что такое сервис безопасности
сервис безопасности
2.40 сервис безопасности (security service): Сервис, предоставляемый уровнем взаимодействия открытых систем, обеспечивающий надлежащую степень безопасности систем или передачи данных [8].
Смотреть что такое «сервис безопасности» в других словарях:
сервис безопасности — Сервис уровня, обеспечивающий безопасность систем или передачи данных. [Е.С.Алексеев, А.А.Мячев. Англо русский толковый словарь по системотехнике ЭВМ. Москва 1993] Тематики информационные технологии в целом EN security service … Справочник технического переводчика
сервис — 01.01.79 сервис [ service]: Программа из системы программного обеспечения компьютера, которая предоставляет ответы на запросы от других программ данной системы, которые часто расположены на других удаленных связанных компьютерах. Источник … Словарь-справочник терминов нормативно-технической документации
Сервис мобильных кредитных карт iD (DCMX) — Сервис мобильных кредитных карт iD (DCMX) сервис крупнейшего японского оператора NTT DoCoMo, запущенный в декабре 2005 года (iD)[1] и в апреле 2006 (DCMX)[2] в Японии, позволяющий использовать сотовый телефон как кредитную карту. Содержание … Википедия
ГОСТ Р 54581-2011: Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы — Терминология ГОСТ Р 54581 2011: Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы оригинал документа: 2.6 аргумент доверия (assurance argument): Совокупность… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… … Словарь-справочник терминов нормативно-технической документации
Авиакомпания «Як Сервис» — ЗАО Авиационная компания Як Сервис российский авиаперевозчик, специализируется на VIP перевозках на самолетах бизнес класса. Аэропорты базирования – Быково и Внуково (Москва). Як Сервис выполняет чартерные пассажирские авиаперевозки по… … Энциклопедия ньюсмейкеров
Агент национальной безопасности 2 — Жанр детектив В главных ролях Михаил Пореченков Андрей Толубеев Вадим Яковлев Страна Россия Телевизионный канал … Википедия
ГОСТ Р ИСО/МЭК 13335-1-2006: Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий — Терминология ГОСТ Р ИСО/МЭК 13335 1 2006: Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий оригинал документа: 2.2 активы… … Словарь-справочник терминов нормативно-технической документации
КОМИТЕТ ГОСУДАРСТВЕННОЙ БЕЗОПАСНОСТИ СССР (КГБ) — одно из названий партийно государственного органа, выполнявшего задачи по защите коммунистического режима советской России (СССР) от внутренних и внешних врагов. В этих целях КГБ обеспечивал внутреннюю безопасность и осуществлял внешнюю разведку … Юридическая энциклопедия
ИБ из облака: как устроена Единая платформа сервисов кибербезопасности
В конце прошлого года, после сделки с «Ростелекомом», мы получили в свое распоряжение облачную SD-WAN/SDN-платформу для предоставления заказчикам ИБ-сервисов. Мы подключили к проекту вендоров, поставляющих свои решения в виртуализованном виде, и получилась огромная махина, которую мы назвали Единой платформой сервисов кибербезопасности, или ЕПСК. Ее ключевая особенность — поставка из облака технологий защиты с возможностью централизованного управления: развертывание и изменение отдельной сетевой функции или глобальная трансформация во всех обслуживаемых офисах занимают считанные минуты. Сегодня расскажем подробнее о ее архитектуре и «начинке».
Но прежде чем залезть под капот, пара слов о том, что собственно умеет ЕПСК. В состав платформы входят сервисы: по защите электронной почты (Secure Email Gateway, SEG) и веб-приложений (Web Application Firewall, WAF), по предотвращению сетевых вторжений (Unified Threat Management, UTM) и Anti-DDoS. Все они могут использоваться как одновременно, так и по отдельности — тут каждому по потребностям.
Заверните мне трафик, пожалуйста. Принципы работы ЕПСК
В общих чертах: на всех площадках заказчика устанавливаются маршрутизирующие CPE-устройства (Customer Premises Equipment). CPE обеспечивает защищенный туннель до наших ЦОДов — на платформу ЕПСК. Таким образом, к заказчику попадает только тот трафик, который был очищен на наших периметральных средствах защиты. При этом благодаря SD-WAN и туннелированию процесс доставки трафика на нашу платформу не зависит от того, сетями какого провайдера пользуется заказчик.
Архитектура платформы
Физическая инфраструктура ЕПСК — это обычные x86-серверы с развернутыми на них виртуальными машинами, коммутаторы и маршрутизаторы. Соль в том, что управлять этим богатством можно гибко и централизованно. И тут нам на помощь приходят два магических слова – VNF и MANO.
VNF (Virtualized Network Function) — это собственно сетевые функции, которые предоставляются конечным пользователям (UTM, SEG и WAF). MANO (Management and Orchestration) — набор средств по управлению жизненным циклом виртуализированных функций. Эти средства как раз и дают ту централизацию и гибкую оркестрацию, которая позволяет вносить изменения на принципиально иной скорости.
А теперь подробнее.
На границе каждого ЦОД стоит маршрутизатор Nokia 7750 SR-12 с пропускной способностью 400 Гбит/с — он обеспечивает маршрутизацию на периметре и внутри облака. Уровнем ниже располагаются Spine-коммутаторы Juniper 5100 с портами 40 Гбит/с, агрегирующие все сетевые компоненты с более низких уровней.
Виртуальная сеть включает два сегмента: SD-WAN, соединяющий облачную среду с площадками заказчиков, и SDN DC — программно-определяемая сеть внутри самого облака, посредством которой настраиваются порты, IP-адресация и т.д. при создании сервисной цепочки.
Серверная часть состоит из серверов управления облачной платформой CloudBand, серверов управления SDN, серверов управления SD-WAN (VSD, VSC) и NSG-BR (виртуальные роутеры, на которых терминируются IPsec over VXLAN туннели заказчиков) или VXLAN — в зависимости от того, используется ли IPsec-шифрование.
Белая IP-адресация для трафика заказчиков реализована на базе 2 подсетей с маской /22 (по 1018 адресов в каждой подсети): одна из них маршрутизируется в Интернет, другая – в RSNet.
Отказоустойчивость
Вся облачная инфраструктура зарезервирована на базе двух территориально удаленных ЦОД в Москве, которые работают в режиме Active–Standby. При этом любая сервисная цепочка (набор функций для конкретного клиента) разворачивается в каждом из них как кластер. В случае нештатной ситуации при переключении с одного узла на другой теряется всего около 10 пакетов. Так как TCP придумали неглупые люди, потери будут незаметны.
В дальнейшем мы планируем географическое расширение за Урал, чтобы снизить задержки передачи данных для регионов. Впрочем, на сегодня даже для Хабаровска задержки составляют всего около 200 мс — заказчики вполне успешно играют на Steam и смотрят видео с YouTube (из реального отзыва об услуге ).
В ближайшее время будет реализована возможность подключения одной CPE к двум независимым WAN. Канал может быть MPLS, Ethernet (медь или оптика в зависимости от используемой CPE), USB LTE модем и т.д. Например, основной канал может быть оптоволоконный, а резервный — беспроводной (ибо никто не застрахован от экскаватора судьбы и поврежденных проводов). В настоящее время есть возможность задействовать два WAN, но только при использовании двух CPE в HA-кластере.
Сервисные цепочки
Заказчик через ЛК выбирает базовые параметры и запускает формирование сервисной цепочки: автоматически поднимаются сетевые интерфейсы, назначаются IP-адреса и подкачиваются образы VNF в зависимости от выбранной пропускной способности. Например, если вы заказали FortiGate Firewall на 300 Мбит, для вас автоматически будет выделено 4 ядра, 8 ГБ RAM, какое-то количество дискового пространства и автоматически будет развернут образ в 0-day конфигурации.
Производительность нашей платформы сейчас рассчитана на 160 сервисных цепочек по 1 Гбит каждая, и планируется масштабирование до 1000 сервисных цепочек по 50 Мбит каждая (т.к. цепочки по 1 Гбиту будут востребованы куда реже, исходя из нашей оценки рынка).
CPE – лучше тоньше, да больше?
Собственно, для нашей услуги мы выбрали «тонкие» CPE на базе Nokia NSG-C и NSG-E200. Тонкие они только тем, что на них нельзя запустить стороннюю VNF, а в остальном имеют весь функционал, необходимый для построения связи между площадками, туннелирования (IPsec и VPN), однако для этой задачи можно использовать решения и других производителей. Также имеются Access Control Lists (ACL) для фильтрации: часть трафика можно выпускать локально, а часть — отправлять на тонкую очистку в ЦОД ЕПСК, где реализованы виртуальные функции WAF, UTM и SEG.
Также устройство умеет делать Application Aware Routing (AAR), т.е. приоритизировать полосу пропускания в зависимости от типа трафика при помощи механизмов Deep Packet Inspection (DPI). При этом в качестве каналов связи можно использовать как фиксированную, так и мобильную сеть или их комбинацию для разного трафика.
Активация CPE происходит по принципу zero touch provisioning. То есть все элементарно: подключаем CPE к интернету, с внутреннего Ethernet-интерфейса подсоединяем ноутбук, проходим по ссылке активации, далее вместо ноута включаем свою LAN — и всё работает. При этом в нашем облаке по умолчанию поднимается IPsec-туннель over VХLAN (то есть адресное пространство сначала изолируется, потом туннелируется).
В целом вариант с тонкой СРЕ кажется нам более удобным. При таком подходе заказчик избавлен от возможного вендор-лока и может в любой момент масштабировать решение, не упираясь в толщину CPE (50 Мбит/с).
В случае же с толстой CPE на ней, помимо прочего, реализованы и выбранные клиентом виртуальные функции, а в ЦОД ЕПСК находится только управление сервисной цепочкой. Плюс этого подхода в том, что весь траффик обрабатывается локально. В то же время стоимость такого устройства куда выше, а больше одного конкретного сервиса на нем не сделать – требуется закупать дополнительные CPE. Да и о мультивендорности тут можно забыть.
Но если у заказчика есть достаточно крупная площадка (офис, филиал), пропускающая через себя много трафика (больше 200 Мбит/с), и он хочет все фильтровать локально, то есть смысл обратить внимание на CPE Nokia серии NSG E300 (и выше) c пропускной способностью от 1 до 10 Гбит, которые поддерживают виртуализацию (VNF).
По умолчанию SD-WAN заводит все площадки заказчика в full mesh сеть, то есть связывает их между собой по принципу «каждая с каждой» без дополнительной фильтрации. Это позволяет снизить задержки во внутреннем периметре. Однако есть возможность строить и более сложные топологии (звезду, сложную звезду, многоранговые сетки и т.п.).
Эксплуатация
Все VNF, которые есть в облаке, на данный момент доступны в классической доктрине MSSP, то есть находятся под нашим управлением. В дальнейшем у заказчиков появится возможность управлять этими сервисами самостоятельно, но тут важно здраво оценивать свои компетенции.
Некоторые простые функции уже сейчас частично автоматизированы. Например, в Secure Mail Gateway по умолчанию настроена политика, при которой пользователь раз в сутки получает список писем, потенциально относящихся к спаму, и может самостоятельно решать их дальнейшую судьбу.
Какие-то глобальные проблемы и уязвимости, которые отслеживаются нашим JSOC, будут оперативно закрываться в том числе и для клиентов ЕПСК. И тут возможность централизованного управления политиками и сигнатурами как нельзя кстати — это позволит защитить заказчиков от заражений типа Petya, NotPetya и прочих.
Честные ответы на неловкие вопросы
На самом деле, хотя мы и очень верим в преимущества сервисной модели, понятно, что для многих сама концепция ЕПСК слишком непривычна. Что у нас спрашивают чаще всего:
— В вашем ЦОД стоит FortiGate, то есть вы будете видеть наш трафик?
— Нет, трафик мы не видим. FortiGate получает его в зашифрованном виде, расшифровывает ключом от заказчика, проверяет и обрабатывает поточным антивирусом, зашифровывает обратно тем же ключом и только после этого выдает в вашу сеть. Вариантов вклиниться в этот процесс у нас нет (разве что заняться реверс-инжинирингом суровых инфобезных решений, но это уж слишком дорого).
— Можно ли сохранить нашу сегментацию сети при переходе в облако?
— А вот тут есть ограничение. Сегментация внутри сети — не облачная история. UTM — это граничный файервол сети заказчика, на котором нельзя сделать сегментирование, то есть ваши данные идут вовне в едином канале. В каком-то смысле можно сегментировать сеть внутри ACL на CPE, настроив для разных площадок разные ограничения. Но если у вас есть бизнес-приложения, которые должны по-разному взаимодействовать друг с другом через межсетевой экран, то вам по-прежнему нужно будет использовать отдельный FW для внутренней сегментации.
— Что станет с нашими IP-адресами при переходе в облако?
— В большинстве случаев придется поменять свои белые IP-адреса на наши. Исключение возможно в том случае, если у вас есть провайдеронезависимая автономная система (PI AS), аллоцированная за вами, которую можно переанонсировать от нас.
Иногда логичнее выбрать комплексный вариант — например, пользовательский трафик пустить через UTM, а другие сегменты сети выпускать в интернет напрямую.
— А если надо защитить сайт, который хостится у внешнего провайдера?
— CPE туда не поставить. Можно подключить WAF через смену ADNS записи: поменять IP сайта на IP сервисной цепочки, и тогда трафик пойдет через наше облако без помощи CPE.
Если у вас есть другие вопросы, пишите в комментариях, а мы постараемся на них ответить
Сервисы безопасности PKI и базовые криптографические механизмы
Сервисы безопасности PKI
Идентификация и аутентификация
Идентификацией субъекта называется процесс сопоставления введенной им своей характеристики с некоторым идентификатором, хранимым системой. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий. Аутентификацией субъекта называется процедура проверки принадлежности идентификатора субъекту. Аутентификация осуществляется на основании того или иного секретного элемента ( аутентификатора ), которым располагают как субъект, так и информационная система [37].
Аутентификация обычно находит применение в двух основных контекстах: идентификации субъекта и идентификации источника данных.
Идентификация субъекта служит просто для распознавания субъекта независимо от его последующих действий. Очевидно, что одной идентификации недостаточно, поскольку субъект, как правило, не только называет себя, но и желает получить возможность выполнять некоторые действия. На практике результат идентификации субъекта позволяет ему связываться с другими субъектами или выполнять определенные виды активности. Например, в результате идентификации субъект может получить секретный ключ, которым он затем может воспользоваться для расшифрования файла, а также для установления защищенной связи с другим субъектом. Идентификационные данные субъекта, который прошел аутентификацию, также могут быть связаны с некоторыми полномочиями доступа, на основании которых принимаются решения по контролю доступа.
Введение
Модель сетевой безопасности
Классификация сетевых атак
В общем случае существует информационный поток от отправителя (файл, пользователь, компьютер) к получателю (файл, пользователь, компьютер):
Модификация потока данных означает либо изменение содержимого пересылаемого сообщения, либо изменение порядка сообщений.
Фальсификация (нарушение аутентичности ) означает попытку одного субъекта выдать себя за другого.
Сервисы безопасности
Основными сервисами безопасности являются следующие:
Механизмы безопасности
Перечислим основные механизмы безопасности :
Модель сетевого взаимодействия
Модель безопасного сетевого взаимодействия в общем виде можно представить следующим образом:
Сообщение, которое передается от одного участника другому, проходит через различного рода сети. При этом будем считать, что устанавливается логический информационный канал от отправителя к получателю с использованием различных коммуникационных протоколов (например, ТСР/IP).
Из данной общей модели вытекают три основные задачи, которые необходимо решить при разработке конкретного сервиса безопасности :
Что такое сервис безопасности
Мы приступаем к описанию сервисов безопасности, совокупность которых, на наш взгляд, достаточна для построения защиты, соответствующей современным требованиям.
Современные средства идентификации/аутентификации должны удовлетворять двум условиям:
Первое требование можно выполнить, используя криптографические методы. (Еще раз подчеркнем тот очевидный факт, что современная криптография есть нечто гораздо большее, чем шифрование; соответственно, разные ветви этой дисциплины нуждаются в дифференцированном подходе с нормативной точки зрения.) В настоящее время общепринятыми являются подходы, основанные на системе Kerberos или службе каталогов с сертификатами в стандарте X.509.
Единый вход в сеть — это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.
Дополнительные удобства создает применение биометрических методов аутентификации, основанных на анализе отпечатков (точнее, результатов сканирования) пальцев. В отличие от специальных карт, которые нужно хранить, пальцы «всегда под рукой» (правда, под рукой должен быть и сканер). Подчеркнем, что и здесь защита от нарушения целостности и перехвата с последующим воспроизведением осуществляется методами криптографии.
Разграничение доступа, вероятно, является самой исследованной областью информационной безопасности. «Дискрец» и «мандатное» управление вошли во все теоретические курсы и критерии оценки. Доминируют они и на практике.
К сожалению, в настоящее время следует признать устаревшим (или, по крайней мере, не полностью соответствующим действительности) положение о том, что разграничение доступа направлено на защиту от злоумышленных пользователей. Современные информационные системы характеризуются чрезвычайной сложностью и их внутренние ошибки представляют не меньшую опасность.
Динамичность современной программной среды в сочетании со сложностью отдельных компонентов существенно сужает область применимости самой употребительной — дискреционной модели управления доступом (называемой также моделью с произвольным управлением). При определении допустимости доступа важно не только (и не столько) то, кто обратился к объекту, но и то, какова семантика действия. Без привлечения семантики нельзя выявить троянские программы, противостоять которым произвольное управление доступом, как известно, не в состоянии.
В последнее время появляются новые модели управления доступом, например, модель «песочницы» в Java-технологии. К сожалению, и она не учитывает семантику программ, что, на наш взгляд, является основной причиной выявляемых слабостей в системе безопасности.
Активно развиваемое ролевое управление доступом решает не столько проблемы безопасности, сколько улучшает управляемость систем (что, конечно, очень важно). Суть его в том, что между пользователями и их привилегиями помещаются промежуточные сущности — роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.
Мы уже отмечали, что сложность информационной системы характеризуется, прежде всего, числом имеющихся в ней связей. Поскольку ролей много меньше, чем пользователей и привилегий, их (ролей) использование способствует понижению сложности и, следовательно, улучшению управляемости. Кроме того, на основании ролевой модели можно реализовать такие важные принципы, как разделение обязанностей (невозможность в одиночку скомпрометировать критически важный процесс). Между ролями могут быть определены статические или динамические отношения несовместимости (невозможности одному субъекту по очереди или одновременно активизировать обе роли), что и обеспечивает требуемую защиту.
Для некоторых употребительных сервисов, таких как Web, ролевое управление доступом может быть реализовано относительно просто (в Web-случае — на основе cgi-процедур). Правда, следует позаботиться о средствах администрирования, но, разумеется, существуют и они. Так что в данном случае слово за системными администраторами.
Протоколирование/аудит традиционно являлись последним рубежом обороны, обеспечивающим анализ последствий нарушения информационной безопасности и выявление злоумышленников. Такой аудит можно назвать пассивным.
Довольно очевидным обобщением пассивного аудита для сетевой среды является совместный анализ регистрационных журналов отдельных компонентов на предмет выявления противоречий, что важно в случаях, когда злоумышленнику удалось отключить протоколирование или модифицировать журналы.
В современный арсенал защитных средств несколько лет назад вошел активный аудит, направленный на выявление подозрительных действий в реальном масштабе времени. Активный аудит включает два вида действий:
Нетипичное поведение выявляется статистическими методами, путем сопоставления с предварительно полученными образцами. Начало злоумышленной активности обнаруживается по совпадению с сигнатурами известных атак. За обнаружением следует заранее запрограммированная реакция (как минимум — информирование системного администратора, как максимум — контратака на систему предполагаемого злоумышленника).
Важным элементом современной трактовки протоколирования/аудита является протокол автоматизированного обмена информацией о нарушениях безопасности между корпоративными системами, подключенными к одной внешней сети. Работа над этим протоколом ведется под эгидой IETF. В наше время системы не могут считаться изолированными, они не должны жить по закону «каждый за себя»; угрозам следует противостоять сообща.
Экранирование как сервис безопасности выполняет следующие функции:
Современные межсетевые экраны фильтруют данные на основе заранее заданной базы правил, что позволяет, по сравнению с традиционными операционными системами, реализовывать гораздо более гибкую политику безопасности. При комплексной фильтрации, охватывающей сетевой, транспортный и прикладной уровни, в правилах могут фигурировать сетевые адреса, количество переданных данных, операции прикладного уровня, параметры окружения (например, время) и т.п.
Преобразование передаваемых данных может затрагивать как служебные поля пакетов, так и прикладные данные. В первом случае обычно имеется в виду трансляция адресов, помогающая скрыть топологию защищаемой системы. Это — уникальное свойство сервиса экранирования, позволяющее скрывать существование некоторых объектов доступа. Преобразование данных может состоять, например, в их шифровании.
В процессе фильтрации (точнее, параллельно с ней) может выполняться дополнительный контроль (например, антивирусный). Возможны и дополнительные преобразования, наиболее актуальным из которых является исправление заголовков или иной служебной информации, ставшей некорректной после наступления 2000 года. Отметим, впрочем, что протоколы TCP/IP практически свободны от Проблемы 2000.
Применение межсетевого экранирования поставщиками Интернет-услуг в соответствии с рекомендациями [8] позволило бы существенно снизить шансы злоумышленников и облегчить их прослеживание. Данная мера еще раз показывает, как важно рассматривать каждую информационную систему как часть глобальной инфраструктуры и принимать на себя долю ответственности за общую информационную безопасность.
На наш взгляд, туннелирование, как и экранирование, следует рассматривать как самостоятельный сервис безопасности. Его суть состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в новый «конверт». Данный сервис может применяться для нескольких целей:
Туннелирование может применяться как на сетевом, так и прикладном уровнях. Например, стандартизовано туннелирование для IP и двойное конвертование для почты X.400.
Комбинация туннелирования и шифрования (с необходимой криптографической инфраструктурой) на выделенных шлюзах позволяет реализовать такое важное в современных условиях защитное средство, как виртуальные частные сети. Такие сети, наложенные обычно поверх Интернет, существенно дешевле и гораздо безопаснее, чем действительно собственные сети организации, построенные на выделенных каналах. Коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об уязвимости и соответственно обеспечивать защиту. Современные протоколы, направленные на поддержку классов обслуживания, помогут гарантировать для виртуальных частных сетей заданную пропускную способность, величину задержек и т.п., ликвидируя тем самым единственное на сегодняшний день реальное преимущество сетей собственных.
Шифрование — важнейшее средство обеспечения конфиденциальности и, одновременно, самое конфликтное место информационной безопасности (практически во всех странах, не только в России).
Мы, разумеется, не будем вдаваться в тонкости криптографии. Нам хотелось бы обратить внимание на то, что у компьютерной криптографии две стороны — собственно криптографическая и интерфейсная, позволяющая сопрягаться с другими частями информационной системы. Важно, чтобы были обеспечены достаточное функциональное богатство интерфейсов и их стандартизация. Криптографией, в особенности шифрованием, должны, разумеется, заниматься профессионалы. От них требуется разработка защищенных инвариантных компонентов, которые можно было бы свободно (по крайней мере, с технической точки зрения) встраивать в существующие и перспективные конфигурации.
Отметим, что у современного шифрования есть и внутренние проблемы, как технические, так и нормативные. Из технических наиболее острой является проблема производительности. Программная реализация на универсальных процессорах не является адекватным средством (здесь можно провести аналогию с компрессией видеоизображений). Еще одна техническая задача — разработка широкого спектра продуктов, предназначенных для использования во всех видах компьютерного и сетевого оборудования — от персональных коммуникаторов до мощных шлюзов.
Из нормативных проблем отметим необходимость официального признания допустимости использования зарубежных средств и алгоритмов (поскольку это предписывается, например, спецификациями IPsec).
Контроль целостности относится к числу «благополучных» сервисов безопасности, несмотря на его криптографическую природу. Здесь и проблема производительности стоит не так остро, как в случае шифрования, и отечественные стандарты лучше согласуются с международными.
В современных системах контроль целостности должен распространяться не только на отдельные порции данных, аппаратные или программные компоненты. Он обязан охватывать распределенные конфигурации, защищать от несанкционированной модификации потоки данных.
В настоящее время существует достаточно решений для контроля целостности и с системной, и с сетевой направленностью (обычно контроль выполняется прозрачным для приложений образом как часть общей протокольной активности). Стандартизован программный интерфейс к этому сервису (как часть общего интерфейса службы безопасности, см. [9] ).
Контроль защищенности по сути представляет собой попытку «взлома» информационной системы, осуществляемого силами самой организации или уполномоченными лицами. Идея данного сервиса в том, чтобы обнаружить слабости в защите раньше злоумышленников. В первую очередь, имеются в виду не архитектурные (их ликвидировать сложно), а «оперативные» бреши, появившиеся в результате ошибок администрирования или из-за невнимания к обновлению версий программного обеспечения.
Средства контроля защищенности позволяют накапливать и многократно использовать знания об известных атаках. Очевидна их схожесть с антивирусными средствами; формально последние можно считать их подмножеством. Очевиден и реактивный, запаздывающий характер подобного контроля (он не защищает от новых атак). Впрочем, следует помнить, что оборона должна быть эшелонированной, так что в качестве одного из рубежей контроль защищенности вполне адекватен. Отметим также, что подавляющее большинство атак носит рутинный характер; они возможны только потому, что известные слабости годами остаются неустраненными.
Существуют как коммерческие, так и свободно распространяемые продукты для контроля защищенности. Впрочем, в данном случае важно не просто один раз получить и установить их, но и постоянно обновлять базу данных слабостей. Это может оказаться не проще, чем следить за информацией о новых атаках и рекомендуемых способах противодействия.
Обнаружение отказов и оперативное восстановление относится к числу сервисов, обеспечивающих высокую доступность (готовность). Его работа опирается на элементы архитектурной безопасности, а именно на существование избыточности в аппаратно-программной конфигурации.
В настоящее время спектр программных и аппаратных средств данного класса можно считать сформировавшимся. На программном уровне соответствующие функции берет на себя программное обеспечение промежуточного слоя. Среди аппаратно-программных продуктов стандартом стали кластерные конфигурации. Восстановление производится действительно оперативно (десятки секунд, в крайнем случае минуты), прозрачным для приложений образом.
Важно отметить, что обнаружение отказов и оперативное восстановление может играть по отношению к другим средствам безопасности инфраструктурную роль, обеспечивая высокую готовность последних. Это особенно важно для межсетевых экранов, средств поддержки виртуальных частных сетей, серверов аутентификации, нормальное функционирование которых критически важно для корпоративной информационной системы в целом. Такие комбинированные продукты получают все более широкое распространение.
Управление можно отнести к числу инфраструктурных сервисов, обеспечивающих нормальную работу функционально полезных компонентов и средств безопасности. Сложность современных систем такова, что без правильно организованного управления они постепенно (а иногда и довольно быстро) деградируют как в плане эффективности, так и в плане защищенности.
В контексте данной статьи особенно важной функцией управления является контроль согласованности конфигураций различных компонентов (имеется в виду семантическая согласованность, относящаяся, например, к наборам правил нескольких межсетевых экранов). Процесс администрирования идет постоянно; требуется, однако, чтобы при этом не нарушалась политика безопасности.
Современное управление, на наш взгляд, вступило в переломный этап. Начинают появляться продукты, обладающие достаточной интеллектуальностью, открытостью, расширяемостью, масштабируемостью, продукты, приемлемые по цене и по потребляемым ресурсам. Вероятно, должно пройти еще некоторое время, чтобы они стали достаточно зрелыми, стабилизировались.
Мы перечислили десяток сервисов безопасности. Как объединить их для создания эшелонированной обороны, каково их место в общей архитектуре информационных систем?
На внешнем рубеже располагаются средства выявления злоумышленной активности и контроля защищенности. Далее идут межсетевые экраны, защищающие внешние подключения. Они, вместе со средствами поддержки виртуальных частных сетей (обычно объединяемых с межсетевыми экранами) образуют периметр безопасности, отделяющий корпоративную систему от внешнего мира.
Сервис активного аудита должен присутствовать во всех критически важных компонентах и, в частности, в защитных. Это позволит быстро обнаружить атаку, даже если по каким-либо причинам она окажется успешной.
Управление доступом также должно присутствовать на всех сервисах, функционально полезных и инфраструктурных. Доступу должна предшествовать идентификация и аутентификация субъектов.
Криптографические средства целесообразно выносить на специальные шлюзы, где им может быть обеспечено квалифицированное администрирование. Масштабы пользовательской криптографии следует минимизировать.
Наконец, последний рубеж образуют средства пассивного аудита, помогающие оценить последствия нарушения безопасности, найти виновного, выяснить, почему успех атаки стал возможным.
Расположение средств обеспечения высокой доступности определяется критичностью соответствующих сервисов или их компонентов.