UTM pro pobočky: Výzvou je vzdálená správa

I ty nejmenší pobočky by měly být na jednu stranu zabezpečeny stejně jako ty velké, ale na druhou stranu taková bezpečnostní zařízení nejsou levná a jejich správa je často časově náročná...


Pokud je řeč o IP bezpečnosti, tak téměř všechny společnosti používající IP sítě pro přenos dat si uvědomují, že musí svá data chránit a za tímto účelem provozují systémy, které jejich data chrání. Nicméně tato opatření jsou velmi často směřována pouze do firemních centrál a na vzdálené pobočky nebo pracovníky, kteří pracují z domova, se tak trochu zapomíná.

 

Všechny, i ty nejmenší pobočky by měly být na jednu stranu zabezpečeny stejně jako ty velké, ale na druhou stranu taková bezpečnostní zařízení nejsou levná a jejich správa je často časově náročná a vyžaduje znalost bezpečnostní IT problematiky na těchto lokalitách.

Zkusme se tedy v následujících odstavcích podívat na to, kam se ubírá vývoj bezpečnostních systémů poskytujících komplexní ochranu dat i těch nejmenších poboček a jakým způsobem je řešena jejich velmi jednoduchá správa.

 

Skutečné problémy

Počet společností, jejichž zaměstnanci pracují vzdáleně nebo alespoň ve firemních pobočkách neustále roste. Tento trend je výsledkem neustálého nárůstu využití internetu pro firemní komunikace a spolupráci. Typickými příklady takových společností jsou maloobchodní řetězce, cestovní agentury, čerpací stanice nebo lokální obchodní zastoupení.

Nároky na IT infrastrukturu jsou v takových lokalitách obvykle základní a znalost IT problematiky nebývá vysoká nebo není žádná. Nicméně i taková pobočka by měla být z pohledu IT bezpečnosti na stejné úrovni jako centrála. To znamená, že bezpečnostní prvky jako firewall, VPN, IPS, webová a emailová bezpečnost jsou stejně důležité pro pracovníky v centrále, tak na pobočce.

Zajištění podpory a bezpečnosti v prostředí firemních poboček se může stát z tohoto pohledu nelehkým úkolem, pokud mu není věnována dostatečná pozornost. Primárním úkolem zůstává dosažení stejné úrovně bezpečnosti na všech pobočkách a zavedení bezpečnostních politik co možná nejefektivnějším způsobem.

 

Správa na pobočkách

První oblastí, na kterou by se měli uživatelé zaměřit, je efektivita správy řady pobočkových sítí. Jelikož je podniková pobočka většinou malá, obvykle nemá lokálního IT správce, který by uživatelům, pokud se něco přihodí, byl nápomocen. Stěžejní úlohu v takovém případě hraje to, jakým způsobem může IT oddělení v centrále tuto podporu a zabezpečení poskytnout.

Množství času stráveného těmito aktivitami může mít vážný dopad na produktivitu práce a také provozní náklady samotného oddělení, nejsou-li pečlivě naplánovány. Pokud zajištění technické podpory váže lidské zdroje instalacemi systémů v nových pobočkách nebo jejich upgrady, může být tato činnost pro centrální IT oddělení velmi nákladná, zvláště jsou-li pobočky umístěny v různých lokalitách.

Jestliže firma otvírá novou pobočku a je schopna konfigurovat a spravovat bezpečnostní systémy centrálně bez toho, že by systémový technik musel trávit několik dní na služební cestě, dosáhne mnohem lepší návratnosti investice a významně nižších nákladů.

Existuje samozřejmě také varianta, kdy připraví každý systém v centrále, ale ve většině případů to není možné a je nezbytné provést konfiguraci na místě. To vede často k tomu, že v každé lokalitě je jiná konfigurace systému, čímž je obtížné mít vše pod plnou kontrolou. Východiskem mohou být specializovaná řešení pro centrální správu. Ta jsou často drahá a zbytečně komplexní.

 

Zavádění bezpečnostních politik

Jakmile máte chráněnou síť, dalším úkolem se stává detailní pohled na to, jak jsou využívány firemní IT zdroje. Pravidla od používání internetu, přes instalované aplikace až po zákaz používání neautorizovaného software, by měla být ve své většině uplatněna až na úroveň poboček. Může se jednat například o instalované peer-to-peer aplikace, nebo brouzdání po webech v pracovní době pro soukromé účely apod.

Vytváření a údržba bezpečnostních pravidel na každém zařízení zvlášť může být časově náročná. Změna pravidel na všech zařízeních může trvat až několik hodin při každé změně bezpečnostních politik.

I tady existují specializovaná řešení pro centrální správu, ale jsou často příliš drahá a pro takový účel zbytečně komplexní.

 

Opatření pro velmi malé kanceláře

Bootnety, automatizované skripty a další škodlivé hackerské nástroje si zvolí svůj cíl útoku často náhodně a snaží se šířit škodlivý kód kdekoli v internetu bez ohledu na to, o koho se jedná - zda o velké společnosti, malé kanceláře nebo i domácí uživatele. Proto ochrana malé kanceláře proti těmto hrozbám vyžaduje stejnou úroveň ochrany jako u velkého podniku.

Nasazení komplexního bezpečnostního řešení nejvyšší třídy v rámci každé jednotlivé pobočky nebo kanceláře se zdá ideálním řešením. Nejedná se však o jednoduché řešení, zvláště pokud je nutné mít na zřeteli bezpečnostní požadavky včetně celkových nákladů na řešení:

Zařízení typu Low-End Unified Threat Management (UTM) – ty většinou neposkytují veškeré požadované bezpečnostní funkce. A pokud se ještě přidají další skryté náklady, jako je podpora, předplatné na aktualizaci systému či management software, jsou pro velmi malé kanceláře příliš drahé.

Branch routery – tyto produkty jsou používány mnoha společnostmi v důsledku rozpočtových omezení. Zmíněná zařízení jsou poměrně levná, ale jejich nasazení a následná správa je velkým problémem. Většina zařízení poskytuje jen základní funkce zabezpečení (například firewall nebo VPN) a často chybí důležité bezpečnostní prvky , jako je IPS, webový či e-mailový filtr.

VPN nebo MPLS služby - jsou další alternativou pro zabezpečené připojení vzdálených poboček do centrály, a poskytnou veškeré bezpečnostní funkce prostřednictvím centralizovaného firewallu v sídle společnosti. Tento přístup má tu výhodu, že nevyžaduje žádné IT odborníky pro vzdálené pobočky. Nicméně VPN nebo MPLS služby jsou často velmi drahé a nejsou k dispozici všude. Kromě toho je uživatel následně vázán na konkrétního poskytovatele služeb.

 

Jak ukazují předchozí řádky, všechna řešení, která dnes existují, jsou příliš drahá, nákladná na správu nebo se velice obtížně spravují, případně neposkytují požadovanou úroveň bezpečnosti. Je zapotřebí nový ekonomický přístup k řešení zabezpečení poboček, který zajistí na každé pobočce shodné bezpečnostní funkce jako v ústředí.

 

 

Nový přístup

Nově koncipovaným způsobem, jak vyřešit problémy s propojením centrály a poboček, je použití zařízení typu "virtuální ethernetový kabel". Místo instalace firewallu, VPN, IPS, webového filtru a funkcí zabezpečení e-mailů v rámci drahého zařízení na každé pobočce, jsou všechny výše uvedené bezpečnostní funkce poskytovány prostřednictvím centrální bezpečnostní brány, která může být nainstalována v sídle společnosti, u poskytovatele internetu nebo dokonce i v cloudu (například u poskytovatele služeb).

Malá zařízení označovaná jako Remote Ethernet Device (RED) na pobočce pouze přeposílají veškerou komunikaci pomocí šifrovaného tunelu do centrálního bezpečnostní brány, která komunikaci kontroluje a filtruje ještě před tím, než je odeslána do internetu. Působí podobně jako velmi dlouhý "virtuální" ethernetový kabel vedený z podnikové centrály až na pobočku.

Protože ale používá standardní VPN technologii, je také nezávislý na příslušného poskytovatele služeb. Toho lze využít na celém světě - všude, kde je připojení k internetu k dispozici.

Tato zařízení přitom nevyžadují žádnou lokální konfiguraci, nemají ani žádné tlačítko nebo management GUI. Jejich kompletní konfigurace se provádí na centrální bráně.
Přístroj může být pouze odeslán nenakonfigurovaný na pobočky. Někdo – bez požadavků na technické znalosti – pouze sdělí IT oddělení výrobní číslo zařízení, připojí ho jedním ethernetovým portem na internetový router a druhým portem do interní lokální sítě.

Přístroj automaticky načte svou konfiguraci z centrální brány, automaticky se nakonfiguruje a zároveň automaticky vytvoří šifrovaný tunel na centrální bránu společnosti, bez nutnosti IT personálu být přímo na místě. Pomocí tohoto plně automatizovaného procesu nasazení je možno nasadit až 100 zařízení za jediný den!

Pomocí zařízení typu RED je správa vzdálených lokalit, nastavení sítě I bezpečnostních politik velmi jednoduchá. Lze si snadno definovat globální DHCP a DNS parametry na centrální bráně a následně tyto parametry velice jednoduše distribuovat na všechny pobočky.
Podobně i vytváření či správa samostatných bezpečnostních politik pro každou jednotlivou lokalitu již není zapotřebí - je pouze nutné vytvořit a udržovat globální bezpečnostní politiky na ochranu všech vzdálených lokalit v centrální bezpečnostní bráně.
Pobočky jsou také automaticky zahrnuty do log a report nástrojů centrální brány.

 

Úspory nákladů na vlastnictví

Náklady na udržování pobočkové sítě - zvláště s desítkami či dokonce stovkami lokalit - jsou důležitým faktorem, který musí být zohledněn v čase. Kromě počáteční investice je mnoho dalších komponent, které je třeba vzít v úvahu při porovnání celkových nákladů po dobu několika let. Například při porovnávání řešení RED s řešením pomocí standardních UTM řešení v každé pobočce musíme mít na zřeteli následující náklady:

Centrální UTM řešení - zde je třeba vzít v úvahu náklady na pořízení hardwaru a softwaru (nebo UTM zařízení), plus opakující se náklady na údržbu zařízení, předplatné na všechny používané bezpečnostních funkce (například antivirus, anti-spam, Web filtr, IPS, atd.).

Pobočkové UTM řešení - počáteční náklady na hardware pro malá UTM řešení se mohou zdát relativně nízké, ale při zahrnutí opakujících se nákladů na údržbu hardwaru a předplatného pro každou pobočku to často reprezentuje poměrně vysoké náklady. Při použití zařízení RED se neuplatňují další opakující se náklady na bezpečnostní funkce a podpora hardwaru bývá součástí počáteční investice při nákupu.

Centrální správa a report nástroje - pro centrální správu pobočkových UTM řešení je obvykle potřeba dalších nástrojů pro správu v centrále společnosti. Dále k získání aktuálních informací o bezpečnosti vzdálených poboček je také nutný centrální nástroj pro podávání zpráv. Náklady na tyto nástroje jsou poměrně významné a mohou snadno překročit náklady na centrální bezpečnostní řešení. Řešení RED nevyžaduje investice do těchto nástrojů, protože centrální brána nabízí kompletní centralizovanou správu, reporting a nástroje i pro všechny připojené vzdálené pobočky bez jakýchkoliv dodatečných nákladů.

Cena za nasazení a administrativní náklady - tyto výdaje se mohou významně lišit v závislosti na organizační struktuře a dostupnosti IT odborníků. Nicméně standardní nastavení UTM řešení může trvat dva dny v centrále společnosti a tři hodiny pro každou z poboček společnosti. Pokud se ještě přidá čas potřebný na pravidelné aktualizace softwaru na všech pobočkách (například 2krát dvě hodiny za čtvrtletí), mohou tyto náklady v součtu dosáhnout značné hodnoty. Naproti tomu počáteční nastavení řešení typu RED netrvá déle než hodinu na centrální bráně a řádově minuty na vzdálené lokalitě. Vzhledem k tomu, kompletní správa všech RED zařízení se provádí na centrální bráně, neexistují žádné dodatečné náklady na údržbu vzdálených poboček, ani není nutná návštěva pracovníka IT oddělení na pobočce.
Z celkových nákladů na hardware, nástroje na správu, předplatné a průběžnou údržbu tak lze ušetřit až 80 % v porovnání s nasazením standardní UTM brány v centrále společnosti a na všech vzdálených pobočkách.

 

Závěrem

Společnosti s mnoha malými pobočkami, jako jsou cestovní kanceláře a agentury, maloobchodní prodejny, nebo sítě čerpacích stanic trvale čelí problému bezpečného připojení do centrály společnosti a bezpečného přístupu k internetu. Všechna současná řešení mají nějakou nevýhodu - jsou buď příliš nákladná, obtížně se udržují či spravují nebo neposkytují dostatečnou úroveň bezpečnosti.

Zařízení typu RED oproti tomu představují zcela nový přístup - tím že fungují jako virtuální ethernetový kabel ze vzdálené pobočky na centrální bezpečnostní bránu společnosti, poskytují na pobočce kompletní, centrálně řízené bezpečnostní řešení třídy UTM. Všechny konfigurace a filtrování se provádí pomocí centrální bezpečnostní brány. Tento přístup tedy poskytuje snadný a cenově dostupný způsob pro nasazení zabezpečení pobočky i pro nejmenší kanceláře.

 

Autor je Astaro Senior Product Manager

Vyšlo v Security Worldu 3/2010
Časopis lze koupit se slevou 20 %

 











Komentáře