|
|
|
Решения компании Cisco Systems по обеспечению безопасности современных предприятий
Сегодняшние сети становятся все более обширными и по географической распространенности и по количеству объединяемых ими внутренних и внешних сообществ. Они более сложны, они поддерживают широкий спектр разнообразных приложений и услуг, обрабатывают смешанные данные, голосовой и видео трафик, передавая его по проводным и беспроводным подключениям. Вместе с этим сети становятся все более открытыми используются недоверенные сети общего пользования, подключаются партнеры и постепенно сети становятся деловым инструментом. Фактически, разделение на частные и общественные сети становится все более размытым. Обширный, сложный и открытый характер сетевой среды увеличивает потребность в устойчивой и всесторонней защите, потому что все элементы сети должны быть защищенными, а так же защищены от воздействий на них. В этом разделе обсуждается и описывается внедренная, интегрированная защита единственный эффективный метод защиты. Здесь указываются пути интеграции и рассматриваются некоторые существующие и недавно появившиеся решения пакета Cisco Integrated Network Security Solutions. Данный раздел адресован техническим специалистам, принимающим ответственные решения. Для начала ознакомьтесь, пожалуйста, со следующими определениями: Внедренная, интегрированная защита должна защищать сеть от внешних и внутренних угроз, поддерживая постоянное равновесие между необходимым доступом и необходимой защитой. Это означает, что функциональные возможности защиты должны быть внедрены и интегрированы всюду от главной сети и до оконечных точек сети но при этом защита должна быть прозрачна для пользователей и приложений. Цель состоит в том, чтобы встроить в сеть набор таких защитных возможностей, которые бы создали «интеллектуальную самозащищенную сеть». Такая сеть сможет самостоятельно идентифицировать начало нападения и его ход, при необходимости выдать предупреждение, а затем отреагировать автоматически без участия пользователя. «Интегрированная защита» описывает функциональные возможности защиты, которые обеспечиваются на сетевом устройстве, например на маршрутизаторе, коммутаторе или на точке беспроводного доступа. По мере прохождения трафика через сетевое устройство, он должен просматриваться и анализироваться, а затем либо отклоняться, либо разделяться, либо разрешаться. Для этого необходимо, чтобы устройство с интегрированной защитой обладало интеллектуальностью, производительностью и масшабируемостью. «Внедренная защита» означает функциональные возможности защиты, которые распределены по важнейшим участкам сетевой инфраструктуры, и которые присвоены, например, рабочим станциям конечных пользователей, удаленным подразделениям, центру данных и проч.
В этом разделе рассматриваются факторы, от которых зависит потребность в интегрированной, внедренной защите сетей. Рост угроз Сети все чаще становятся источниками или объектами атак:
Организационный аспект Ответственность за политику безопасности, развертывание сети и закупку оборудования изменяется. Уже не так изолированно друг от друга работают Группы администраторов сети (NetOps) и администраторов защиты (SecOps). Традиционная модель развертывания сети заключалась в том, что «сетевики» (NetOps) закупали оборудование и запускали сетевую инфраструктуру, а «безопасники» (SecOps), располагая значительно меньшими бюджетом и ресурсами, работали как обособленная и узко специализированная группа. Эти две группы имели различные роли: «сетевики» обеспечивали доступ, а «безопасники» должны были этот доступ ограничивать, что создавало напряженность внутри Предприятия. Однако, возрастающая угроза и потребность в таких новых технология как IP телефония и беспроводная связь подвели «сетевиков» и «безопасников» к необходимости тесного сотрудничества. Кроме того, в стратегию и развертывание защиты теперь все более вовлекается уровень CxO, который стимулирует «сетевиков» и «безопасников» к еще более тесному сотрудничеству. Организационная интеграция обуславливает необходимость интегрированной и встроенной защиты. Если защиту строят совместно «сетевики» и «безопасники», то интегрированное решение весьма упрощает задачу. В августовском опросе 2002 года на вопрос о том, кто отвечает за защиту, из 400 клиентов Cisco 45% назвали «сетевиков» и «безопасников» вместе (36 процентов назвали только «сетевиков», 7 процентов только «безопасников», 2 процента назвали группу управления приложениями). В настоящее время есть тенденция к тому, чтобы «безопасники» отвечали за определение политики, а «сетевики» за ее реализацию. Общая стоимость эксплуатации Организация защиты является приоритетом на всех Предприятиях, однако, бюджеты требуют экономии уже сейчас, а не в перспективе. Интегрированная защита предлагает самую низкую общую стоимость эксплуатации:
Перспективы расширения Все более расширяющаяся природа сетей является одной из сторон проблемы масштабирования. В настоящее время сеть должна справляться с увеличением количества пользователей, сайтов и услуг. Сеть должна обрабатывать постоянно увеличивающиеся количества трафика голосового, видео или данных. Теперь сеть поддерживает проводные и беспроводные подключения. Фактически управление этой средой является весьма проблемным и почти невозможным, если на Предприятии не применяется интегрированный подход. Проблема масштабирования значительно смягчается если, например, интегрированная система управления позволяет управлять сетью интегрированных устройств, имеющих структуру унифицированной идентификации. Функциональность продуктов В период между 2000 и 2002 годами произошел значительный сдвиг от узкофункциональных сетевых и защитных устройств к системам многофункциональным. В настоящее время сетевые устройства типа маршрутизаторов и коммутаторов предлагают расширенные сетевые сервисы и услуги связи плюс сложные сервисы защиты. Параллельно с этим узкофункциональные устройства защиты, например, межсетевые экраны и концентраторы VPN, получили дополнительные защитные сервисы типа обнаружения вторжений. Обобщая, можно утверждать, что возможности продуктов с интегрированными функциями соответствуют или как минимум удовлетворяют рыночным требованиям интеграции. Интеграция решений Наконец, все компоненты сети должны взаимодействовать и функционировать как единое целое. Рассмотрим центр обработки данных. Он состоит из множества серверов, связанных с внешним миром посредством коммутаторов и маршрутизаторов. Серверы необходимо защитить; маршрутизаторы и коммутаторы должны иметь собственные средства защиты. Кроме того, общая архитектура должна быть функциональной и масштабируемой, а так же иметь интегрированную подсистему управления ею.
Интеграция защиты во всю сеть фундаментальный аспект стратегии Cisco в области развития и маркетинга. В планы интеграции входят следующие пункты:
Степени интеграции Cisco IOS Cisco IOS Software программное обеспечение, которое управляет всеми маршрутизаторами и коммутаторами Cisco. Большой набор его защитных функций расширяется с каждым новым выпуском. В Cisco IOS входят разнообразные функции от механизмов запрета/разрешения доступа, например, списки контроля доступа (списки ACL) и поддержка различных типов VPN, защита от вторжений, сервисы сложной идентификации и экранирования. В настоящий момент Cisco IOS Software имеет три ряда функциональных возможностей:
Специализированные и сетевые устройства Специализированные устройства специализированные защитные системы, выполняющие одну или несколько защитных функций; например, межсетевой экран также поддерживает VPN или возможности защиты от вторжений. В Cisco PIX Firewall имеется встроенный модуль VPN, а так же программно реализованные VPN и система обнаружения вторжений (IDS). Интегрированные сетевые устройства поддерживают подключения сетей (LAN, WAN по отдельности и совместно), сервисы IP и сервисы защиты; в качестве примера можно назвать маршрутизатор, который одновременно выполняет роль межсетевого экрана. Маршрутизаторы Cisco SOHO 90 и 831 недавно появившиеся образцы решений для удаленного офиса, обеспечивают интегрированную защиту и подключения по Ethernet и ADSL. Другой пример интегрированных функциональных возможностей программного решения Cisco IOS интеллектуальный коммутатор, который поддерживает коммутацию и защиту на Уровне 2 и Уровне 3. Коммутатор Catalyst Cisco 6500 теперь имеет такие функции как защита от вторжений, межсетевой экран, сети VPN, Secure Socket Layer (SSL) и другие модули защиты. На сегодняшний день Предприятия могут выбирать между отдельным прибором и интегрированным сетевым устройством. Чтобы сделать правильный выбор, нужно рассмотреть следующие факторы:
Масштабируемые, работоспособные сети Масштабируемую инфраструктуру можно расширять по мере надобности. Работоспособность сети гарантирует то, что важнейшие приложения и сервисы доступны пользователям в любой момент и без перебоев. С точки зрения бизнеса сеть должна обладать гибкостью и расширяемостью. На сегодняшний день у предприятий есть несколько способов создать масштабируемую и надежную инфраструктуру:
Борьба с нарушениями защиты требует разработки необходимой политики и процедур. Первый шаг в любом плане защиты донесение до всех пользователей информации об уязвимости компьютерных систем. Если на предприятии нет специалистов по защите пригласите консультанта со стороны. Приготовьтесь к необходимости выполнять его рекомендации, но помните, что даже при лучших специалистах все равно остаются какие-то бреши в защите и предприятие должно быть готово к отражению атак. Основная цель архитектуры SAFE для Защищенного Электронного Бизнеса заключается в предоставлении заинтересованным сторонам наилучшей практической информации по проектированию и поддержке защищенных сетей. Архитектура Cisco SAFE предлагает ряд рекомендаций по организации защиты и указывает конкретные действия для тех Предприятий, которые активно стремятся развернуть интегрированную, внедренную защиту. Бюллетени Cisco SAFE не связаны с конкретными продуктами то есть в качестве основы для организации защиты подразумеваются не только решения Cisco; также предполагается возможность гетерогенной среды. Сейчас предлагаются бюллетени Cisco SAFE для крупных предприятий, для малого и среднего бизнеса. Некоторые специализированные бюллетени охватывают такие темы как VPN, защищенные беспроводные подключения и защищенная реализация IP-телефонии. В качестве примера, Cisco разработало проект специально для предприятия, где сеть разбита на модули, так как модульный подход упрощает развертывание и составление бюджета. В рамках модулей, Cisco SAFE рекомендует оптимальный дизайн для надежной защиты сетей. Корпоративный Интернет-модуль обеспечивает доступ из главной сети к недоверенному домену Интернета. Чтобы обеспечить всестороннюю защиту сети, в ней организуются наложенные уровни защищающих маршрутизаторов, которые поддерживают управление доступом, серверные и сетевые системы обнаружения вторжений, отслеживание сигнатур атак, устройства инициирования и завершения туннелей VPN. Архитектура SAFE не является революцией в проектировании сетей, а только способом сделать сеть защищенной. Как архитектура защиты для AVVID, SAFE по возможности полно учитывает функциональные требования корпоративных сетей. При реализации решения могут варьироваться в зависимости от требуемой функциональности сети. Однако, приведенные ниже цели, названы в порядке их важности и остаются неизменными при практической реализации архитектуры SAFE:
SAFE является защищенной архитектурой, которая должна предотвратить большинство атак, не позволяя им воздействовать на ресурсы сети. Атаки, преодолевающие первый рубеж защиты или возникающие внутри сети, должны быть быстро обнаружены, а их воздействие на ресурсы сети сведено до минимума. Однако, будучи защищенной, сеть должна предоставлять своим пользователям все требуемые сервисы то есть защита и функциональность сети должны обеспечиваться одновременно. Архитектура SAFE также является гибкой и обладает возможностью расширения. Гибкость сетей включает в себя физическую избыточность, которая обеспечивает защиту от сбоев устройств в результате неправильной конфигурации, физической поломки или атаки сети. Хотя также возможны и более простые проекты (особенно если задачи, возлагаемые на сеть не слишком велики) в SAFE в качестве примера рассматривается комплексный проект, потому что обеспечение безопасности в сложной окружающей среде более актуально, нежели в условиях простых. На многих этапах процесса проектирования сети вам нужно выбирать между интегрированной функциональностью сетевых устройств и применением специализированных приборов. Интегрированная функциональность зачастую более привлекательна тем, что ее можно реализовать на уже имеющемся оборудовании или возможностью взаимодействия с прочими устройствами. Специализированные устройства часто используются в тех случаях, когда требования к функциональным возможностям высоки или соображения производительности диктуют использование специализированных аппаратных средств. Принимайте решение, основываясь на характеристиках и функциональных возможностях прибора или на преимуществах интеграции устройства. Например, в некоторых случаях можно выбрать интегрированный высокопроизводительный маршрутизатор Cisco IOS вместе с программным межсетевым экраном Cisco IOS в противовес менее мощному маршрутизатору Cisco IOS с отдельным межсетевым экраном PIX Firewall. В этой архитектуре применяются оба варианта. Наиболее важные защитные функции отдаются выделенным приборам из-за требований производительности, предъявляемых к сетям больших предприятий. Хотя большинство корпоративных сетей развивается по мере роста требований предприятия к информационным технологиям, архитектура SAFE использует модульный подход построения системы. Модульный подход имеет два основных преимущества. Во-первых, модульная архитектура поддерживает защищенную связь между функциональными элементами сети. Во-вторых, модульный подход позволяет проектировщикам внедрять и оценивать защиту каждого модуля по отдельности, а не всей архитектуры сети сразу.
В этом разделе изучаются пять основных технологий защиты сетей, которые должны быть внедрены в сеть и интегрированы в устройства сетевой инфраструктуры. Эти технологии должны использоваться одновременно в качестве дублирующих контрмер, чтобы создать то, что называется «эшелонированной защитой». При взломе одного рубежа такой защиты, сеть все равно не остается беззащитной. Защита расширенного периметра Роль нынешних межсетевых экранов выходит за рамки защиты корпоративной сети от несанкционированного доступа извне. Межсетевые экраны могут также запрещать обращения неразрешенных пользователей к специфической подсети, рабочей группе или LAN в рамках корпоративной сети, защищая границы, известные как «расширенный периметр». Периметр больше не является только лишь границей между доверяемой внутренней и недоверяемой внешней сетью, а статистические данные ФБР указывают, что 70 процентов всех проблем с защитой возникают внутри самого Предприятия. Cisco предлагает три решения для межсетевого экранирования:
Защита от вторжений Системы защиты от вторжений должны предлагать всесторонние решения для идентификации и борьбы с несанкционированными вторжениями, со злонамеренными саморазмножающимися вирусами, поступающими из Интернет, а также для противостояния нападениям на полосу пропускания и на приложения электронного бизнеса. Есть два главных типа обнаружения вторжений:
Портфолио Cisco в области защиты от вторжения предлагает следующие компоненты:
Защита подключений Трафик, проходящий через недоверенные области и сегменты сети, должен быть защищен. Двумя основными технологиями, обеспечивающими безопасное обеспечение связи, являются:
SSL создает между клиентом и сервером защищенное подключение, по которому можно конфиденциально передать любое количество данных. Internet Engineering Task Force (IETF) утвердило этот протокол как стандарт. Возможности VPN также встроены в межсетевые экраны Cisco PIX серии 500. Плюс к этому, в специальных случаях удаленного доступа по VPN, когда масштабируемость и простота управления являются основными проблемами, особую роль играет концентратор Cisco VPN 3000. Идентификация Идентификация важнейший компонент инфраструктуры защиты. Сетевые сервисы на основе идентификации позволяют идентифицировать пользователей по таким параметрам как имя пользователя, IP-адрес и MAC-адрес, а затем выдать ему определенные права, например, права доступа к определенным частям сети, к определенным приложениям или к определенным сетевым сервисам. Важными тенденциями в развитии идентификации являются усиление детализации прав доступа и способность динамически и активно назначать права доступа. Идентификация имеет два основных этапа: создание политики идентификации и ее выполнение. В портфолио сервисов идентификации Cisco, функцию определения политики выполняет сервер контроля доступа, который взаимодействует (через LDAP) с каталогом пользователей. Выполнение политики идентификации ведется коммутатором, маршрутизатором или другим сетевым устройством. Портфолио Cisco отличает интеграция всей политики идентификации и ее выполнения. Например, коммутаторы Cisco и точки беспроводного доступа работают с Сервером контроля доступа Cisco (ACS), чтобы обеспечить динамическую и точную защиту портов. Пользователь, подключающийся к сети через коммутатор Cisco или через беспроводную точку доступа использует 802.1x для аутентификации. Особенно важными являются расширения Cisco для 802.1x. Пользователь может быть помещен в отдельную сеть VLAN и получить определенные права доступа. Благодаря 802.1x, при перемещении пользователя по сети из одного физического местоположения в другое, политика защиты перемещается вместе с пользователем. Независимо от своего местоположения, пользователь подчиняется непротиворечивой политике защиты и доступа. Сервер Cisco ACS расширяет использование 802.1x, предлагая централизованное управление и контроль за идентификацией, авторизацией и подотчетностью пользователей с помощью графического web-интерфейса. Также, контроль может быть передан в сети сотням и тысячам шлюзам доступа. С помощью сервера Cisco ACS и IEEE 802.1x предприятие может контролировать и управлять пользовательским доступом на маршрутизаторах Cisco IOS, в сетях VPN, на межсетевых экранах, в коммутируемых и широкополосных каналах DSL, при кабельном доступе, в решениях «Голос по IP» (VoIP), в беспроводных решениях Cisco, и на коммутаторах Catalyst. Кроме того, c помощью этой же структуры контроля доступа Cisco ACS можно управлять доступом администратора и конфигурированием всех сетевых устройств, поддерживающих TACACS +. Защищенное наблюдение и управление Преимущества интегрированной инфраструктуры защиты становятся понятны только при условии, что в сети осуществляются комплексные политика и управление, а также имеется система наблюдения, поддерживающая эти процессы. К подсистеме управления предъявляются следующие требования:
В рамках продукта CiscoWorks VPN/Security Management Solution (VMS) все эти четыре элемента являются частями единого целого. CiscoWorks VMS комбинирует в себе web-средства для настройки, контроля и отладки межсетевых экранов Cisco, сетей VPN основанных на Cisco IOS, а также сетевых и хостовых систем обнаружения вторжений. Инфраструктура управления и каждое из ее подключений должны быть защищены, а права управления должны жестко контролироваться через централизованный доступ, организованный для роли адимнистратора. Подход Cisco уникален тем, что защита элементов, инфраструктуры, прав и привилегий ведется из единого местоположения. Структура управления должна быть масштабируемой и такая возможность обеспечивается Сервером Автоматических Обновлений (AUS), который также является частью CiscoWorks VMS. Благодаря этому все и даже удаленные и динамически адресуемые устройства имеют возможность периодически «позвонить родителям» на Сервер Обновлений и загрузить с него самые свежие и защищенные конфигурации Cisco PIX Firewall. При отсутствии возможности автоматического обновления, каждое удаленное устройство необходимо обновлять вручную. В дополнение к возможности простого и быстрого изменения, автоматическое обновление также обеспечивает непротиворечивость выполнения политики.
Здесь рассматриваются требование интеграции и вопросы встраивания защиты в сеть. В разделе исследуются определенные примеры интеграции защиты. В примерах указываются такие угрозы, против которых эффективно только интегрированное решение.
Совершенствование информационной безопасности критически важно для поддержания производственной деятельности, репутации и экономической стабильности любой организации. Новые законы требуют обеспечения все большей защиты информации, и ежедневно появляются все новые угрозы компьютерной и сетевой безопасности. Проект SAFE по обеспечению безопасности элeктронного бизнеса от фирмы Cisco Systems предлагает лучшую практическую информацию для тех, кто заинтересован в проектировании и развертывании безопасных сетей, с учетом возможных угроз и методов их нейтрализации. Для совершенствования защиты своих сетей руководители организаций должны предпринять следующие шаги:
Дополнительная информация Подробную информацию о защитных решениях Cisco можно найти по адресу: www.cisco.com/go/security |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP