Защищенная платформа для Web-приложений

Межсетевые экраны, системы обнаружения атак, сканеры для выявления уязвимостей узлов сети, операционных систем и СУБД, фильтры пакетов на маршрутизаторах — достаточно ли всего этого арсенала для обеспечения информационной безопасности различных критически важных систем, работающих в Internet? Практика показывает, что нет.

В отличие от корпоративных сетей, подключенных к Internet, где обычные средства безопасности решают проблемы защиты внутренних сегментов сети от злоумышленников, системы электронной коммерции и системы предоставления услуг пользователям Internet предъявляют повышенные требования в плане обеспечения информационной безопасности.

Защита внутренних информационных ресурсов

Использование Internet в коммерческой деятельности связано с немалым риском оставить без надлежащей защиты приложения и информационные ресурсы: базы данных, файлы, ПО и т.п. Атакам могут подвергаться как приложения, запускаемые Web-сервером, так и сама ОС. Опыт показывает недостаточную способность широко используемых коммерческих операционных систем UNIX и NT противостоять атакам — описания различных инцидентов, связанных со «взломом» OC и список обнаруженных уязвимостей регулярно публикуются на сайте www.cert.org.

Как указано в докладе экспертной комиссии SANS Institute (www.sans.org), одними из десяти наиболее критичных угроз безопасности в Internet являются уязвимости CGI-программ и приложений, выполняемых Web-серверами. Там же приводятся советы и способы устранения этих уязвимостей:

• не запускать Web-сервер от имени пользователя root;
• удалить все непроверенные и небезопасные CGI-скрипты;
• тщательно проверять коды всех рабочих скриптов и писать их в соответствии с требованиями обеспечения информационной безопасности;
• не размещать интерпретаторы скриптов в каталогах вместе с самими скриптами;
• удалить все неиспользуемые CGI-скрипты;
• сконфигурировать Web-сервер и параметры ОС так (используя chroot), чтобы пользователю были бы доступны каталоги, с соответствующими правами доступа, только самого Web-сервера.

Если не соблюдать эти правила, то злоумышленник сможет, используя уязвимости ОС и Web-сервера, получить доступ к файлам на сервере, удаленно выполнять команды на сервере или воспользоваться услугами интерпретатора команд shell. В качестве примера, в таблице 1 приведены два простых CGI-скрипта на языке Perl, которые реализуют эти возможности.

Для противодействия потенциальным атакам, организации внедряют многоуровневые комплексные системы обеспечения информационной безопасности. Например, механизмы аутентификации и криптографические средства позволяют защитить информацию, передаваемую по сети Internet между клиентом и сервером Internet. Однако эти средства не дают полной гарантии целостности самого серверного приложения и его окружения. Приложения электронной коммерции и аренды услуг обычно используют средства операционной системы и предоставляют доступ к внутренним информационным ресурсам организации. Компрометация такого приложения создает все условия для доступа к внутренним критическим ресурсам. Последние примеры таких компрометаций и уязвимостей приложений приведены в сообщении SANS Institute (Alert: Large Criminal Hacker Attack on Windows NTE-Banking and E-Commerce Sites, Posted: 15:00 March 8, 2001 www.sans.org/network/alerts/NTE-bank.htm). В сообщении указывается, что в результате таких действий уже похищено более миллиона номеров кредитных карт.

Межсетевые экраны и фильтрующие маршрутизаторы, которые широко используются во многих организациях для защиты внутренних сетей от атак из Сети, не достаточно эффективны для приложений, обеспечивающих доступ к Internet-транзакциям и динамически формирующих информацию для браузера пользователя. Межсетевые экраны предоставляют достаточно надежную защиту для стандартных Internet-служб: SMTP, FTP и HTTP. Однако они предназначены для контроля трафика между сегментами внутренней сети организации и узлами внешних глобальных сетей общего пользования. Межсетевые экраны не предназначены для запуска бизнес-приложений, предоставляющих доступ к внутренним информационным ресурсам организации. Обычно такие Internet-приложения выполняются на узле, расположенном в «демилитаризованной» зоне межсетевого экрана и предоставляют доступ к внутренним информационным ресурсам через стандартный Web-интерфейс.

Увеличение риска, при применении таких систем, связано с тем, что Web-сервер должен взаимодействовать с внутренними информационными ресурсами организации для динамического формирования информации, предоставляемой браузеру клиента. Для этого администратор безопасности должен специальным образом настроить межсетевой экран (открыть соответствующий порт и предоставить возможность Web-серверу из демилитаризованной зоны обращаться к другому внутреннему сегменту, где находится узел, например, с требуемой СУБД). В этом случае межсетевой экран только обеспечивает возможность доступа приложений, запускаемых Web-сервером к внутренним информационным ресурсам, но не защищает эти ресурсы.

Таким образом, защита внутренних информационных ресурсов, обеспечиваемая межсетевыми экранами, не является эффективной и действенной против атак, которые осуществляются от имени скомпрометированных Web-серверов и/или «взломанных» операционных систем, под управлением которых они работают.

Как указано в докладе «The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments (National Security Agency, http://www.cs.utah.edu/~sds/inevitability.htm)», необходимость надежно защищенной операционной системы неоспорима. Если ОС, под управлением которой работает Web-сервер, уязвима, то неизбежна компрометация платформы для Web-приложений. Ряд компаний создают на базе Linux защищенные версии систем, предназначенных для использования в решениях электронной коммерции и в провайдерских центрах при реализации основных

Internet-служб. Однако защищенная операционная система — это только один из элементов защиты внутренних информационных ресурсов.

Защищенная информационная система

Наш практический опыт, накопленный при выполнении проектов по созданию автоматизированных информационных систем, отвечающих требованиям информационной безопасности показывает, что очень часто защищенной считают систему, в которую входит определенный набор аппаратно-программных средств. На самом деле, степень защищенности информационной системы сильно зависит от конкретных задач, которые она решает и от состояния окружающей среды со всеми ее угрозами. Система защиты должна строиться с учетом наиболее вероятных угроз, в соответствии с разработанной политикой обеспечения информационной безопасности и должна быть многоуровневой: уровень организационных мер, сетевой уровень, уровень рабочих станций и серверов сети. При этом нельзя ограничиваться продуктами защиты только от одного поставщика (Cisco Systems, Check Point, Internet Security Systems, Symantec или Hewlett-Packard), так как получаемое решение в этом случае, неизбежно будет ограниченным.

В некоторых работах по теории информационной безопасности (например, в Специализированном центре защиты информации Санкт-Петербургского государственного технического университета, www.ssl.stu.neva.ru ) делаются попытки ответить на вопрос: что собой представляет защищенная информационная система? Под защищенной системой обработки информации предлагается понимать систему, которая:

• автоматизирует некий процесс обработки конфиденциальной информации по всем его аспектам, связанным с обеспечением безопасности;
• успешно противостоит угрозам безопасности, действующим в определенной среде;
• соответствует требованиям и критериям стандартов по информационной безопасности.

Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на неё заданного множества угроз.

Сегодня имеется достаточно большой спектр коммерческих решений и продуктов по созданию защищенных информационных систем (в том числе и защищенных платформ для Web-приложений), которые в той или иной степени удовлетворяют перечисленным свойствам. Вот только несколько примеров:

• Cobalt Networks (защищенные серверы для реализации Internet-служб);
• IBM (Комплексное решение по защите информационной среды предприятия);
• Hewlett-Packard (Praesidium VirtualVault — защищенная платформа для Web-приложений);
• Microsoft (решения на базе Windows 2000 Advanced Server и Datacenter Server);
• Symantec (Enterprise Security — комплексная стратегия информационной защиты предприятий; Axent Webthority — продукт для безопасного доступа к Web-приложениям и информационному наполнению);
• «Открытые технологии» (ИРБИС — «Интегрированное решение по безопасности информационных систем»).

Для обеспечения информационной безопасности систем, предоставляющих различные услуги пользователям Internet и обеспечивающих доступ к внутренним информационным ресурсам (например, системы электронной коммерции), необходимо обратить внимание на следующие факторы. В таких системах нужно использовать надежно защищенные и соответствующим образом сконфигурированные компоненты ОС, Web-сервера, программы расширения возможностей Web-сервера (скрипты CGI, приложения ISAPI и NSAPI, апплеты и приложения Java) и внутренних СУБД, схем аутентификации и шифрования передаваемой информации. Также необходимо добавить в такие системы дополнительный компонент — сервер приложений, выполняющий роль шлюза (Trusted Gateway Proxy) между Web-сервером и внутренними информационными ресурсами организации. Сегодня, на наш взгляд, наиболее полно перечисленным требованиям удовлетворяет решение VirtualVault.

VirtualVault

HP VirtualVault представляет собой специально разработанную защищенную платформу для Internet-приложений, предоставляющих доступ к внутренним информационным ресурсам предприятия. Защищенное ядро ОС VirtualVault предоставляет таким приложениям среду выполнения, уровень защиты которой значительно выше, чем у стандартных клонов Unix и Windows NT/2000. Версия VirtualVault 4.0 базируется на операционной системе HP-UX 11.0 и работает на серверах семейства HP 9000 классов A, R, L и N. В состав VirtualVault входят:

• Коммерческая версия защищенной операционной системы HP-UX, удовлетворяющая классу безопасности B1.
• Интегрированный с операционной системой Web-сервер Netscape Enterprise Server.
• Разделенная среда выполнения приложений с высоким уровнем защиты, которая включает в себя доверительное промежуточное программное обеспечение для CGI-скриптов, апплетов и приложений JAVA, для клиент-серверного взаимодействия по технологии CORBA.
• Модуль SafePassage Snap-in для организации безопасных соединений по протоколу HTTP c такими продуктами, как MS IIS, MS Exchange Server, MS Site Server, Solaris Web Server.

На рис. 2 приведен пример прохождения Internet-транзакций в VirtualVault. Для всех типов таких транзакций (CGI-скрипты, апплеты и сервлеты Java, клиент-серверные взаимодействия по технологии CORBA) существуют соответствующие агенты-посредники (Trusted Gateway Agent, Trusted Gateway Proxy, Cross-boundary IPC).

Например, обычно, когда браузер запрашивает выполнение соответствующего CGI-скрипта, то Web-сервер его выполняет и посылает сформированные данные браузеру. В случае VirtualVault, Web-сервер и CGI-программы функционируют в разных сегментах системы и не могут напрямую взаимодействовать друг с другом. Web-сервер работает во внешнем сегменте и не может непосредственно выполнять внутреннюю CGI-программу. Такое разделение является одним из важных преимуществ по обеспечению информационной безопасности в системе VirtualVault по сравнению с другими перечисленными коммерческими платформами для Web-приложений, а также со свободно распространяемым программным обеспечением на базе Linux и FreeBSD с Web-сервером Apache.

Программный агент-посредник, который обеспечивает механизм взаимодействия между Web-сервером и программами CGI называется в системе VirtualVault TGA — Trusted Gateway Agent и состоит из двух программных компонентов — клиента (tga) и сервера (tgad), работающих, соответственно, во внешнем и внутреннем сегменте системы. Когда Web-сервер во внешнем сегменте получает запрос на выполнение соответствующего CGI-скрипта, то он запускает клиента tga, который устанавливает соединение с сервером tgad. Сервер tgad, работающий во внутреннем сегменте, выполняет соответствующую проверенную и зарегистрированную программу CGI и устанавливает необходимые переменные окружения. Клиент tga передает информацию от браузера серверу tgad. При этом Web-сервер во внешнем сегменте системы полагает, что непосредственно взаимодействует с CGI-программой.

На сегодняшний день, по сравнению с альтернативными продуктами, VirtualVault обеспечивает более высокий уровень информационной безопасности, так как использует защищенную ОС с разделенной средой выполнения приложений и с промежуточным ПО для доступа к внутренним информационным ресурсам. В качестве недостатков данного продукта можно упомянуть сложность установки, настройки и сопровождения.