Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Обеспечение безопасности требует комплексных архитектур

Обеспечение безопасности требует комплексных архитектурЗащита информации становится весьма сложным процессом — как с технологической, так и с эксплуатационной точек зрения. Выход из тупика производители видят в разработке нового типа архитектуры инфраструктуры ИБ, обеспечивающей комплексный подход к проблеме.

Фрагментация инфраструктуры ИБ, вызываемая тем, что решения, используемые для защиты информации, в большинстве своем покрывают лишь определенную функциональность, становится причиной разработки комплексных архитектур обеспечения безопасности. Так, по данным Check Point в 2006 году в среднем в американских компаниях эксплуатировались решения от 7 до 10 поставщиков, а на крупнейших предприятиях — до продуктов нескольких десятков вендоров. Это является причиной понижения уровня безопасности в целом, невзирая на наличие лучших в своем сегменте продуктов при росте затрат на обслуживание и обновление систем.

К сожалению (или к счастью), прошли времена, когда на рынке информационной безопасности можно было безбедно и комфортно жить в своем отдельно взятом сегменте — антивирусном или, например, VPN. Вектор развития сместился в область построения комплексных систем управления безопасностью, предназначенных  для защиты как государственных структур, так и бизнеса — как крупного, так и относящегося к разряду малого и среднего (SMB). По мнению экспертов, скоро в этот список можно будет по полном основании включить и сегмент домашних пользователей. В результате все мы являемся свидетелями «гонки вооружений» крупнейших софтверных вендоров, главным призом в которой должно стать завоевание приоритета в разработке новых принципов построения архитектуры ИБ и, возможно, принятие их де-факто или де-юре — целиком или по частям в качестве стандарта.

Почему началась скупка ИТ-компаний

Одним из наглядных проявлений этой тенденции стал взрывной рост числа сделок и поглощений на мировом рынке ИБ. Мало кто из вендоров заявляет, что покупает ту или иную компанию лишь для того, чтобы  поглотить конкурента и его клиентскую базу. В большинстве случаев речь идет о покупке технологий, без которых выжить в современной конкурентной борьбе невозможно.

Здесь пути покупателей расходятся. Одни, приобретя новинку, пытаются «прикрепить» ее к своему продуктовому портфелю и идти к построению так называемых продуктов «всё в одном». Однако при таком подходе создается иллюзия комплексности, потому что изначально не объединенные общей идеологией продукты нужно еще долгое время «доводить».

В противоположность этому вторая группа покупателей достаточно долго ведет предпродажную подготовку своих жертв. Они создают с ними альянсы, обмениваются технологиями, вместе работают с пока чужими клиентами, приучая их к себе и т.п. Только в этом случае можно говорить, что вендор по крупицам выстраивает концепцию своей архитектуры комплексной безопасности.

Успех в этой гонке не всегда предрешен величиной бюджетов на НИОКР, результативность использования которых определяется исключительно количеством патентов. Дэйв Эванс (Dave Evans), главный технолог подразделения Cisco по разработке решений для электронного бизнеса, весьма образно сказал об этом: «Мы часто путаем термины «изобретение» и «новаторство». Изобретений у нас много, но все они меркнут по сравнению с новаторством. Новаторство — это не новое изобретение, а новая уникальная связь между тем, что уже известно. Новые способы пользования сетью, новые способы коммуникаций, новые способы групповой работы — вот что я имею в виду под новаторством».

Где искать кандидатов в лидеры

Так в чем же заключается философия комплексной архитектуры? И кого можно назвать ее «гуру»? На взгляд CNews Analytics, говорить о завершении работ по разработке  всеобъемлющей концепции подобной архитектуры еще очень рано. Во-первых, потому что уж очень разнопланово в технологическом плане это направление — информационная безопасность. Еще не появилось вендоров такого масштаба, которым в одиночку нужно было бы работать со всеми сегментами ИБ. Поэтому первопроходцы движутся к цели с тех направлений, где их позиции наиболее сильны. Например, Check Point и Cisco — со стороны защиты сетей, опираясь на стратегии PURE Security и «самозащищающейся сети» (Self-Defending) соответственно. «Лаборатория Касперского» в соответствии с концепцией Kaspersky Open Space Security — со стороны защиты контента, где безопасная рабочая среда больше не ограничена стенами офиса. Корпорация Symantec плюс к предыдущему — с направления обеспечения доступности и сохранности данных. И так далее.

Во-вторых, как всегда, к сожалению, договорится о едином подходе не удалось. Поэтому работа затруднена созданием интерфейсов между решениями различных вендоров. С другой стороны, это и не так уж плохо — облегчается сотрудничество с третьими производителями.

И в-третьих, появилась новая проблема — безопасность становится сервисом почти всех продуктов ИТ — баз данных, операционных систем и так далее. В этих условиях многим вендорам ИБ уже надо думать не столько о собственных приобретениях, сколько о том, как бы самим быть не поглощенными Microsoft или Oracle.

Какой должна быть архитектура ИБ

Свое видение решения проблемы путем построения «архитектуры безопасности будущего» обозначила Check Point в лице своего CEO и основателя Гила Шведа (Gil Shwed): «Усиливая нашу базовую сетевую инфраструктуру, мы в тоже время добавляем новые технологические слои, например слой безопасности данных. Этот путь наш — ответ вызовам, на которые ранее не уделяла должного внимания ни одна ИБ компания… Наибольшие проблемы клиентов связаны сегодня с тем, что безопасность сильно фрагментирована. Существует множество хороших технологий, но все эти годы внедрение шло «реактивным» путем. Они не всегда хорошо работают вместе, и зачастую управлять ими — трудная задача. Компании и государственные организации нуждаются в намного более тесной интеграции продуктов и более активном использования проактивного подхода. Это то, что мы называем управляемой и контролируемой безопасностью ежедневно и постоянно».

В результате в фундамент своей архитектуры ИБ Check Point поместила философию PURE Security от начальных букв — Protected, Unified, Reliable Extensible.

Компоненты архитектуры безопасности  PURE Security

Компоненты архитектуры безопасности PURE Security

Источник: Check Point, 2007

Однако подобное разбиение на составляющие достаточно условно. Компоненты входят одна в другую и имеют общие функции. Но тем не менее, любой продукт компании имеет четыре четко обозначенные особенности, представленные на рисунке выше.

На чем базируется компонент «Unified»

Этот блок отвечает за идеологическое наполнение архитектуры и базируется на оформленной в 2004 году IDC концепции UTM (Unified Threat Management). Суть ее заключается в объединении в единый комплексный продукт средств оповещения об угрозах безопасности и их предупреждения, включающие в себя межсетевой экран, средства обнаружения и предотвращения несанкционированного вторжения и шлюзовой антивирус. Многие вендоры дополняют этот набор средствами построения VPN, модулями контроля доступа в интернет, а так же решениями для мониторинга трафика, блокирования спама, фишинга и др.

Содержание компонентa  «Unified»

Содержание компоненты 'Unified'

Источник: Check Point, 2007

Врожденной особенностью унификации является то, что к базовому набору слоёв безопасности без проблем может быть добавлено любое их новое количество. Причем сам слой может быть расширен в горизонтальном (функциональном) направлении. Эта возможность обеспечивается стандартизацией протоколов взаимодействия и управления.

Конечно, данный подход не уникален и используется в том или ином виде и другими вендорами. Так, например, канадский производитель телекоммуникационного оборудования Nortel Networks объявил о выпуске централизованной системы управления безопасностью сети — Alteon Security Manager. По словам вице-президента и генерального менеджера подразделения Ethernet-коммутации Атула Бхатнагара (Atul Bhanahar), новый продукт вписывается в стратегию компании по созданию унифицированных архитектур защиты. Иными словами, важная роль унифицированной архитектуры не подвергается сомнению участниками рынка.

«Protected» прикроет пользователей со всех направлений

«Современные технологии, открывшие перед бизнесом новые возможности, одновременно повлекли за собой новые риски. И с ними уже не справиться с помощью тех механизмов, которые еще несколько лет назад успешно охраняли корпоративную структуру от различного рода угроз. Мы все в большей или меньшей степени зависим от безупречной работы ИТ-системы», — характеризует роль компонента «Protected» Антон Разумов, консультант по безопасности Check Point. — «Проблема защищенности еще больше усиливается из-за неоднородности компонентов системы безопасности — при традиционном подходе в компании установлены IDS, IPS, брандмауэр, антивирус и ряд других механизмов защиты, а также разрозненных систем управления ними от различных производителей. Возникает вопрос: насколько такая схема способна обезопасить корпоративные данные при появлении новой угрозы?»

Компоненты защиты архитектуры PURE Security

Компоненты защиты архитектуры PURE Security

Источник: Check Point, 2007

«На исправление найденных уязвимостей в компонентах системы безопасности (особенно это касается межсетевых экранов на периметре и для веб-приложений) требуется какое-то время. В среднем полное обновление системы осуществляется за месяц. Если же атака происходит через несколько дней после обнаружения уязвимости, то неподготовленная система оказывается просто неспособной ее отразить. Иными словами, речь идет уже о превентивной защите, наличие которой для каждой компании, которая ценит свой информационный капитал, обязательно», считает Антон Разумов.

Все потребности клиентов должны быть закрыты — причем нужно учитывать требования разных типов потребителей, а также динамику бизнеса. Речь идет не столько об объеме собственной линейки продуктов, сколько о возможности использования унифицированных протоколов взаимодействия и управления безопасностью с тем, что бы быстро подобрать продукт третьего производителя для недостающего звена. А после этого можно уже и подумать о приобретении данного вендора.

Данный компонент — одно из доказательств правоты слов Дэйва Эванса, о которых говорилось выше. Нужно не столько изобретать велосипед, сколько учиться пользоваться его возможностями. Справедливости ради необходимо отметить, что и другими вендорами этот подход удачно используется, например, корпорацией Computer Associates (CA). Решение для комплексной защиты того или иного бизнеса собирается из «специально заточенных» модулей, управляемых из одного центра и использующих возможности друг друга для исключения дублирования, что уменьшает стоимость системы.

Пример комплексной системы информационной безопасности,
построенной при помощи продуктов СА

Пример комплексной системы информационной безопасности, построенной при помощи продуктов СА

Источник: CA, 2006

«Reliable» — как добиться баланса между производительностью и надежностью

«Добиться одновременно высокой производительности и надежности зачастую весьма трудно. Для обеспечения надежности требуется либо дублирование, либо многократное повторение и т.д. Все это не может не сказаться на производительности и цене. Однако, Check Point применят в каждом конкретном случае лучшие в своем роде практики» — комментирует этот компонент Людек Хрдина (Ludek Hrdina), региональный менеджер по маркетингу Check Point.

Естественно, что для каждого решения применяются свои подходы. Но если, например, рассматривать конкретное устройство — UTM-1 Appliance, то здесь заметно уменьшение роли одного из самых слабых звеньев — «человеческого фактора». Люди могут уставать, ошибаться, терять квалификацию и их может просто не хватать, особенно в региональных подразделениях крупных российских компаний — банках, сетевых магазинах и так далее. Плюс к этому добавляется проблема управления обновлениями и патчами для множества устройств.

Предлагаемый выход — добавление функциональности Plug and play. Т.е. достаточно подключить продукт к сети, пройти рекомендации «Мастера установки» и… всё. Далее устройство может работать полностью автономно, управляясь централизованно. При этом   все обновления идут из одной точки по всей пирамиде, не допуская ситуации, когда какое-либо из устройств не будет охвачено. Этим производитель добивается и надежности, и высокой производительности при выполнении процесса обновлений.

Схема повышения производительности и гибкости управления на примере UTM-1 Appliance

Схема повышения производительности и гибкости управления на примере UTM-1 Appliance

Источник: Check Point, 2007

Конечно, только этим все не ограничивается. Но фактическое содержание компонента «Reliable» — это ноу-хау любого производителя и часто скрыто от пользователя. В этой ситуации остается только доверять параметрам, заявленным в техническом паспорте продукта.

«Extensible» обеспечит защиту от новых рисков

«Проблема расширяемости архитектуры для отражения будущих угроз, понимаемая под термином «Extensible», имеет две тесно связанные между собой составляющие. Первая — появление новых угроз, и вторая — разработка новых типов устройств, потенциально подверженных угрозам в будущем», объясняет Андерс Свенссон (Anders Svensson), инженер по продажам компании Pointsec (шведского подразделения Check Point).

О первой уже говорилось — это проактивный подход при разработке приложений. Что же касается второй составляющей, то процесс покупки Pointsec — и есть один из вариантов решения. Шведская компания, специализированная на обеспечении безопасности данных в мобильных устройствах, долгое время была технологическим партнером  Check Point. И когда встал вопрос о дополнении слоя защиты данных унифицированной архитектуры, проблем с быстрой интеграцией не возникло, так как продукты и до того неплохо работали в месте благодаря приверженности единым стандартам.

Спектр решений для защиты данных мобильных устройств

Спектр решений для защиты данных мобильных устройств

Источник: Pointsec, 2007

Расширяемость и достижение совместимости и управляемости линейки продуктов Pointsec так же достигается благодаря использованию унифицированных модулей и расширяемой системе управления SmartCenter.

Для сравнения, и другие производители используют схожие принципы обеспечения расширяемости функционала продуктов. Например, специально разработанная масштабируемая операционная система AsyncOS для обеспечения многоуровневой безопасности электронной почты в устройствах компании IronPort.

Как видно из анализа, часть технологий, примененных при разработке унифицированной архитектуры PURE Security, отличаются не столько уникальностью, сколько глубиной интеграции между собой и возможностью их управления с помощью централизованных интеллектуальных средств. Однако есть и масса специфических моментов, присущих только этой архитектуре. Самое главное, по мнению экспертов, в этой архитектуре, то, что она задала вектор развития целого пласта в области обеспечения информационной безопасности — построении комплексных и легко расширяемых систем ИБ, построенных на базе продуктов с унифицированной архитектурой.

Вадим Ференец

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS