Для характеристики взаимоотношений, которые сложились между вендорами, стоящими на страже информационной безопасности, и их противниками лучше всего подходит выражение «странная война». Так называют первые месяцы, последовавшие за разделом Польши в 1939 году. Современная «странная кибервойна» длится намного дольше и не без выгоды для противоборствующих сторон. О размере «защитного» бизнеса свидетельствует приобретение Intel компании McAfee, бывшей до этого второй в данном сегменте рынка, за 8,5 млрд долл., что втрое превышает сумму, которую Oracle заплатила за Sun Microsystems. Сделку Intel — McAfee можно рассматривать как наиболее достоверный индикатор грядущих радикальных изменений в технологиях противоборства киберпреступности. На протяжении нескольких десятилетий сфера безопасности оставалась островом мнимой стабильности, где господствовал простой цикл: в ответ на появление очередной угрозы создавались адекватные средства защиты. Однако быстрое распространение технологий виртуализации и сервисных моделей нарушило позиционную стабильность этой странной войны. Разнообразные -aaS стимулировали поиск альтернативы классическим технологиям, предполагающим создание защищенных периметров.
Еще несколько лет назад никому и в голову не могло прийти, что ставшие виртуальными серверы и данные могут покидать защищаемый периметр. До сих пор действовала замковая идеология — чем толще стены, тем надежнее защита, а для безопасной передачи небольших объемов данных достаточно было классической криптографии. Не случайно до сих пор популярны названия, включающие в себя слово «замок» (скажем, Data Vault или Virtual Vault). Но эта ситуация осталась в прошлом. В облаках и виртуальные серверы, и данные с неизбежностью выходят за корпоративные стены. Наличие у предприятий мобильных активов диктует два альтернативных подхода к обеспечению их сохранности. Можно встраивать защитные технологии непосредственно в аппаратное обеспечение, по этому пути идут производители коммуникационного оборудования Cisco и Juniper, создающие специальные защитные микросхемы ASIC, этой же дорогой намеревается пойти Intel, но на уровне процессоров. А компаниям, специализирующимся на системах безопасности, остается второй путь — совершенствование имеющихся технологий и их адаптация к новым условиям. Этот путь избрали для себя в Trend Micro.
О новой стратегии компании рассказал побывавший в Москве Рик Фергюсон, старший советник по безопасности из британского центра Trend Micro, находящегося в городе Милтон-Кинс. По случайному совпадению или нет, но именно здесь расположено поместье Блечли-Парк, известное как криптографический центр, где во время Второй мировой войны были раскрыты секреты Enigma и других немецких шифромашин, построены машины Colossus и Bomb. Облачная стратегия Trend Micro подразумевает развитие двух независимых направлений, первое предполагает создание и усовершенствование защиты хостов и виртуальных машин, расположенных в облачных ЦОД, второе — защиту данных, вынесенных в облака.
На защиту хостов ориентирована группа продуктов Trend Micro, объединенная архитектурой Deep Decurity. В нее входят: анализатор пакетов Deep Packet Inspection, проверяющий потоки входящих и выходящих пакетов на предмет нарушений протоколов, признаков атак, нарушения правил безопасности; средство для обнаружения и предотвращения вторжений; анализатор протоколов работы; технология для создания защитных экранов вокруг виртуальных серверов.
В единую систему Deep Security эти продукты объединяются с помощью трех управляющих компонентов: Deep Security Agent — агента, внедряемого в физический или виртуальный сервер; Deep Security Manager — менеджера, управляющего агентами; Security Center — портала, отображающего происходящие процессы и позволяющего администрировать систему.
В процессе работы агенты Deep Security Agent получают из модуля Deep Security Manager профиль защищаемого сервера, где указаны его свойства и используемые средства защиты, и информируют управляющий модуль о происходящих процессах. Внедрение технологий Deep Security обеспечивает виртуальным серверам два важных качества. Во-первых, каждый создаваемый виртуальный сервер комплектуется необходимыми средствами защиты, это можно назвать самообороной сервера. Во-вторых, изменяется представление о периметре обороны. Если раньше граница создавалась вокруг всей корпоративной системы, то теперь она окружает каждый отдельно взятый сервер. Поэтому, если быть точным, следует говорить не об отказе от защищаемого периметра, а о его изменении. Фергюсон назвал такое оборонительное сооружение репериметризацией. Одно из важнейших преимуществ Deep Security заключается в возможности защиты не только от внешних угроз, но и от угроз, которые могут исходить от других виртуальных машин, находящихся в том же ЦОД. Последняя версия Deep Security включает в себя безагентный инструментарий для защиты от вредоносных программ и аналитическое решение для виртуализованных сред, использует технологию VMware vShield Endpoint и имеет повышенную степень защиты сервера от нарушения целостности данных, обеспечивает соответствие правовым требованиям.
Вторая составляющая — система защиты данных в облаке, эту функцию выполняет платформа Trend Micro SecureCloud. Суть этого решения в том, что самим пользователям предоставляется эксклюзивное право контроля над ключами шифрования, в то время как технологии провайдера услуг гарантируют лишь совместное или автоматическое управление ими. Предложенный Trend Micro метод подразумевает «разделение обязанностей». Наделяя пользователей облачных сред возможностями по увеличению их эффективности, он сохраняет контроль над хранящейся в облаках информацией. Владельцы данных получают эксклюзивную возможность диктовать время и место использования ключей шифрования, посредством чего они могут сохранять полный контроль над информацией и безопасно работать в любой облачной среде. Бета-версия Trend Micro SecureCloud поддерживает платформы Amazon EC2, Eucalyptus и VMware.