`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Системы инфобезопасности от Cisco: распределение и унификация

+22
голоса

Основные проблемы, которые приходится решать ИТ специалистам, — кибершпионаж, утечки данных из-за деятельности хакеров и нелояльного персонала, защита телефонных линий и IP-телефонии, удаленных сотрудников, — требуют комплексного подхода и применения самых разнообразных инструментов. Недавние исследования компаний, специализирующихся в данном сегменте, в том числе и Trustwave 2012 Global Security, позволяют сделать вывод, что основные бреши в ИТ инфраструктуре являются следствием быстро меняющихся требований к ИТ со стороны бизнеса, а также сложностью и упущениями при проектировании и администрировании.

На протяжении многих лет ИТ инфраструктура компаний имела четкие границы, вне которой оставались партнеры, клиенты, и злоумышленники тоже. Сегодня наблюдается быстрая смена модели поведения бизнеса, расширение взаимодействия с заказчиками и партнерами (и одновременно потребность предоставить им ограниченный доступ к части внутренних ресурсов компании), глобализация даже небольших предприятий, консьюмеризация и расширение спектра применения мобильных устройств. По оценкам экспертов, 50% предприятий позволяют сотрудникам выполнять рабочие задачи с собственных устройств, для делового общения используется до 22 разных инструментов, 45% штата задействует социальные сети, уже в ближайшее время 40% компаний намерены внедрить «облачные» сервисы для отдельных бизнес-процессов.

Помимо этого, меняется стиль работы самих сотрудников и их ожидания от работодателя. Согласно данным опроса Cisco, проведенного еще в 2010 г., 66% сотрудников компаний согласятся на снижение зарплаты на 10%, если получат возможность работать из любой точки; 45% готовы работать на 2-3 часа больше, если смогут делать это удаленно; 59% хотят использовать на работе собственные устройства.

Такие изменения внутренней и внешней бизнес-среды порождают сотни новых рисков: целями атак становятся виртуальные машины и гипервизоры, бесконтрольные внутренние виртуальные сети снижают эффективность политик безопасности,системы обмена мгновенными сообщениями могут обходить средства защиты, пр. К тому же, унаследованные системы безопасности порой используют до 30 решений разных поставщиков, также порождая риски, связанные с интеграцией продуктов и обеспечением единых политик доступа к проводному и беспроводному сегментам корпоративной сети.

В этих условиях одним из возможных решений организации защиты корпоративных ресурсов компании может стать архитектура безопасности Cisco SecureX. Она была представлена около года назад и представляет собой такую схему защиты, которая открывает доступ к инфраструктуре предприятия для авторизованных пользователей независимо от того, откуда, когда и как они хотят его получить, закрывает для неавторизованных пользователей,и нежелательного контента и вредоносных программ, и не требует принципиальной перестройки при внедрении виртуализации или «облачных» сервисов.

При этом в отличие от других систем, где главным объектом остается периметр, в новой архитектуре центральное значение приобретает сама сеть — именно она объединяет источники всех данных, управление всеми устройствами, маршрутизацию всех запросов, видимость всего трафика, контроль всех потоков и пользователей. Поэтому именно в сегменте сети сосредоточены анализ рисков инфобезопасности, политики, управление доступом, координация систем, унифицированные точки применения политик. Все необходимые проверки для допуска в сеть и доступа к приложениям осуществляются в распределенной (а не централизованной) системе, в каждой точке подключения. В такой схеме появляется возможность реализовать единые политики безопасности (с учетом контекста) для любых типов устройств и контента, на основании данных, поступающих из системного ввода-вывода.

Основой SecureX служит инфраструктура, построенная с использованием решений компании Cisco, на которую надстраиваются элементы защиты — брандмауэры, прокси-серверы, пр. Они не зависят от физической инфраструктуры и могут быть реализованы в виде аппаратных, программных или виртуальных устройств. Управление вышеуказанными элементами производятся при помощи правил, которые, в свою очередь, определяются с помощью специального языка. Отдельный компонент решает задачу подключения любого устройства в любое время и в любом месте в единую систему гарантированного соблюдения правил информационной безопасности. Новая архитектура предполагает использование «облачных» служб, включает API для подключения решению системы управления Cisco, элементов соблюдения правил безопасности. Важное значение в такой схеме защиты имеет используемый в правилах контекст: т.е. кто пытается получить доступ к сети, с какого устройства, из какого местоположения, в какое время и каким способом — эти параметры определяют, имеет пользователь постоянный или гостевой доступ, и какие ограничения налагаются на его поведение в корпоративной сети предприятия.

В портфеле решений Cisco, обеспечивающих построение инфраструктур по принципу SecureX, представлены устройства информационной безопасности Adaptive Security Appliance (ASA), которые работают как межсетевой экран и учитывают контекст (пользователи, устройства, местоположение приложения, данные, репутации, текущие состояния, угрозы). Эти решения позволяют администраторам определять, какие именно устройства и пользователи и при каких условиях имеют право получить определенный тип доступа к сетевым ресурсам, более тысячи приложений и десяткам тысяч микроприложений.

Независимо от используемого типа устройств первой задачей сети в новой архитектуре становится анализ угроз, которые, к тому же быстро меняются. Стандартные методы сигнатурного подхода и эвристического анализа, тем более на локальных данных, ограничивают возможности по превентивной защите. Практически все современные системы веб-фильтрации в той или иной степени инкорпорируют в свои решения «облачные» службы, и подход Cisco в этой части не исключение. Сервис Cisco Security Intelligence Operations (SIO) объединяет информацию об угрозах, анализ уязвимостей и предлагает решения по предотвращению вторжения. Фактически это центр управления для остальных служб безопасности. Ведущий его компонент — база данных SensorBase, собирающая информацию более чем с 700 тыс сенсоров, встроенных в разбросанные по всему миру устройства безопасности Cisco (в том числе и мобильные клиенты). В ней ежедневно обрабатывается более 2 млрд веб-запросов и 13 млрд сообщений. Здесь же аккумулируются данные DNS регистраторов, публичных черных и белых списков, доменного трафика, пр. Cisco Threat Operations Center, в свою очередь, преобразует информацию SensorBase в наборы правил и сигнатур, которые затем поступают на устройства Cisco, а также рекомендации для пользователей. Узел Dynamic Updates отвечает за распространение информации и обновлений, некоторые процессы (например, оценки репутации) выполняются в реальном времени, другие (скажем, правила для системы предотвращения вторжений) с определенным периодом времени.

Далее необходимо обеспечить безопасное подключение с мобильных устройств на разных платформах — эту задачу выполняет AnyConnect Secure Mobility, который использует Secure Sockets Layer (SSL) или IPsec VPN, гарантирует постоянную доступность сети и сервисов конечным пользователям используя общие политики безопасности. Решение работает на всех популярных мобильных платформах (Windows ХР/7,МАС, OSX, Linux, Apple iOS, Nokia Symbian, Webos, Windows Mobile, Android), использует сквозное шифрование (MACsec), доставка веб-сервисов информационной безопасности осуществляется, в зависимости от местоположения, либо через шлюз безопасности Ironport WSA, либо через «облако» ScanSafe. AnyConnect выполняет и еще одну важную задачу в общей системе защиты — оно предоставляет сервису Cisco SIO в реальном времени данные о мобильных угрозах.

Популярная тенденция переноса части бизнес-процессов в «облако» актуализирует задачу обеспечить защищенный доступ к хостируемым сервисам, который реализуется с помощью службы ScanSafe. Она распространяет применение установленных политик для всех сотрудников независимо от способа доступа; анализирует все интернет-запросы, выявляя вредоносные, не соответствующие регуляторным политикам либо неприемлемые блоки информации; блокирует нежелательную и вредоносную почту и защищает конфиденциальные данные в почтовых отправлениях. При этом контролируется весь трафик, включая обмен данными с применением SSL-шифрования. Ядро ScanSafe включает два антивирусных движка (от Symantec и «Лаборатории Касперского»), может ежедневно обрабатывать 1 млрд веб-запросов, 28 млн уникальных JavaScript, 560 тыс уникальных PDF с уровнем ложного срабатывания менее 0,0004%.

Использование данной службы предусматривает перенаправление трафика путем изменения настроек браузера: настройки Proxy загружаются на компьютеры из Active Directory, а весь исходящий HTTP-трафик на все адреса кроме ScanSafe блокируется. Трафик мобильных устройств перенаправляется с помощью клиента Anywhere+, который устанавливается как сетевой драйвер и защищен паролем от выключения, запоминает информацию о пользователе и группе, шифрует трафик при подключении через публичные сети.

Локальная безопасность в ЦОД обеспечивается компонентом Cisco TrustSec, который основан на строгой идентификации пользователей, сетевых устройств и хостов и дает возможность управлять доступом независимо от топологии сети за счет классификации трафика на основе ролей. Конфиденциальность и целостность данных здесь достигается за счет шифрования канала между сетевыми устройствами.

В этот продукт включена платформа централизованного управления политиками и сервисами Identity Services Engine (ISE), к задачам которой относятся идентификация в сети на основе атрибутов, получаемых от ISE, RADIUS, Active Directory, LDAP Сервера, Token Servers, и применение согласованных политик доступа. Для постоянных сотрудников основным способом аутентификациии является 802.1 X или NAC-агент, а для неизвестных пользователей — веб-аутентификация, для которой создается централизованный настраиваемый веб-портал. Любые подключаемые в сеть устройства также проходят ряд проверок: идентификацию (на основании адреса, 802.1Х), классификацию по типу (ПК, ноутбуки, мобильники, не-пользовательские сетевые устройства) либо путем оценки самой сетью, либо путем присвоения типов адресам устройств. После чего производится оценка состояния устройства: наличие, активность и актуальность антивируса, наличия всех патчей для ОС, проверка реестра, файлов, приложений, пр. и фактов инфицирования. И если устройство не отвечает требованиям политик оно либо приводится к безопасному состоянию, либо помещается на карантин.

Дальнейший контроль доступа осуществляется на основе меток безопасности. По результатам идентификации ISE каждой роли присваивается уникальная метка 16 bit (65K), которая представляет привилегии пользователя, устройства или субъекта и тестируется на входе в домен TrustSec. Авторизационная политика ISE отправляет метки SGT к сетевому устройству на входе и метки правила (SGACL) к сетевому устройству на выходе. Они проверяются на соответствие политике (ACL), которая распределяется от центрального сервера политик (ISE) или настраивается локально на устройстве TrustSec. Примечательно, что сами правила не требуют знания IP-адресов для фильтрации (IP-адрес привязан к метке SGT). Таким образом, политика одинаково успешно применяется независимо от топологии.

Все эти инструменты в комплексе дают возможность решать актуальные задачи современных инфраструктур. Так, безопасность сетевой инфраструктуры достигается за счет того, что в каждой точке подключения применяются средства контроля доступа, а сеть самостоятельно обеспечивает мониторинг, учет контекста и управление. Безопасный доступ к сети «облачным» сервисам и мобильным сотрудникам, причем с разнообразных пользовательских устройств, защищенных и незащищенных точек доступа, гарантируется с помощью единственного мобильного клиента. В новой инфраструктуре, соответственно, не требуются разные решения для управления доступом — TrustSec гарантирует распространение политик и интеллектуальных средств по всей ИТ-инфраструктуре, выполнение политик на любом пользовательском устройстве, защиту конфиденциальности при гостевом доступе.

Кроме того, архитектура SecureX решает и проблемы безопасности в «облачных» и виртуальных средах, где пока ощущается отсутствие проверенных методик защиты, инструментов обеспечения согласованности и масштабирования. Композитные решения с использованием Cisco АSА, «облачных» сервисов защиты веб-трафика, контроля доступа с учетом контекста дают возможность унифицировать инструменты безопасности для физических и виртуальных сред и настраивать политики исключительно на основе зонирования сети и контекста.

Безусловно, Cisco SecureX — не единственный подход к построению безопасной, готовой к росту и модернизации ИТ инфраструктуры. Тем не менее, он позволяет решить проблему стандартизации и унификации используемых для инфозащиты предприятия технологий, методов, подходов и продуктов, избавление от «заплаточных» решений (естественной следствие которых —избыточность). И заведомо избавиться от инцидентов, вызванных неэффективностью инфозащиты вследствие несогласованности политик или упущений в отдельном подразделении.

Как отмечает Cергей Любохинец, консультант по сетевым решениям компании Integrity Systems, SecureX представляет интерес для любой компании, которая стремится вывести управление информационной безопасностью на качественно новый уровень. В первую очередь можно ожидать спрос со стороны финансовых коммерческих организаций, относящихся к сегменту среднего и крупного бизнеса — эти компании уже успели столкнуться со сложностями обеспечения безопасности и управления политиками в ИТ средах. Небольшим организациям с простой сетевой инфраструктурой решение SecureX вряд ли будет интересно в ближайшее время, но его компоненты определенно можно использовать в самых разных проектах, а сама концепция может служить стратегией для дальнейшего развития ИТ. Что касается нового для украинского рынка компонента ScanSafe, то он, как и большинство «облачных» служб, вызывает у руководителей ИТ-подразделений ряд классических вопросов и опасений, тем не менее, имеет все шансы уже в ближайшие годы стать популярным среди компаний сегмента SMB.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT