Все большую роль в бизнес-процессах играет Internet. Несмотря на таящиеся в его глубинах многочисленные угрозы, он все чаще используется как основная сетевая среда для выполнения внешних и внутренних электронных транзакций предприятия.

Обмен данными между центральным офисом и удаленными филиалами, взаимодействие с партнерами, электронная коммерция, передача информации, оказание консультационных услуг в режиме on-line и многие другие операции становятся нормой жизни. В этих условиях разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести компании значительный материальный ущерб.

Для создания надежной защищенной Internet-инфраструктуры нужен комплексный подход, который включает в себя формирование политики безопасности предприятия, проектирование систем защиты информации, закупку программных и аппаратных средств, обучение и содержание персонала, обслуживающего систему. Поддержание работоспособности эшелонированной комплексной системы защиты требует от специалистов особых знаний и навыков, отличающихся от необходимых для обеспечения передачи информации, конфигурирования систем коммутации или настройки серверов и баз данных. Конечно, специалист по безопасности (security guru) должен владеть и такими знаниями (дабы понимать, что он защищает), но помимо них — и дополнительной информацией, позволяющей определить, от чего нужно охранять инфокоммуникационную систему и как это лучше всего делать.

В основной набор дополнительных знаний входят:

  • понимание основ криптографии, методы которой используются почти всеми средствами и системами аутентификации и авторизации, а также механизмами обеспечения конфиденциальности и целостности информации;
  • отличное знание протоколов всех уровней — от канального до прикладного, причем не только базовых режимов (чего зачастую достаточно для обеспечения нормальной работы сети), но и тех «экзотических», которые нередко используются злоумышленниками для преодоления периметра защиты сети;
  • знание всех типов, средств и алгоритмов (сигнатур) атак, применяемых для несанкционированного доступа и выведения из строя информационных ресурсов;
  • знание современных средств защиты — межсетевых экранов, шлюзов и клиентов виртуальных частных сетей (VPN), антивирусов и систем контроля за доступом по содержанию, инструментов обнаружения вторжений, аутентификации, резервного копирования, средств защиты операционных системы и приложений, централизованного управления политикой безопасности и т. д.

При таких требованиях к квалификации и сравнительной молодости профессии хорошие специалисты по обеспечению безопасности сегодня весьма дефицитны. Неудивительно, что содержать в своем штате подобных специалистов небольшим компаниям попросту невозможно, а фирмам средних размеров — достаточно проблематично. По мере увеличения размера организации нелинейно растет и сложность защиты ее информационных ресурсов, а значит, возникает потребность в более крупном штате соответствующих специалистов.

Крупное предприятие имеет, как правило, несколько подключенных к Internet офисов, причем некоторые из них могут подключаться в нескольких точках (например, для обеспечения отказоустойчивости или повышения производительности). При этом нужно защитить внутренние ресурсы сетей в каждой точке подключения, одновременно обеспечив доступ к ним извне. Степень защиты и правила доступа могут различаться от точки к точке, образуя сложную систему правил, количество которых тем больше, чем больше защищаемых объектов. Значит, и конфигурирование межсетевых экранов, которые сегодня являются основным средством защиты, становится достаточно небанальным делом, что еще больше усложняет постоянное обновление сигнатур возможных атак и образцов вирусов.

Кроме того, в крупных офисах клиента возможно использование внутренних межсетевых экранов, которые обеспечивают разграничение доступа для различных подразделений предприятия — например, сотрудников финансового и производственного отделов. Чем крупнее компания, тем больше в ее составе относительно независимых подразделений, которые организуют собственные подсети и стараются ограничить доступ к своим ресурсам сотрудников других структур того же предприятия.

С ростом числа точек подключения к Internet возрастает и сложность организации другой составляющей комплексной системы безопасности предприятия — виртуальной частной сети, обеспечивающей конфиденциальность и целостность передачи информации между различными сайтами. Разумеется, количество защищаемых соединений квадратично растет с ростом числа точек подключения к Internet, а нагрузка на специалистов по защите увеличивается.

С учетом всего сказанного предприятиям приходится решать, администрировать ли систему информационной безопасности собственными силами или перепоручить как можно больше задач обеспечения защиты информационных ресурсов оператору связи.

Понятно, что защита информации — сфера чрезвычайно ответственная и деликатная. Прежде чем доверить свои данные сторонней организации, предприятие должно убедиться, что провайдер услуг способен выполнять такие функции качественно и надежно, а клиент — контролировать его работу и сотрудничать с ним. Контроль заключается в возможности просматривать набор правил ограничения доступа, применяемых провайдером, а сотрудничество бывает различным — от простого формулирования требований к поставщику услуг до совместной разработки системы правил защиты с разграничением сфер ответственности.

Привлекательность делегирования забот о защите информации провайдеру услуг объясняется сложностью и специфичностью таких проблем. Однако, вне зависимости от выбранного компанией способа защиты информационных ресурсов, существуют технологии, которые позволяют совершенно по-новому, эффективно и централизованно решать описанные проблемы.

Provider-1/SiteManager-1 от Check Point

Компания Check Point Software Technologies продвигает на рынке собственное решение, которое позволяет реализовать единую политику управления безопасностью как для компаний со сложной территориально-распределенной структурой, так и для операторов связи, оказывающих услуги аутсорсинга в области ИБ. Ключевую роль в данной системе играет трехуровневая архитектура, разработанная Check Point и призванная поддерживать одновременно множество политик безопасности. По сути, она меняет парадигму управления политикой безопасности: от управления единичными устройствами — к управлению группами устройств. К тому же эти решения значительно снижают стоимость администрирования и управления распределенными системами.

Продукты Provider-1 и SiteManager-1 разработаны для удаленного конфигурирования и сопровождения многочисленных средств защиты информации, установленных в распределенных сетях. С помощью системы Provider-1 можно централизованно, надежно и экономично управлять политикой безопасности тысяч клиентов.

Provider-1 и SiteManager-1 — масштабируемые решения, состоящие из станции управления множеством политик, шлюзов безопасности и графического интерфейса управления (GUI). Эти продукты позволяют администратору центрального офиса задавать отдельный набор правил политики безопасности для каждого филиала или офиса, защитный периметр которого также базируется на решениях Check Point. Администратор филиала, в свою очередь, получает определенный уровень полномочий, который дает возможность подстраивать эти правила в соответствии с потребностями и политикой конкретного филиала.

Система Provider-1 предназначена для операторов связи и крупных предприятий, в которых есть выделенные структуры, чьи функции (по отношению к остальным подразделениям) аналогичны услугам телекоммуникационного провайдера. Система SiteManager-1 предназначена для корпораций, в которых количество различных политик ИБ для отдельных структурных единиц не превышает 200, а также для небольших операторов связи, обслуживающих такое же число клиентов. Продукты Provider-1 и SiteManager-1 построены схожим образом, поэтому мы подробно остановимся лишь на первом из них, как наиболее масштабируемом. SiteManager-1 будет упоминаться только в тех случаях, когда его характеристики отличаются от характеристик Provider-1.

Система Provider-1 упрощает сложную корпоративную политику путем ее разбиения на множество простых политик, группируемых по географическому, функциональному и другим принципам. Эта система является естественным развитием концепции централизованной инфраструктуры управления, применяемой во всех продуктах компании Check Point, а также для координации взаимодействия решений ее партнеров по альянсу OPSEC.

Общая структура системы Provider-1 показана на рис.1. Ее основу составляют серверы Multi Domain Server (MDS), которые хранят объекты и правила политики безопасности клиентов. Каждый сервер MDS может хранить до 500 клиентских политик (система SiteManager — до 100 политик). Для хранения политики отдельного клиента используется абонентский модуль управления Customer Management Add-on (CMA). Он является функциональной копией широко известной системы Check Point NG SmartCenter, используемой для централизованного управления продуктами Check Point в корпоративных сетях. В первую очередь, имеются в виду межсетевые экраны Firewall-1, а также шлюзы и клиенты VPN-1, которые сегодня внедрены очень многими предприятиями, расположенными по всему миру.

Рис. 1. Структура системы Provider-1

Фактически сервер MDS состоит из нескольких разделов, каждый из которых представляет собой модуль CMA со своим набором объектов и правил политики. Разделы изолированы друг от друга, что соответствует требованиям к конфиденциальности политик безопасности клиентов. Техника составления правил политики безопасности в системе Provider-1 ничем не отличается от таковой для Check Point NG SmartCenter, которая хорошо известна подавляющему большинству администраторов ИБ. Нововведением является лишь наличие специального раздела, в котором хранятся так называемые глобальные политики и правила.

Глобальные правила и объекты

Глобальные политики оперируют глобальными объектами, для которых составляются глобальные правила. После определения глобальной политики она, по желанию администратора системы Provider-1, может быть применена к любому клиенту или группе клиентов. Она переписывается в соответствующие модули CMA и становится частью политики этих клиентов.

Глобальная политика формирует необходимый операторам связи третий уровень иерархии управления. До появления Provider-1 наиболее передовые системы управления безопасностью были способны работать только на двух уровнях иерархии (отдельных устройств защиты и всех однотипных устройств), создавая согласованный периметр защиты предприятия. Теперь администратор может работать на уровне групп клиентов, создавая для них общие правила защиты. Глобальная политика позволяет значительно повысить эффективность работы провайдера услуг. Действительно, теперь его администраторы способны создать глобальный объект, необходимый всем клиентам, и только один раз написать общее для всех правило использования данного объекта.

Примерами общих правил могут считаться следующие:

  • правило соединения с сетевым объектом, доступ к которому нужно контролировать для всех клиентов;
  • правило, ограничивающее подозрительную активность пользователя (оно может применяться для быстрого реагирования на обнаруженную атаку).

Так, если станет известным новый образец атаки, администратор провайдера создаст соответствующий сетевой объект (например, gNtAtack), а затем напишет правило, устанавливающее действия Reject по отношению к подобным событиям на всех межсетевых экранах. После вступления в силу новой политики по отношению к определенной группе клиентов (или ко всем клиентам) сеть заказчика будет защищена от атак выявленного типа при минимуме действий со стороны администратора.

У администраторов системы Provider-1 есть два инструмента управления политикой безопасности: Customer SmartDashboard служит для управления политиками на уровне отдельного пользователя, а Global SmartDashboard — для управления глобальными политиками. Администратор может определить соотношения между правилами глобальной и локальной политик. При схематичном рассмотрении правил глобальной политики правила локальной политики отображаются обобщенно — в виде полосы (рис. 2). В данном случае важно расположение правил глобальной политики относительно этой полосы: те, которые находятся выше нее, имеют приоритет перед локальными, а расположенные ниже — подавляются локальными. Данная модель очень удобна, поскольку дает свободу в распределении обязанностей и ответственности между администраторами.

Рис. 2. Соотношения между глобальной и локальной политиками

Среди глобальных объектов можно выделить стандартные и динамические. Стандартный объект добавляется к базе данных объектов клиента, а динамический замещается объектом, уже существующим в клиентской базе данных. Для установления соответствия между глобальным и локальным объектами используется простое правило присвоения имен: глобальное имя должно повторять локальное, но с добавления окончания _global. Таким образом, если пользователи придерживаются при именовании своих объектов (например, публичных Web-сайтов) согласованных с провайдером правил, то администратор провайдера может составлять глобальные правила для этих пользователей и применять к их объектам.

Рис. 3. Привязка клиентов к глобальным политикам

Система Provider-1 может одновременно поддерживать несколько глобальных политик — в зависимости от количества типовых потребностей клиентов. Все политики под разными именами хранятся в глобальном разделе сервера MDS. На рис. 3 показана конфигурация системы с двумя глобальными политиками: Standart_Global_Policy относится к клиентам Flowers, Good-Bank и Perfect-Luggage, а Simple_Global_Policy — к клиентам Telco-INC, Wineries и VerySmallOffice. Под условным названием No_Global_Policy сгруппированы клиенты, к которым не применяются правила какой-либо глобальной политики.

Администраторы

Администраторы Provider-1 получают доступ к серверам MDS с помощью специального графического интерфейса Multi Domain GUI (MDG). Управлять системами Provider-1/SiteManager-1 могут только администраторы, наделенные определенными полномочиями, которые разделяются на несколько уровней.

  1. Без полномочий. К такому уровню принадлежат администраторы клиентов, которые имеют полномочия только на администрирование своих клиентских сетей с помощью стандартных утилит управления политикой безопасности Check Point. Администраторы этой категории не получают доступа к графическому интерфейсу MDG и не могут работать с системой Provider-1.
  2. Customer Manager. Администратор такого уровня может видеть и изменять объекты и правила, хранящиеся на серверах MDS и относящиеся к разделу данного клиента, то есть к его CMA. Кроме того, он способен просматривать данные об общем статусе системы Provider-1.
  3. Customer Superuser. Администраторы этого типа имеют полный доступ к управлению объектами и правилами всех пользователей системы Provider-1. Однако им запрещены критические действия по управлению системой Provider-1, такие как добавление, редактирование и удаление серверов MDS, управление полномочиями других администраторов, добавление, редактирование и удаление графических клиентов системы Provider-1.
  4. Provider-1 Superuser. Администратор этого уровня обладает полномочиями для выполнения всех операций в системе Provider-1.

Серверы MDS и отказоустойчивость управления

Существует несколько типов серверов MDS: это MDS Manager, MDS Container и MDS Multi Customer Log Module (MDS MLM). Продукты первых двух типов хранят модули CMA, но различаются тем, что MDS Manager играет ведущую роль. Только он может выполнять функции основного сервера сертификатов, необходимых для защищенного взаимодействия компонентов системы Provider-1. В систему Provider-1 может входить произвольное число серверов MDS Manager и MDS Container, каждый из которых поддерживает до 500 клиентских модулей CMA. Отсюда следует, что количество обслуживаемых системой клиентов практически неограниченно. В свою очередь, SiteManger-1 может состоять из одного сервера MDS Manager и одного сервера MDS Container, каждый из которых поддерживает до 100 клиентов, поэтому общая емкость такой системы составляет 200 клиентов.

Сервер MDS MLM выполняет функцию хранения модулей отчетности клиентов (Customer Log Module). В них накапливается информация о событиях в сетях клиентов, сообщения о которых активировали те или иные средства защиты, находящиеся под контролем Provider-1. Модули отчетности клиентов порой хранятся и на серверах MDS Manager/Container, но при большом количестве клиентов целесообразно выделить для них отдельный сервер. Провайдер может размещать модули CLM и у пользователей — для более быстрого и легкого локального доступа к отчетности системы безопасности.

Взаимодействие компонентов системы Provider-1 происходит по протоколу CPMI (Check Point Management Interface), который обеспечивает высокую степень защиты передаваемой информации. Этот же протокол используется при загрузке правил политики из раздела CMA на установленные у заказчика средства защиты, например на межсетевой экран Firewall-1. Следовательно, критически важная информация о конфигурации системы ИБ передается через Internet в защищенном виде, что исключает возможность искажения или компрометации правил политики безопасности.

Постоянная доступность управления

Система Provider-1 обеспечивает необходимую оператору связи или крупной корпорации высокую надежность системы управления. Отказоустойчивость управления системой (Total Availability Management, TAM) поддерживается на разных уровнях — модулей средств защиты, абонентского модуля управления (Customer Management Add-on, CMA), серверов MDS и графического интерфейса MDG.

Компания Check Point традиционно уделяет серьезное внимание отказоустойчивости своих продуктов. Так, межсетевые экраны Firewall-1 и шлюзы VPN-1 могут работать в кластерном режиме, постоянно синхронизируя свою работу. В результате при отказе какого-либо модуля остальные распределяют между собой его функции без прерывания пользовательских сессий.

Крупный провайдер может иметь несколько сетевых центров управления, расположенных в разных регионах и даже странах. Каждый из них включает в себя один или несколько MDS-серверов. Последние связаны между собой «нервной системой», которая автоматически синхронизирует пользовательские и администраторские данные так, что любой из MDS-серверов становится резервным для остальных. Такая разветвленная структура обеспечивает управление в режиме «нон-стоп» без применения дополнительных средств резервирования.

Аналогично в системе может одновременно работать произвольное количество копий графического интерфейса MDG. При этом администратор каждого сетевого центра управления имеет доступ к управлению любым сервером MDS, независимо от местонахождения последнего.

Возможно также дублирование пользовательской политики (глобальная политика резервируется посредством синхронизации серверов MDS). Для каждого пользователя допускается создавать до двух копий модуля CMA, которые размещаются на разных серверах MDS. Данные модулей CMA синхронизируются, и в случае отказа одного из серверов политика пользователя загружается в модули защиты другого.

Ряд крупных транснациональных операторов связи на практике оценили достоинства системы Provider-1. Среди пользователей этого решения Check Point — такие компании, как Equant/Global One, AT&T, France Telecom и Sprint.

Антон Мякишев (antonm@uni.ru) — технический эксперт, Павел Бузин (pbuz@uni.ru) — ведущий менеджер отдела по работе с операторами связи «Корпорации ЮНИ»