Защищенные операционные системы от компании Hewlett-Packard

Аллен Денс, менеджер отделения безопасности HP Security Solutions Division, рассказывая о стратегии своей компании в области e-seсurity, рекомендует проводить различие между теми продуктами, что обеспечивают безопасность приложений и защищенность платформ

Человечество затратило немало сил и средств на создание разнообразных средств защиты и обороны, прежде чем пришло к созданию безопасной среды для своего существования. Со временем шпаги и кольты по большей части заняли свое место в музеях, а на улицах финансовых столиц мира невозможно не увидеть лимузин, сопровождаемый джипом охраны. Иное дело Internet. В изначально анархичной Сети порядок еще только предстоит наводить, а пока создание виртуальных оборонительных сооружений относится к числу тех обязательных мер, которые следует предпринимать, если у предприятия есть желание выжить в Internet.

Справедливости ради надо отметить, что в последние годы формируется альтернативное направление — аутсорсинг в области безопасности. Он привлекает тем, что позволяет снизить размер инвестиций, гарантирует использование наиболее совершенных технических решений и высококвалифицированных специалистов, но его внедрение сопряжено с определенными трудностями. Прежде всего это относится к принципиально новой корпоративной политике безопасности.

Стратегия обеспечения безопасности, которой придерживается компания Hewlett-Packard, вполне традиционна, не случайно в состав семейства предназначенных для этих целей продуктов Praesidium входят два типично «фортификационных» — HP VirtualVault и HP WebEnforcer (название первого так, собственно, и переводится: «виртуальный замок»).

Эти продукты обеспечивают не всю безопасность в целом, а ту ее часть, которую теперь называют e-seсurity. Переходя к этой категории продуктов, необходимо провести различие между теми, что обеспечивают безопасность приложений и защищенность платформы Web-сервера (application security products, например, Praesidium VirtualVault), и их сетевыми аналогами (network security products, например, Praesidium e-Firewall). Об этом, и о стратегии компании в области e-seсurity, мне удалось побеседовать с гостившим в Москве Алленом Денсом, менеджером отделения безопасности HP Security Solutions Division. (Углубленное изложение соответствующей тематики с точки зрения технологий можно найти в № 4 журнала «Открытые системы» за этот год, посвященном защищенным ОС. — Прим. ред.).

Защитные экраны vs VirtualVault

С общих позиций обеспечение безопасности в информационном пространстве немногим отличается от физической защиты. Первым, вполне естественным побудительным мотивом становится создание надежной изоляции своего жизненного пространства от окружения. Так поступил Робинзон Крузо, едва ступив на свой остров, так поступали все народы и во все времена. Однако прекрасно известно, что упорный штурм крепостных стен во многих случаях приводил к поражению державших оборону. Мало того, крепостная стена отпугивает и тех, кто не имеет злого умысла: не случайно торговля всегда велась за ее пределами.

Аналогично и в условиях, когда функционирование электронного бизнеса зависит от приложений и баз данных, находящихся в частной сети, межсетевые экраны не могут обеспечить адекватную защиту. Компании обязаны быть максимально открытой для заказчиков и партнеров, не отпугивать, а привлекать их.

Администрирование системы VirtualVault можно производить удаленно, посредством Internet-браузера

Экраны препятствуют открытости. В конечном итоге их предназначение — ограничить типы трафика, разрешенного для передачи между Internet и intranet. Для этого они используют те или иные виды фильтров, анализирующие входящие пакеты, и пропускают те, которые соответствуют установленным критериям. Они могут разрешать только определенные виды сеансов (например, FTP) или виды действий (скажем, чтение, но не запись), они могут запрещать доступ пользователям, не прошедшим процесс аутентификации, анализировать входящие письма на наличие вирусов. Однако сквозь них всегда могут пройти хорошо замаскированные вредоносные пакеты. Еще один существенный недостаток экранирования заключается в том, что по мере роста трафика издержки на оборону возрастают в геометрической прогрессии.

Сеанс, прошедший это чистилище, может нанести внутренним приложениям различного типа повреждения. HP VirtualVault отличается тем, что не позволяет нападающему добраться до уязвимых точек в приложениях и базах данных, находящихся за Web-сервером. Иллюстрируя это, Денс привел такое образное сравнение. Представьте себе, что вы проникли в охраняемое помещение, но его внутренние двери не только надежны, но еще к тому же лишены всяких опознавательных знаков. Увидев это, вы немедленно поймете, что дальнейшее пребывание в нем лишено какого-либо смысла. Точно так же при наличии VirtualVault, даже пройдя сквозь межсетевой экран, хакер не сможет получить необходимые полномочия и уйдет несолоно хлебавши.

VirtualVault ограничивает возможности действий неавторизованного кода. Атакующий не способен модифицировать Web-страницы, устанавливать скрипты CGI, получать доступ к кодам приложений и переадресовывать трафик. Чтобы выполнить такого рода действия, он должен преодолеть механизм ограничения полномочий, встроенный в операционную систему.

Версия 4.0 VirtualVault базируется на прошедшей «военную приемку» (military-grade) операционной системе HP-UX 11.0.

Замок «для бедных»

Но как бы ни был хорош HP VirtualVault, он не может быть массовым продуктом, поскольку ориентирован на крупные корпоративные системы. Для тех, кто работает под Windows, существует второй продукт фортификационной направленности — HP WebEnforcer. Для сравнения, цена (в Соединенных Штатах) VirtualVault составляет 15 тыс. долл., WebEnforcer в расчете на один сервер — всего 3 тыс. долл. HP в данном случае выступает в довольно необычной для себя роли: компания выполняет, пользуясь автомобильной терминологией, «тюнинг», или настройку безопасности. Благодаря такой доработке операционные системы Windows NT и Windows 2000 приобретают более высокую степень защищенности от проникновений и устойчивость к атакам. Существует такая услуга, как подписка HP Security Update Subscription Service, гарантирующая, что Webenforcer, подобно антивирусному ПО, будет постоянно поддерживаться и обновляться.

Поделитесь материалом с коллегами и друзьями