Для безопасности корпоративной системы недостаточно защиты ее «границ»
Для защиты корпоративной сети необходимо обеспечить безопасный доступ в нее извне, в частности — с мобильных компьютеров удаленных сотрудников |
Организации защиты периметра корпоративной сети до недавнего времени уделялось максимальное внимание, но теперь для обеспечения корпоративной безопасности этого уже недостаточно. Внутренние механизмы защиты позволяют строить в корпоративной сети зоны с различным уровнем безопасности и политикой доступа, а также соединять несколько разрозненных сегментов. Кроме того, такие системы должны контролировать все процессы, происходящие внутри периметра и сравнивать их с принятой на предприятии политикой безопасности. Свое видение решения проблем защиты компания Uni представила на осенней конференции «Системы информационной безопасности 2005».
Информационные системы современного предприятия могут быть разбиты на несколько сегментов, соединенных между собой по защищенным каналам связи при помощи технологии VPN. Однако в системы приходится включать ПК домашних пользователей и мобильные устройства выездных сотрудников, получающих доступ к информационным ресурсам компании через Internet. Сотрудники некоторых компаний подключаются к Internet с общедоступных компьютеров, например из Internet-кафе. Для обеспечения безопасности таких соединений в Uni предлагают использовать технологию SSL-VPN, для поддержки которой компании CheckPoint, Nokia и Cisco создали специальные программно-аппаратные комплексы. Эти системы объединяют возможности SSL и IPSec VPN, что позволяет выбирать наиболее подходящую технологию защиты межсегментных коммуникаций.
Внешние по отношению к сети предприятия компьютеры могут послужить транспортом для переноса вирусов, троянских программ или других вредоносных кодов. Для решения этой проблемы компания Cisco предложила несколько компонентов, в частности Cisco Security Agent — замкнутую программную среду, обеспечивающую соблюдение корпоративной политики безопасности для мобильных компьютеров. Другим клиентским вариантом является виртуальная среда Cisco Security Desktop, которая сгружается на удаленный компьютер, а после прекращения сеанса работы просто уничтожается — ею можно пользоваться на общедоступных компьютерах. Решение Cisco Admission Control контролирует состояние защиты клиентского компьютера и при достаточно высоком ее уровне разрешает допуск в корпоративную сеть.
Внутренняя сеть компании также может делиться на несколько сегментов, каждый из которых должен отличаться уровнем защиты и правилами поведения. Теоретически с этой задачей может справиться любой сетевой экран с той лишь разницей, что он должен поддерживать более широкий спектр протоколов, настраиваться на собственные корпоративные, как правило, клиент-серверные приложения и работать значительно быстрее, чем шлюзовой экран. Из-за этих специфичных требований решения для внутренней защиты вынесены в отдельный класс продуктов. В частности, к ним относится устройство под названием InterSpect, которое предлагает компания CheckPoint. Он позволяет разделить внутреннее информационное пространство компании на несколько сегментов и установить политику взаимодействия компьютеров, принадлежащих разным логическим сегментам.
Однако, кроме собственно установления политики безопасности, нужно контролировать ее соблюдение. Для этого традиционно используются системы обнаружения вторжений (Intrusion Detection System, IDS). Для защиты периметра нужны технологии, позволяющие предотвращать вторжение, но для внутреннего использования IDS вполне достаточно. Компания CheckPoint давно планировала выйти на этот рынок, 6 октября она объявила о покупке за 225 млн. долл. компании Sourcefire, разработчика наиболее популярной IDS — Snort, распространяемой в открытых текстах. Пока сделка не одобрена и не опубликовано никаких планов по дальнейшему развитию Snort, но уже понятно, что CheckPoint, скорее всего, станет серьезным игроком и на этом рынке.