Все новости от 12 августа 2004 г.

Неразбериха на границе

О чем бы ни шла речь — будь то серверы, устройства хранения данных, вычислительный центр или любой другой предмет из мира ИТ — казалось, что консолидация у всех на устах. И действительно, в то время все эти функциональные технологические категории превращались в разбросанные тут и там кошмары оператора, и было просто необходимо срочно навести порядок.

Взять, к примеру, устройства хранения данных. Каждый сервер в вычислительном центре был снабжен своим собственными жесткими дисками, которые надо было контролировать, резервировать и обслуживать. Чем больше становилось серверов, тем больше требовалось людей, программных инструментов и накопителей на магнитной ленте для резервирования данных. А команда ИТ-подразделения, как всегда, оставалась один на один со своей проблемой.

Конец этому хаосу положило появление обобщенных подсистем хранения данных, открывших дорогу к сетям хранения данных (SAN), которые упростили управление накопителями и унифицировали требования по записи на магнитную ленту. Создание общей инфраструктуры с объединенными службами оказалось замечательной идеей. Вскоре сообразительные предприятия достигли аналогичных результатов, консолидируя и другие технологии.

Учитывая ощутимые преимущества консолидации, можно было ожидать, что она охватит все области. Но нет. Несмотря на прогресс на других фронтах, реальность такова, что сфера защиты данных так и осталась мешаниной из разрозненных кусков.

Чтобы объяснить этот феномен, нужно понять, как к данной проблеме относятся ИТ-профессионалы. Они всегда придерживались философии «лучшего в своем роде», ценя качества отдельных приложений выше возможности приобрести готовый набор. Это ведет к созданию хорошей защиты, но и способствует накоплению сложности.

Представьте себе защитный периметр, составленный из межсетевого экрана Cisco PIX, антивирусного ПО McAfee, контент-фильтра Websense, прокси-сервера Blue Coat Systems и системы обнаружения проникновений Internet Security Systems — на пяти разных серверах со своими проблемами эксплуатации и соответствующими затратами.

Так как отказ любого из этих блоков может отсечь сетевой трафик, системы защиты часто покупают и конфигурируют дублирующими парами. Вся система защиты часто дополняется коммутаторами выравнивания нагрузки от Cisco Systems, Nortel Networks и F5 Networks, которые распределяют работу между всеми системами безопасности, гарантируя максимальную производительность.

Теперь вам ясно, что я подразумеваю под сложностью? Один специалист по безопасности выразил свою горечь следующими словами: «Наш защитный периметр сложен в управлении, дорог в эксплуатации и не поддается диагностике!».

И как будто мало высокой стоимости и сложности, современный хаос из средств защиты создает некоторые другие крупные проблемы. По иронии судьбы, сложность защиты ведет к новым проблемам безопасности. Когда приходится управлять таким количеством элементов, угроза уязвимости или неправильно выбранной конфигурации существенно повышает вероятность пробелов в защите.

Наконец, сложность системы защиты ограничивает гибкость предприятия. Фирмы хотят открывать свои сети для заказчиков, бизнес-партнеров и поставщиков, чтобы расширить коммерческие возможности и повысить продуктивность работы.

Все эти виды бизнес-инициатив требуют специализированных конфигураций системы защиты в зависимости от уровня доверия к каждому участнику процесса. Например, лучший заказчик компании, связь с которым поддерживается по выделенному каналу, заслуживает иного отношения, чем случайный поставщик, входящий в систему через интернет.

Не хотел бы я оказаться на месте того специалиста по безопасности, которому приходится докладывать директору, что компания не может реализовать новую бизнес-инициативу из-за каких-то проблем конфигурации системы защиты. Защиту просто недопустимо рассматривать как отдельные элементы; она должна восприниматься как одна из служб предприятия.

Новый облик систем безопасности
Раз в раздельных компонентах защиты нет ничего хорошего, их надо объединить в консолидированные пограничные устройства (consolidated perimeter devices, CPD). Как следует из названия, они призваны соединить все аппаратные и программные элементы в одной простой в обращении системе. Исключив отдельные машины и сетевое оборудование, CPD будут дешевле в приобретении и эксплуатации. А развитые средства управления помогут сделать систему защиты более удобной.

Первые CPD уже начинают появляться на рынке. Семейство мультигигабитрных CPD предлагает Crossbeam Systems в партнерстве с Check Point Software, ISS, Trend Micro и другими. Inkra Networks выпустила систему, способную виртуализировать службы безопасности во множестве сегментов сети. Symantec выбрала другой подход, интегрировав в единую систему аппаратуру и ПО межсетевого экрана, средства обнаружения/предотвращения проникновений и защиты от спама. В число участников этого рынка входят также Fortinet, Juniper Networks, SonicWall и WatchGuard, а на горизонте уже маячит множество других поставщиков.

Рынок этот находится в зародышевом состоянии, так что красивых слов и симпатичных брошюр на эту тему пока немного, но в будущих версиях систем следует ожидать реальных усовершенствований в области сетевых функций и собственно средств защиты. Чтобы повысить степень защиты или улучшить работу своих продуктов в сети, участники рынка будут искать партнеров или покупать других участников рынка. Поставщики концевых инструментов, не сумевшие заключить удачные сделки или продать себя сильным мира безопасности, окажутся в очень затруднительном положении.

Пограничная защита дорога и сложна — это плохо. Но если она к тому же не сможет подстроиться под новые требования бизнеса, это уже катастрофа.

Конечно, в определенных кругах призывы к консолидации средств защиты встретят в штыки. Но хотя педанты от безопасности могут стенать о складывании всех яиц в одну корзину, пусть они прислушаются к мнению одного моего знакомого, хорошего специалиста: «Когда технология способствует бизнесу, директор по ИТ становится героем. Когда технология становится узким местом для бизнеса, директор по ИТ становится безработным».

Точнее просто не скажешь.

Об авторе:
Джон Олстик — старший аналитик Enterprise Strategy Group.

Обсуждение и комментарии

	Serge 12 Aug 2004 4:45 PM
В безопасности есть понятие "эшелонированной обороны", когда, действительнов все яйца не кладут в одну корзину. Конечно, если стремиться к дешевизне, то на безопасность можно не обращять внимание. Но обойдется это дороже.
	73137 13 Aug 2004 1:30 AM
Вот именно! Представим себе миллион юзеров, у каждого из которых стоит winxp+office xp+IE6.0. Полная консолидация! И тут появляется вирус, который валит все это "добро". Ок, поставили файрвол от мс, кто-то нашел в нем баг. Опять-таки, все летит. Ситуация не изменится, если вместо winxp подставить redhat, вместо office xp - OOo, а вместо IE - Mozilla. И никакой файрвол не спасет гомогенную систему. Вот из-за таких идеологов в стиле Хрущева и начинаются проблемы с защитой. Чем более однородна система, тем более она уязвима. Реальная защита в том, чтобы, вторгаясь в систему, атакующий понятия не имел, что там может стоять и какой его билд. Можно ли написать эксплоит к модулю, сбацанному внутрифирмовым программером на коленке за 2 дня? Весь линукс, в принципе, состоит из таких модулей. А эксплоит к отшлифованной оси типа ХР? Она и всем доступна, и более распространена. Короче, за подобную пургу автор явно прожирает свою зряплату. Интересно, сколько раз ломали сервер этой "стратегической группы"? Такая "заSHITа" - вроде попыток бороться с идеологией терроризма с помощью бомб и танков. Все-таки пендосы - дауны!
	73137 13 Aug 2004 1:35 AM
Автор забыл, что отдел ит-безопасности, как и хакерская группа - это не регулярная армия. А сетевая атака - это не классическая война. Да и то, время столкновения миллионных армий прошло, теперь бал правят хорошо обученные, специализированные и законспирированные группы (контр)террористов. Одна такая группа, имея соответствующее ОМП, сводит смысл содержания миллиона кирзачей на нет. А тут предлагается возвращение в 20 век. Интересно, сколько получает этот "старший аналитик"?
	Орешин Михаил - moreshinpolikom.ru 13 Aug 2004 11:20 AM
[цитата] “Представьте себе защитный периметр, составленный из межсетевого экрана Cisco PIX, антивирусного ПО McAfee, контент-фильтра Websense, прокси-сервера Blue Coat Systems и системы обнаружения проникновений Internet Security Systems — на пяти разных серверах со своими проблемами эксплуатации и соответствующими затратами.” [цитата] Заметим это только периметр. Все яйца в одну корзину класть не стоит. Однако если затраты на безопасность сопоставима по стоимости с информацией, то зачем нужна такая системы ? Думаю, зря вы так накинулись на CPD, изучив http://www.crossbeamsystems.com/ (понятно не видя продукты сложно сказать), по моему мнению, данное решение работоспособно. Компания снимает с клиента вопрос совместимости разных продуктов, и как раз отказывается от того, что бы класть яйца в одну корзину. Выбрав лидирующие в своей области продукты, они предлагают законченное решения. Беря деньги именно за интеграцию. Главный вопрос, на сколько каждая фирма сочтет возможным довериться специалистам Crossbeam Systems, что они действительно правильно все совместили и что данная система работоспособна. Но это другой вопрос. Например, решения от Crossbeam серии C, для малого и среднего бизнеса. В состав которого входят следующие продукты: Aladdin® eSafe® Check Point™ FW-1/VPN-1® NG Internet Security Systems™ (ISS) Network Sensor Secure Computing® SmartFilter® Trend Micro™ InterScan™ VirusWall Websense® Обучение, настройка, поддержка и закупка данных продуктов для небольшого предприятия, выльется в копеечку, (при том подозреваю, что половина затрат уйдет именно на настройку и обучения), здесь же все это уже интегрировано и настроено. Так что мысль с консолидацией, по моему мнению не плохая, и поможет сэкономить деньги даже на безопасности. Орешин Михаил.
	Добрый 13 Aug 2004 2:37 PM
Представьте себе компьютер, состоящий из процессора Intel, материнской платы ASUS, винчестера Seagate, памяти Kingston и видеокарты Nvidia. А еще монитор, мыша ... Все разных производителей. Неразбериха есть? Нет. А почему? Четко прописана архитектура системы, все интерфейсы стандартизованы.
	Нос 13 Aug 2004 5:24 PM
2Добрый: ох, если бы...
	Добрый 13 Aug 2004 6:03 PM
ясно, что не идеально. но в 99% случаев видяха или сетевуха одного производителя работает на матери другого. и это никого не удивляет. хотя есть готовые решения - сан, например. может, вам оно ближе ...
	Игорь 16 Aug 2004 2:44 PM
Мужик дело базарит. Когда компов 10 штук - всё понятно. 100 - возникают вопросы по конфигурации. 1000+Интернет - вопросы отпадают, требуются капиталовложения на централизованную безопасность. Ведь какой- нибудь мудак обязательно залезет на порно сайт, а секретарша откроет вложенный файл с новогодним поздравлением... На уровне больших сетей говорить можно только об общем уровне защищённости, о политике в области безопасности. Никогда нельзя свести к нулю вероятность занесения нового вируса или взлома системы, но принять привентивные меры всегда можно. Свести вероятность наступления события и тяжесть последствий к минимуму.
	Орешин Михаил - moreshinpolikom.ru 16 Aug 2004 6:47 PM
2 Игорь. Такая проблема начинает возникать от 75-100 компьютеров... На 1000 пользователей возникает именно проблема, как, выбрав лучшие решения, заставить их работать вместе, без потерь + что бы не нужно было держать безумный штат IT-иков
	CyberStorm 20 Aug 2004 9:33 AM
To Орешин Михаил <i>что бы не нужно было держать безумный штат IT-иков</> Чаще приходится сталкиваться со случаем, когда наличиствует безумный штат бухгалтеров, а не IT-шников, и именно это подразделение (бухгалтерия, отдел экономики и финансов) чаще всего влияет на работу IT-отдела, определяют "пути автоматизации" их деятельности в результате чего их количество еще больше вырастает, а IT-специалисты просто не успевают разгребать проблемы возникающие из-за того, что кто не попадя пытается решать что и как автоматизировать.