Ochrana EndPointu v praxi

V několika předchozích článcích jsme popsali problematiku a základní principy ochrany EndPointu. Dnes se podíváme na to, jak to vypadá v praxi - především na výběr vhodného řešení.



Jedním z důvodů je i to, že se článků o této problematice v poslední době objevuje čím dál tím více a uživatelé začínají být v celé řadě případů zmatení nebo nepřesně informovaní. Důsledkem těchto často neúplných informací je pak chybné a nevhodné nasazení. Podívejme se na hlavní problémy, se kterými se v praxi setkáváme nejčastěji.

Cena
Stejně jako v jiných oblastech IT, i zde existuje celá řada rozmanitých řešení. Od těch nejjednodušších, většinou nesystémových, spočívajících v plném znehodnocení funkčnosti (odpojení portů) až po nasazení komplexních nástrojů s různou úrovní granularity nastavení. Překvapující je, kolik společností při výběru řešení degraduje své požadavky jen na jeden, jímž je nejnižší cena, a ten staví na první místo. Podle pravidla: "Cena až na prvním místě." Ale je to správné? V omezené míře se dá říci, že ano. Ale nesmíme zapomínat na to, že cena zabezpečení musí být vždy adekvátní ceně toho, co chráníme. Na začátku vypadají všechna řešení "hezky", ale časem se začnou objevovat "drobné" nedostatky, které mohou vést až k výměně řešení za jiné. Cena je pak někde jinde, ale to se již neřeší. Připomíná to situaci z trhu informačních systémů. Řešení je mnoho, ale velmi často se vybere to, které je absolutně nevhodné. Co je na začátku nejlevnější, je pak na konci několikanásobně dražší, o nespokojenosti uživatelů ani nemluvě.

Neúplnost řešení
Překvapující je, že zákazníci velmi často vybírají neúplná řešení. Tedy řešení, která na rozdíl od jiných obsahují jen omezený počet požadovaných funkcí. To by až tak nevadilo, ale jen v případě, že odpovídá požadavkům. Proč ale mnohým stačí jen příslib toho, že "někde" v "nějaké" verzi je již vše připraveno a v "některé" z finálních verzí to bude uvolněno. Ale o tom, že v případě složitějších funkcí může nasazení těchto "nevyzkoušených" funkčností vést až k totální degradaci a nepoužitelnosti systému, se jaksi nemluví. Ono o tom ani mluvit nejde, protože výrobci s tím nemají zkušenosti a teprve praxe ukáže, zda vývojáři napsali vše správně a do řešení zahrnuli vše, co v praxi může nastat. Srovnejme to s operačním systémem Windows. Kolik nových patchů se objevilo a objevuje a kolik meziverzí se objevilo, než byly některé funkčnosti plně odladěny? A přitom existují osvědčená řešení, která již teď fungují.

Auditování a logování
Důležitou a opět podceňovanou součástí jsou schopnosti auditování a logování. Nezapomíná se na to, že každé logování a auditování vyžaduje určitý výkon? Čím více stanic, tím jsou tyto požadavky vyšší. To, co funguje v testech pro 10 počítačů, většinou nefunguje pro jiné, vyšší počty počítačů. A co auditování administrátorů? To jsou také uživatelé. A pokud nejsme schopni dohledat kdo, komu a co nastavil, dostáváme se do pozice, kdy se jen můžeme dohadovat o tom, kdo a kdy to nastavil a proč to nebylo možné zjistit dřív.

Výkonnost
Zčásti již byla zmíněna v předchozím bodu. Jsou řešení, která bez problémů umí zabezpečit i tisíce počítačů, a řešení, která jsou vhodná jen pro pár desítek. Ale výrobce se tváří, že není problém je použít pro libovolný počet. Jaké je pak zklamání uživatele, když to sice funguje, ale tak, že nelze se systémem pracovat. Správcovská konzola se nestačí překreslovat, pořád se na něco čeká, jakákoliv komunikace s klienty je zdlouhavá, u klientů se hromadí logy a věrohodné informace o aktuálním stavu nelze získat. Jediným řešením pak je zrušit některé funkce a systém opět degradovat.

Komunikace
Používá se jednoduše kontrolovatelná komunikace nebo komunikace, která může v rozsáhlejších sítích znamenat problémy? Problémy výkonnostní, nemožnost kontroly a řízení a v neposlední řadě také citelný zásah do bezpečnostních politik? Proč nepoužít místo RPC komunikace jasně definovanou TCP/IP komunikaci? Obzvláště, když je šifrovaná a s garancí integrity dat. Povolíme jeden dva porty na firewallu, na routerech ji jednoduše nasměrujeme - a tím vše končí.

Testovací verze
Jelikož většina dodavatelů nabízí plnohodnotnou testovací verzi k vyzkoušení, mělo by být samozřejmostí vyzkoušení a srovnání více produktů. Sice je to časově náročné, ale v praxi nedocenitelné. Vlastní zkušenost je lepší než informace z letáků. Jednoduchost nastavování práv, práce v konzole pro správu a získávání informací z logů by měly být tím hlavním kritériem. Ne jen cena. Nikdy také není na škodu pozvat si dodavatele, společně připravit testovací prostředí a ověřit, zda to, co tvrdí výrobce, není jen reklamním trikem. Dobrá a kvalitní podpora jen potvrzuje kvalitu produktů.
A co říci závěrem? Obecně platí, že schopný obchodník je schopen prodat cokoliv. A čím je to levnější, tím se to lépe prodává. Ale je to správně? A měl by mít opravdu poslední slovo management, který sice spravuje rozpočet, ale věcné problematice většinou vůbec nerozumí? Chudáci pracovníci IT oddělení, kteří pak musí pracovat s něčím, co nechtěli, a chce se po nich téměř nemožné? Nezbývá, než ještě jednou zdůraznit, že na bezpečnosti se ušetřit nedá. Koupil by si někdo auto, které sice vypadá na první pohled hezky, je levné, ale brzdy fungují jen za určitých podmínek a pro ostatní se zatím funkčnost připravuje, bezpečnostní pásy je nutné neustále držet rukou, aby se neuvolnily, volant umožňuje zatočit jen na jednu stranu a tachometr ukazuje jen do určité rychlosti? Určitě nekoupil. A tak by to mělo být i se zabezpečením. Adekvátně ceně chráněných dat je třeba pořídit přiměřenou ochranu.

Pavel Náplava pracuje jako IT specialista u firmy SITRONICS Telecom Solutions, Czech Republic










Komentáře