Od firewallu k fireboxu (1)

Požadavky zdravotnického zařízení Mercy Medical Center na zabezpečení jsou zcela běžné. Poskytovatel zdravotní péče v Baltimoru chce zajistit, aby uživatelé přistupovali pouze ke službám a serverům, které vyžadují, a servery jeho datového centra aby zůstaly zabezpečené a bez problémů. Zatím však nenalezli kombinaci správných technologií.


Technologie NAC (Network Access Control) společnosti ConSentry Networks zajišťuje oblast řízení přístupu uživatelů, ale technologie neposkytuje zdravotnickému zařízení Mercy Medical způsob, jak vyřešit další úroveň zabezpečení serveru, kterou by si přáli. „Chceme oddělit servery datového centra jeden od druhého,“ uvádí Mark Rein, starší ředitel informačních technologií zdravotnického centra. Organizace potřebuje tuto separaci, protože zpřístupňuje servery svého datového centra dalším dodavatelům zajišťujícím některé úkoly správy a údržby. „Chceme, aby měli přístup jen na jeden server nebo k jedné aplikaci a nebyli schopni vidět ani komunikovat s jakýmikoli jinými servery. Je to jako když je potřebná technologie NAC na serverové úrovni.“

To není výstřednost. „Servery jsou v současnosti primárním cílem útoků, což znamená, že server je také skvělým odrazovým můstkem,“ říká Joel Snyder, starší partner organizace Opus One a tester produktů pro časopis Network World. „Protože mají organizace heterogenní datová centra -- směs unixových systémů, systémů Windows a starých mainframů -- nastávají problémy se staršími systémy, které nemusí být chráněny opravami nebo dostatečně chráněny před infekcí a stávají se pro další servery útočnými bacilonosiči.“

To může být obzvláště závažný problém pro podniky, které mají bezpečnostní ochrany na hranici datového centra. Pokud útok pronikne do serveru a pokračuje přes nechráněná vysokorychlostní spojení mezi servery, je podnik velmi rychle ohrožen. Nezáleží na tom, zda tyto problémy nastaly u serverů ve virtualizovaném prostředí.

„Většina našich serverů je virtuálních a jsou fyzicky umístěny v blade serverech. Když začnete pozorovat jak spolu tyto virtuální servery potenciálně komunikují nebo se spolu promíchají přes hypervisor, uvidíte vážný problém. V této oblasti nejsou dostupné sady nástrojů dostatečně dobré,“ říká Rein.

Narozdíl od tradičních firewallů, které pro odlišení přenosů spoléhají na čísla portů, vidí řešení společnosti Palo Alto podobně jako NAC až na vrstvu 7. Filtruje přenosy podle aplikací a uživatelských rolí ve službě Microsoft Active Directory. Je to metoda užitečná v situaci, když více aplikací současně využívá port 80.

Dodavatel však neintegroval některé z pokročilých funkcí, které uživatelé typu Reinova zdravotnického centra Mercy Medical vyžadují a doufají, že jednou integrovány budou a zajistí ještě lepší ochranu na serverové úrovni. Tyto funkce zahrnují systémy prevence vniknutí (IPS – intrusion-prevention systems) a služby ochrany před únikem dat.

Nir Zuk, technologický ředitel společnosti Palo Alto, souhlasí, že takovéto funkce jsou důležité a říká, že jeho společnost pracuje na jejich vývoji. „Chcete, aby firewall vykonával funkci IPS a zajistil, že lidé nebudou moci proniknout do serverů. Také chcete zajistit, že bude sledovat úniky dat z datového centra, například pro rodná čísla,“ vysvětluje a dodává, že rychlost je hlavní problém. „Nikdo to zatím nenabízí při rychlosti, kterou vyžaduje datové centrum.“


(Druhý díl článku)

Tento článek vyšel v tištěném SecurityWorldu 4/2008.











Komentáře