`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

HP ProCurve и Microsoft – адаптивная безопасность сложных сетей

Статья опубликована в №23 (640) от 17 июня

+11
голос

Новые технологии не обязательно появляются в результате открытий. Эволюция, кооперация, стандартизация, открытость спецификаций, интеграция и, наконец, время, – также могут стать основой новых решений.

HP ProCurve и Microsoft – адаптивная безопасность сложных сетей
Уве Неймайер, региональный менеджер ProCurve в Германии: «Спрос на продукцию HP ProCurve существенно растет как в Германии, так и во всем регионе EMEA, и возможности интеграции нашего оборудования с системным ПО Microsoft только ускорят этот рост и увеличат пользовательскую базу»

Наивные кинолегенды и мифы о злоумышленниках, «пробивающихся» через серверы публичного доступа во внутренние корпоративные сети с помощью примитивного восьмибитового компьютера, хоть и увлекательны, но далеки от действительности. Любой мало-мальски знакомый со спецификой сетевой безопасности специалист прекрасно знает – без поддержки или косвенного неумышленного грубого попустительства изнутри сети ни о каком «вторжении» и речи идти не может. Иными словами – проблемы на границах сети во многом определяются внутренним состоянием ее элементов, в первую очередь – по ряду причин самых уязвимых. То есть персональных компьютеров. А вот специфические для них многочисленность, разнообразие способов доступа к сети, территориальная «распыленность» и огромный разброс уровня компьютерной подготовки пользователей создают по-настоящему главную проблему. Имя ей – Сложность. С ростом числа пользовательских машин в сети, с увеличением степени их персонализации (за счет постепенной, но очевидной миграции от традиционных настольных ПК к ноутбукам), с расширением потребностей пользователей перед подразделениями, отвечающими за информационную безопасность, фактически ставится задача выбора – или одновременно «поражать в правах» пользователей и жестко (более точно – жестоко) загонять их в прокрустово ложе чуть ли не единой «стандартной программной конфигурации», или взваливать на подразделения колоссальное по объемам работ решение задачи постоянного поддержания персональных компьютеров хотя бы в таком состоянии, которое нельзя охарактеризовать казенным словом «халатность». Но и это еще не все. Даже если добиться такой дисциплины и культуры эксплуатации корпоративных ПК, при которых машины пусть будут не «вылизанными», но, по крайней мере, без вопиющих «прорех» в системном и прикладном ПО, до полного спокойствия охранников границ сети еще очень далеко. Разделение механизмов поддержания персональных компьютеров в порядке и обеспечения соблюдения прав доступа к сетевым ресурсам также готовит массу дорогостоящих сюрпризов. А именно, пока не существует механизмов, гарантирующих когерентность оценки «безопасности» конкретного персонального компьютера и его прав в корпоративной сети, проблем не избежать. Например, если неблагополучный компьютер имеет беспрепятственный доступ к сегменту локальной сети, «подхваченные» им (любыми возможными путями) вредоносные программы (вирусы, «черви» etc.) потенциально могут также беспрепятственно «распоряжаться» в этом сегменте. С потенциальными возможностями, конечно же, можно не считаться. Но это неумно вообще, и особенно в сверхскоростном мире информационных технологий в частности.

Так, не вдаваясь ни в технические детали, ни в сложную терминологию, основанными на элементарной логике рассуждениями мы приблизились к самому важному моменту в знакомстве с любой технологией – к пониманию ее назначения. В масштабной сети, объединяющей множество персонализированных вычислительных ресурсов и стоящих за ними пользователей, есть три ключевые проблемы – централизованное поддержание «благонадежности» (в соответствии с определенными критериями) персонализированных вычислительных ресурсов, контроль соответствия допустимых сетевых операций и степени «благонадежности», и, наконец, самая главная проблема – сложность первых двух проблем, обусловленная как масштабами сети, так и огромным количеством необходимых пользователям программных систем, программ и утилит. И технология, назначение которой – разрешение вышеуказанных проблем, – уже существует. Именно объявлению этого факта и было посвящено мероприятие, проведенное подразделением ProCurve корпорации Hewlett-Packard 22 апреля в мюнхенском технологическом центре Microsoft (MTC, Microsoft Technology Center).

Подтверждением факта существования этой технологии является не просто ее одобрение специалистами, а использование в таком масштабном проекте, как всемирная сеть технологических центров Microsoft (MTC). Ее развертывание началось в 2001 г., и сейчас сеть из шестнадцати MTC охватывает семь стран мира – США, Германию, Францию, ОАЭ, Великобританию, Китай и Тайвань, Индию. Каждый технологический центр располагает пусть не гигантской, но вполне достаточной для изучения и моделирования среднемасштабных проектов инфраструктурой с несколькими сотнями серверов и ПК (например, в MTC Бангалора около 100 серверов, 100 ПК и несколько десятков портативных компьютеров, MTC Пекина предоставляет ресурсы пула из сотни серверов и более 200 ПК и т. д.). Фактически вся сеть MTC является демонстрационно-учебно-испытательным полигоном, позволяющим специалистам Microsoft и ее стратегическим партнерам работать непосредственно с заказчиками над решением задач планирования и моделирования проектов значительных масштабов. Сетевая инфраструктура от HP ProCurve системы, объединяющей все MTC, в совокупности с возможностями новых и обновленных ОС Microsoft и есть ключевые составляющие той технологии, о которой мы говорим.

HP ProCurve и Microsoft – адаптивная безопасность сложных сетей
Андреас Шауэр, менеджер мюнхенского технологического центра Microsoft: «Совместное использование сетевого оборудования HP ProCurve и технологии NAP Microsoft обеспечивает клиентов технологических центров MTC надежной подсистемой сетевой безопасности»

Собственно, речь идет о кооперативной разработке, история которой насчитывает уже 10 лет. В 1998 г. Hewlett-Packard выступила с инициативой нового стандарта управления доступом к сети на уровне портов сетевых устройств, обеспечивающего по результатам аутентификации подключаемого абонента разрешение или отказ в доступе к сети. Инициатива быстро привела к появлению стандарта IEEE 802.1X, а всего через 5 лет появились и первые устройства от HP ProCurve, реализующие этот стандарт. Еще через год (в 2004 г.) по инициативе HP ProCurve для создания открытых спецификаций механизмов обеспечения компьютерной безопасности была создана рабочая группа TNC (Trusted Network Connect) в составе организации TCG (Trusted Computing Group). Если спецификации IEEE 802.1X описывают механизм разрешения доступа к сети на основе результатов аутентификации, который как бы работает на стыке «подключаемый компьютер – сетевой порт», то TNC расширяют возможности повышения безопасности за счет включения в границы охраняемого и наблюдаемого самого подключаемого компьютера. Речь может идти о принятии решений относительно прав доступа к сети на основе информации, например об установленных на подключаемом компьютере обновлениях системного ПО, версиях ключевых программ и т. п. Естественно, протоколы, механизмы и форматы, обеспечивающие обмен такой информацией, должны быть максимально архитектурно-нейтральными для того, чтобы технология прижилась в мире гетерогенных сетей. Разработчики HP ProCurve не забывали об этом и сосредоточили усилия на стандартизации на всех уровнях – от клиентского и серверного программных интерфейсов (API) до протоколов всех уровней и детальных нюансов их применения. Все эти разработки воплощались HP ProCurve в серийном сетевом оборудовании.

Параллельно с работами TNC в корпорации Microsoft началась реализация системы с аналогичным целевым назначением – NAP (Network Access Protection). Менее чем через год Microsoft привела NAP в соответствие с открытыми спецификациями TNC. Наконец, в этом году Microsoft довела NAP до готовности к промышленному применению, включила серверную составляющую этой подсистемы в состав Windows Server 2008, а клиентские – во все современные пользовательские ОС семейства Windows (включая Windows XP, для которого NAP-клиент поставляется в составе обновлений Service Pack 3). Модель NAP от Microsoft, по сути, позволяет ограничивать доступность ресурсов сервера в зависимости от результатов комплексной, определенной администратором, оценки состояния машины-клиента.

И вот, наконец, в результате десятилетней эволюции встроенные реализации систем безопасности сетевой инфраструктуры HP ProCurve и Microsoft NAP обрели возможность полной интеграции. На практике это означает, что теперь администраторы могут посредством высокоуровневых политик (а не механизмов) формировать системы, полноценно реагирующие, например, на подключение к корпоративной сети различных клиентских машин. Сценарий действий такой системы можно кратко описать несложной, но близкой к действительности, моделью. Клиентская машина с установленным NAP-клиентом или без него, пытаясь получить доступ к сети, сначала проходит аутентификацию IEEE 802.1X в точке применения политик (PEP, Policy Enforcement Point). Реализация PEP поддерживается большинством коммутаторов ProCurve семейства Edge. Благодаря интеграции с NAP, кроме результата этой аутентификации, при принятии системой решения о реакции на подключение клиентской машины будут учтены, в том числе, и перечень, и состояние «здоровья» ее системного и прикладного ПО. На основании совокупности данных и установленных политик система по-разному представит себя подключенной машине. Так, если клиентская машина успешно прошла аутентификацию и определена как «персональный ноутбук сотрудника», при этом NAP-данные свидетельствуют о том, что ее системное ПО давно не обновлялось и содержит известные и потенциально опасные уязвимости, система сформирует для этой машины такую виртуальную сеть, в которой возможно соединение только с локальным сервером, обеспечивающим автоматическое обновление ПО. После процедуры автообновления та же самая машина при новом подключении увидит систему совершенно по-другому – так как она все-таки персональная, а не корпоративная, система представит себя ей, например, виртуальной сетью c некритичными ресурсами публичного доступа.

По сути, результатом совместной работы HP ProCurve и Microsoft стала аппаратно-программная платформа, реализующая открытые спецификации и стандарты и позволяющая создавать конфигурируемые на основе политик адаптивные виртуальные сетевые структуры. Принципиальная, «врожденная» способность этих структур к адаптации означает, что рост масштабов сети не приводит к экспоненциальному росту затрат на обеспечение ее безопасности и, что также весьма немаловажно, на поддержание «в порядке» массы клиентских машин. А стандартизация и открытость спецификаций позволяют потенциально делать такие структуры гетерогенными.

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT