Безопасность данных — весомая причина для консолидации серверов. Однако при доступе к файлам по глобальным сетям стабильная производительность не гарантируется. Сложности возникают и в результате применения ускорителей глобальной сети вместе с подписанием протокола SMB. Этот протокол хотя и защищает распределенные данные, но может сделать решения ускорения непригодными.
Решения для ускорения приложений в глобальных сетях часто включают глобальные файловые службы (Wide Area File Service, WAFS). Они предназначены для преодоления ограничений по производительности в ориентированных на локальные сети протоколах, к которым относится и общая файловая система Internet (Common Internet File System, CIFS) от Microsoft. CIFS представляет собой пример так называемых «болтливых» протоколов (chatty protocol): для выполнения таких задач, как открытие файла по сети, ему требуется множество взаимных подтверждений (acknowledgement). В локальной сети в этой связи проблем не возникает вследствие высокой пропускной способности, поэтому задержка невелика. Но когда пользователь открывает файл через глобальную сеть, время передачи по сети тормозит производительность приложения настолько, что процесс может длиться несколько минут. Подобные задержки могут повлиять на продуктивность работы пользователей.
Виной всему — консолидация серверов. Она необходима для снижения затрат на приобретение оборудования и лицензий на программное обеспечение, а также для максимально возможного сокращения издержек на управление ИТ. Но главной причиной является желание компаний защитить данные от несанкционированного доступа. Законы о защите данных Европейского Союза, закон Сарбейнса-Оксли от 2002 года в США и понимание того, что корпоративная информация является для компании жизненно важной, становятся поводом для консолидации данных в едином центре, где они лучше защищены. Но эта централизация влечет за собой проблемы с производительностью. Необходимо учесть и другие очень важные моменты (см. врезку «Многообразные риски при доступе через глобальную сеть»). Особое внимание следует уделить безопасности данных: нельзя допустить, чтобы файл был изменен во время передачи.
ПОДЛИННОСТЬ ДАННЫХ И УСКОРЕНИЕ
Microsoft предлагает обеспечивать безопасность файлов при помощи подписания блока сообщений сервера (Server Message Block, SMB). Этот метод защищает данные в пакетах от изменения посредством атак наподобие «незаконный посредник» или путем перехвата. В брандмауэре локальной сети этот тип защиты может использоваться опционально. Однако в глобальной сети, особенно в Internet, особую важность имеет целостность данных.
Подписание SMB является чем-то вроде аутентификации пакетов. После аутентификации пользователей приложения на базе CIFS механизм подписания SMB добавляет в каждый пакет цифровую подпись, которая передается между клиентом и сервером. Подпись удостоверяет, соответствует ли статус сервера полномочиям клиента — и наоборот. Кроме того, она гарантирует целостность коммуникации, позволяя проверить подлинность полученного пакета от аутентифицированного источника.
Алгоритм хэширования, который применяется для создания цифровой подписи, требует значительных вычислительных издержек на сервере и на клиенте. В высокоскоростной локальной сети, по оценкам Microsoft, накладные расходы составят от 10 до 15%, однако в рамках механизма защиты локальной сети дополнительный уровень обеспечения безопасности на основе цифровых подписей обычно избыточен. Поэтому для повышения пропускной способности многие предприятия отключают функцию CIFS подписания SMB. В качестве альтернативы подписание SMB активируется на серверах, но редко используется при передаче данных, иначе бы клиенты с деактивированным подписанием SMB не могли поддерживать связь с сервером.
Такая конфигурация может вызвать проблемы с серверами в соединениях глобальной сети — там, где трафик данных оказывается уязвимым. Потребность в подписи SMB при применении совместно с решениями WAFS стала еще более насущной в связи с повсеместной доступностью хакерского инструмента SMBRelay, применение которого позволяет автоматизировать атаки с незаконным посредником против SMB. Подписание SMB защищает сеансы SMB от перехвата данных и других подмен пакетов, предотвращая их взлом. Этот метод считается наиболее удачным для защиты решения на базе WAFS, в котором используется CIFS по соединению глобальной сети.
Но в случае решений WAFS часто возникают две проблемы. Первая состоит в игнорировании применения подписи SMB для WAFS. Часто этот недостаток выявляется лишь после того, как предприятие в течение долгого времени работало с CIFS без активирования функции подписания SMB. Вторая может возникнуть при использовании подписи SMB: во время сеанса появляются ошибки, и производительность глобальной сети становится неудовлетворительной. При этом главной причиной являются не вычислительные издержки, а неспособность решений WAFS полностью обратимо сжимать трафик с цифровой подписью.
КОМБИНАЦИЯ WAFS И ПОДПИСАНИЯ SMB
Некоторые решения ускорения, где используются только технологии мониторинга для обеспечения таких функций, как спуфинг протоколов и сжатие пакетов, могут доставить массу хлопот. Возможна, к примеру, ситуация, когда они будут некорректно восстанавливать сжатые данные. Достаточно всего одного неправильного бита, чтобы результат работы алгоритма хэширования, который вычисляет цифровую подпись, оказался иным. Таким образом, компании оказываются перед выбором: либо безопасность в глобальной сети, либо производительность.
Более приемлемым вариантом для реализации WAFS для CIFS является применение посредника, на котором терминируется обмен CIFS с обеих сторон коммуникационного тракта (см. Рисунок 1). Посредник проверяет цифровые подписи отправителя в локальной сети, передает пакеты по глобальной сети и снова восстанавливает сеанс CIFS в точке назначения, в том числе подпись SMB. Решения на базе посредника должны гарантировать подписание и/или шифрование передаваемых по глобальной сети пакетов, чтобы обеспечить необходимую для подписания SMB безопасность.
Марк Урбан — директор по развитию продукта в Packeteer.
© AWi Verlag
Многообразные риски при доступе через глобальную сеть
Ключевую роль при удаленном доступе к файлам играют проверка подлинности данных и подписание SMB. И все же это всего лишь два из многих, опасных с точки зрения защиты информации, действий, с которыми приходится сталкиваться в филиалах. К прочим рискам относятся следующие:
-
распределенное кэширование данных — защита данных, сохраненных в промежуточном буфере так же важна, как и обеспечение целостности потоков данных. Для выполнения этой задачи очень существенны функции шифрования, например служба данных;
-
компрометация сетей MPLS — если традиционные центрально-радиальные топологии (hub and spoke) обеспечивают некоторую степень защиты, то сети с многопротокольной коммутацией меток (Multiprotocol Label Switching, MPLS) повышают опасность распространения вирусов;
-
новые приложения — недавно появившиеся приложения, услуги и технологии, к примеру, используемые в частном порядке, такие как Skype, способствуют проникновению новых угроз.