Решения для защиты систем на платформе IBM
По материалам корпорации IBM (http://www.ibm.com/ru).
Интернет и технологии электронной коммерции привели к появлению совершенно новых сфер бизнеса. К сожалению, они одновременно открыли дверь для атак на информационные системы компаний. Эти атаки могут привести к существенным нарушениям в работе бизнеса, следствием которых могут стать финансовые потери, утрата конкурентных преимуществ и даже уголовное преследование. Учитывая высокую степень риска, компании тратят значительную долю своего ИТ-бюджета на защиту информационных активов от реальной угрозы атак на систему безопасности.
Множество самых разнообразных угроз и сложность современных информационных сетей делают создание эффективной инфраструктуры защиты весьма непростой задачей. Ее решение подразумевает выбор, интеграцию, развертывание и управление несколькими разными компонентами защиты от разных поставщиков. Этот процесс требует опыта и знаний в специализированных областях, а также значительных ресурсов.
Многие организации, особенно предприятия малого и среднего бизнеса (SMB), просто не располагают достаточными ресурсами и знаниями в сфере информационной безопасности. В результате им требуется партнер, который помог бы проектировать, развертывать и управлять эффективной инфраструктурой защиты, состоящей из современных компонентов и интегрированной на базе устойчивого фундамента, причем все это по доступной цене.
Сегодня многие компании переходят на ОС Linux, чтобы использовать те преимущества, которые предлагает ОС с открытым исходным кодом по сравнению с патентованными ОС. Не последнее из этих преимуществ — более низкая цена. По данным самых разных исследований, популярность операционной среды Linux растет самыми быстрыми темпами. Однако компаниям, переходящим на Linux, необходимо надежное решение защиты для этой ОС.
IBM, стремясь укрепить свои позиции в сфере решений для Linux (см. "IBM и Linux", "BYTE/Россия" № 8'2004, с. 23) и работая совместно с другими компаниями, создала законченный пакет продуктов и услуг в области обеспечения безопасности на базе Linux, который поможет предприятиям решить эту проблему.
Реальная угроза
Компании сегодня сталкиваются с растущим числом атак на системы защиты. Разнообразные угрозы безопасности информационных систем приводят к появлению целого ряда бизнес-рисков, включая следующие:
- потеря выручки;
- потеря заказчиков;
- потеря материальных активов;
- утрата интеллектуальной собственности (включая информацию о заказчиках);
- потеря данных и исходного кода;
- нарушение конфиденциальности данных о заказчиках, партнерах и сотрудниках;
- нарушение внутрикорпоративных коммуникаций;
- прерывание внутренних/внешних операций;
- ущерб, нанесенный брэндам и товарным знакам.
По оценке Торговой палаты США, ущерб, понесенный компаниями в результате утери интеллектуальной собственности и внутренней информации за период с 1 июля 2000 г. по 20 июня 2001 г., составляет от 53 до 59 млрд долл. Эти потери понесли не только крупные компании. Согласно исследованию, проведенному журналом Information Security, от ущерба, связанного с проблемами обеспечения безопасности, пострадали 49% малых и 70% средних предприятий.
Источники угроз находятся как за пределами компании (хакеры, конкуренты), так и внутри нее (недовольные сотрудники). Главным источником атак на системы защиты считают Интернет, что подтверждается удвоением числа Web-атак почти каждый год. Однако наряду с угрозами из Интернета наибольшее количество угроз для системы защиты исходит изнутри самой компании.
Проблема обеспечения безопасности особенно остро стоит перед предприятиями малого и среднего бизнеса, поскольку многие из них могут выделить на защиту информации весьма ограниченный объем ресурсов. Однако, ввиду особой важности этой проблемы, предприятия SMB вынуждены все же инвестировать значительные средства в обеспечение безопасности. Фактически удельные (в расчете на одного пользователя и одну систему) расходы этих предприятий на усовершенствование инфраструктуры защиты превышают аналогичные показатели крупных компаний.
Проблемы обеспечения безопасности
Учитывая разнообразие угроз и сложность современных сетей, реализация решения для защиты требует глубоких знаний и опыта в целом ряде узкоспециализированных дисциплин. В число распространенных угроз входит умышленное использование опасного программного кода (вирусов, червей, троянских программ), а также атаки типа DoS (отказ в обслуживании). К ним также относится злонамеренное получение доступа хакерами и кража конфиденциальной информации конкурентами. Дополнительные угрозы могут возникнуть со стороны внутренних пользователей, которые, ко всеобщему удивлению, ответственны за большинство брешей в системе защиты.
Существует пять ключевых элементов (задач) обеспечения безопасности, которые должны найти свое отражение в инфраструктуре защиты.
Управление жизненным циклом идентичности связано с созданием, изменением
и удалением всего диапазона идентификаторов и паролей пользователей, которые
необходимы для эксплуатации многочисленных приложений, развернутых на различных
платформах и серверах. Информация об идентичности пользователей образует фундамент
системы защиты.
Управление доступом представляет собой централизованный механизм, предназначенный
для администрирования аутентификации пользователей и правил, которые контролируют
доступ пользователей к ресурсам на основе информации об их (пользователей) идентичности.
Ценные "побочные" продукты такого гетерогенного управления -механизм единой
регистрации и более быстрое предоставление доступа к защищенным внутренним приложениям.
Управление угрозами обеспечивает идентификацию реальных угроз системе
защиты, защищает от атак и уменьшает риск реализации угроз и их влияние. Сюда
относится и анализ уязвимости, помогающий обнаружить слабые звенья в системе
защиты. Кроме того, управление угрозами включает обнаружение вторжений, что
позволяет автоматически идентифицировать и сообщить о таких подозрительных операциях,
как несанкционированные попытки пользователя войти в систему или попытки известного
пользователя получить доступ к тем ресурсам, для работы с которыми у него нет
авторизации. Управление угрозами также предусматривает предотвращение вторжений,
помогающее обнаружить и изолировать опасный программный код еще до того, как
он нанесет ущерб. Этот элемент обеспечивает автоматическое восстановление в
ситуациях, когда ущерб все же нанесен.
Управление конфиденциальностью обеспечивает централизацию средств, предназначенных
для определения, мониторинга и реализации правил конфиденциальности в рамках
всего предприятия с целью защиты не подлежащей разглашению информации о заказчиках,
сотрудниках, бизнес-партнерах и поставщиках. Этот элемент гарантирует неразглашение
конфиденциальных данных, обеспечивая защиту информации во всех точках доступа
к ИТ-системам.
Ведение контрольных журналов и мониторинг отвечает за сбор необходимой
информации в форме журналов и сообщений, которые затем применяются пользователями
и программами для отслеживания угроз, совершенствования и управления системами
защиты информации. В некоторых областях, например, в здравоохранении, ведение
контрольных журналов — обязательное условие (согласно законодательству, регулирующему
вопросы конфиденциальности).
Надежность системы безопасности в целом определяется ее самым слабым звеном. Вот почему должна быть организована надежная сквозная защита для всех точек доступа, на всем пути движения информации от пользователя к серверу и обратно, на всех системных уровнях — серверном, транспортном, сетевом и прикладном.
На уровне сервера должны быть интегрированы средства защиты, его ОС не должна иметь уязвимых мест (разрывов в защите). В случае обнаружения уязвимостей их необходимо немедленно ликвидировать, установив соответствующие обновления. Безопасность на транспортном уровне требует защиты информации от несанкционированного доступа с помощью соответствующих средств, например, шифрования. Безопасность на сетевом уровне должна гарантировать отсутствие уязвимых мест в телекоммуникационном оборудовании.
В настоящее время не существует системы безопасности, которая обеспечивала бы 100%-ную защиту. Вот почему компаниям требуется механизм, который позволит минимизировать ущерб, вызванный возникновением бреши в такой системе. Это требует быстрого восстановления потерянных данных и организации онлайнового доступа к ним; все такие задачи решаются с помощью резервирования и восстановления данных.
Действенные меры защиты не должны затруднять работу пользователей. Например, их следует освободить от необходимости отдельно регистрироваться на каждом ресурсе, используя при этом разные пароли. Кроме того, процесс регистрации не должен сопровождаться длительными задержками при получении доступа.
Создание полноценной инфраструктуры защиты
Для реализации перечисленных выше элементов обеспечения безопасности необходимо
создать полноценную инфраструктуру защиты (см. таблицу), в которую входят следующие
компоненты.
Компонент инфра-структуры защиты |
Элемент безопасности
|
||||
Управление жизненным циклом идентичности | Управление доступом | Управление угрозами | Управление конфиден-циальностью | Ведение контрольных журналов и мониторинг | |
Управление защитой | + | + | + | + | + |
Межсетевой экран | + | + | + | ||
Виртуальная частная сеть | + | + | |||
Антивирусная защита | + | + | |||
Система обнаружения вторжений | + | + | + | + | + |
Аутентификация | + | ||||
Шифрование | + |
Межсетевой экран. Запрещает доступ неавторизованным пользователям Интернета
к внутренней сети компании, разрешая его авторизованным пользователям. Кроме
того, межсетевые экраны позволяют изолировать некоторые элементы внутренней
ИТ-среды, например, исследовательские лаборатории, от остальных пользователей
компании.
Виртуальная частная сеть (VPN). Обеспечивает безопасный доступ к конфиденциальным
ресурсам и защищает информацию, передаваемую по общедоступным и частным сетям.
Прежде чем войти в VPN, пользователи должны пройти процедуру аутентификации.
VPN выполняет шифрование передаваемых конфиденциальных данных с целью их защиты
от несанкционированного доступа.
Антивирусная защита. Антивирусное ПО обеспечивает обнаружение, локализацию
и, если возможно, восстановление информации, зараженной известными вирусами,
червями и троянскими программами, еще до того, как они нанесут ущерб системе.
Обнаружение вторжений. Системы обнаружения вторжений (IDS, intrusion
detection system) обеспечивают защиту всех сетей путем мониторинга и анализа
сетевого трафика, уведомляя администраторов в случае обнаружения подозрительных
операций.
Аутентификация и контроль доступа. Аутентификация гарантирует, что пользователь
или приложение, пытающиеся получить доступ к ресурсу, именно те, за кого себя
выдают, и что требуемый ИТ-ресурс — это действительно тот самый ресурс. Контроль
доступа гарантирует, что пользователи получат доступ только к тем ресурсам,
для которых у них имеется авторизация, включая ограничение доступа к "нежелательным"
Web-сайтам.
Шифрование. Обеспечивает шифрование конфиденциальных данных — хранящихся
или передаваемых по сети — с целью предотвращения доступа к ним со стороны неавторизованных
пользователей и программ.
Управление защитой. Предоставляет средства для интеграции и управления
компонентами системы защиты. Система должна включать централизованные, удобные
в использовании инструменты, предназначенные для управления всеми ее элементами
как единым целым.
Поскольку для разработки каждого из этих инфраструктурных компонентов требуются
специальные знания и опыт, вряд ли какой-то поставщик сможет в одиночку создать
полноценное решение в области обеспечения безопасности, которое включало бы
все необходимые компоненты. Надежная защита требует интеграции большого числа
оптимизированных продуктов, разработанных различными компаниями, в рамках единой,
крепко спаянной и управляемой инфраструктуры обеспечения безопасности. Решение
этой задачи осложняется тем, что существует большое количество компонентов защиты,
и это количество постоянно растет по мере того, как существующие разработчики
предлагают новые продукты, а новые поставщики выходят на рынок. Вот почему столь
важно, чтобы инфраструктура защиты поддерживала отраслевые стандарты, такие,
как Check Point Open Platform for Security (OPSEC), Posix, Linux Standard Base
(LSB), Secure Sockets Layer (SSL), IP Security Protocol (IPSEC) и Advanced Encryption
Standard (AES), что позволит компаниям выбирать из всего многообразия оптимальные
решения.
IBM xSeries + Linux — фундамент инфраструктуры защиты
Серверы IBM xSeries, работающие под управлением Linux, могут послужить оптимальным фундаментом для построения полноценной инфраструктуры в сфере ИТ-безопасности по нескольким причинам. Во-первых, серверы xSeries обладают целым рядом собственных функций защиты. Во-вторых, Linux — это система с открытым исходным кодом, ее поддерживает огромное сообщество разработчиков во всем мире. Эти разработчики непрерывно тестируют и совершенствуют уже достаточно эффективные средства защиты ОС Linux.
Компания IBM и ее партнеры предлагают широкий диапазон программных продуктов для обеспечения безопасности, которые можно устанавливать на серверах xSeries, работающих под управлением Linux. Кроме того, эта платформа поддерживает популярные отраслевые стандарты, что позволяет добавлять избранные решения защиты от сторонних поставщиков, включая ПО и устройства, расширяющие функциональность предложений IBM и ее партнеров.
В дополнение к этому IBM и партнеры компании предлагают целый ряд консультационных услуг и услуг в области управления, помогая заказчикам реализовать законченные решения для защиты.
Функции защиты в серверах xSeries
Серверы IBM xSeries могут стать экономически эффективным решением для создания фундамента инфраструктуры защиты. В этих серверах реализованы следующие функции безопасности.
Самодиагностика. Серверы способны самостоятельно диагностировать свое
состояние, предупреждая ИТ-персонал о потенциальных проблемах. Благодаря этому
специалисты могут устранить проблемы до того, как они приведут к прерыванию
обслуживания.
Автоматическое восстановление. Серверы способны самостоятельно обнаруживать
сбои аппаратных и программно-аппаратных средств и ограничивать эффект этих сбоев
в определенных пределах. За счет этого серверы могут восстанавливать свою работу
после отказов, минимально влияя (или вообще не влияя) на работу ОС и обработку
пользовательских рабочих нагрузок.
Управление конфигурацией. Средства управления конфигурацией управляющего
системного ПО IBM Director помогают предотвратить доступ неавторизованных пользователей,
которые пытаются внести изменения в конфигурацию с целью создания точки входа.
Средства IBM Director поддерживаются аппаратными функциями серверов xSeries.
Безопасное дистанционное администрирование и мониторинг. Администраторы
могут управлять серверами, отслеживать их состояние и операции практически из
любой точки в любое удобное время, используя для этого безопасное соединение,
защищенное от несанкционированного доступа.
Автоматическая поддержка. IBM Director предлагает автоматические, управляемые
на основе правил средства, которые предотвращают доступ в систему неавторизованных
пользователей, обнаруживших оставленную без присмотра консоль сервера xSeries.
Средства защиты в ОС Linux
Сообщество open source создало широкий диапазон инструментов защиты с открытым исходным кодом, совместимых с Linux. При обнаружении брешей в защите ОС создаются исправления. А учитывая огромное количество специалистов, работающих над решением проблем, эти исправления появляются в среднем гораздо быстрее, чем в случае патентованной ОС, состояние которой зависит от команды разработчиков поставщика этой ОС.
Кроме того, открытый исходный код позволяет компаниям самостоятельно разрабатывать программные исправления для решения собственных проблем, связанных с защитой Linux, а не ждать, пока такое исправление будет предоставлено владельцем ОС.
С декабря 2000 г. Агентство национальной безопасности США также стало участвовать в укреплении защиты Linux, приступив к выпуску патчей, отчетов, правил и т. д. для Security-Enhanced Linux. Кроме того, Linux уже получила сертификат Department of Defense (DoD) Defense Information Systems Agency (DISA) Common Operating Environment (COE). COE представляет собой спецификацию в области безопасности и совместимости, поддерживаемую Министерством обороны США (DoD), которая признается всеми государственными организациями США в качестве важнейшего компьютерного стандарта.
В настоящее время для Linux предлагается широкий спектр инструментов защиты с открытым исходным кодом, которые решают следующие задачи.
Обнаружение вторжений. Snort — это система обнаружения сетевых вторжений
с открытым исходным кодом, которая выполняет анализ трафика в реальном времени
и пакетную регистрацию данных в IP-сетях. Кроме того, это решение ведет анализ
протоколов и поиск/сопоставление контента, его можно использовать для обнаружения
целого ряда атак и методов зондирования, включая переполнение буфера, скрытое
сканирование портов, CGI-атаки, SMB-зондирование, опознание удаленной ОС (OS
fingerprinting) и т. д.
Шифрование. Open SSL — полнофункциональный инструментарий коммерческого
уровня с открытым исходным кодом, который отлично дополняет протоколы SSL и
TLS (Transport Layer Security), а также предлагает полноценную универсальную
криптографическую библиотеку.
Аутентификация. В число инструментов аутентификации с открытым исходным
кодом входят такие средства, как Open SSH, Pluggable Authentication Module (PAM)
и Kerberos.
Open SSH представляет собой бесплатную версию набора протоколов SSH для инструментов связности сети. Это средство обеспечивает шифрование всего трафика (включая пароли), помогая нейтрализовать атаки, связанные с прослушиванием, "захват" соединений и другие атаки на уровне сети. Кроме того, Open SSH предлагает множество средств для безопасного туннелирования и разнообразные методы аутентификации.
PAM — это новая стандартная интегрированная оболочка для входа в систему (регистрации). Ее можно встраивать в различные службы, поддерживающие регистрацию пользователей. PAM обеспечивает использование при входе в систему механизмов аутентификации, например, RSA, DCE и Kerberos. Кроме того, оболочка PAM интегрируется со средствами аутентификации по смарт-карте.
Kerberos — это сетевой протокол аутентификации, который выполняет надежную аутентификацию для приложений клиент-сервер с помощью криптографии (шифрования) с секретным ключом. Существует бесплатная реализация этого протокола; кроме того, Kerberos используется во многих коммерческих продуктах.
Восстановление. Средство Advanced Maryland Automated Network Disk Archiver
(AMANDA) поддерживает функции резервирования и восстановления.
Компании, продающие дистрибутивы Linux, например, Red Hat и UnitedLinux, предлагают свои продукты вместе с интегрированными в них инструментами защиты с открытым исходным кодом. IBM тесно сотрудничает с ними в решении задачи интеграции их дистрибутивов Linux с серверами xSeries, помогая обеспечить быстрое и удобное развертывание.
Создание инфраструктуры
Интегрированную инфраструктуру защиты на основе серверов xSeries и ОС Linux IBM и партнеры компании дополняют широким диапазоном консультационных и управленческих услуг, которые помогают развернуть законченные бизнес-решения.
Решения IBM Tivoli Security Management (TSM) позволяют создать законченную среду управления защитой, которая полностью поддерживается службами IBM. Помимо предоставления целого ряда служб защиты, эти продукты поддерживают интеграцию всех компонентов решения защиты, включая ПО внешних поставщиков. C помощью IBM TSM заказчики могут управлять разными средствами защиты инфраструктуры как единым целым, используя при этом собственные правила в области безопасности.
IBM Tivoli Security Management состоит из следующих компонентов.
IBM Tivoli Identity Manager — защищенное автоматическое решение для
управления идентичностью на основе правил, которое позволяет координировать
создание счетов пользователей, работу потока операций по автоматизации процесса
утверждения и предоставление ресурсов.
IBM Tivoli Access Manager — решение для администрирования и реализации
доступа на основе правил. Access Manager предоставляет защищенные элементы,
которые поддерживают функцию единой регистрации для корпоративных приложений
и решений электронного бизнеса, обеспечивают расширенный контроль доступа для
реализаций WebSphere MQ и помогают администраторам Linux организовать ведение
контрольных журналов.
IBM Tivoli Risk Manager — интегрированное решение для управления рисками
электронного бизнеса, основанное на программной оболочке Tivoli Framework. С
его помощью компании могут централизованно отслеживать атаки, угрозы и уязвимые
места, сопоставляя тревожные сообщения, поступающие из различных точек системы
защиты.
IBM Directory Integrator — обеспечивает синхронизацию (в реальном времени)
источников данных об идентичности, что позволяет создать авторитетную, современную
инфраструктуру данных идентичности, которую могут использовать критически важные
для бизнеса приложения защиты.
IBM Directory Server — предлагает эффективную инфраструктуру на основе
протокола LDAP, которая может служить фундаментом для развертывания полнофункциональных
приложений для управления идентичностью и усовершенствованных программных архитектур.
IBM Tivoli Storage Manager — решение для резервирования и восстановления,
которое включает разнообразные средства защиты данных ERP-системы, электронной
почты и баз данных. Кроме того, это решение содержит функции для планирования
восстановления после аварии.
Помимо собственных решений компании, целый ряд бизнес-партнеров IBM (в частности, Check Point Software Technologies, Rocksteady Networks, Sourcefire, Stonesoft, Trend Micro, Trustix) предлагает широкий спектр средств защиты для операционной среды Linux и серверов eServer xSeries.
В целом, используя компоненты защиты и услуги по их внедрению и применению, предоставленные IBM и ее бизнес-партнерами, предприятия могут построить полноценную и экономически эффективную инфраструктуру защиты, которая способна решить все пять ключевых задач обеспечения безопасности в среде Linux.