Produkty typu all-in-one přinesou problémy

Produkty pro řešení bezpečnosti se sbližují a stát po nás chce, abychom naskočili na palubu. Byrokrati mají dobrý d...


Produkty pro řešení bezpečnosti se sbližují a stát po nás chce, abychom
naskočili na palubu. Byrokrati mají dobrý důvod, aby uchopili to, co vidí jako
dobrou příležitost. Přede dvěma roky vládní orgány odmítly schválit nákup
firewallů pro státní agentury, jako je ta, ve které nyní pracuji. Chcete, aby
zákonodárci byli opatrní na peníze daňových poplatníků, ale jak mohou tito lidé
nerozumět tomu, že firewally jsou důležité?
Konvergence ve formě zařízení all-in-one (vše v jednom), jak mi bylo řečeno,
dává obchodní smysl. Tyto produkty stojí méně a přitom nabízejí řadu funkcí,
lepší je i jejich podpora, je snazší je spravovat a tak dále. Tomu budu ale
věřit, až to uvidím. Mám totiž obavy, že jestliže bude zařízení vše v jednom
zkompromitováno (cokoliv může být nakonec kompromitováno), nebudete mít problém
jenom se svým firewallem, virtuální privátní sítí, svým systémem řízení
bezpečnosti informací, se svou demilitarizovanou zónou, se svými antivirovými
nástroji, svým systémem detekce proniknutí (intrusion-detection system), se
svým filtrováním webu nebo se svým systémem prevence proniknutí
(intrusion-prevention system). Budete mít problém se všemi z nich.
Bezpečnost musí být, pokud má být efektivní, rozložena na vrstvy. Nasadit
jediné zařízení pro všechny pozice, to není dobrý nápad. Ale jak naznačuje
fiasko našeho předchozího projektu firewallu, měli jsme problémy získat peníze
i na mnoho dalších jednotlivých zařízení a nástrojů, které by nám umožnily
dodržovat model "hloubkové obrany". Nyní zcela zjevně máme souhlas koupit
komplexní zařízení a použít je ve všech našich lokalitách. Dobře, tak jestli to
máme schválené takto, tak aspoň děláme něco pro to, abychom se posunuli trochu
dopředu.
Stinné stránky takového zařízení však souvisejí s technickými záležitostmi,
výkonem a také bezpečností. Nasazení v režimu in-line by bylo nejlepší pro
aplikaci systému prevence proniknutí, pak je ale porucha takového zařízení
kritickým elementem pro chod celé sítě. V tomto případě byste pravděpodobně
chtěli raději dvě zařízení zapojené v režimu fail-over. Alternativa nasazení ve
stylu proxy omezuje kontrolu paketů a konfiguraci firewallu. Co se týče výkonu,
počet modulů nebo funkcí použitých na provoz dat ovlivní průchodnost zařízení,
pokud zde není namísto jednoúčelové jednotky více CPU určených pro specifické
funkce. Na druhé straně, správa víceúčelových a jednoúčelových bezpečnostních
systémů vyžaduje příliš velké množství práce příslušného administrátora. Farma
podobných multifunkčních zařízení zní ohledně administrace mnohem lépe možná by
stačili jeden nebo dva školení správci. A kdybychom mohli dělat takové věci,
jako je třeba filtrování webu, konfigurace firewallu či šifrování provozu na
komunikační bráně, mohli bychom být efektivnější v ochraně sítě před viry,
červy, adwarem, spamem, trojskými koni, útoky typu odepření služby, pokusy o
hackování a všem těm věcem, proti kterým se musíme soustavně bránit. Žádné
záruky
Proč nemám žádnou důvěru v tyto typy zařízení? Řekla jsem svému šéfovi:
"Potřebujeme udělat tyhle konkrétní věci, ale nemůžeme zaručit, že nabízený
produkt bude dělat to, co se od něj předpokládá." Nemůžeme si to celé otestovat
ještě předtím, než to koupíme, protože lidé na státní úrovni už to udělali před
námi. Dodavatelem je totiž malá společnost, která nechce projít testovacím
procesem v mnoha malých státních agenturách. Jejím cílem je přece rychle prodat
své zboží lze tedy říct, že "chytla dobrý kšeft". Takže tak to je. Cítím se,
jako bychom kupovali zajíce v pytli a následovali vládní orgány jako ovce.
Předpokládám, že stinné stránky těchto zařízení se v průběhu času projeví a
donutí jejich dodavatele, aby se vrátili zpět k jednoúčelovým zařízením. Pak se
karta zase obrátí a my budeme svědky expanze nových typů all-in-one zařízení,
která budou lepší, rychlejší a dokonalejší než ta, která jsou nabízena dnes.
Tento druh pohybu tam a zpět není nijak neobvyklý. Podívejme se, co se děje v
telekomunikačním sektoru nejdřív vzkvétal kupříkladu AT&T, pak se na trh
dostala spousta malých telekomunikačních společností a nakonec se tyto
společnosti začaly pohlcovat navzájem. Takže dnes jsme opět svědky perspektivy
dominujícího AT&T. V prostředí státní agentury, ve které pracuji, se musíme
rozhodnout o typu funkčnosti, kterou nejvíce potřebujeme, a podle toho použít
druh zařízení. Určitě budeme chtít funkci firewallu (s tímto hodnocením by
možná na tomto místě souhlasilo nejvíc zákonodárců), ale budeme se zřejmě muset
rozhodnout mezi detekcí proniknutí a prevencí proniknutí. Detekce proniknutí,
která pracuje v režimu off-line a je pasivní, je tak trochu znevýhodněna proti
firewallům, které dokáží blokovat provoz na základě stanovených pravidel.
In-line konfigurace v případě prevence proniknutí by mohla v tomto ohledu
fungovat mnohem lépe. To jsou přesně ty otázky, na které se budeme muset
připravit, až se příští týden setkáme s dodavatelem zařízení ohledně jejich
demonstrace. Bude to bezesporu zajímavé. Také jsem zvědavá na společnost, se
kterou budeme jednat. Nikdy jsem o ní neslyšela, takže jsem trochu zapátrala na
Googlu. Zjevně byla pod tlakem. Na jejích internetových stránkách nemají ani
informaci o svých zakladatelích, představenstvu, historii společnosti či o
finančních ukazatelích. Možná bude tato malá společnost během příštích let
koupena jedním z větších dodavatelů bezpečnosti, což by zajistilo alespoň to,
že naše agentura obdrží kvalitní podporu. Ideálně by do této role mohla
vstoupit jedna ze společností, které známe a jimž důvěřujeme jako třeba Check
Point, Cisco nebo Symantec. Neříkám, že tito dodavatelé jsou perfektní, ale
určitě mají svou historii... Podle mého výpočtu by zařízení instalované ve
všech větších lokalitách naší agentury stála kolem 30 000 dolarů. Pokud toto
číslo zdvojnásobíme kvůli tomu, že bychom tyto produkty nasadili v režimu
fail-over, je to pro malou státní agenturu určitě spousta peněz. A jestliže se
nasazení navíc rozšíří i na naše menší lokality, náklady se dostanou na téměř
100 000 dolarů. Proč nás proboha nenechali prostě koupit nějaké firewally od
Cisca?
Řešíte podobné problémy jako C. J. Kellyová? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu: bezpecnost@idg.cz.
(pal) 6 1078









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.