Можно ли доверять «сетевому облаку»?
Сегодня этот вопрос становится приоритетным для ИТ-директоров и всех, кто отвечает за безопасность корпоративной информации. Сети непрерывно меняются, а размывание сетевых периметров, распространение систем типа iPhone, виртуализация, сетевые вычисления и т.п. лишь ускоряют темп этих перемен. Происходит то, что Боб Глайчауф (Bob Gleichauf), главный технический директор отдела беспроводных решений и технологий безопасности компании Cisco, именует "размыванием всего".
"Многие из нас считают мобильность чем-то вроде "священного грааля". Следует, однако, иметь в виду, что безграничная мобильность приводит к размыванию границ вашей сети. Кроме того, на рынке действует так называемый "эффект iPhone" (миллионы людей имеют любимое мобильное устройство и пользуются им при любом удобном случае), в связи с чем границы корпоративных сетей начинают размываться гораздо быстрее. Я называю нынешнюю ситуацию "размыванием всего".
Разрушение сетевых периметров, то есть переход от статичных сетей с хорошо защищенными границами к гораздо более открытым сетям с нечеткими границами, началось с появлением Интернета. До этого корпоративные сети работали совершенно автономно и не соприкасались с чужими сетями. За последние 15 лет ситуация коренным образом изменилась. Сегодня сотрудники все чаще получают информацию не с помощью настольных и мобильных компьютеров, а через личные мобильные устройства, что создает все новые угрозы для безопасности.
Безграничная мобильность вынуждает проводить вычисления в "сетевом облаке" (cloud computing). Чтобы поддержать работу мобильных "тонких клиентов", организации создают виртуальные вычислительные инфраструктуры. Информация практически не хранится на жестких дисках настольных систем, вместо этого в корпоративной сети для каждого сотрудника создается централизованное хранилище данных. Перенести традиционные корпоративные приложения в эту среду практически невозможно. Гораздо более приемлемый вариант — хостинг приложений на внутрикорпоративных серверах. Таким образом, размывание сетевых периметров и "эффект iPhone" способствуют распространению сетевых вычислений (cloud computing) и предоставлению программного обеспечения как услуги (Software as a Service, SaaS).
Безграничная мобильность и размывание периметров создают проблемы безопасности, которые невозможно игнорировать. Появление новых мобильных устройств делает эти проблемы еще более острыми. Традиционные барьеры, отделяющие частные сети от сетей общего доступа, мобильные устройства от настольных и сотрудников компании — от внешних пользователей, быстро исчезают. Коммуникационная среда становится все менее определенной.
Если ваши сотрудники непрерывно передвигаются, пользуясь при этом самыми разными мобильными устройствами, где проходит граница вашей сети? А если мобильные устройства сотрудников начинают работать в сетях, которые не находятся под вашим контролем (сети сотовых операторов, Wi-Fi, WiMAX, широкополосные сети и т.д.), как обеспечить безопасность каждого сеанса связи? Выходит, традиционная защита, основанная на межсетевых экранах, уже недостаточна. Она может весьма эффективно блокировать доступ внешних злоумышленников в вашу сеть, но по изложенным выше причинам ей нужно расширяться и охватывать внешние сетевые сегменты. Кроме того, помимо борьбы со злоумышленниками, нормативные требования и законы об охране интеллектуальной собственности требуют от компаний все новых усилий по обработке и хранению своей информации.
Вычислительные устройства (и сценарии их использования) плодятся так быстро, что компании все с большим трудом обеспечивают их безопасность. Устройств в самом деле стало слишком много. В течение недели сотрудник может работать на настольном компьютере в офисе, на мобильном компьютере дома, на смартфоне в дороге и на нетбуке в гостиничном номере. При этом он будет пользоваться самыми разными операционными системами, приложениями и сетями (корпоративными, операторскими и т.д.). Контролировать эту работу совершенно невозможно.
Безграничная мобильность создает проблемы не только для беспроводных сетей. Мобильный пользователь получает доступ к сети с помощью всех типов коммуникаций: проводных, Wi-Fi, сотовых, WiMAX, RFID и т.д. Поэтому возникает вопрос: как создать систему безопасности для всех перечисленных сценариев? Система безопасности должна защищать не "пользовательский" доступ, а доступ вообще. Сеть должна оценивать добропорядочность каждой попытки передачи и приема информации. При этом должна происходить оценка людей, устройств и приложений.
Кроме того, новые модели безопасности должны включать всех, кто так или иначе связан с сетями: пользователей, администраторов, операторов, поставщиков и государственных регуляторов. Требования этих игроков сетевого рынка часто пересекаются и противоречат друг другу. Согласование различных требований имеет критически важное значение для успешного решения проблем безопасности в долгосрочной перспективе.
Корпоративные сети становятся все более динамичными, и системы безопасности не должны от них отставать. Традиционные межсетевые экраны делят мир на "черное и белое". Современные же системы безопасности должны различать оттенки черного и белого цвета. Нам нужны более точные идентификационные данные и разнообразные правила, повышающие гибкость оценок.
Своей концепции защиты безграничной мобильной связи я дал название Network Privilege Framework (структура сетевых привилегий). Хочу подчеркнуть: это не официальная концепция Cisco, а всего лишь мой собственный зонтичный термин для обозначения целостного подхода к защите корпоративных сетей, которые сегодня быстро изменяются. Для оценки добропорядочности людей, физических и виртуальных устройств Network Privilege Framework использует как "жесткие", так и "мягкие" критерии. Конечно, если пользователь не может ввести правильный пароль, он не получит доступа. Но, кроме этого, система будет рассматривать целый ряд других факторов: профиль пользователя, его местоположение и репутацию. Сочетание этих динамических атрибутов создает основу для так называемой "контекстуальной идентификации", которая может стать частью аутентификационного процесса. Совместный учет динамических и статических атрибутов (имя пользователя, устройства и роль пользователя) позволяет — с помощью сервисов сетевой политики — определить "комплексную роль", которая дает возможность лучше управлять доступом и противостоять угрозам. Новая "комплексная роль" дает возможность рассчитать "рейтинг", напоминающий рейтинг пользователя сервиса "Ответы Google", на основе более широкого набора параметров. Безусловно, мы уже располагаем некоторыми элементами для реализации такого подхода, но отделение функций безопасности от физической топологии сети еще потребует немалых усилий.
ИТ-директорам, пытающимся решить указанные проблемы в условиях быстрых перемен, я хочу дать следующий совет: внедряя новые увлекательные вычислительные модели, ни в коем случае не забывайте о безопасности. Если ситуация выйдет из-под контроля, вы попадете в очень опасное положение, особенно, при использовании аутсорсинга. Где бы ни хранились ваши данные, вы должны иметь возможность их непрерывного мониторинга. Этот трафик должен быть для вас совершенно прозрачным».
© СОТОВИК