Kombinované bezpečnostní zařízení pro malé a středně velké podniky

11. 6. 2005

Sdílet

Střední a malé podniky hledají v tvrdé soutěži způsob, jak zvýšit svou efektivitu a šetřit provozní náklady. Přechod k webové architektuře, nové služby telekomunikačních operátorů a konvergence firemních komunikací jim otevřely cestu k technologii a aplikacím, které si v minulosti mohly dovolit jen větší organizace.

S tím, jak firmy a organizace stále více závisí na síťové infrastruktuře,
roste důraz na její spolehlivost a konzistentní podporu kvality
služeb. Již to není jen datové centrum nebo lokální síť v centrále podniku.
Útoky, šířící se v síti, nutí firmy rozprostřít a rozvrstvit ochranu
komunikační infrastruktury, koncových stanic a aplikací pomocí různých typů
bezpečnostních zařízení. Aby byla ochrana před útokem účinná, musí být
bezpečnostní systémy a procesy nasazeny na všech úrovních organizace a ve všech
lokalitách sítě homogenním způsobem.
Mezi základní prostředky ochrany patří šifrování dat přenášených ve virtuálních
privátních sítích, antivirová ochrana, ochrana hranice sítě, bezpečné rozdělení
funkčních domén podniku a systémy pro zneškodnění bezpečnostních průniků do
firemní sítě (Intrusion Protection Systems). Již jen dlouhý výčet technologií
nutných k obraně firemní sítě napovídá, že nasazení silných bezpečnostních
řešení má svá úskalí. Symptomem narůstající komplikovanosti bezpečnostních
řešení je, že se operační centra začínají podobat centrům řízení kosmických
letů. Problémem není jenom množství peněz, které musíme vynaložit na
implementaci jednotlivých dedikovaných bezpečnostních řešení. Ještě větším
problémem se stává cena, kterou platíme, abychom tyto „stohy“ řešení a systémů
udrželi v chodu. To je pro malé a středně velké podniky zásadní překážkou
rozvoje informačních technologií. Musí hledat nové způsoby, jak se s
komplikovaností bezpečnostních řešení vypořádat. Jednu z cest nabízí využití
integrovaných zařízení, a to jednak směrovačů s integrovanými bezpečnostními
službami, nebo kombinovaných bezpečnostních zařízení, která jsou připojena za
směrovačem, jenž je pod správou poskytovatele datové služby.
Rostoucí nebezpečí, které v poslední době přichází zejména od různých forem
škodlivých programů, vedlo k vytvoření nové bezpečnostní architektury. Její
vlastnosti definovala společnost META Group jako hloubkové členění sítí,
víceúrovňová aplikační ochrana a všudypřítomná integrace bezpečnostních funkcí.
Koncepce hloubkového členění sítě směřuje k integraci bezpečnostních funkcí do
síťových prvků a k vývoji multifunkčních bezpečnostních zařízení, která mohou
vykonávat několik obranných funkcí současně a ve vzájemné součinnosti.
Nový typ bezpečnostních zařízení v sobě kombinuje funkce firewallu,
IPS, síťové antivirové ochrany a koncentrátoru pro vzdálený přístup společně s
funkcemi pobočkového směrovače a VPN brány. Integrace funkcí na jedné platformě
umožňuje hledat odpověď na některé těžko řešitelné problémy. Jako příklad může
posloužit kombinace přístupu do sítě pomocí IPSec standardu a hloubková inspekce
paketů, která je nutná pro ochranu proti zneužití protokolů na aplikační úrovni.
Dedikovaný aplikační firewall na hranici sítě je slepý vůči šifrovaným datům,
přenášeným uvnitř VPN tunelu, který je zpravidla ukončen na zařízení
v demilitarizované zóně, za hraničním firewallem. Oproti tomu integrované
bezpečnostní zařízení může funkce VPN a hloubkové inspekce IP paketů
(popřípadě také další funkce) řetězit a vykonat kontrolu všech spojení po jejich
dešifrování, ale před vpuštěním do vnitřní sítě.
U směrovačů s integrovanými bezpečnostními službami jsme se donedávna potýkali s
tím, že současná konfigurace několika funkcí mnohdy zásadně degradovala jejich
výkon. Z hlediska přenosového výkonu byly směrovače nejvíce zatíženy šifrováním
dat a digitalizací hlasu. Přitom právě stále širší využití služeb VPN spolu s
nutností připojovat pobočky na vyšších rychlostech a široké využívání
technologie VoIP byly v posledních letech motorem rozvoje firemních WAN sítí.
Zákazníci dnes požadují, aby se šifrování dat pomocí silných algoritmů nijak neprojevilo
na přenosovém výkonu směrova-če. K tomu je nutné vybavit směrovač přídavným
urychlovacím modulem nebo integrovat šifrovací modul, osazený ASIC procesory nebo
FPGA, přímo na základní desku směrovače.
Zkušenosti ukazují, že integrace funkcí v jednom zařízení prodlužuje dobu jeho
života ve firemní síti na 4–6 let. Odstranění nutnosti obměňovat přístupový
směrovač nebo kombinované bezpečnostní zařízení snižuje celkovou cenu
vlastnictví TCO bezpečnostního řešení hned několika způsoby. Kromě evidentních
investičních úspor přináší také nižší náklady v souvislosti s konsolidací správy
a dohledu, se školením IT zaměstnanců a snížením četnosti a délky plánovaných
servisních zásahů.

Cisco ISR (Integrated Service
Routers) – směrovače s integrovanými
službami pro malé firmy.

Autor článku