В июне подразделение ProCurve Networking корпорации Hewlett-Packard представило новую концепцию сетевой защиты ProActive Defense, которая стала органичным развитием архитектуры Adaptive EDGE. В ее основе — перенос большинства интеллектуальных функций, обеспечивающих безопасность сети, на граничные сетевые устройства. Об особенностях новой концепции, стратегии Hewlett-Packard в области защиты данных и ее перспективных разработках научному редактору «Сетей» Павлу Иванову рассказал Пол Конгдон, технический директор подразделения ProCurve Networking компании Hewlett-Packard.

Первый вопрос - о концепции ProActive Defense, недавно представленной подразделением ProCurve Networking. Когда она будет воплощена в жизнь?

Некоторые из анонсированных нами возможностей, прежде всего — относящиеся к области управления, будут встроены в готовые приложения к концу года. Для обеспечения поддержки других, например средств шифрования при передаче трафика между коммутаторами или сертификатов безопасности, нужно больше времени - прежде всего, из-за отсутствия необходимых индустриальных стандартов. Думаю, в последнем случае можно говорить о двух-трех годах. В частности, придется дождаться снижения цен до того уровня, при котором соответствующую технологию удастся полностью интегрировать в имеющиеся продукты. Мы не можем себе позволить выпуск дорогих решений, которые, к тому же, сложны в эксплуатации.

Намерена ли ваша компания разрабатывать все компоненты архитектуры ProActive Defense самостоятельно? Или к этому процессу будут привлекаться партнеры?

Создавая свои продукты, мы сотрудничаем с многими партнерами, чтобы получить недостающие «части уравнения». Однако степень этого сотрудничества всякий раз определяется глубиной интеграции технологий и продуктов. В чем-то мы будем активно взаимодействовать с партнерами, а какие-то технологии предстоит приобрести и встроить в наши решения. В любом случае конечный продукт станет уникальной разработкой HP ProCurve Networking, поскольку за интеграцию компонентов отвечает HP.

Большую часть анонсированных функций предстоит реализовать на программном уровне. Однако следует иметь в виду, что речь не в последнюю очередь идет о специализированном ПО, которое функционирует на специальных аппаратных платформах- сетевых процессорах ProVision. Поэтому можно сказать, что многие функции будут реализованы аппаратно.

Планируется ли в этой связи увеличение штата собственных разработчиков?

Наш динамичный рост позволяет сохранять политику постоянного увеличения бюджетов, выделяемых на исследования и разработки. Мы намерены придерживаться этого курса и в дальнейшем, отпуская на разработки примерно 12% совокупного оборота, что близко к среднему показателю по индустрии. Не думаю, что реализация концепции ProActive Defense потребует от компании чрезмерных инвестиций.

Представляя ProActive Defense, Вы упомянули о новых средствах автоматического обнаружения и идентификации сетевых устройств. Идет ли речь о принципиально новом типе управляющего ПО или эта функциональность будет реализована на хорошо известной платформе HP OpenView?

Уже сегодня мы используем OpenView как платформу управления распределенными сетевыми средами, базирующимися на оборудовании разных поставщиков. Управляющее приложение ProCurve Manager предназначено преимущественно для контроля над функционированием устройств ProCurve в сетях меньшего масштаба. В составе OpenView можно встретить и расширенные версии отдельных модулей ProCurve Manager, которые применяются для управления более крупными сетями. Мы продолжим как разработку своими силами отдельных управляющих модулей, так и их интеграцию с платформой OpenView, особенно в области сетевой безопасности.

В своей презентации Вы говорили о технологии, которая показалась мне нетрадиционной: это выявление сетевых уязвимостей при помощи специально написанных вирусов. Они будут генерироваться автоматически или их кто-то станет писать?

Ваш вопрос относится к сфере активного противодействия сетевым и вирусным атакам. Подразделение HP Services предлагает крупнейшим заказчикам услуги, подразумевающие использование этих технологий. Они же активно применяются ИТ-службой самой Hewlett-Packard для управления внутренней сетевой инфраструктурой.

Пол Конгдон: «К партнерству с РАН нас побудило стремление разработать новые методы анализа сетевой активности и пути их более эффективной реализации на уровне специализированных микросхем»

С архитектурной точки зрения речь идет о сети интеллектуальных модулей, которые отвечают за информационную безопасность и осуществляют мониторинг уязвимостей, анонсированных производителями. Напомню об истории с распространением вируса Slammer. Как известно, сначала была опубликована в Internet информация об уязвимости, а уж потом хакеры написали вирус и началась эпидемия. Мы тоже создали соответствующий вирус, однако он, если можно так сказать, является «хорошим»- в отличие от вредоносного ПО.

В HP ProCurve Networking есть команда разработчиков, которые проводят мониторинг интеллектуальных средств безопасности, пишут пакеты «хороших» вирусов и интегрируют их с управляющими приложениями. Алгоритм сводится к сканированию сетевых систем и устройств, выявлению уязвимостей и запуску «хороших» вирусов, которые потенциально могут ими воспользоваться. Если такое происходит, вирус выводит предупреждающее сообщение на административную консоль или предпринимает иные действия, сигнализирующие о выявленной «бреши». А попытка «хорошего» вируса инсталлировать себя при обнаружении уязвимости совершенно безопасна.

Мы сотрудничаем с корпорацией Microsoft, которая периодически сообщает о выявлении брешей в ее операционных системах. Да и вообще, мы активно отслеживаем все события, относящиеся к данной области. Кстати, сообщая об обнаружении очередной уязвимости, Microsoft практически всегда выпускает файл с исправлениями. Наша задача заключается в том, чтобы интегрировать эту информацию в ПО управления файлами исправлений (вроде BigFix) и обезопасить настольные системы.

Насколько мне известно, это уже не первая разработка вашей компании в области средств антивирусной защиты. В феврале прошлого года анонсировано ПО Virus Throttle, подавляющее распространение вирусов в сетевой среде. Появилось ли что-то новое в этом решении за полтора года?

Да, конечно. Новые коммутаторы серий ProCurve 5400 и 3500, основанные на специализированных микросхемах ProVision четвертого поколения, смогут применять технологию Virus Throttle к трафику второго уровня модели OSI. Теперь для выявления необычной сетевой активности уже не нужно активизировать средства маршрутизации. Переход на второй уровень позволяет реализовать технологию Virus Throttle на многочисленных устройствах, расположенных на периферии сети, где средства маршрутизации зачастую вообще отсутствуют. Функция Virus Throttle будет доступна на коммутаторах семейства ProCurve 5400 уже осенью. Кроме того, алгоритмы Virus Throttle теперь встроены в микросхемы ProVision, что значительно повысило эффективность их работы.

Представители крупнейших разработчиков антивирусных приложений в один голос утверждают, что массовые вирусные эпидемии ушли в прошлое. Мол, основные риски в области информационной безопасности теперь связаны со шпионскими, рекламными и другими вредоносными программами. Почему же подразделение HP ProCurve Networking продолжает выпускать новые решения для защиты именно от вирусов?

Действительно, общая тенденция сводится к перемещению основных угроз наверх, на уровень приложений. Наш подход состоит в мониторинге трафика приложений на границе сети и в избирательной переадресации этого трафика на высокоуровневый прикладной шлюз. В качестве примера назову проблему борьбы со спамом, который не имеет отношения к вирусам. Основная сегодняшняя задача- минимизировать объем спама. Наши технологии позволяют уже на границе сети выявить трафик электронной почты и направить его на устройство, на котором функционируют антиспамовые фильтры. Кстати, это устройство не обязательно должно располагаться на периферии сети: путем перемаршрутизации на него трафика электронной почты мы, по сути дела, расширяем интеллектуальную границу сети.

Именно способность анализировать трафик прикладного уровня позволяет быстро адаптироваться к изменению характера угроз. Основная идея состоит в вычленении требуемого трафика и перенаправлении его на специализированное устройство. Правда, я сомневаюсь в том, что о вирусах можно забыть. Выход новой операционной системы или существенное обновление имеющейся ОС обязательно вернет к этой проблеме.

Характерным признаком вирусной эпидемии является необычный рост интенсивности сетевого трафика. Однако существуют вредоносные программы (например, шпионское ПО), которые не порождают нетипичную сетевую активность. Не случится ли так, что через какое-то время решения, основанные на выявлении нештатной сетевой активности, станут неактуальными?

Не думаю. Наша технология позволяет выявлять и анализировать самые разные типы сетевой активности. Подозрительное увеличение интенсивности сетевого трафика, которым сопровождается распространение компьютерных вирусов,- всего лишь один из примеров. Мы можем диагностировать совершенно иные вещи, скажем- последовательность нажимаемых клавиш. Если подключенный к сети компьютер пытается установить обратное соединение, то при наличии брандмауэра на периферии сети мы можем пресечь эту попытку.

Один из наших клиентов, оператор связи, внедряет услуги Tripple Play, в том числе распространения платного видеоконтента средствами многоадресной рассылки по протоколу IP. Он обнаружил, что среди абонентов, покупающих у него видеоконтент, один из подписчиков начал распространять этот контент. Естественно, «вторичные» пользователи оператору ничего не платят. Установив на периферии сети интеллектуальные средства анализа трафика, мы без труда выявили новый источник многоадресной рассылки.

Другими словами, те же самые механизмы, которые сегодня служат для обнаружения вирусов, завтра будут применяться для диагностики других типов нежелательного трафика. Разработанные нами технологии имеют мощный потенциал, поэтому важно отслеживать трансформацию основных источников угроз и своевременно к ним адаптироваться.

Недавно объявлено о начале сотрудничества Hewlett-Packard с Российской академией наук при разработке новых алгоритмов выявления вредоносного ПО. В чем именно будет состоять сотрудничество и не свидетельствует ли оно об определенной неудовлетворенности ProCurve Networking его технологиями, например той же Virus Throttle?

Я бы не сказал, что планируемое сотрудничество обусловлено неудовлетворенностью нынешними технологиями. К партнерству с РАН нас побудило стремление разработать новые методы анализа сетевой активности и пути их более эффективной реализации на уровне специализированных микросхем. Совместно с сотрудниками Российской академии наук мы намерены построить математические модели некоторых типов сетевого поведения, в частности- связанных с распространением шпионских программ. Тем самым мы надеемся расширить круг методов, служащих для выявления аномальной сетевой активности.

Простой пример- счетчик сетевых пакетов. Можно без труда обнаружить рост числа передаваемых пакетов и направление, в котором они отсылаются. А сравнение числа входящих и исходящих пакетов позволяет распознать определенные типы сетевой активности на уровне граничных устройств. Анализ математических моделей, описывающих те или иные разновидности сетевой активности, помогает выявить наиболее эффективные пути их обнаружения.

В одном из недавних выступлений Вы критиковали поставщиков решений для обеспечения сетевой безопасности, продукты которых представляют собой специализированные устройства либо являются чисто программными разработками. В чем, на Ваш взгляд, состоит основной недостаток решений, развертываемых на уровне ядра сети, в то время как на периферии функционируют лишь программные агенты?

Я делаю основной акцент на местоположении в сети интеллектуальных средств защиты. Я не верю, что их размещение в ядре обеспечит необходимые масштабируемость, производительность и прозрачность. Кстати, те же соображения подтолкнули нас к созданию архитектуры Adaptive EDGE. Граница сети - идеальное место для ограничения скорости передачи трафика и маркировки пакетов в соответствии с принятой схемой QoS, по крайней мере - с точки зрения масштабируемости. Правда, такое архитектурное решение порождает проблему управления, поскольку вам приходится следить за конфигурацией сотен граничных устройств. Именно здесь проявляется ценность динамического централизованного управления, которое позволяет выполнять многие процедуры автоматически.

Перенос функций защиты как можно ближе к устройствам конечных пользователей обеспечивает максимальную масштабируемость. В этом случае заказчику не придется приобретать устройства защиты для 10-гигабитной сети. Достаточно ограничиться несколькими продуктами с гигабитными портами.

Но перенос все большего числа интеллектуальных средств защиты на периферию требует адекватного роста производительности граничных сетевых устройств, наращивания встроенных в них вычислительных ресурсов.

Это верно. К счастью, технологический прогресс позволяет реализовать в одном сетевом процессоре гораздо большую вычислительную мощность, чем несколько лет назад, причем без значительного роста себестоимости. Продолжающийся рост числа транзисторов на одной микросхеме делает возможной реализацию дополнительной логики на уровне одного сетевого порта, причем опять-таки без существенного повышения цены. Собственно, основные усилия наших разработчиков сейчас и направлены на поиск способов интеграции новой функциональности в граничные устройства без существенного влияния на их производительность, стоимость и простоту управления.

Напоследок - о дальнейшем развитии семейства сетевых процессоров ProVision. В феврале компания представила модели коммутаторов, основанные на четвертом поколении этих микросхем. Они заметно превзошли предшественников по числу транзисторов, производительности, набору поддерживаемых портов и сетевых протоколов. А какими будут характеристики ProVision пятого поколения?

В процессорах пятого поколения, которые мы сейчас разрабатываем, основной акцент сделан на гибкости и программируемости. Мы уже достигли того соотношения между ценой и производительностью, которое позволяет снабдить сетевым процессором каждый сетевой порт. В результате трафик конкретных приложений теперь может обрабатываться на уровне отдельных портов при сохранении производительности и без повышения стоимости.

Микросхемы ProVision пятого поколения сделают возможными шифрование пакетов и управление ключами на уровне отдельных портов. Дешифровка поступающих пакетов позволяет детально проанализировать их содержимое, а затем применить к ним определенные правила обработки в соответствии с установленными политиками безопасности.

Что же касается чисто технических характеристик, мы, по-видимому, не будем наращивать число портов, поддерживаемых одним процессором. Здесь есть очевидное физическое ограничение - максимальное количество контактов, которые может иметь одна микросхема. Вместо увеличения числа портов мы предпочитаем устанавливать дополнительные сетевые процессоры.

Поделитесь материалом с коллегами и друзьями