Средства управления защитой для оператора связи
Галина Большова
Компания Check Point Software выпустила новую систему управления безопасностью, ориентированную на операторов связи, сервис-провайдеров и крупные корпорации
В наши дни Интернет, несмотря на множество связанных с ним рисков и опасностей, играет все большую роль в бизнесе компаний, становясь основной сетевой средой для выполнения внешних и внутренних транзакций. Обмен данными между удаленными офисами, взаимодействие с партнерами, электронная коммерция, оказание различных услуг в онлайновом режиме и многие другие операции делаются привычными и для российских предприятий. В этих условиях разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести бизнесу значительный материальный ущерб. Именно поэтому с каждым днем возрастает и роль средств обеспечения безопасности корпоративных сетей.
Наиболее часто средства защиты размещаются непосредственно в корпоративных сетях. Например, межсетевые экраны (firewalls), контролирующие доступ к ресурсам, отражают атаки злоумышленников извне, а шлюзы виртуальных частных сетей (VPN) обеспечивают конфиденциальную передачу информации через сети общего пользования, в том числе через Интернет. Кроме того, сегодня "серьезные" компании стараются создавать в своих сетях комплексные системы надежной "эшелонированной обороны", используя широкий спектр различных средств безопасности, таких, как системы обнаружения вторжений (Intrusion Detection Systems, IDS), средства контроля доступа по содержимому информации, антивирусные системы и т. п.
Каждая из этих составляющих требует тщательного и достаточно специфического конфигурирования, отражающего взаимосвязи между пользователями и доступными им ресурсами. Квалифицированные специалисты в данной области обходятся недешево, да и найти таковых не так уж просто. Поэтому многие предприятия предпочли бы передать функции управления своими средствами защиты информации сторонней компании, обладающей достаточным уровнем знаний и опыта.
Исполнителями таких работ чаще всего становятся операторы связи, обеспечивающие комплексный сервис – предоставление доступа в Интернет, телефонию, передачу данных и управление безопасностью сети клиента. Такой оператор, предоставляющий также услуги защиты информации, решает все проблемы заказчика, связанные с коммуникациями с внешним миром. Именно он содержит высококвалифицированных и высокооплачиваемых специалистов, которые постоянно отслеживают новые уязвимости и типы атак и своевременно модифицируют политики безопасности всех абонентов.
Ключевой элемент для достижения успеха при оказании услуг защиты информации – применение такой архитектуры управления безопасностью, которая позволит максимально быстро и безболезненно наращивать клиентскую базу при минимизации расходов на персонал и аппаратное обеспечение. К сожалению, большинство существующих в настоящее время систем рассчитано на управление ограниченным количеством точек защиты в рамках одного предприятия. Постоянные изменения политик безопасности, медленные механизмы сбора и обработки отчетности, большие затраты времени на управление политиками отдельных клиентов – таковы типичные проблемы, с которыми сталкивается провайдер информационной безопасности.
Однако недавно компания Check Point Software Technologies (http://www.checkpoint.com),
в течение долгих лет работающая в области информационной безопасности, выпустила
новую систему управления, решающую многие проблемы такого рода и ориентированную
на операторов связи, сервис-провайдеров и крупные корпорации. Сегодня выпускаются
два варианта этой системы. Вариант Provider-1 предназначен для крупных сетей
операторов и компаний, а SiteManager-1 – для провайдеров, обслуживающих предприятия
малого бизнеса. Они различаются прежде всего числом независимых политик безопасности,
хранимых на одном мультидоменном сервере. Кроме того, Provider-1 управляет любыми
точками защиты, а SiteManager-1 работает только с продуктами Small Office и
Module, представляющими собой модификацию системы VPN-1/Firewall-1.
Архитектура управления для множества политик
Provider-1, как и SiteManager-1, объединяет в рамках трехуровневой архитектуры (рис. 1) станцию управления политиками, шлюз безопасности и графический интерфейс управления (GUI). Такая архитектура позволяет работать со множеством политик безопасности одновременно и управлять защитой не только единичного устройства, но и целых групп. Оператор связи, установивший любую из названных систем, может в защищенном режиме задавать отдельный набор правил безопасности для каждого клиента. При этом администратор клиента также получает определенный уровень полномочий, чтобы подстраивать заданные оператором правила в соответствии с потребностями своей компании. Разграничение администрирования выполняется на основе системы ролей. Но при работе с клиентскими системами безопасности приходится учитывать одно ограничение: они должны базироваться также на продуктах компании Check Point.
 |
| Рис. 1. Трехуровневая архитектура для управления множеством политик.
|
Как и другие "серьезные" системы управления безопасностью, новинка Check Point предусматривает автоматизированное управление отчетностью, а также автоматизированное распределение ПО и лицензий на шлюзы безопасности. Кроме того, обеспечивается полное резервирование управления защитой.
Трехуровневая архитектура, состоящая из точек защиты, станции управления и GUI, предоставляет надежное и масштабируемое средство для создания одной политики безопасности и автоматического распределения ее на множество точек защиты. Однако сервис-провайдерам и крупным компаниям требуется управлять не одной политикой безопасности, а множеством разных политик одновременно. Такую возможность обеспечивает мультидоменный сервер (Multi Domain Server, MDS), способный хранить до 500 политик (для Provider-1) или до 100 (для SiteManager-1) на одном компьютере типа Sun SPARC с ОС Solaris. Поскольку MDS-серверы можно каскадировать, для управления оказывается доступно практически неограниченное число политик.
На MDS каждая политика индивидуального клиента хранится в виде так называемого абонентского модуля управления (Customer Management Add-on, CMA), который дает возможность одновременно управлять множеством шлюзов безопасности этого клиента. В состав абонентского модуля входят списки пользователей и объектов, база правил безопасности и журнал (log-файл). Все CMA полностью изолированы друг от друга.
Мультидоменный интерфейс управления GUI (Multi Domain GUI, MDG, рис. 2), упрощающий администрирование множества политик безопасности, предоставляет интуитивно понятные возможности просмотра, редактирования и навигации между политиками (CMA), централизованно хранимыми на MDS. С помощью этого интерфейса один администратор может контролировать правила, объекты и события сотен клиентов одновременно.
 |
| Рис. 2. Мультидоменный графический интерфейс управления.
|
Дополнительно вместе с системой управления поставляется мультидоменный модуль отчетности (Multi Domain Log Module, MLM), который рекомендуется устанавливать на отдельном сервере, чтобы снять с сервера MDS нагрузку по работе отчетами. Такое решение позволяет создавать резервную инфраструктуру отчетности, назначая MLM основным лог-сервером, а MDS – резервным. В случае отказа MLM вся отчетность будет направлена на MDS.
Трехуровневая архитектура включает также и абонентский модуль Customer Log Module (CLM) – лог-сервер, поддерживающий отчетность одного клиента. Его можно разместить на территории клиента, чтобы обеспечить более быстрый и легкий локальный доступ к отчетам, генерируемым системой безопасности данной компании.
Функциональные возможности
Поддержка глобальных политик – важная функция системы управления защитой. По сути глобальные политики представляют собой шаблоны правил безопасности, которые могут применяться к множеству разных политик. Это позволяет не тратить время на создание идентичных политик для разных клиентов и повышает эффективность управления системой.
Ролевое разграничение прав доступа администраторов дает возможность четко определить права и ответственность администраторов безопасности. Интерфейс ПО Manager Administrators обеспечивает удобные и гибкие способы распределения зон ответственности в группе таких администраторов. Так, полномочия могут назначаться в соответствии с принадлежностью к списку администраторов в абонентском модуле управления CMA и разграничиваться внутри одного CMA в соответствии с функциональными задачами исполнителя: безопасность/VPN, мониторинг отчетности, QoS и т. д. Заметим, что клиентам также могут предоставляться различные права управления системой и доступа к некоторым функциям, например, для управления внутренней базой пользователей. При этом в системе предусмотрена возможность детального аудита действий каждого администратора – дата и время его входа в систему и все выполняемые им операции, вплоть до изменения цвета сетевого объекта.
Архитектура построения системы гарантирует постоянную доступность управления (Total Availability Management, TAM) и полную отказоустойчивость инфраструктуры управления безопасностью. В пределах региона или страны может работать несколько сетевых центров управления, а в каждом из них – несколько MDS-серверов, объединенных в единую систему, которая автоматически синхронизирует пользовательскую и административную информацию таким образом, что любой MDS-сервер служит резервным для остальных. Такая разветвленная структура обеспечивает управление в режиме нон-стоп без применения дополнительных программных или аппаратных средств резервирования.
Централизованное автоматизированное обновление ПО и лицензий (SecureUpdate)
– одна из наиболее ценных функций системы защиты. Известно, что для поддержания
максимальной безопасности всегда необходимо иметь самую свежую версию ПО. А
если приходится обслуживать тысячи точек защиты, то задача частого обновления
ПО становится весьма трудоемкой и требует немалого времени. С учетом этого разработчики
Check Point создали специальный инструмент для эффективного управления обновлениями
ПО и лицензий. С его помощью можно одновременно установить новую версию ПО на
всех клиентских точках защиты непосредственно с MDS-сервера, причем без какого-либо
локального администрирования.
Минимальные системные требования Provider-1
| Мультидоменный сервер | Мультидоменный GUI | |
| Платформа | Sun Ultra SPARC | Sun Ultra SPARC, Intel Pentium не ниже 100 МГц |
| Операционная система | Solaris 7 или 8 | Solaris 7 или 8, Windows 2000 или NT |
| Пространство на диске, Мбайт | 120 + 50 на клиента | 50 |
| Объем оперативной памяти, Мбайт | 256 + 40 на клиента | 64 |
***
Системы защиты, созданные на базе продуктов Сheck Point Provider-1 и SiteManager-1, дают операторам связи и сервис-провайдерам возможность решать вопросы безопасности своих клиентов, консолидируя политики безопасности отдельных абонентов в единую структуру централизованного управления, практически не имеющую ограничений для расширения. Эти системы минимизируют затраты на аппаратное обеспечение и персонал. Трехуровневая архитектура обоих продуктов позволяет упростить общий алгоритм политики безопасности путем его разбиения на части, группируемые по географическому, функциональному или иным признакам. Это делает многосвязную задачу управления менее сложной и более прозрачной.