Любой крупной компании, имеющей множество мобильных сотрудников, важно обеспечить их удаленную работу с корпоративной сетью без риска нарушения системы ИБ.
Для решения этой проблемы предлагаются всевозможные решения, начиная от антивирусов и межсетевых экранов и заканчивая шлюзами VPN и сканерами безопасности. Но такие средства не гарантируют «абсолютной» защищенности корпоративной сети, да и управлять «парком» разработок очень непросто.
Архитектура NAC
Два года назад одна из крупнейших отраслевых компаний, Cisco Systems, выступила с инициативой Network Admission Control (NAC). Сегодня этот производитель предлагает готовое полнофункциональное решение, базирующееся на технологии контроля над сетевым доступом. Cisco NAC включает в себя три основных компонента.
Первый - небольшой программный агент Cisco Trust Agent (CTA), устанавливаемый на стороне оконечного устройства. Он служит посредником между инфраструктурой NAC и средствами защиты пользовательского уровня. CTA может фигурировать отдельно или входить в состав программного обеспечения третьих фирм (например, он включен в состав антивируса TrendMicro и системы управления ПК LANDesk). Основной задачей CTA является сбор и передача информации о состоянии защитных настроек оконечного устройства в инфраструктуру NAC. Если на узле нет агента или его физически нельзя инсталлировать (например, на принтере), специалисты Cisco предлагают выполнять компонент CTA как апплет Java, ActiveX либо дистанционно сканировать узел с помощью систем анализа защищенности.
Вторым компонентом NAC является сетевое оборудование - маршрутизаторы, коммутаторы, точки беспроводного доступа и VPN-концентраторы. Эти устройства анализируют любые попытки подключения к сетевым ресурсам и блокируют их, если клиентский узел не отвечает требованиям корпоративной политики безопасности.
Третий компонент - сервер политик (Cisco Secure Access Control Server или иной сервер, поддерживающий NAC). Он определяет соответствие/несоответствие узла правилам защиты. В случае положительного решения динамически создаются списки контроля над доступом (ACL), которые обеспечивают «виртуальный путь» от оконечного узла до запрошенного ресурса. При отрицательном решении либо ограничивается функциональность подключаемого устройства, либо оно перенаправляется в карантинную сеть. Там узел может быть «вылечен» от вируса, оснащен программными «заплатами» и т.д.
Cisco NAC имеет несколько ключевых свойств, которые отличают его от решений других производителей. Данная технология поддерживает все типы доступа пользователей к сетевым ресурсам: из внешней сети через маршрутизатор, из внутренней сети через коммутатор, посредством точки беспроводного доступа. Такой подход гарантирует контроль над подключениями. Правда, не учитываются случаи подключения по инфракрасному порту, через модуль Bluetooth или по нуль-модемному кабелю, но, по мнению специалистов Cisco, эти способы доступа неприемлемы для работы с критически важными ресурсами.
Кроме того, NAC поддерживает решения третьих фирм. Дополнительный компонент Cisco Clean Access позволяет использовать инструменты контроля над доступом на сетевых устройствах других производителей. О готовности к интеграции с инструментарием NAC сообщили свыше 60 компаний, в том числе Intel, Microsoft, IBM, Trend Micro, Symantec, LANDesk, ISS, Check Point, VMWare, HP, Computer Associates и «Лаборатория Касперского».
Интеграция и эффективное управление
Из чего исходила Cisco при выборе именно такой реализации модели NAC? Прежде всего, из потребностей заказчиков. Крупным организациям необходим всесторонний контроль над доступом к их ресурсам собственных сотрудников, клиентов, партнеров, поставщиков и т.д. Им важно иметь полную информацию о текущем состоянии и уровне защищенности узла, пытающегося подключиться к корпоративной сети. А эту задачу можно решить, лишь интегрировав технологию контроля над сетевым доступом с решениями для оконечных узлов разных производителей (такими как антивирусы, системы управления патчами, персональные межсетевые экраны, системы предотвращения вторжений и т.д.).
Разработки многих других компаний (Sygate, InfoExpress, Funk и т.д.) не обеспечивают полного контроля над сетевым доступом. Например, недостаток технологий Sygate Enterprise Security, InfoExpress CyberGateKeeper заключается в том, что они «навешиваются» на существующую сеть и не могут действовать без специального устройства, которое контролирует запросы на доступ к ресурсам. А это устройство непременно становится «слабым звеном», ведь сбой его работы автоматически приводит к нарушению целостности системы ИБ.
По мнению разработчиков Cisco, технология контроля над сетевым доступом должна быть интегрирована в сетевую инфраструктуру организации. Только так можно реализовать действительно эффективное управление удаленными подключениями, поэтому подход Cisco и Microsoft предполагает обязательную интеграцию разработок в инфраструктуру заказчиков.
Пользователи альтернативных решений могут столкнуться со сложностью их инсталляции, которая неизбежно отразится на стоимости владения. Например, при развертывании ее системы Sygate предлагает установить серверы Sygate Policy Manager, Sygate LAN Enforcer, Sygate DHCP Enforcer и Sygate Gateway Enforcer. Все эти «маневры» требуют времени, существенных затрат и привлечения дополнительных человеческих ресурсов.
Еще одна проблема связана с необходимостью интеграции разработок третьих фирм с продуктовыми линейками крупных производителей систем защиты. Например, Sygate недавно куплена компанией Symantec, а Funk поглощена Juniper. Теперь нужно обеспечить прозрачное взаимодействие приобретенных технологий с решениями «поглотителей», а на это требуется от полугода до двух лет.
Алексей Лукацкий (alukatsk@cisco.com) - менеджер по развитию бизнеса российского офиса Cisco Systems
«Антивирусники» переключаются на контроль доступа
На конференции RSA, прошедшей в США в феврале, конкурирующие производители антивирусного ПО McAfee и Symantec одновременно анонсировали выпуск новых продуктов с функциями управления доступом к сети.
Решение Policy Enforcer 1.0 компании McAfee включает в себя клиентское ПО для компьютеров под управлением Windows, обеспечивающее соблюдение правил информационной безопасности. Это ПО связывается с сервером политик Policy Enforcer, который проверяет обновления патчей, антивирусных модулей и межсетевого экрана, а также отсутствие неавторизованных приложений еще до получения пользователем доступа к корпоративной сети. Серверный компонент решения планируется распространять в виде программного модуля, который можно запускать с консоли управления McAfee ePolicy Orchestrator.
«Наша разработка позволяет не только своевременно устанавливать патчи и обновления, но и проверять ПК на предмет заражения вирусами Sasser, Zotob и троянскими программами», — говорит Эрик Винсборроу, вице-президент McAfee по маркетингу продуктов. Если клиентский ПК не прошел проверку, сервер Policy Enforcer автоматически инициирует карантинные мероприятия. Они облегчают устранение уязвимостей, позволяют привести устройства в соответствие с политикой безопасности и получить разрешение на доступ к сети. В состав продукта McAfee входит сканер под управлением Windows. Он выполняет анализ сетевого окружения и выясняет, какие устройства пытаются зарегистрироваться в сети.
Компания Symantec нацелилась на тот же рыночный сегмент. Для контроля над сетевым доступом она создала Symantec Network Access Control Enforcer — аппаратную «версию» программного продукта Sygate Enterprise Protection, полученного Symantec при покупке в прошлом году его разработчика Sygate Technologies. В сетевых устройствах, поставки которых должны начаться уже в апреле, предусмотрен программный агент для настольных компьютеров под управлением Windows.
Вне зависимости от того, находится ли это устройство внутри локальной сети или за границами VPN-шлюза, оно способно сканировать компьютеры, на которых даже не установлен соответствующий агент. «При необходимости оно сможет запускать агента на подключающемся к сети устройстве и сканировать его для выявления нарушений политик защиты», — заявил Сиджей Десаи, директор по менеджменту продуктов Symantec.
McAfee и Symantec реализуют собственные подходы к управлению сетевым доступом, но возникает вопрос, смогут ли их продукты взаимодействовать с решениями Cisco и Microsoft. Технология Network Admission Control (NAC) компании Cisco подразумевает использование коммутаторов и маршрутизаторов в качестве шлюзов безопасности, проверяющих соответствие устройств заданным ИБ-политикам. Система Network Access Protection (NAP) Microsoft, включенная в состав операционной системы следующего поколения Vista, еще находится на этапе бета-тестирования.
Оба разработчика утверждают, что их антивирусные системы поддерживают NAC, а совместимость с технологией NAP планируется обеспечить после окончания бета-тестирования. Возможно, это произойдет осенью. По словам представителей McAfee и Symantec, их компании намерены опираться на Trusted Network Connect.
Эллен Мессмер
Network World, США