Защищенные коммуникации в территориально распределенных компаниях
|
1. Каковы, на ваш взгляд, предпочтительные технологии и конкретные технические решения для организации защищенных соединений в территориально распределенных компаниях масштаба города и области? |
 |
Сергей Романов, к.т.н., технический директор, Computer Mechanics |
1. В настоящее время для создания единой корпоративной мультисервисной сети территориально распределенных компаний используются следующие технологии: выделенные каналы, организация VPN-соединения через Интернет по протоколу IPSec (сюда же можно отнести dial-up соединение точка-точки), услуги сети MPLS оператора связи. Можно также упомянуть о VPN-сети Frame Relay и АТМ. Причем, если технологию АТМ вытеснили наложенные сети MPLS, то Frame Relay до сих пор актуальна в регионах. С точки зрения безопасности организуемых соединений можно выделить ряд способов: использование туннелей, шифрование, разделение потоков, аутентификация и управление доступом. При выборе конкретной технологии нужно учитывать следующие факторы:
- вид передаваемого трафика (данные, голос, видео);
- профиль трафика в течение суток и недели (передаются ли данные только днем или, например, ночью идет резервное копирование и сбор статистики);
- иерархическую организацию площадок компании (один головной офис или структура, состоящая из головного офиса, кустовых узлов и оконечных узлов);
- постоянство занимаемых площадей (собственность или аренда);
- вид площадей (полноценные филиалы, пункты обслуживания клиентов или дата-центры);
- организацию бизнес-процессов компании (как в плане операционной деятельности, так и временные параметры сбора информации и формирования отчетов);
- требования к информационной безопасности;
- общую политику компании (аренда каналов или собственные капитальные вложения).
Хотелось бы обратить внимание на то, что при объединении площадок целесообразно в едином канале передавать данные, голос и видео. Данное решение, во-первых, наиболее экономично, а во-вторых, шифрование канала обеспечивает защиту для голоса и видео.
С точки зрения информационной безопасности стоит говорить об уровне конфиденциальности и ценности передаваемой информации, а также об уровне возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования. Наиболее системный и общий подход состоит в том, что проводится классификация соединяемых территориально распределенных площадок компании по указанным признакам с объединением их в группы. Для каждой группы определяется оптимальный типовой вариант решения с возможностью расширения в будущем. В любом случае общая рекомендация сводится к использованию услуг сети MPLS (все основные операторы дальней связи предлагают услуги сети MPLS, а в тех регионах, где этого нет, надо использовать или выделенные каналы, или Frame Relay) и протокола IPSec. В качестве альтернативы протоколу IPSec для государственных компаний могут выступать отечественные аппаратно-программные разработки на основе гостированного алгоритма шифрования; в противном случае необходимо сертифицировать партию оборудования с поддержкой IPSec.
2. Прежде чем приступить к расчету стоимости владения распределенной инфраструктурой, компания должна рассмотреть вопрос об оптимальности этой распределенности с точки зрения вида бизнеса компании, ее дальнейшего развития и степени угроз. Оптимальная стратегия минимизации издержек сводится к изначальному продумыванию ИТ-стратегии компании “сверху вниз”, т. е. компания должна расписать свои бизнес-процессы, выделив критические для бизнеса, описать и ранжировать основные угрозы (в том числе технологические и террористические). Декомпозиция бизнес-процессов приводит нас на уровень сервисов, которые должны быть гарантированы с указанием степени их готовности. Все это можно охарактеризовать как “анализ воздействия на бизнес”, “планирование непрерывности бизнеса” и “планирование восстановления данных”.
Описанный системный подход может привести к тому, что будет или пересмотрена территориальная распределенность компании, или спланирована другая территориально распределенная структура с определением минимально необходимой ширины полосы каналов между различными площадками. Это позволит уже на начальном этапе построения распределенной сети минимизировать как первоначальные вложения, так и общую стоимость владения (TCO). Отметим важность проработки политики информационной безопасности в самом начале проекта, так как это позволит выбрать оптимальные средства защиты. Причем информационную безопасность необходимо прорабатывать для территориально распределенной компании в целом, а не только для каналов связи. Например, если на одной из площадок используется слабо защищенная сеть Wi-Fi, то вряд ли имеет смысл выбирать дорогостоящее решение для защиты каналов связи.
При выборе конкретных решений заказчикам стоит обратить внимание на следующее: для гарантии качества следует выбирать одного провайдера (отвечать за канал должен один провайдер, иначе будет сложно найти виновного, если параметры канала перестанут соответствовать необходимым), явно оговаривать с ним организацию туннелирования между площадками, использовать услуги сети MPLS и протокол IPSec. Причем MPLS дает очень хороший выигрыш в финансовом аспекте, если ночной трафик существенно меньше дневного, имеется голосовая и видеоконференцсвязь.
 |
Дмитрий Бутмалай, начальник отдела сетей передачи данных департамента системных решений, IBS |
1. Защищенность соединений можно рассматривать с двух точек зрения: обеспечение защиты на технологическом уровне, за счет особенностей технологии (при этом трафик одного пользователя виртуально отделяется от трафика другого пользователя, и в нормальных условиях они не пересекаются) и обеспечение защиты с помощью шифрования трафика.
В некоторых случаях достаточно защиты на технологическом уровне, однако часто используется защита обоих типов. Например, при использовании спутниковых каналов связи злоумышленник может легко перехватить весь трафик, поэтому в данном случае, независимо от используемой технологии, важный трафик необходимо шифровать.
Для организации защищенных соединений применяют несколько способов или технологий. Рассмотрим основные из них (названия и классификация условны).
Организация связи путем аренды выделенных каналов связи (leased line).
При использовании данного способа провайдер предоставляет клиенту выделенный
канал с гарантированной пропускной способностью. Самый простой пример данного
способа соединения – аренда прямого медного провода между офисами компании.
Другие примеры – аренда канала Е1 или использование ISDN-соединения (как правило,
это ISDN BRI). Сюда также можно отнести аренду выделенных оптических каналов
(длин волн) в сетях DWDM, используемых для создания высокоскоростных соединений
с повышенной отказоустойчивостью, например, между крупными центрами обработки
данных компании. Преимущества данного способа – гарантированная полоса пропускания
и низкая задержка; это наилучший способ с точки зрения качества канала. Перехватить
сообщение, передаваемое по такому каналу, можно, только получив непосредственный
физический доступ к канальному оборудованию. К недостаткам данного способа относятся
высокая стоимость, возможность организации только каналов точка-точка, неэффективное
использование канала. Кроме того, в регионах со слаборазвитой инфраструктурой
зачастую просто отсутствует возможность организации такого типа каналов между
удаленными объектами.
L2 VPN – сервис предназначен для соединения локальных сетей на втором
уровне модели OSI (при этом могут использоваться любые протоколы третьего уровня
– IP, IPv6, IPX и т. д.). В данной технологии можно выделить следующие основные
типы.
1) Виртуальные каналы, организуемые с помощью технологий ATM или Frame Relay, – этот способ позиционировался как замена выделенным каналам. При его использовании между точками создается виртуальное соединение, данные при передаче упаковываются в пакеты (или ячейки) и имеют соответствующий номер виртуального канала, предоставляемый оператором. Таким образом, происходит разделение трафика разных клиентов. В России данный способ не получил широкого распространения в связи с тем, что пик развития телекоммуникационной инфраструктуры распределенных компаний в России совпал по времени с началом бурного распространения технологии IP VPN.
2) L2 VPN на основе сервисов Ethernet – при использовании данной технологии оборудование оператора (специализированные Ethernet-коммутаторы) “упаковывают” Ethernet-пакеты, полученные от оборудования клиента, и передают его по “виртуальному каналу” к месту назначения. На базе этой технологии строятся городские сети Metro Ethernet. Основные преимущества такого способа подключения – высокая скорость, поддержание определенного в договоре с оператором связи качества обслуживания, низкая стоимость оборудования. Основной недостаток (скорее даже особенность технологии) – по такому принципу строятся только городские (или областные) сети.
3) L2 VPN на основе сервисов MPLS – как ясно из названия, эта технология использует в качестве базовой IP MPLS. Если не углубляться в детали, то эта технология аналогична предыдущему способу – клиентский Ethernet-пакет “упаковывается” в пакет IP MPLS. По данной технологии строятся как городские, так и территориально распределенные сети.
IP VPN (или L3 VPN). Наибольшее распространение получили два способа
организации каналов связи – когда VPN организует провайдер (MPLS VPN) и когда
VPN организует пользователь (IPSec VPN).
MPLS VPN – данный способ организации соединений основан на протоколе IP. В настоящее время это один из наиболее распространенных способов соединения локальных сетей офисов территориально распределенной организации. Основные преимущества данного способа: простота для клиента (все настройки и подключения выполняет оператор), соединение всех точек по принципу “каждый с каждым”, гарантированное качество обслуживания (высокое качество передачи голоса и изображения), обеспечение защищенности на уровне технологии.
IPSec VPN – наиболее простой и достаточно часто применяемый способ создания защищенной телекоммуникационной инфраструктуры территориально распределенных компаний. Он состоит в том, что оборудование заказчика подключается к сети Интернет (причем провайдеры могут быть разными); между устройствами создаются виртуальные туннели, и оборудование заказчика обеспечивает шифрование всего трафика. Плюсы данного решения – низкая стоимость, независимость от оператора связи. Недостатки – необходимо дополнительное оборудование (или ПО), невозможно обеспечить гарантированное качество обслуживания.
Нередко (а в государственных органах практически всегда) используются оба типа организации защищенной сети: услуги MPLS VPN обеспечивают связь всех узлов и гарантированное качество передачи трафика, а IPSec VPN – дополнительную криптозащиту.
2. В выборе технологий и способа подключения не существует единого универсального решения – все зависит от конкретных тарифов и возможностей операторов связи, объемов передаваемого трафика и его характеристик. Например, наиболее простым и дешевым способом кажется подключение к сети Интернет и организация криптотуннелей IPSec VPN. Однако из-за того, что для оператора связи (не считая затрат на эксплуатацию) Интернет-трафик – платный, а внутренний – бесплатный, чаще всего клиенту выгоднее использовать соединение L2 VPN или MPLS VPN, а подключение к Интернету обеспечить только в одной (центральной) точке – таким образом легко контролировать безопасность и доступ к Интернету. Организация связи путем аренды выделенных каналов связи (leased line) используется корпоративными заказчиками крайне редко из-за высокой стоимости.
Для выбора оптимального решения необходимо оценить требуемую полосу пропускания и объем трафика (по его типам), требования к параметрам канала связи для каждого из типов трафика, требуемую надежность каналов связи, требования по степени защиты для каждого из типов трафика. После этого необходимо сравнить предложения разных операторов и выбрать требуемый вариант подключения.
Общую стратегию снижения издержек для территориально распределенной сети можно описать следующим образом:
- использование современных технологий организации защищенных соединений на базе протокола IP – снижение первоначальных затрат, оплата только реально переданного трафика, возможность учета трафика (прозрачность затрат), низкие затраты и быстрота увеличения пропускной способности каналов при необходимости;
- использование обслуживания разного качества для разных типов трафика;
- шифрование только необходимого трафика (шифрование данных, передаваемых небольшими пакетами, резко увеличивает накладные расходы на передачу).
 |
Дмитрий Сабаев, руководитель отдела мультисервисных сетей, INLINE Technologies |
1. Разобьем задачу построения распределенных корпоративных сетей на различные уровни и выберем оптимальные технологии на каждом из них.
Начнем с решений инфраструктурного уровня и посмотрим на транспортные технологии. Здесь наиболее важными требованиями будут скорость, отказоустойчивость, качество обслуживания, время восстановления и т. д.; отчасти поэтому в качестве инфраструктурного решения для узлов сети лучше остановиться на технологиях Gigabit Ethernet, 10 Gigabit Ethernet и технологиях агрегации EtherChannel. Эти технологии обладают хорошим соотношением цена/качество и позволят заказчику в обозримое время не беспокоиться о пропускной способности. Добавим, что если требуется высокая отказоустойчивость узлов, то целесообразно дублирование оборудования узлов с использованием соответствующих технологий и протоколов.
В инфраструктурный уровень войдет и транспортная сеть оператора связи, где в качестве услуги по организации каналов связи лучше рассмотреть услугу MPLS VPN, которая позволит заказчику платить за реально переданный трафик, а не за выделенный канал. На базе единой структуры MPLS VPN оператора целесообразно организовать собственную сеть из динамических VPN. Это обеспечит (при выполнении требований безопасности) более простое и логичное взаимодействие всех узлов в одном операторском VPN, что существенно облегчит введение новых узлов и их обслуживание.
Конечно, для реализации механизмов отказоустойчивости стоит предусмотреть резервное соединение между узлами через другого оператора связи или через Интернет. Однако следует учесть, что требования к отказоустойчивости, балансированию нагрузки и резервированию в конечном счете приведут к более сложной архитектуре протоколов маршрутизации в корпоративной сети, к большему количеству оборудования и, как следствие, – к более высоким требованиям к обслуживающему персоналу заказчика.
Практически в обязательном порядке добавим в инфраструктурный уровень беспроводные сегменты сети стандарта 802.1g, которые обеспечат пользователям мобильность в офисе компании.
Пойдем дальше и разобьем сеть на логические подсистемы. Начнем, к примеру, с подсистемы безопасности. В эту подсистему войдет достаточно много технологий, среди которых шифрование трафика между узлами на основном и резервном каналах связи; локальное и/или удаленное подключение пользователей к сети с использованием технологии Cisco NAC, которая не даст подключать клиентские машины без установленных патчей ОС или новых антивирусных баз (конечно, это перспективная технология, но непростая при внедрении и эксплуатации); удаленный доступ к ресурсам сети при помощи VPN-соединений как в традиционном виде, так и при помощи SSL VPN; единая система управления подсистемами информационной безопасности и работа с инцидентами нарушений политик безопасности; технологии и решения для защиты беспроводной части сети.
Подсистему корпоративной телефонной связи, без сомнения, сделаем на базе протокола IP. При строительстве распределенных корпоративных сетей это уже скоро можно будет назвать традиционным решением. IP-телефония полностью оправдывает себя при эксплуатации, дальнейшем развитии и интеграции с другими подсистемами. При этом стоит иметь в виду возможность маршрутизации внешнего голосового трафика через пакетную сеть “голосовых” операторов связи для уменьшения стоимости междугородних/международных разговоров. Стоит также отметить ценовую доступность персональных систем видеосвязи, которые очень просто интегрируются с системами IP-телефонии.
Конечно, для единого управления массой подсистем целесообразно использовать системы управления, и выбирать их стоит тщательно, так как вряд ли удастся найти одну систему. Скорее всего, это будет комплекс систем управления для сетевого оборудования, серверных платформ, а в качестве единой надстройки можно использовать, например, решение компании Managed Objects.
2. При создании защищенной телекоммуникационной инфраструктуры всегда стоит соблюдать баланс между желаниями и финансовыми возможностями. Если рассматривать на этом этапе стратегию минимизации издержек, ее стоит разбить на две составляющие: организационную и техническую. Организационная составляющая должна предусматривать ведение проекта по канонам проектной деятельности как со стороны исполнителя, так и со стороны заказчика, начиная от проектирования и заканчивая четко подготовленным внедрением. Это подразумевает создание проектных команд с обеих сторон, что поможет минимизировать возможные проблемы при проектировании и внедрении. Четкая совместная работа таких проектных команд и ориентация на достижение цели существенно снизят издержки и внесут прозрачность при контроле ведения комплексного проекта.
Под технической составляющей стратегии минимизации издержек будем подразумевать создание решений, простых во внедрении и обслуживании, современных, безопасных и обладающих гибкостью при дальнейшем развитии.
Заказчику следует обратить внимание на применение технологий, которые хорошо себя зарекомендовали и для которых массово выпускается оборудование. Стоит избегать технологий и протоколов, поддерживаемых только одним вендором (proprietary protocols), пусть даже это и имеет некоторые плюсы в конкретный момент. Поверьте, в противном случае заказчик неминуемо станет заложником вендорских “штучек”.
Следующий совет – сделать ставку на производителей-лидеров, что поможет избежать проблем при обслуживании. Это начинается с качества проектирования решений и заканчивается сервисом. Неправильно спроектированное решение, возможно, даже станет работать, но вот его развитие будет существенно затруднено аппаратными и программными ограничениями, не учтенными на этапе дизайна. Касаясь сервиса, стоит отметить, что небольшие производители телекоммуникационного оборудования, как правило, не имеют хорошо организованной службы поддержки, да еще и с русскоговорящими инженерами.
Еще один совет заказчикам, как минимизировать издержки при внедрении и обслуживании: уже на этапе проектирования решения наряду с системным интегратором или вендором привлекать (предварительно, естественно, вложив средства в их подготовку) собственных высококвалифицированных специалистов или аутсорсеров. Таким образом, заказчик получит компетентную оценку качества проектируемой инфраструктуры вне зависимости от мнения компании-проектировщика.
 |
Андрей Петухов, директор департамента систем информационной безопасности, “АйТи” |
1. Рациональный выбор организационно-технологических и программных решений для защиты коммуникаций в территориально распределенных информационных системах определяется несколькими факторами: архитектурой и масштабом сети, обрабатываемой в корпоративной сети информацией, используемой линейной и активной аппаратурой и собственно задачами обеспечения безопасности данных.
Все известные эффективные и комплексные подходы так или иначе соотнесены со ставшей уже канонической триадой ААА (authorization, authentication, audit), в рамках которой и реализуются основные направления сетевой безопасности – управление доступом к периметру корпоративной информационной системы, сегментирование информационного пространства, сквозная аутентификация транзакций, мониторинг событий безопасности и т. д.
Не вдаваясь в детали решений для межсетевого экранирования и использования виртуальных частных сетей, можно утверждать, что сегодняшний рынок этих средств способен удовлетворить широкий спектр требований к функциональности, производительности, физическим параметрам, ценовым характеристикам. В качестве вендоров в этом секторе выступают как отечественные производители, так и гиганты зарубежного ИТ-бизнеса. В ряду предлагаемых решений представлен диапазон от почти “игрушечных” устройств для домашнего применения до “монстров”, обрабатывающих информацию самых высоких степеней секретности и сопрягаемых с самыми высокоскоростными каналами.
Общая тенденция рынка – глубокая интеграция различных решений сетевой безопасности в рамках единого конструктива; например, уже стали привычными объединения межсетевого экрана с VPN-хостом или с системой обнаружения сетевых атак. Свежим решением представляется оборудование компании Ranch Networks, которой удалось объединить в корпусе защиту периметра межсетевым экраном, сегментирование внутреннего информационного пространства сети на виртуальные подсети (VLAN) и программно-аппаратную оптимизацию трафика в линейных элементах сети. Перспективным также видится продвижение продуктов немецкой компании Systolan, которые отличаются своими незначительными размерами – производителю удалось поместить полнофункциональный VPN-хост в корпус размером с две сигаретные пачки.
В группе решений для мониторинга отдельного упоминания заслуживают усилия производителей по созданию средств “коррелированного” мониторинга, позволяющего контролировать не только сами события безопасности, но и их соотношение. Отметим также разработку средств отслеживания внутренних угроз – в этом сегменте ассортимент предложений расширяется буквально ежедневно. Разработки в области защиты от внутренних угроз представляются основным направлением развития информационной безопасности, поскольку зачастую эти угрозы реализуются пользователями в рамках легально полученных полномочий, и их невозможно радикально устранить никакими организационно-технологическими приемами. Еще одно интенсивно развивающееся направление – интеллектуально насыщенные методы защиты данных, такие, как уже упомянутый “коррелированный” мониторинг, а также эвристические методы индикации атак и контентной фильтрации. Внимание к этим направлениям объясняется ростом интеллектуального уровня “нарушителя”.
В области криптографии, аутентификации и PKI-решений для защиты информации со степенью секретности “конфиденциально” и выше наблюдается управляемое и планомерное развитие. Что касается коммерческой, инсайдерской и другой информации, то, думается, самое интересное сегодня – это работы по встраиванию отечественных криптоядер в импортные продукты. Так, компания “Демос” успешно имплементировала “КриптоПро CSP” в PKI-комплекс RSA Keon, постоянно циркулируют сведения об успешном “скрещивании” отечественных криптографических продуктов с IBM Lotus Notes.
В заключение хочется еще раз подчеркнуть, что выделить какое-либо из упомянутых решений в качестве наиболее предпочтительного достаточно сложно, так как рациональная защита должна строиться с учетом характеристик информации, параметров информационной системы и уровня различных угроз.
2. Единой стратегии оптимизации издержек при создании защищенной телекоммуникационной территориально распределенной инфраструктуры, подозреваю, на практике не существует. Тем более что комплекс издержек индивидуален для каждой компании. Он включает собственно затраты ресурсов (деньги, люди, техника, помещения и т. д.), снижение эффективности информационной системы, поскольку никогда внедрение средств защиты не увеличивает ее производительность и пропускную способность, и, наконец, остаточные риски, которые полностью устранить не удается.
Тем не менее достичь высокой эффективности инвестиций в развитие системы информационной безопасности, на мой взгляд, можно, если придерживаться нескольких основных принципов. Во-первых, необходима систематическая и комплексная оценка угроз всех видов: внутренних и внешних, случайных и преднамеренных, человеческих и природных и т. п. Обеспечивать защиту, исходя из интуитивных предположений или только из опыта реализованных угроз, – ошибочно. Слабые места в системе должны выявляться не по прецедентам, а на основании комплексного анализа.
Во-вторых, при разработке защищенной телекоммуникационной инфраструктуры следует предусматривать не только количественное, т. е. увеличение масштаба, но и качественное развитие системы. В противном случае вероятен конфликт политик безопасности сегодняшнего дня с решениями для наращивания вычислительных мощностей и, как следствие, дополнительные затраты на модернизацию системы.
Следующий принцип требует адекватности решений. Эффективность системы защиты должна соответствовать объему ресурсов, привлекаемых для ее создания и сопровождения, в том числе учитывать неизбежное снижение характеристик качества самой информационной системы и остаточные риски. Здесь можно рекомендовать сократить число привлекаемых вендоров, чтобы исключить дублирование функций средств защиты.
И наконец, при создании системы безопасности необходимо предусмотреть – как организационно, так и технологически – ситуацию, когда защита окажется бессильной. В этом случае наиболее важна поддержка дальнейшего функционирования компании на период восстановления информационной системы. Соответствующий раздел решений информационной безопасности называют обеспечением непрерывности бизнеса. Наряду с такими многочисленными традиционными способами, как регулярное копирование, резервирование информационных и вычислительных ресурсов, разработка и поддержание плана действий в чрезвычайных обстоятельствах, интересной представляется идея создания специализированных структур управления, так называемых ситуационно-кризисных центров. Они призваны обеспечить функционирование системы в кризисной ситуации, пусть даже в меньших масштабах и с более низкой эффективностью. Такие решения особенно важны для различных структур, связанных с жизнеобеспечением.
 |
Константин Соколов, руководитель направления информационной безопасности, “Микротест” |
1. В настоящее время в связи с развитием предложений на рынке телекоммуникаций для малых и средних компаний и компаний регионального уровня (имеющих, например, несколько небольших производственных и офисных площадок в рамках одного города) стали доступны услуги передачи данных через сети Metro Ethernet, IP MPLS VPN, а также широкополосный доступ в Интернет. При этом под доступностью понимается уже не столько возможность получения услуги, а ее приемлемость с финансовой точки зрения.
При подключении к сетям операторов, предоставляющих услуги передачи данных и доступа в Интернет, к существующей в компании модели угроз безопасности добавляются угроза несанкционированных действий (НСД) со стороны сети оператора связи и набор угроз, связанных с разглашением или модификацией данных, передаваемых через каналы связи оператора.
Таким образом, технологические и организационные решения для обеспечения информационной безопасности при подключении к внешним сетям для малых и средних региональных компаний по своей сути не должны отличаться от решений, применяемых в крупных компаниях. Минимизация рисков нарушения режима информационной безопасности, связанных с реализацией перечисленных выше угроз, эффективно достигается за счет следующего комплекса мер:
- подключения территориально разнесенных подразделений через IP MPLS VPN (предоставляется оператором связи);
- использования средств межсетевого экранирования и обнаружения вторжений для защиты периметра при подключении к сети оператора связи;
- криптографического преобразования (шифрования) данных, передаваемых через внешние сети;
- организации оперативного контроля за событиями информационной безопасности.
Основой для выбора конкретной реализации защищенных соединений между объектами компании должно быть категорирование передаваемых данных, исходя из критериев конфиденциальности, критичности для бизнес-процессов компании, технологических особенностей передаваемых данных (например, необходимости поддержки QoS).
Выбор MPLS VPN в качестве приоритетной технологии организации каналов связи обусловлен более высоким уровнем безопасности этой технологии по сравнению с Ethernet и тем более с сетью Интернет. В качестве средств шифрования рекомендуется использовать продукты, отвечающие требованиям российского законодательства в области распространения и использования средств криптографической защиты. Опыт проектов, реализованных специалистами компании “Микротест”, показывает предпочтительность использования следующих средств: ViPNet компании “Инфотекс”, “Континент” от НИП “Информзащита” и S-Terra VPN компании “С-Терра”.
2. К сожалению, зачастую компании регионального уровня не имеют собственной компетенции в области защиты информации, а получение подобной компетенции и подготовка собственных специалистов требует значительных затрат. В таких условиях на стадии выбора решения для организации защищенного взаимодействия в рамках территориально распределенной региональной компании можно оптимизировать затраты за счет проведения внешнего технологического и организационного аудита информационных систем, систем обеспечения информационной безопасности, соответствующих внутренних регламентирующих документов компании, ее штатной структуры. На основе данных аудита становятся возможными категорирование информации и выбор оптимального решения для организации защищенных соединений на основе финансовых и технологических критериев. Данные, полученные в результате аудита и последующего категорирования информации, позволяют оптимизировать капитальные вложения в инфраструктуру узлов связи, средств обеспечения информационной безопасности и выбрать оператора связи и тарифный план, обеспечивающий приемлемую стоимость трафика.
При построении стратегии оптимизации затрат за счет использования защищенной телекоммуникационной инфраструктуры первое, на что следует обратить внимание, это четкое понимание всеми участниками процесса оптимизации, какие бизнес-процессы будут задействовать территориально распределенные средства автоматизации, работающие через создаваемые защищенные соединения.
Приведу яркий пример: широкое распространение получила оптимизация расходов на местную (и в ряде случаев на региональную и межрегиональную) телефонную связь за счет использования технологий VoIP. Следующий уровень оптимизации расходов на связь – передача данных и голоса с использованием VoIP по одному каналу связи. При этом практика показывает, что трафик VoIP обычно передается в открытом виде, без шифрования, однако информация, содержащаяся в телефонных переговорах, зачастую более критична для функционирования компании, чем данные, обрабатываемые в информационных системах. Сложившаяся в России управленческая культура, называемая иногда телефонным правом, подразумевает передачу основных распоряжений и осуществление оперативного контроля и управления деятельностью компании именно по телефону. Таким образом, относящиеся к числу наиболее важных в компании процессы управления и получения информации для принятия решений, осуществляемые традиционным и самым распространенным способом, становятся незащищенными жертвами не до конца продуманной оптимизации расходов.
Именно для того чтобы избежать подобных ошибок, необходимо проводить аудит и категорирование информации, основанные на бизнес-ориентированных критериях, а в случае с VoIP – и на специфике передаваемых данных (поддержка QoS).
После выбора решения и последующего построения защищенной телекоммуникационной инфраструктуры любая компания неизбежно сталкивается с необходимостью эксплуатации и обслуживания установленного оборудования, программно-аппаратных комплексов и прочих средств, задействованных для подключения к оператору связи и обеспечения информационной безопасности. Как следствие, затраты на персонал увеличатся. Совокупная стоимость владения информационными системами растет, порой весьма значительно, особенно при отсутствии в компании внутренней компетенции по информационной безопасности. Таким образом, вторым важным моментом в стратегии минимизации издержек для региональной компании может стать передача созданной защищенной телекоммуникационной инфраструктуры на аутсорсинг специализированной компании.
 |
Олег Зименков, директор по производству, “Оптима-интеграция” |
1. Территориально распределенная компания для обмена служебной информацией может использовать либо выделенные каналы связи, либо общие сети передачи данных.
В первом случае внутренняя информация, передающаяся по каналам связи, защищена от внешних воздействий. Это позволяет предприятию особо не заботиться о внедрении средств организации защищенных соединений. Однако это решение имеет ряд недостатков. Во-первых, оно достаточно дорого, а во-вторых, не всегда удается получить в свое распоряжение выделенный канал, например, вследствие недостаточной зоны покрытия оператора связи.
В случае, если территориально распределенное предприятие передает внутреннюю информацию по незащищенным каналам связи общего пользования, необходимо предусмотреть ее защиту от несанкционированного доступа. Для решения этой задачи мы рекомендуем создавать виртуальные частные сети – VPN с использованием протокола IPSec, что значительно дешевле выделенной линии. Помимо прочего, при создании такой сети решается сразу несколько задач. Во-первых, весь сетевой трафик шифруется, и в случае его перехвата зашифрованными данными воспользоваться не удастся. Во-вторых, ложный трафик, который может быть сгенерирован с целью организации сбоя сети, будет отвергнут VPN-концентратором как незашифрованный или зашифрованный с неверным ключом. Сегодня таких концентраторов существует масса, например, Cisco PIX Firewall, Cisco ASA, можно также использовать маршрутизаторы с поддержкой функции Firewall. И наконец, третье преимущество виртуальной частной сети на основе протокола IPSec в том, что, поскольку этот протокол “прозрачен” для приложений, в виртуальной частной сети на его основе сохраняется возможность использования современных систем управления предприятием, например, от компаний SAP или Microsoft.
2. О стратегии минимизации издержек не только при создании, но и при дальнейшей эксплуатации сети необходимо заботиться еще на этапе ее проектирования и в основном за счет разумного подхода к дизайну.
Проект будущей сети должен учитывать возможность использования современных средств управления, допускать безболезненную для предприятия модернизацию сети, ее гибкое масштабирование. Необходимо также учитывать специфику деятельности предприятия-заказчика. Например, если у предприятия существует множество филиалов, каждый из которых активно обменивается информацией друг с другом, то сеть стоит создавать с использованием технологии Dynamic Multipoint VPN (DMVPN). Такое решение позволит обойтись одним (или двумя при необходимости резервирования) VPN-концентратором с минимальным количеством настроек. Если же работа предприятия подразумевает передачу по сети аудиовизуальной информации, разумно строить эту сеть на базе технологии Voice and Video enabled VPN (V3PN).
Сократить издержки во время эксплуатации сети поможет своевременное внедрение специальных средств диагностики и управления телекоммуникационной инфраструктурой. В случае возникновения неполадок обслуживающий персонал будет иметь под рукой всю необходимую информацию о ситуации, а его деятельность будет направлена на устранение неполадок, а не на их поиск. Если говорить о вторжениях в сеть, то здесь лучше заблаговременно позаботиться о ее защите, так как предотвратить угрозу дешевле, чем устранять ее последствия.
 |
Михаил Романов, руководитель отдела информационной безопасности, “Техносерв А/С” |
1. На сегодня традиционный подход к соединению офисов состоит в построении собственных выделенных каналов связи – дорогостоящее решение, не всегда себя оправдывающее. Таким образом, в последнее время все чаще территориально распределенная организация прибегает к использованию защищенных виртуальных частных сетей, а в качестве транспортной сети выбирается Интернет. Однако здесь, в отличие от выделенных каналов, невозможно поддерживать стабильность полосы пропускания канала связи от одной точки до другой и чрезвычайно трудно обеспечить надежность и бесперебойность связи в целом. Если все офисы работают с централизованной базой данных и необходима постоянная связь с ней или поддержка функций QoS, то возникают большие трудности. Однако в последнее время появились решения, позволяющие приблизить VPN-соединения к уровню выделенных каналов.
Например, если мы рассмотрим инфраструктуру типичной организации с развитой сетью филиалов, то одним из главных требований будет максимальная доступность соединений. Недоступность БД о клиентах в центральном офисе из филиала в течение часа может принести сотни тысяч прямых и косвенных убытков. Проблемы могут возникнуть как на уровне терминирующего VPN межсетевого экрана – узкого места сети, так и на уровне канала связи (который может выйти из строя) или маршрутизатора провайдера.
Выход из этой ситуации – резервирование оборудования и каналов связи. Вот тут и проявляются различия между разными технологиями.
Традиционные решения имеют серьезные недостатки – резервное оборудование фактически простаивает без дела и не оправдывает сделанных инвестиций, кроме того, часто не обеспечивается быстрое переключение с одного межсетевого экрана на другой, особенно при построении VPN.
Новое слово в построении отказоустойчивых решений – создание отказоустойчивой конфигурации из группы межсетевых экранов, объединяемых в кластер и динамически балансирующих нагрузку между собой. В данном случае все оборудование задействовано в процессе обеспечения VPN, что дает как высокую скорость работы, так и более высокую надежность системы в целом. Следующий шаг – резервирование каналов связи: например, выделенный канал связи можно зарезервировать через Интернет, а можно просто заказать Интернет у нескольких провайдеров связи и получить полную отказоустойчивость. Особенно актуально это сегодня, когда появились скоростные и дешевые ADSL-каналы. Динамическая балансировка нагрузки и одновременное использование всех соединений для повышения общей пропускной способности отдельно взятого канала связи позволяют избавиться от недостатков традиционных технологий. Наилучших результатов в данной сфере добилась компания Stonesoft с продуктом Stonegate Firewall/VPN.
В отличие от решений на основе протокола BGP запатентованная технология MultiLink VPN в решениях компании Stonesoft позволяет объединить в полнофункциональный кластер до 16 устройств с возможностью динамической балансировки входящего и исходящего трафика между межсетевыми экранами. Система сама разбирается, как работать с тем или иным Интернет-провайдером без применения дополнительного оборудования и выделения у провайдеров автономных систем. Виртуальная частная сеть в соответствии с технологией MultiLink VPN будет организована через всех провайдеров Интернета или каналы операторов связи, при этом будет осуществляться балансировка нагрузки в VPN-соединениях, что сейчас недоступно в традиционных решениях. На наш взгляд, будущее именно за устройствами с подобным уровнем функциональности.
2. Давайте представим себе следующую ситуацию. Заказчик выбрал и установил у себя какое-либо решение. С какими сложностями ему придется столкнуться?
Во-первых, решение установлено, но не настроено. Отдельно стоящие устройства, чтобы они могли приносить какую-то пользу, необходимо сконфигурировать. Сколько времени занимает настройка и включение межсетевых экранов в сеть? Можно позволить себе потратить полдня на установку межсетевого экрана, но только в том случае, если он действительно один, в противном случае процедура растянется на долгие недели, иногда месяцы. Насколько просто ими управлять впоследствии? Возможно ли расширение инфраструктуры в будущем за счет подключения других устройств к системе управления?
Второй вопрос: имеют ли многофункциональные устройства “все в одном” реальные преимущества перед узкоспециализированными при сравнимой цене?
Рассмотрим эти вопросы подробнее. Начнем с выбора устройств. Имеют ли право на жизнь многофункциональные устройства? Безусловно! Их бесспорное преимущество – в цене и функциональности. Но при этом такие устройства необязательно имеют и оптимальное соотношение цена/функциональность. Будем объективны: если, например, выделенный двухпроцессорный сервер системы IDS/IPS часто с трудом справляется с задачей мониторинга 100-Мбит/с сегмента, будет ли он лучше работать, если возложить на него еще и задачи терминирования VPN, фильтрации URL или спама? Ответ очевиден. Безусловно, устройство может делать и одно, и второе, и даже третье, но тогда отнюдь не с полной функциональностью и производительностью.
В любом случае, каким бы ни было решение – узкоспециализированным или многофункциональным, для снижения показателя TCO компании необходимы минимальное количество обслуживающего персонала и возможность удаленного централизованного мониторинга и управления. При этом управление должно быть максимально простым, иначе тратится много времени и ресурсов на текущие работы.
Еще один фактор, сильно снижающий издержки владения продуктом, – это удобная распределенная система централизованного управления удаленными элементами, возможность удаленного обновления систем, отображения их состояния в режиме реального времени, а также мониторинга событий и составления отчетов.
В дальнейшем сокращение издержек эксплуатации прямо зависит от функциональности и простоты систем управления применяемыми устройствами – при невысокой начальной цене издержки администрирования и поддержки могут оказаться очень высоки. Итак, если поставить вопрос: “Каковы критерии выбора решения?”, то, исходя из вышесказанного, можно перечислить следующее:
- развитая функциональность устройств безопасности (все-таки лучше отдельные устройства, а не 10 в одном);
- возможность централизованного управления/обновления;
- защита от ошибок при управлении/обновлении;
- графический интерфейс управления/мониторинга;
- минимальное время начальной инсталляции.
Таким требованиям удовлетворяют, например, решения Juniper, Stonegate и другие.
 |
Дмитрий Огородников, директор по информационной безопасности, “Энвижн Груп” |
1. Среди технологий защиты информации как отдельный класс средств защиты можно выделить технологии информационной безопасности сетевого уровня. Основное их преимущество – возможность использования дешевых коммуникационных ресурсов открытых сетей как коммуникационной среды для передачи корпоративной информации между территориально распределенными площадками.
Средства сетевой информационной безопасности – это технологии виртуальных защищенных сетей (Virtual Private Network, VPN) и интегрированные с ними средства аутентификации и контроля доступа. Технологии VPN обеспечивают шифрование (конфиденциальность), электронно-цифровую подпись (целостность, имитостойкость, аутентификацию) на уровне IP-пакетов. На основе технологии VPN обеспечиваются защищенные соединения между подсетями и компьютерами. При этом компьютеры могут идентифицироваться как “обезличенные” узлы сети (по IP-адресу) и как рабочие места заданных индивидуальных пользователей (такая идентификация проводится, как правило, по сертификату пользователя). Технологии VPN предоставляют гибкость в реализации политики сетевой защиты. Для защиты могут использоваться множественные алгоритмы шифрования, сложные конфигурации туннелей и защищенных периметров. Технологии VPN обеспечивают высокую стойкость защиты информации; при необходимости защитить сложную сетевую инфраструктуру эти технологии не имеют практической альтернативы.
2. Технологии VPN используют средства шифрования, хэширования и электронной цифровой подписи. На эти алгоритмы в России существуют национальные стандарты (ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94). Ряд нормативных документов требует использования сертифицированных средств криптозащиты. Поэтому при выборе средств защиты информации, реализующих данную технологию, следует обратить внимание на сертифицированные средства криптографической защиты информации (СКЗИ). На этом интересном аспекте мы остановимся чуть позже. Что же касается выбора средств защиты информации сетевого уровня, то здесь необходимо обратить внимание на соответствие внедряемого решения сетевым стандартам и поддержку протоколов управления существующей сетевой инфраструктурой.
При выборе СКЗИ мы бы рекомендовали клиентам внимательно изучить, какие сертификаты имеет это решение. В нашей стране СКЗИ надлежит пройти сертификацию в соответствующем ведомстве РФ, что по сути своей служит государственной гарантией надлежащего качества их исполнения. Сегодня существуют два ведомства, проводящие сертификацию средств защиты информации и аттестацию объектов. ФСТЭК сертифицирует комбинаторно-перестановочные (т. е. вероятностные) методы защиты, например, оценивает вероятность подбора злоумышленником пароля, исходя из реализованных в продукте требований к его качеству. Сертификация же СКЗИ, равно как и продуктов, использующих криптографию, – зона полномочий исключительно ФСБ России.
Клиент может попасть в ситуацию, когда на рынке одновременно предлагаются две (и обе сертифицированные) версии решения. При этом первая версия продукта может иметь сертификат ФСТЭК (т. е. это версия с полностью исключенным из документации криптографическим функционалом), а другая – сертификат ФСБ России (т. е. она содержит документированный российский криптографический функционал). Нетрудно представить себе, какую путаницу вызовет это в голове “рядового” потребителя, ведь ему надо приобрести то решение, которое будет “правильным”.
Поэтому первая практическая рекомендация, которую мы адресуем компаниям, такова: увидеть вашу автоматизированную систему целиком и дать рекомендации, в каких подсистемах защиты и какое решение задействовать, может зачастую только квалифицированный системный интегратор.
Как известно, системные интеграторы могут по-разному реализовать проект построения системы ИБ, однако качественная система всегда реализуется на основе стандартов и правил. При построении системы управления информационной безопасностью мы прежде всего рекомендовали бы придерживаться требований стандарта BS 7799, признанного де-факто, на основе которого определяется спецификация будущей системы. С использованием методологии BS 7799 системный интегратор поможет клиенту определить надлежащую политику безопасности, которая станет ключом для управления и контроля корпоративной системы ИБ на регулярной, плановой основе, что позволит сотрудникам компании организовать ежедневную работу с информацией с соблюдением норм и политик ИБ.
Самую важную роль в плане информационной безопасности мы все же отводим руководителям компании и собственникам бизнеса. От их заинтересованности решить задачу эффективно – или же желания сэкономить за счет покупки новомодного инструмента без квалифицированных консультаций с поставщиками комплексных решений – зависит, сможет ли компания создать эффективную систему информационной безопасности или же она станет слабым звеном. Дело в том, что качество корпоративной системы управления информационной безопасностью определяется уровнем безопасности ее наименее защищенного компонента, и во многих случаях это собственные сотрудники компании, которые работают с дорогостоящими информационными системами.