На главную страницу
 
 Главная 
 Новости 
 Статьи RSS
 Программное обеспечение 
 Форум 
 Опросы 
 Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

О сетевой безопасности
Аутентификация, Контроль доступа и Шифрование
Безопасность Windows 2003
Вирусы и трояны
Безопасность ОС Windows
Брандамауэры и VPN
Безопасность Веб Серверов
Безопасность контента (FTP и электронная почта)
Windows и Сети
Безопасность Windows 2008

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 40821889
12088
Hosts 2873444
1223
Visitors 3044987
1530

23
Контроль интернет трафика
Тотальный контроль над сетью

Главная / Статьи / О сетевой безопасности / Неужели пришел конец DMZ?


ISA Server Toolkit

Неужели пришел конец DMZ?

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Введение

Я помню свой визит на TechEd несколько лет назад, где слушала, как Стив Райли (в то время работавший на компанию Microsoft) рассказывал о ‘последних днях DMZ’. Его разговоры о ‘последних днях DMZ’ всегда пользовались большой популярностью и всегда вызывали множество противоречий и заставляли людей в зале обсуждать необходимость межсетевых экранов. В то время были сильные споры и оппоненты приводили множество веских аргументов по поводу того, для чего на самом деле нужно использовать несколько межсетевых экранов в своей организации. Суть в то время заключалась в том, что самым рациональным и эффективным способом контроля доступа к информации, хранящейся в сети, было использование нескольких «отбойников» на проводе между этой информацией и людьми, желающими получить ее.

Это было где-то в 2004 году. С тех пор мир претерпел значительные изменения, а мир техники меняется быстрее остального мира. В те дни доводы приводились не только по поводу того, сколько межсетевых экранов и DMZ нужно использовать, но и по поводу того, какие типы межсетевых экранов следует использовать. Следовало ли использовать только те межсетевые экраны, у которых имеется возможность высокопроизводительной полной проверки пакетов? Нужна ли была проверка прикладного уровня? Был ли целью контроль входящего и исходящего доступа? Требовалась ли возможность ведения журналов и отчетов на сетевом уровне? У какого производителя был самый надежный межсетевой экран? Следовало ли использовать продукцию одного производителя или можно было использовать продукты разных поставщиков?

Облако меняет все

Итак, 2011 год уже подходит к концу и те обсуждения уступают место тому, что в прошлом мало кто мог себе представить: сейчас всех волнует безопасность компьютерного облака. Многие представители сферы ИТ предсказывали, что 2011 год будет Годом компьютерного облака. С учетом того, что все больше организаций перемещали все большее количество своей информации и приложений в компьютерное облако, уровень предлагаемой поставщиком услуг компьютерного облака безопасности стал основной темой. Компаниям нужны ответы на многие вопросы, прежде чем они смогут доверить свои данные кому-то за пределами стен организации:

  • Где хранятся данные?
  • Шифруются ли они на диске?
  • Какова природа защиты данных?
  • Какие методы контроля доступа применяются к данным?
  • Какие тесты безопасности выполняются для облачных приложений?
  • Как часто обновляются эти приложения?
  • Какие методы криминалистики применяются и есть ли надежный проект реагирования на инциденты?

Ответы на эти вопросы очень сложно получить почти у всех поставщиков таких услуг. Компании Microsoft, Amazon, Google и IBM не очень открыты касательно подробностей своих мер безопасности компьютерного облака. И это понятно ‘ чем меньше информации о стратегиях безопасности плохие ребята смогут найти, тем сложнее им будет получить контроль. Однако если копнуть, можно найти некоторую информацию о мерах безопасности этих компаний. И когда вы ее найдете, вы обнаружите интересный факт в обсуждениях безопасности компьютерного облака: отсутствие вопросов, касающихся того, какие межсетевые экраны используются, и используются ли они вообще в центрах данных.

Невозможно не задаться вопросом, почему дело обстоит именно так, если принять во внимание те горячие, длившиеся десятилетиями споры по поводу межсетевых экранов и тех ролей, которые они играют в сети. Возможно, это связано с тем, что с все большим распространением философии ‘доступа из любого места (anywhere access)’, в которой организации хотят обеспечить своих сотрудников доступом к данным с любого устройства, из любого места и в любое время, специалисты информационной безопасности осознали, что межсетевые экраны мало на что способны помимо уменьшения общего объема трафика в интрасети посредством предотвращения проникновения авторизированного трафика в интернет.

Компьютерное облако и природа распределенных данных, которые могут быть расположены в разных местах на большом количестве разнообразных устройств, дают понять, что «дорога к успеху» для безопасности на ближайшее будущее будет базироваться не на стратегии межсетевых экранов. Высокомобильный характер данных во второй декаде 20-ого века означает, что подход на базе межсетевых экранов к защите данных является бесперспективным.

Так полезны ли на самом деле DMZ?

Если задуматься о том, как разворачиваются демилитаризованные зоны сети (DMZ) в большинстве сред, то нужно признать, что они мало для чего годны помимо усложнения инфраструктуры и сохранения рабочих мест администраторов межсетевых экранов. DMZ используются для отделения устройств с доступом к интернету от корпоративной интрасети, основываясь на предположении, что такая методика дает определенные преимущества для безопасности. Проблема заключается в том, что межсетевой экран переднего плана дает доступ к службам, которые предположительно ‘небезопасны’, а межсетевой экран заднего плана дает доступ этому же трафику в интрасеть. Так какие же у такой конфигурации преимущества безопасности? Можно спорить о том, что ‘нежелательный трафик’ выгружается с устройств с доступом к интернету, но «защищают» ли эти межсетевые экраны что-либо на самом деле? Печальным выводом может быть утверждение того, что в большинстве случаев они ничего не защищают, и все это приводит к тому, что, в конечном счете, инфраструктура межсетевых экранов просто усложняет общие задачи управления сетью и повышает общие расходы предприятия.

К тому же, подход к безопасности данных на основе сетевого брандмауэра игнорирует ключевой момент: большинство нарушений безопасности происходит из-за внутренних атак. Недавний крах безопасности Wikileaks стал следствием атак изнутри ‘ а исследования показали, что большинство самых важных и затратных проблем, связанных с нарушением безопасности и взломами, стали следствием атак изнутри предприятий. Информацию о десяти самых громких взломах сотрудниками предприятий можно прочитать здесь

В отчетах RSA за 2009 сообщалось о том, что люди, работающие в организации, представляют большую угрозу, нежели хакеры.

А в отчете Verizon data breach report за 2010 год сообщалось о росте количества взломщиков внутри организаций.

DMZ и межсетевые экраны на границе сети никак не могут предотвратить такие угрозы и риски.

Покидающий родной дом

А как на счет исходящего доступа? Нужны ли здесь межсетевые экраны? Исходящий сетевой контроль является той областью, в которой межсетевые экраны могут играть определённую роль, следующими способами:

  • Они могут предотвращать атаки нулевого дня
  • Они могут сокращать ‘потенциал взломщиков’ в Интернете путем выполнения фильтрации URL и проверки контента на вредоносное ПО
  • Они могут выполнять исходящую SSL проверку с тем, чтобы вредоносные программы не смогли спрятаться в SSL туннелях для отправки информации предприятия на контроллер в интернете.

Но опять же, проблемы с межсетевыми экранами, когда речь заходит о контроле исходящего доступа, заключаются в том, что не все устройства, имеющие доступ к данным предприятия, всегда соблюдают правила корпоративной политики сетевого доступа. Конечно, когда ноутбуки сотрудников находятся во внутренней сети предприятия, все отлично и их доступ в интернет контролируется и защищается. Но что происходит, когда сотрудник отправляется в командировку со своим ноутбуком и подключается к сети, в которой контроль корпоративного сетевого доступа не применяется? Затем сотрудник возвращается и распространяет все средства атаки и уязвимости, попавшие на его ноутбук при работе в интернете из сети, не являющейся сетью предприятия. В этом случае (который является нормой для большинства предприятий), корпоративный файервол контроля исходящего доступа лишь отсрочил неизбежное.

Каково решение?

Из-за компьютерного облака, растущего числа устройств, имеющих доступ к данным и растущего числа мест, в которых могут быть размещены данные, требуется перевод внимания с межсетевых экранов к защите самих данных. Также требуются более сложные подходы к спискам контроля доступа и авторизации и отчетов о доступе к данным. Вдобавок, необходимы механизмы, защищающие сами файлы, чтобы только авторизированные пользователи имели к ним доступ независимо от местоположения файлов.

ACL должны быть более гибкими и всеобъемлющими, а не только основываться на методах пользователей/групп, как те, что мы используем сегодня. Нужен способ оценки пользователя в более реалистичном контексте, включающем такие критерии, как:

  • Является ли пользователь работником компании или субподрядчиком?
  • Является ли сотрудник компании работником полной или частичной занятости?
  • Является ли пользователь участником группы, работающей над конкретным проектом?
  • Присвоена ли пользователю определенная классификация надежности?
  • Отстранен ли пользователь или находится в отпуске?

Эти и другие характеристики пользователей гораздо более ценные, нежели то, к какой ‘группе’ принадлежит пользователь, и должна быть возможность создания политики доступа на основе более реалистичных характеристик пользователей.

Все вышесказанное является хорошим первым шагом, но начальный доступ и авторизация является только началом. После удаления данных из их исходного хранилища, они нуждаются в безопасности, следующей за ними независимо от того, куда они направляются. Именно здесь особую важность имеют службы управления правами (Rights Management Services – RMS). На самом деле, если бы управление правами было применено к документам Wikileaks, скорее всего путаницы бы не случилось.

Перестанут ли использоваться межсетевые экраны?

На данный момент вас, наверное, интересует вопрос: что же станет с межсетевыми экранами? Что нам теперь, выбросить их? Неужели время, потраченное на изучение работы с TMG или другими брандмауэрами, было потрачено напрасно? Можно сказать, что файерволы не выйдут из употребления, но, как и прочие методы безопасности, обеспечивающие успех, безопасность нужно переместить ближе к непосредственному месту хранения информации. Мощность современных компьютерных процессоров позволяет снабжать все клиентские системы надежными межсетевыми экранами. На самом деле, именно это и делает Брандмауэр Windows в режиме повышенной безопасности на каждой машине под управлением Windows 7 и Windows Server 2008 и выше. Благодаря использованию платформы Windows Filtering Platform (WFP), эти персональные файерволы способны выполнять расширенные функции межсетевых экранов и обеспечивать шифрование между клиентами и узлами на всем пути обмена данными. По сути, включение IPsec во всей внутренней сети предприятия делает большой шаг на пути отказа от межсетевых экранов. А в связи с растущей популярностью IPv6 можно с большой долей вероятности сказать, что окупаемость межсетевых экранов будет становиться все ниже.

Так как вы думаете? Неужели это конец для межсетевых экранов? Следует ли администраторам межсетевых экранов начинать править свои резюме и переучиваться работе с более важными технологиями, такими как управление идентификацией и контролем доступа? Или все же межсетевой экран останется навсегда, как пережиток прошлого, и будет присутствовать в сети, как исторический артефакт, как в случае с протоколами на основе RPC, с которыми мы продолжаем сталкиваться и сегодня?

Присылайте мне свои мнения на dshinder@windowsecurity.com и я опубликую лучшие ответы в блоге. Спасибо! ‘Дэб.





Рейтинг:  
2.7 (голосов 7)  
 1   2   3   4   5    

Автор: Деб Шиндер (Deb Shinder)
Дебра Литтлджон Шиндер (DEBRA LITTLEJOHN SHINDER), MCSE, MVP (Security) является консультантом по технологиям, инструктором и писателем, автором множества книг по компьютерным операционным системам, сетям и безопасности. Она также является техническим редактором, редактором по разработкам и соавтором для более чем 20 дополнительных книг. Ее статьи регулярно публикуются на TechProGuild Web-сайте TechRepublic и Windowsecurity.com и появляются в печатных журналах, таких как Windows IT Pro (прежнее название: Windows & .NET) Magazine. Она создала учебные материалы, корпоративные технические описания, маркетинговые материалы и документацию по продуктам для Microsoft Corporation, Hewlett-Packard, DigitalThink, GFI Software, Sunbelt Software, CNET и других технологических компаний. Деб живет и работает в Dallas-Ft Worth районе и может быть доступна по почте mailo:deb@shinder.net или через web-сайт www.shinder.net.
Эта статья переведена и опубликована с разрешения www.windowsecurity.com

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.


Forefront TMG



Печать пластиковых карт - это часть процесса производства и изготовления пластиковых карт Производство пакетов с логотипом