Три постулата будут определять в ближайшем будущем развитие сетей предприятий: закон Мура, закон Меткалфа и закон Петрили, который я впервые формулирую в этой статье.
Николас Петрили, консультант по компьютерным системам и писатель. С ним можно связаться по адресу: nicholas@ petreley.com |
Гордон Мур, сооснователь корпорации Intel, в 1965 году заметил, что число транзисторов на кв. дюйм в интегральных схемах будет удваиваться каждый год. Правда, жизнь внесла свои коррективы: на практике этот период составил приблизительно 18 месяцев. Закон Боба Меткалфа, изобретателя технологии Ethernet, гласит, что полезность сети растет пропорционально квадрату числа ее пользователей.
Мне захотелось дополнить этот ряд своим законом: безопасность любой корпоративной сети обратно пропорциональна числу системных администраторов этой сети.
Закон Меткалфа превзошел по значимости закон Мура, как только компании стали подключаться к Internet: вместо увеличения вычислительной мощности ПК пользователи стали требовать расширения пропускной способности.
Это, однако, не означает, что закон Мура больше не действует. Если сформулировать его иначе: «скорость вычислений обходится недорого и становится все дешевле», то он снова обретает свою значимость, пусть даже пользователи будут не слишком озабочены быстродействием центральных процессоров своих настольных систем.
Одним из методов обеспечения безопасности является шифрование информации перед тем, как передать ее по сети. Обычно шифрование ассоциируется у нас с последними достижениями в области производительности, поскольку требует больших затрат ресурсов центрального процессора. Однако все идет в соответствии с законом Мура: затраты на шифрование уменьшаются, оно выполняется аппаратно непосредственно сетевыми платами. Снижение стоимости вычислительных мощностей привело к тому, что производители сетевых плат стали добавлять в перечень их возможностей аппаратные средства шифрования на базе протокола IPSec.
Проблема в том, что большинство пользователей, вероятно, реализуют эти возможности только в том случае, если компания, где они работают, использует виртуальные частные сети (VPN — virtual private network). Между тем непонятно, зачем продолжать посылать по Internet незашифрованные тексты, не говоря уж о незашифрованных паролях. Шифрование должно выйти за рамки VPN и Web-сайтов, работающих с протоколом Secure Sockets Layer, и стать стандартной процедурой при обмене информацией через Internet.
Хотелось бы также, чтобы протоколы сжатия данных автоматически входили в структуру сетей и стали стандартным атрибутом коммуникаций через Internet. Тогда в будущем аппаратное сжатие данных станет наконец обязательной функцией сетевых плат. Это повысит пропускную способность канала, что будет восприниматься как рост полосы пропускания, независимо от типа физического подключения к Internet. Думаю, сейчас уже трудно заставить кого-то купить новый ПК только потому, что тактовая частота его процессора больше на 100 МГц. Однако более высокая пропускная способность — аргумент весомый.
Есть, кажется, одна компания, которая старается двигаться в этом направлении, — это компания SSH Communications Security. У нее есть несколько решений, в которых сжатие комбинируется с протоколом IPSec и в аппаратных средствах, и в программных.
Ну а теперь пришла пора продемонстрировать действие закона Петрили. Повторю его: «Безопасность любой корпоративной сети обратно пропорциональна числу системных администраторов этой сети». Как вы думаете — сколько системных администраторов в вашей компании: три, десять, пятьдесят?
Можете не ломать долго голову, ответ таков: если вы работаете в крупной компании, которая дает Windows-компьютеры в руки каждому пользователю, значит, у вас работает огромное число системных администраторов. До сих пор в Windows приложения пользователей могут получать доступ с правами на запись к системным файлам. Значит, любой пользователь, случайно подхвативший вирус или «троянского коня», наделяет опасную программу привилегиями системного администратора.
Иначе обстоит дело в других операционных системах, включая Linux, BSD, Solaris и другие варианты Unix. В Unix пользователь — это пользователь, а любые программы, с которыми он работает, имеют только те привилегии, которые им назначены. Помните об этом, планируя мероприятия по обеспечению безопасности сети вашего предприятия.