Network World, США
Cisco и Microsoft рассказывают о месте NAC-инструментария в системе безопасности
Марк Ашида: «Сотрудникам ИТ-служб хочется иметь возможность следить за работой систем и инфраструктуры из какой-то одной точки. Для Microsoft и Cisco это открывает простор для дальнейшего сотрудничества» |
Впервые Cisco Systems и Microsoft объявили об объединении усилий для устранения различий между архитектурами управления безопасным доступом к сетевым ресурсам.
Как тогда заявили представители компаний, между ними достигнуто соглашение об обмене программными интерфейсами соответствующих приложений и совместной работе над протоколами, позволяющими улучшить совместимость конкурировавших технологий Network Access Protection (NAP) от Microsoft и Network Admission Control (NAC) от Cisco.
Обе технологии обеспечивают безопасность при включении в сеть таких абонентских устройств, как персональные компьютеры и мобильные системы. И NAP, и NAC позволяют устанавливать правила, препятствующие доступу в сеть компьютеров с устаревшими версиями антивирусных программ, с неправильными настройками сетевых экранов, а также в ряде других подобных случаев.
На конференции The Security Standard, проходившей в начале сентября в Бостоне, представители корпораций Cisco и Microsoft рассказали о ходе выполнения работ, направленных на обеспечение совместимости технологий Cisco NAC и Microsoft NAP. Подробно освещались вопросы, связанные с порядком использования совместно разрабатываемого двумя компаниями API при интеграции систем Microsoft со средствами Cisco Access Control Server после начала поставок Windows Vista и выпуска в 2007 году серверной операционной системы Longhorn.
В ходе конференции старший редактор журнала Network World Дэниз Дуби взяла интервью у технического директора подразделения Cisco Security Technology Group Боба Глейчофа и генерального менеджера направления Microsoft Windows Networking Марка Ашиды, постаравшись выяснить, почему компании решили объединить свои усилия в области безопасности и что сулит их дальнейшее сотрудничество.
Поясните, пожалуйста, как предполагается организовать совместную работу технологий Cisco и Microsoft и чем это в конечном итоге поможет пользователям?
Боб Глейчоф (БГ): Данные технологии должны сделать системы более прозрачными. Вы сможете оценить, к какой категории следует отнести текущее положение дел: обеспечена ли полная или частичная совместимость, существуют ли риски или угрозы. Все это произвольные описания возможных политик. На их основе определяются порядок доступа к ресурсам сети, процедуры восстановления и организации противодействия атакам. Автоматизация данного процесса позволит сэкономить время администраторов и освободить его для решения других задач.
Вы считаете, что клиентов не устраивает уровень автоматизации, существующий при нынешнем уровне интероперабельности продуктов? Если да, то каким образом вы собираетесь усовершенствовать технологию?
БГ: Определенная часть сообщества пользователей всегда будет опасаться чрезмерного надзора, чрезмерного контроля, но в корпоративной среде, на которую, собственно, и ориентирована технология данного типа, приняты совершенно иные ценности и отношения между компанией и работающими в ней сотрудниками.
Марк Ашида (МА): Эту тему мы с Бобом обсуждали еще давным-давно. И впоследствии часто поднимался вопрос о том, какой путь лучше избрать для выполнения соответствующих задач. Очевидно, что решение должен принимать системный администратор, поэтому нужно предоставить ему возможность настройки конфигурации. А поскольку у каждой компании имеется своя архитектура и инфраструктура, функции настройки конфигурации являются ключевым элементом нашей технологии.
БГ: Это одна из самых сложных задач, которые нам пришлось решать.
К какому классу вы отнесли бы свой подход C-NAC/NAP к построению корпоративной системы безопасности? К числу профилактических мер или к области выполнения определенных действий по факту наступления того или иного события?
БГ: Скорее это похоже на профилактику. Периодически посещая доктора, вы убеждаетесь в том, что здоровы. В долгосрочной перспективе это помогает сократить расходы на лечение.
МА: Четкую грань здесь провести довольно сложно. Слышали ли вы что-нибудь о концепции массового здоровья? Многие люди не собираются делать себе прививку против гриппа, утверждая, что все равно не заболеют, но одна из основных причин благополучного для них исхода обусловлена тем, что всем окружающим прививки уже сделаны. Непривитые не болеют лишь потому, что все вокруг здоровы. В то же время, если прививки разом прекратят делать все, начнется эпидемия. Одно из главных преимуществ технологии NAP/C-NAC заключается в том, что она повышает общий уровень защищенности среднего компьютера компании.
БГ: И инфраструктуры.
МА: Это действительно имеет очень большое значение, потому что улучшается общее здоровье каждого компонента, а следовательно, и компании в целом.
Как технология ведет себя по отношению к недисциплинированным конечным пользователям, которые тянут с модернизацией или забывают проводить своевременное обновление программного обеспечения?
БГ: Давайте посмотрим, что произойдет с предприятием, похожим на компанию Cisco (для которой характерны богатые инженерные традиции и независимость отдельных компонентов) применительно к его сети. Уровень осведомленности пользователей окажется ниже, чем в случае полной согласованности всех элементов. Системы проектируются таким образом, чтобы специалисты, ответственные за обеспечение информационной безопасности, имели возможность поощрять людей за соблюдение всех предъявляемых к ним требований, а сотрудники, нарушающие правила, наказывались штрафом. Известно, что управление на основе политик может вызывать у персонала ИТ-службы определенные сложности. Каким образом разработанная совместными усилиями технология поможет укрепить и оптимизировать системные политики, конкретизируя их для каждого элемента сети?
МА: Мы полагаем, что политики удобнее всего хранить в службе каталогов Active Directory. Сервер Network Policy Server поможет провести оценку этих политик на уровне операций. Общий интерфейс в сети для любого применения политик в процессе дальнейшего их совершенствования формируется с помощью ACS. Таким образом, наша технология обеспечивает каскадное выстраивание политик в рамках имеющейся инфраструктуры.
БГ: Сегодня наши клиенты запускают ACS в рамках Active Directory, причем политики хранятся в ресурсах Active Directory. Когда на рынке появятся Vista и Longhorn, нужно будет подумать об интеграции на промежуточном уровне службы NPS, которая обеспечит прозрачность арбитра политик. Она хорошо подходит на эту роль благодаря своему способу реализации и месту в архитектуре.
А теперь мне хотелось бы остановиться на перспективах Cisco. Как отразится сотрудничество с Microsoft на отношениях Cisco с другими поставщиками программного обеспечения? Первые сообщения о союзе Cisco и Microsoft появились в 2004 году. Примерно в это же время представители Cisco и IBM сообщили о совместной разработке средств сетевого доступа на основе продуктов Cisco и программного обеспечения Tivoli. Можно ли ожидать укрепления связей Cisco с другими производителями программного обеспечения?
БГ: Я готов подтвердить, что взаимодействие с IBM идет на пользу обеим компаниям, и мы намерены поддерживать его и в дальнейшем. Отношения сохранятся по крайней мере до момента завершения сделки между IBM и ISS. Пока в IBM окончательно не оформят приобретение и не расскажут нам более подробно о своих планах последующего использования компании ISS, вести речь о влиянии этой сделки на наши связи с IBM и вообще обсуждать данную тему не имеет смысла.
Последние инициативы Cisco в области сетевого управления расширяют сферу действия политик безопасности. Почему в Cisco вдруг заинтересовались управлением своим собственным механизмом? Вы нацелены на повышение эффективности или безопасности?
БГ: Любой поставщик, сумевший добиться успеха, держит свою фундаментальную сферу управления под контролем. Нашей сферой управления является сетевая структура. У Google это поисковые механизмы. У Microsoft — среда серверов, настольных компьютеров и операционных систем. Обеспечив себе присутствие в одной из этих областей, производитель задумывается о дальнейшей адаптации к потребностям бизнеса, о расширении своей фундаментальной сферы управления. Для Cisco такой подход выглядит вполне логичным. Наверное, это не первое, что приходит на ум при взгляде на логотип Cisco, но тем не менее данным моментам у нас отводится очень важная роль. Механизмы управления сетью и соответствующие политики относятся к числу технологий, которые мы активно совершенствуем там, где это имеет смысл.
Похоже, сегодня Cisco начала вести себя гораздо более открыто. Она охотно делится с партнерами своими наработками в области управления.
БГ: Microsoft и Cisco открыты по отношению друг к другу. Мы общими усилиями продвигаем компоненты управления политиками. Вот почему речь зашла о перекрестном лицензировании наших разработок. Мы пришли к перекрестному лицензированию, потому что не знаем, в каких областях заинтересованные подразделения двух компаний решат использовать данную технологию в будущем.
А теперь коснемся Microsoft. Корпорация выступила с инициативой Dynamic Systems Initiative и недавно анонсировала проект разработки и последующей поддержки языка Service Modeling Language, который будет реализовываться совместно с другими поставщиками систем управления. Почему сегодня поставщики механизмов управления гораздо охотнее приступают к совместному проектированию стандартов, упрощающих клиентам организацию управления и обеспечение безопасности по сравнению с тем, что творилось пять лет тому назад?
МА: Ключевым моментом здесь является то, что компании, разбитые на отдельные функциональные группы, испытывают потребность в сквозных средствах управления. С помощью механизмов сквозного управления можно, например, быстро выяснить, почему не работает электронная почта. Для определения причины неисправности больше не нужно последовательно обзванивать восемь человек. Сотрудникам ИТ-служб хочется иметь возможность следить за работой систем и инфраструктуры из какой-то одной точки. А для Microsoft и Cisco это открывает простор для дальнейшего сотрудничества, ведь клиентам нужно добиться согласованного функционирования элементов обоих поставщиков.
БГ: Конвергенция производителей становится дополнительным импульсом для дальнейшего снижения цен, повышения устойчивости работы систем и принятия более эффективных решений.