Network World, США
Судьба сетевых экранов поставлена под сомнение
Единственный документ, описывающий концепцию «разрушения периметра», опубликован в феврале под названием Visioning White Paper. Его можно найти на Web-сайте Open Group, консорциума, который пропагандирует открытые стандарты и возглавляет форум |
Более десяти лет назад сетевые экраны были установлены для охраны периметров корпоративных сетей, чтобы защитить их от возможных угроз из Internet. Однако все больше отвечающих за безопасность менеджеров, объединенных под знаменами Jericho Forum, намерены отказаться от такой обороны, которая, по их мнению, препятствует электронной коммерции.
Доводам участников форума возражает не менее авторитетная группа аналитиков, руководителей департаментов корпоративной защиты и, что неудивительно, представителей компаний, выпускающих сетевые экраны.
«Отказаться от защиты периметра сети? Это сущая ерунда, — заявляет Джон Пескаторе, аналитик компании Gartner, упомянувший об этой концепции во время выступления на конференции IT Security Summit, где обсуждались вопросы развития сетевой безопасности. — Мы считаем, что защищенный периметр, который создается вокруг серверов, сейчас особенно важен. От него никак нельзя отказываться, и в будущем его роль нисколько не уменьшится».
«Сеть должна обладать способностью воспринимать легитимный и нейтрализовать подозрительный или неизвестный трафик», — утверждает Пескаторе. И это, по его мнению, означает, что контроль периметра важен сегодня как никогда».
«Иерихонский» форум Jericho Forum, который получил свое название в честь библейских стен, которые чудесным образом рухнули от звуков труб, ставит своей целью определение новой архитектуры защиты. Эта организация призывает избавиться от старых сетевых экранов, впрочем, как и от граничных прокси-серверов, называя это процессом «разрушения периметра», который можно завершить в течение нескольких лет. Цель семи десятков членов Jericho Forum, в состав которых входят такие организации, как Barclays Bank, Boeing и Eli Lilly, состоит в том, чтобы убедить ИТ-отрасль в необходимости создать систему управления доступом нового типа, а также разработать продукты для обеспечения целостности данных, которые позволят перенести управление безопасностью в глубину intranet-сети.
Предлагаемое Jericho Forum устранение традиционных сетевых экранов, формирующих периметр обороны, и сохранение при этом прежних гарантий надежной защиты некоторые эксперты считают невозможным.
«На сегодняшний день отсутствует альтернатива существующим решениям, и я сомневаюсь, что она вообще возможна, — считает Найджел Флетчер, администратор мобильной инфраструктуры нефтегазовой компании BG Group, где работает 6 тыс. человек и представительства которой разбросаны по всем странам. — Для того чтобы все это стало реальностью, необходимо значительно увеличить уровень доверия в мире».
Специалисты компании Check Point Software, одного из лидеров рынка сетевых экранов, высмеивают идею отказа от применяемых ныне систем.
«Прежде всего, мы используем термин ?шлюз периметра защиты?, — подчеркивает Энди Сингер, директор Check Point по вопросам исследования рынка. — Сетевой экран позволяет открывать и закрывать порты. Однако есть масса таких вещей, которые можно добавить к функциям шлюза, например формирование сетей VPN или предотвращение вторжений».
Сингер поддерживает усилия форума, направленные на то, чтобы «заставить людей во всем мире задуматься, какой станет защита через 10‑20 лет, что обычно мало кто сегодня делает». Однако он считает, что сами по себе идеи форума не имеют смысла.
От концепции защиты периметра, по словам Сингера, отказываться нельзя. Он отмечает, что сетевые экраны пошли дальше сетевых продуктов, чтобы обеспечивать защиту на уровне приложений, способную анализировать HTTP-трафик с использованием функциональности Port 80.
Участники Jericho Forum заявляют, что увеличение объемов голосовых сообщений, передаваемых по каналам IP, еще больше усложняет ситуацию с использованием сетевых экранов, но Сингер называет такие опасения необоснованными. Он полагает, что членам форума следует более внимательно изучить вопрос и не отказываться столь категорично от шлюзов, устанавливаемых на периметре сети.
Некоторые специалисты в области безопасности признают, что они просто не могут представить себе жизнь без расположенных на границах сетей экранов. «Мы рассматриваем данное решение как основу», — подчеркивает Джефф Аранофф, директор по защите информации компании Broadcom, выпускающей полупроводниковые компоненты. Аранофф добавил, что он не видит альтернативы сетевым экранам при предотвращении возможных угроз в процессе работы с Internet. Хотя он признает, что обеспечение доступа бизнес-партнеров во внутреннюю сеть Broadcom через такие экраны требует значительного объема дополнительной работы и что это препятствие преодолеть невозможно.
Но трудности в организации электронной коммерции при наличии сетевых экранов, а также растущее недоверие к их надежности помогают понять, почему участники форума хотят избавиться по крайней мере от одной-двух ныне существующих стен.
«Сетевой экран хорошо выполняет свои работу при защите от вирусов на основе скриптов и при предотвращении атак, приводящих к отказам в обслуживании. Однако в других случаях, когда речь идет о Web-сервисах и электронной почте, это ненадежная защита», — считает Пол Симмондс, директор по вопросам глобальной информационной безопасности входящей в состав Jericho Forum английской компании ICI, выпускающей химические реактивы и краски.
В то же время сетевые экраны — препятствие на пути развития основанной на непосредственном взаимодействии серверов экономически выгодной электронной коммерции.
Тем не менее любая попытка отказаться от «демилитаризованной зоны» на основе сетевых экранов, по словам Симмондса, «стала бы попыткой самоубийства корпорации». Он полагает, что «большой скачок» в устранении сетевых экранов, скорее всего, не произойдет, хотя некоторые участники форума, в том числе BP-Amoco, уже ухитрились убрать ряд таких систем для упрощения выполнения определенных глобальных операций.
Одним из шагов, предпринятых Jericho Forum, чтобы сдвинуть дело с мертвой точки, стал конкурс на создание детальной архитектуры защиты на основе идеи «разрушения периметра». Такую архитектуру можно было бы использовать для безопасной работы с Internet систем аутентификации обращений к базам данных и доступа к Web-порталам. Единственный документ, описывающий концепцию «разрушения периметра», опубликован в феврале под названием Visioning White Paper. Его можно найти на Web-сайте Open Group, консорциума, который пропагандирует открытые стандарты и возглавляет форум.
Технический директор и вице-президент по инженерии компании Qualys Герхард Ишелбек считает, что идеи форума необходимо обсуждать, поскольку периметр фактически уже пал.
«Модель защиты периметра утратила свою актуальность, поскольку почти любой протокол туннелируется через один открытый порт, — поясняет Ишелбек. — Сетевые экраны сегодня действуют главным образом как размещенные на границе сети статические узлы контроля. Необходимо разработать в рамках отрасли методы переноса средств защиты в ядро сети и создать единую архитектуру, предоставляющую возможность динамического допуска в сеть внешних систем через индивидуальные точки доступа».