Bezpečně k podnikovým datům

Existuje mnoho důvodů, pro které organizace potřebuje zpřístupnit svá data i mimo prostředí vnitřní sítě. Nejde j...


Existuje mnoho důvodů, pro které organizace potřebuje zpřístupnit svá data i
mimo prostředí vnitřní sítě. Nejde jen o webové portály čerpající z vnitřních
databází, ale i o přístup vzdálených zaměstnanců k podnikovým databázím,
e-mailovým schránkám či zpravodajským systémům.

Bezpečnost vnitřního výpočetního prostředí přímo souvisí s úrovní
implementovaných ochranných opatření, jež mají nežádoucím průnikům a aktivitám
zabránit. Pro situace, při kterých dochází k potenciálnímu ohrožení podnikových
dat v současnosti existují velmi propracované a sofistikované modely řešení.
Kromě ucelených produktů z nabídek dodavatelů bezpečnostních systémů mohou
firmy nasadit i dílčí, dle konkrétních potřeb dimenzované ochranné prostředky.

Scénáře ohrožení
Nejčastější ohrožení firemních dat souvisí s jejich provázaností na webové
služby poskytované zákazníkům. Útoky hrozí nejen vnitřním databázím, ale i
samotným zákazníkům přistupujícím k portálům, neboť jimi vkládaná data se mohou
stát předmětem zájmu útočníků. Znemožnění provozu portálů mohou mít na svědomí
cílené útoky typu DOS (Denial of Service) nebo cílené nahrazení původního
obsahu nežádoucím.
Dalším potenciálním ohrožením se běžně stávají datové toky proudící mezi
vzdálenými pracovišti jedné organizace. Sdílení a posílání citlivých dat vždy
představuje rizikové aktivity.
Obdobně nebezpečné aktivity představuje zpřístupnění vnitřní podnikové sítě
vzdáleným zaměstnancům. Ti potom mohou přistupovat k vymezeným okruhům dat a
externě využívat služeb výpočetního prostředí firmy. Takový nechráněný přístup
umožňuje útočníkům v podstatě nepozorovaně proniknout do systému a úspěšně se v
něm etablovat.
Poslední specifický model vnášející ohrožení do datové komunikace vzdáleným
přístupem představuje informační výměna typu business-to-business. Při ní se
mezi podniky vyměňují data některým ze standardizovaných způsobů, jež jsou
ovšem povětšinou známy i útočníkům.

5 pilířů bezpečí
Existuje 5 základních technik a procesů, které v konečném důsledku představují
bezpečí pro jakýkoli informační systém. Jde o autentizaci, autorizaci, utajení,
datovou integritu a bezpečnostní audit.
Proces autentizace zabezpečuje přístup k výpočetnímu prostředí pouze pro osoby
disponující potřebnými ověřovacími a průkaznými informacemi. Autorizací
rozumíme hierarchizaci jednotlivých uživatelů systému pro jeho různé oblasti a
oprávnění k provádění změn.
Utajení má podobu kódování veškeré citlivé komunikace takovým způsobem, aby
řádně neautentizovaná a neutorizovaná osoba nedokázala data rozluštit. Datová
integrita přináší přehled o ucelenosti a bezeztrátovosti datového provozu ve
výpočetním prostředí. Posledním nástrojem prověřujícím úroveň a schopnosti
obranných mechanismů je bezpečnostní audit.
Všechny vyjmenované nástroje lze nasadit ve třech specifických oblastech
podnikového výpočetního prostředí síťový přístup a oblast perimetru (okraje
sítě), řízení zdrojů a systémová bezpečnost, systémový audit.

Ochrana perimetru
Základními prvky ochrany vnitřní sítě před průniky z vnějšího prostředí jsou
firewally, sítě VPN a DMZ. Firewall filtruje a kontroluje síťový provoz,
ověřuje autorizace a autentizace přístupů do vnitřního prostředí sítě. Řada
firem vkládá firewally mezi svou vnitřní síť a internet, aby kontrolovaly
protokoly HTTP, HTTPS (SSL/TLS kódovaný web), FTP (přenos souborů) a SMTP
(e-mail).
Firewally bývají často integrovány s autentizačními řešeními a současně mohou
představovat i koncové body sítí VPN (Virtual Private Network). Využít je lze i
pro vytvoření sítí DMZ (Demilitarised Zone), které zprostředkovávají veřejný
přístup k určitým datům.
Sítě VPN představují systémy, které vytvářejí kódovaná datová spojení mezi
dvěma sítěmi nebo sítí a klientem. Typickým příkladem mohou být webové portály
kódovaně přistupující (SSL, Secure Sockets Layer ) k podnikovým databázím.
Kódování komunikace představuje základní bezpečnostní prvek pro efektivní
implementaci VPN do podnikové informační infrastruktury.
Sítě typu DMZ se vytvářejí za účelem izolace některých datových toků
probíhajících v okolí vnitřní sítě organizace. Typicky jde o e-mailové zprávy,
přenosy souborů nebo datové toky HTTP. Jejich existence se často váže na
činnost firewallu.
Problematika typu síťového spoje se neomezuje pouze na pevné spoje LAN, ale i
na linky xDSL, ISDN či bezdrátové spoje. Každý druh má své přednosti a úskalí.
Pro řadu menších a středních organizací je tudíž volba způsobu připojení
vnitřní sítě k internetu otázkou nejen bezpečnostní, ale i ekonomickou.

Tvrzení systému
Nasazení jakýchkoli bezpečnostních opatření a nástrojů ovšem naráží na jejich
efektivní a funkční provázanost s chodem organizace, kde slouží. Doplňkem
hardwarových a softwarových prostředků musí nezbytně být i propracovaný systém
přidělování hesel, přístupů a oprávnění. Zde narážíme na odvrácenou stranu
řešení podnikové informační bezpečnosti a to na nebezpečí číhající uvnitř
organizací. Ovšem i na jejich ošetření již existují propracované nástroje.

Prověrka je základ
Poslední oblast, z níž lze odvodit úroveň zabezpečení informační výměny v
systému podniku, představuje bezpečnostní audit. K němu se využívají tzv.
penetrační testy, jež zkoušejí nejrůznějšími způsoby napadnout podnikové
systémy, proniknout do nich nebo je prostě jen zahltit. Existuje řada
dodavatelů softwarových produktů pro provedení podobných testů, jež odhalí
zranitelná místa v nastavení zabezpečení ochrany vnitřní sítě.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.