди конкурентов.

+35
голосов

Напечатать Отправить другу

Читайте также

Циско молодцы - меряться с FortiGate 310В, немножко 2008 года моделька. Апплодируем стоя.

Так расскажите про модель, которая заткнет Cisco за пояс

Взяли бы хоть эту для приличия http://www.fortinet.com/products/fortigate/300C.html.
Она ведь раньше 55**-Х вышла, явно была доступна на момент написания обзора.
Кто хочет проверить, несите квоту на Cisco, выдам девайс на тест и цену на аналогичную/превосходящую конфигурацию лучше, чем любое предложение на ASA (кроме DEMO / NFR) :)

Евгений, если интересна информация о моделях FortiGate, обращайтесь либо в почту, либо на мобильный, и я предоставлю информацию.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT