Библиотека Интернет Индустрии I2R.ru

Защитить корпоративную сеть день ото дня становится все сложнее. Службы, прежде централизованные и доступные только ограниченному кругу пользователей внутри организации, теперь зачастую оказываются децентрализованными и открытыми для “широкой публики”. К своей сетевой аудитории многие компании теперь причисляют не только внутренних пользователей, но и деловых партнеров, а также клиентов, в том числе потенциальных, находящихся вне традиционных границ корпоративной сети.

Задача обеспечения доступа к критически важным корпоративным информационным ресурсам при соблюдении требований к сохранению их конфиденциальности, целостности и готовности порой выглядит просто устрашающе. Первыми шагами в ее решении должно стать разбиение сети на сегменты и внедрение технологий контроля доступа.

Эшелонированная оборона

Концепция многоуровневой системы безопасности состоит в наращивании числа “линий обороны” с целью повышения степени защищенности охраняемого объекта. Такая система защиты многократно увеличивает затраты, необходимые для проведения атаки. Она воздвигает множество препятствий на пути взломщика к вашим информационным ресурсам, и, чем дальше он пытается проникнуть в вашу сеть, тем труднее ему это дается. Эшелонированная оборона предотвращает как прямые атаки на критически важные системы, так и попытки “прощупывания” вашей сети. Кроме того, данная концепция предусматривает создание зон, наиболее подходящих для применения технологий обнаружения вторжения. В конечном счете многоуровневая система защиты обеспечивает вам временной резерв, необходимый для обнаружения “бреши” и ее устранения, тем самым сводя к минимуму возможный ущерб.

В ряде случаев для реализации эшелонированной обороны можно обойтись без многочисленных инвестиций в оборудование. Так, большинство фирм — поставщиков маршрутизаторов и коммутаторов снабжают свои продукты средствами управления доступом. И хотя многие специалисты по сетевой безопасности не советуют при управлении Интернет-соединениями целиком и полностью полагаться на механизмы VLAN (Virtual LAN) и ACL (Access-Control Lists), в качестве средств контроля внутренних соединений они весьма полезны. Главное, чтобы их реализация соответствовала допускаемой вами степени делового риска и чтобы были обеспечены их мониторинг и сопровождение.

Классификация доменов безопасности

Для внедрения в вашу корпоративную сеть того или иного средства управления доступом, например межсетевого экрана (МЭ), вы сначала должны определить границы между защищаемыми областями в ней. Сетевой домен безопасности (Network-Security Domain) — это область сети, в которой действует единая политика безопасности (Security Policy). Большинство компаний начинают заниматься определением доменов безопасности только тогда, когда подсоединяются к Интернет. Однако современная модель ведения бизнеса требует наличия связей — как логических, так и физических — не только между корпоративной сетью и Интернет, но также между корпоративной сетью и сетями ваших деловых партнеров, поставщиков услуг и клиентов.

Простая, двухдоменная модель сетевой безопасности не отражает всей сложности реальных связей между перечисленными сетями. С точки зрения безопасности различия между ними куда сложнее, чем между понятиями “внутренний” и “не внутренний”. При такой схеме к какой категории вы отнесете extranet-соединения с вашими деловыми партнерами? А как быть с сетями и системами, хранящими и обрабатывающими конфиденциальную информацию, например данные кадрового состава компании?

Очевидно, что разным сетям требуются и разные уровни обеспечения безопасности. Еще больше усложняет дело ситуация, когда сеть, где циркулируют конфиденциальные сведения, начинает обслуживать большую аудиторию пользователей. Например, может возникнуть необходимость создания в сети отдела кадров Web-узла “самообслуживания”, который позволял бы сотрудникам компании просматривать цифры, касающиеся накопленных ими сверхурочных работ, или изменять свои персональные данные, например сведения о получателях страховых премий или почтовые адреса.

После того как вы определите домены безопасности внутри вашей корпоративной сети, надлежит детально изучить все аспекты их взаимодействия, включая маршрутизацию трафика и режим доступа. Для реализации политики безопасности на границе между доменами могут использоваться средства контроля доступа, а для выявления атак и прочей неправомочной деятельности — системы обнаружения вторжений. Наконец, необходимо выбрать надежный способ защиты критически важных данных с сохранением доступа к ним уполномоченного на то персонала.

Важнейшим элементом инфраструктуры сетевой безопасности, нашедшим свое место в решениях Интернет-хостинга, стала так называемая демилитаризованная зона (demilitarized zone), или сокращенно ДМЗ. Она может использоваться для защиты критически важных информационных ресурсов как внутри ЛВС, так и службами Интернет и extranet, обеспечивая дополнительный уровень управления и безопасности.

Что такое ДМЗТермин “демилитаризованная зона” в мир ИТ пришел от военных, которые употребляют его для обозначения районов, где запрещены подготовка и проведение боевых действий. В информационно-технологической области термином ДМЗ сначала обозначали сетевой сегмент, расположенный между внешним интерфейсом МЭ и внутренним интерфейсом внешнего маршрутизатора (часто служащего для связи с Интернет).

Со временем понятие ДМЗ трансформировалось, и им стали называть изолированные сетевые сегменты, специально выделенные для обслуживания систем, не обладающих статусом “доверенных” (untrusted). Сейчас этот термин профессионалы ИТ чаще всего применяют по отношению к сетевому сегменту, находящемуся между двумя МЭ (так называемая ДМЗ типа “сэндвич” — sandwich DMZ, рис. 2) или же к “тупиковой” (dead-end) сети, подсоединенной к МЭ (рис. 3). Вместо ДМЗ часто также используют термины “служебная сеть” (services network) и “атриум” (atrium).

Но независимо от названия назначение ДМЗ состоит в том, чтобы изолировать внутренние сети, содержащие конфиденциальную информацию, от всех прочих сетей с сохранением возможности предоставления различных сервисов, т. е. в том, чтобы реализовывать многоуровневую стратегию защиты на сетевом уровне. Трафик не должен покидать ДМЗ либо проникать в нее, минуя систему управления доступом.

Правила безопасности вашего МЭ и других систем управления доступом регулируют прохождение трафика через ДМЗ. В противоположность этому трафик Интернет и трафик внутренней корпоративной сети обычно ничем не регулируются.

Основная роль ДМЗ состоит в том, чтобы снизить риск, связанный с предложением различных сервисов клиентам, не обладающим статусом доверенных. ДМЗ обеспечивает безопасность вашей среды хостинга на сетевом уровне, изолируя общедоступные службы хостинга от вашей частной сетевой инфраструктуры.

Например, при осуществлении вами хостинга Web-узла любой человек, вооруженный браузером, может подключиться к нему. Если у вас нет ДМЗ, то, значит, ваши системы хостинга расположены либо за пределами межсетевого экрана (и открыты для пользователей Интернет), либо в вашей внутренней сети. Следование в своей политике безопасности первому варианту оставляет вашу среду Web-хостинга открытой для любых атак. Осуществление второго варианта может привести к нападению на внутренние, куда более важные системы в случае взлома систем Web-хостинга. ДМЗ позволяет защитить ваши Интернет-серверы и обеспечить безопасность критически важных внутренних систем.

ДМЗ также играет свою роль и в защите корпоративных служб. Информация таких служб, как, например, кадровый учет и бухгалтерия, должна быть доступна только строго ограниченному числу сотрудников. С помощью ДМЗ вы можете изолировать эти службы, улучшив таким образом их защищенность.

Внутренняя ДМЗ идеально подойдет для вышеупомянутой интрасети “самообслуживания”. Она позволит вам защитить не только сервер Web-приложений, но и критически важные БД (рис. 4). Достигается это за счет того, что вы разрешаете прохождение к Web-серверу ДМЗ только трафика HTTP/HTTPS, а от Web-сервера ДМЗ к СУБД кадрового учета — только трафика SQLnet.

В большинстве организаций существует убеждение, что межсетевой экран предназначен исключительно для укрепления периметра корпоративной сети. При этом защита внутренних сетей и хостов остается очень слабой. Если в среде, не имеющей ДМЗ, предоставляются услуги Интернет, то взломщику, таким образом, дается возможность “перескакивать” с одного хоста на другой в вашей внутренней сети. Последняя становится “законной добычей” для любого злоумышленника, сумевшего проникнуть через пресловутый “укрепленный” периметр вашей сети. Анализируя все известные на сегодняшний день “дыры” и компоненты уязвимости (exploits), можно с достаточной уверенностью полагать, что брешь в вашем сетевом периметре так или иначе пробьют. Вопрос только когда и каким образом?

Один из возможных подходов к реализации защиты сети состоит в размещении в ДМЗ хостов, не хранящих конфиденциальную информацию, но предоставляющих к ней доступ через модуль-посредник (proxy). Это может осуществляться через прикладной интерфейс, например Web-узел, или посредством реверсивного модуля-посредника (reverse proxy) для соответствующего сетевого протокола, такого, как HTTP или SQLnet. Такая изоляция данных обеспечит дополнительную “линию обороны”, так как проникновение в систему ДМЗ не будет означать немедленного “обнажения” внутренних систем с ценной для сетевых воров деловой информацией. Таким образом, после успешного первоначального взлома перед злоумышленником возникнет дополнительная преграда, которую ему опять предстоит преодолевать. А у вас появится время на то, чтобы отреагировать на нападение, до того как конфиденциальные данные будут похищены.

Укрепляем хосты

ДМЗ обеспечивает основу для реализации дополнительных мер безопасности, подобных укреплению хостов и обнаружению вторжений. Процесс укрепления хоста состоит в конфигурировании его ОС таким образом, чтобы она обеспечивала большую защиту, чем в конфигурации по умолчанию. Реализация мер безопасности на уровне хостов существенно снижает вероятность взлома последних.

Вы, вероятно, не можете потребовать, чтобы все развернутые в вашей организации системы отвечали строгим требованиям безопасности. Однако настоять на соблюдении этих требований в отношении хостов, расположенных в ДМЗ, и критически важных серверов БД вам вполне по силам, так как они составляют лишь небольшое подмножество ваших систем, и, кроме того, общеизвестно, что они подвержены большему риску, чем системы общего назначения. К тому же для управления и поддержания таких высокозащищенных специальных конфигураций ОС требуются относительно небольшие усилия.

Пограничный патруль

Конфигурация ДМЗ, включающая средства обнаружения вторжений, может существенно усилить защиту. Как мы уже говорили, применение ДМЗ дает администратору время для реагирования на нападение, так как средства контроля доступа защищают “подходы” к внутренним системам. Системы, содержащие конфиденциальную информацию, размещены так, что взломщику придется потратить много времени, чтобы, добравшись сначала до ДМЗ, “дотянуться” потом и до них. Применение принципа “затягивание времени” в сочетании с мониторингом и процедурами автоматического реагирования позволит вам обезопасить критически важные для бизнеса системы и данные. Главное — убедиться в правильности настройки систем обнаружения вторжений и в том, что процедуры автоматического реагирования на события однозначно определены и взаимосвязаны.

Ограничение исходящего трафика

ДМЗ позволяет также управлять доступом к Интернет и сетям extranet. Она накладывает ограничения на исходящий трафик хоста ДМЗ, усиливая, таким образом, защиту внутренней сети и предотвращая возможность использования принадлежащих вашей компании систем для проведения последующих атак “от ее имени”. Если ДМЗ пропускает только самый необходимый исходящий трафик, то вероятность того, что какая-либо из этих систем, будучи взломанной, превратится в плацдарм для нападения на другие системы, в том числе не имеющие к вам никакого отношения, заметно снижается.

Ключевой момент в реализации всех преимуществ ДМЗ состоит в понимании того, что она всего лишь одна из составляющих многоуровневой системы безопасности. Польза от ДМЗ может быть еще больше за счет внедрения систем обнаружения вторжений и мер безопасности на уровне хостов. А комбинация с технологиями управления и мониторинга поможет вам существенно снизить риск, связанный с предоставлением широкого доступа к вашим внутрикорпоративным информационным ресурсам.