Bezpečnostní brána má ochránit propojené firmy

Pro krátkodobé řešení bezpečnostních problémů vzniklých spojením dvou firem se jeví jako optimální použití ně...


Pro krátkodobé řešení bezpečnostních problémů vzniklých spojením dvou firem se
jeví jako optimální použití nějakého integrovaného bezpečnostního produktu.
Naše společnost je velmi aktivní pokud jde o nákup jiných firem. Proto se často
potýkáme s problémy vznikajícími propojením naší IT infrastruktury s
infrastrukturou cizí, často velmi odlišnou. Největším problémem přitom je, že
často vůbec neznáme stav zabezpečení a integrity IT zdrojů ve firmě, kterou
kupujeme.
V minulosti jsme k tomuto problému přistupovali tak, že než abychom prováděli
zevrubný bezpečnostní audit, prostě jsme otevřeli stavidla a nechali proudit
síťový provoz z koupené firmy do našeho bezpečného prostředí. V jednom případě
to vedlo k situaci, kdy se v našem prostředí začal rychle šířit počítačový
virus. To nás pak stálo spoustu času při jeho odstraňování.
Bezpečnostní audit by vzniku takové situace mohl zabránit. Pokud však není
realizace bezpečnostního auditu zakotvena ve smlouvě o koupi firmy, nemůžeme ho
provést tedy alespoň ne do doby, než je akvizice kompletně dokončena. Mnohé
cílové společnosti zahrnutí auditu do smlouvy odmítají, protože se bojí ztráty
citlivých informací. Ta by pro ně v případě, že by nakonec k uskutečnění
zamýšleného kontraktu nedošlo, byla pochopitelně velmi nebezpečná. To ale ještě
není celý výčet problémů, které nás při akvizicích trápí. Jakmile je jednou
dohoda o akvizici podepsána, pro management firmy bývá bezpečnost často až na
posledním místě. Daleko větší pozornost přitahují otázky týkající se změn v
organizaci firmy tak, aby byla pro nejbližší období zajištěna její maximální
profitabilita. A do takových úvah se bezpečnost, z nějakého důvodu, prostě
mnohdy nevejde.

Strach z neznáma
Je obtížné určit integritu IT infrastruktury nějaké cizí společnosti bez toho,
aby byl mezi jejím a naším prostředím nastaven vztah důvěry. A tak u nás
většinou akvizice vede k tomu, že v jejím průběhu síťový tým zkonfiguruje
vyhrazený okruh do zakoupené společnosti, nahodí firewall a požádá personál
koupené společnosti, aby ve své síti nastavila "vztahy důvěry" (trust
relationships) s naší infrastrukturou.
Našimi nejdůležitějšími úkoly z hlediska vedení firmy je dát zaměstnancům
zakoupené společnosti přístup k našemu e-mailu, k aplikacím umožňujícím správu
lidských zdrojů, k firemnímu intranetu a k několika dalším kritickým aplikacím.
Pokud firma, kterou kupujeme, vyvíjí a prodává nějaký softwarový produkt, pak
její vývojový tým zpravidla také potřebuje mít přístup ke zdrojovým kódům naší
firmy což je základ našeho byznysu.
Značně se obáváme situace, kdy by nově připojené IT zdroje byly nakaženy
nějakým virem. Také konfigurace serverů koupené firmy nemusejí odpovídat našim
bezpečnostním požadavkům, a jsou tudíž nedostatečně odolné proti případnému
útoku, nebo byly dokonce již napadeny a někdo zvenčí k nim má přístup. Všechny
tyto problémy by mohly vést k tomu, že by měl najednou někdo zvenčí přístup k
našim systémům.
Byl jsem sám svědkem incidentu, kdy byl e-mailový server koupené firmy zcela
kompromitován poté, co někdo nainstaloval do sítě paketový sniffer. Uvedená
společnost přitom měla zajištěnu instalaci a správu e-mailového serveru smluvně
s nějakým poskytovatelem služeb, a tak nikdo z jejího personálu nebyl schopen
řešit jakékoli s tím související problémy. Server nebyl nikdy správně
spravován, takže paketový sniffer fungoval bez toho, aby jej někdo odhalil, po
celé tři dlouhé měsíce.

Hledáme řešení
Potřebujeme nějaký produkt typu bezpečnostní brány (gateway), který může
fungovat jako interní hlídač provozu, dokud nebude dokončeno plné zhodnocení
bezpečnosti získané infrastruktury. Právě on by měl zmírnit nejobvyklejší
problémy, které by se v průběhu komunikace propojených infrastruktur mohly
vyskytnout. Chceme něco, co nabídne dobrou ochranu za nízkou cenu a jen s
nízkými nároky na hardware. Další podmínkou je, že tento produkt musí být
snadno spravovatelný.
Máme ovšem i další požadavky. V minulosti měla každá firma, kterou jsme
kupovali, méně než 200 zaměstnanců a využívala pouze minimální přenosové pásmo.
To je důležité, protože každá brána má určitou hranici objemu provozu, se
kterým se ještě zvládne vypořádat. Pořizovat naddimenzovanou bránu by bylo
zbytečně drahé, poddimenzovaná brána by zase nebyla schopna plnit naše
požadavky. Je třeba zvolit tak výkonné zařízení, které se vypořádá se všemi
anebo alespoň s většinou našich potřeb.
Po určité době hledání jsme si vybrali zařízení Symantec Gateway Security od
americké společnosti Symantec. Toto zařízení v sobě kombinuje antivirovou
ochranu, filtrování internetového obsahu, VPN (Virtual Private Network) a IDS
(Intrusion Detection System).
Plánovali jsme, že takových zařízení koupíme několik a předkonfigurujeme je
tak, aby bylo možno je v případě potřeby rychle připojit do sítě bez jakýchkoli
náročnějších dodatečných změn. Chtěli jsme je použít jenom do doby, než
zhodnotíme bezpečnost infrastruktury každé kupované firmy. Potom bychom je
odstranili a aplikovali naše běžné standardy. Gatewaye by ve skladu pěkně
čekaly na další akvizici. Náš plán se ale setkal s odporem ze strany síťové
skupiny naší firmy, která je zodpovědná za denodenní správu a konfiguraci
našich firewallů.

Nekonzistence
Síťový tým v současnosti spravuje firewally Cisco Pix, a to prostřednictvím
softwaru pro centralizovanou správu Solsoft NP americké společnosti Solsoft a
jeho vedení se vůbec nelíbila idea, že by měli nasazovat další firewallový
produkt. Na našem jednání zazněly stížnosti, že by to pro jeho členy znamenalo
podstoupení dalších školení, nutnost časově náročného podrobného seznámení se s
produktem, vyřešení otázek ohledně podpory a pečlivé testy v naší laboratoři.
Stejně jako další oddělení v naší firmě ani síťové oddělení není nijak
předimenzované má přesně tolik lidí, aby zvládlo řešit standardní úkoly, které
jsou před něj postaveny. A toto by byla práce navíc.
Snažil jsem se jim vysvětlit, že Solsoft NP může být docela dobře schopen
spravovat firewallovou komponentu od Symantecu. To by znamenalo, že by síťový
tým nemusel zdlouhavě pronikat do syntaxe příkazů a konfigurace přístupových
seznamů pro koupenou gateway. Vedení síťového týmu ale zůstalo k mým argumentům
chladné jeho členové rozhodně nechtěli spravovat jakoukoli část nebo vlastnost
firewallové části gatewaye od Symantecu. Místo toho doporučili, aby se použil
nějaký další produkt Pix, které už jsou zde nasazeny. Jako prozatímní řešení
přece mohou fungovat také.
Háček je ale v tom, že stejně budeme potřebovat zařízení Symantecu pro
zajištění dalších bezpečnostních funkcí. Nakonec to možná skončí tak, že prostě
nebudeme využívat jejich firewallovou část. V tomto okamžiku si ale nejdříve
pořizujeme jedno zařízení k testům. Jakmile začneme provádět testy v naší
laboratoři, budeme lépe rozumět tomu, jak obtížná je správa integrovaného
firewallu, a poté budeme moci učinit kvalifikované finální rozhodnutí.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.