Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Content-security силами ISP

Д. В. Сереченко

За последние несколько лет рынок Интернет-услуг заметно “уплотнился”. Мелким и средним операторам становится все труднее зарабатывать на традиционных сервисах доступа в Сеть. Консолидация крупных игроков на базовых сегментах рынка (продажа емкостей, доступ, голосовые сервисы и т. д.) и развитие событий на российском рынке голосовых услуг, в частности конкретизация нового “Закона о связи”, добавляет неопределенность в перспективы традиционного бизнеса для многих средних и мелких операторов связи и заставляет их искать новые направления развития. В условиях отсутствия больших рекламных бюджетов, средств для проведения масштабных экспансий и демпинга на рынках традиционных услуг ISP развитие бизнеса так или иначе связано с внедрением дополнительных (value-added) сервисов. Чтобы выжить в мире жесткой конкуренции, мелкий и средний операторский бизнес вынужден развиваться в сторону предоставления клиентам новых интеллектуальных услуг, учитывающих современные требования по надежности и безопасности. Иными словами, он должен повернуться лицом к своему клиенту и понять, какие дополнительные услуги смогут облегчить последнему существование, и оградить его от инвестиций в непрофильные ресурсоемкие направления деятельности.

Одним из наиболее перспективных и быстро растущих направлений развития рынка дополнительных услуг, которое может послужить для ISP мощным подспорьем в конкурентной борьбе, являются услуги content security.

Почему Content-security?

Аргументов “за” в рассуждении, “почему это перспективно и почему этим следует заниматься именно на стороне ISP”, несколько. Современный Интернет — это международный конгломерат сетей, фактически не имеющий единого центра управления и общих законодательно закрепленных норм и правил пользования. Все попытки ввести единое административное управление и способы регулирования работы Интернета на законодательном уровне, даже в масштабах одной страны, до сих пор серьезного успеха не имели. Подчас используемые технологии настолько гибки исложны, что для внесения административного регламента в работу Сети необходимы серьезные совместные законотворческие усилия на международном уровне, чего на сегодняшний день не наблюдается. В таких условиях развитие Сети происходит практически стихийно, подчиняясь в основном законам коммерческой выгоды и целесообразности. Неудивительно, что в сложившейся ситуации появляется огромное количество проблем и возникает множество инцидентов, связанных с нарушениями информационной безопасности в Интернете. Распространяющиеся через Интернет вирусы, сетевые атаки на информационные системы, спам — это реальность, с которой каждый день сталкиваются ИТ-отделы всех компаний, имеющих доступ в Интернет.

С широким внедрением электронной почты, Web-технологий, IP-телефонии и других технологических новинок к нарушениям информационной безопасности становятся очень чувствительны не только компании, чья деятельность напрямую связана с Интернетом. При этом единственным “локальным центром управления Интернетом”, “законодателем”, который определяет правила пользования Сетью, является ISP. И в сложившейся ситуации представляется вполне целесообразным перенесение акцентов в обеспечении сетевой безопасности на сторону сервис-провайдера, реализация так называемой концепции “чистого Интернета”.

Полную версию данной статьи смотрите в 11-ом номере журнала за 2005 год.

В чем же суть этой концепции? Фактически, она предполагает разделение сетевого трафика на несколько типов в зависимости от пройденных тестов по безопасно-сти (например, при прохождении проверки антивирусным средством трафик относится к типу, свободному с определенной долей вероятности от вирусов) и введение различных правил управления трафиком. При такой градации трафика сервис-провайдер может не только обеспечивать доступ в Сеть, но и классифицировать клиентские подключения по их типу с точки зрения “чистоты трафика”, гарантируя определенный уровень сетевой безопасности.

До сих пор в решении проблем информационной безопасности основная нагрузка ложилась на ИТ-отделы компаний-пользователей. На рис. 1 приведена упрощенная схема системы сетевой безопасности (согласно международному стандарту ISO 17799). Чем обязан день ото дня заниматься хороший администратор такой системы?

1. Следить за списками уязвимостей (security vulnerabilities), рассылаемыми производителями оборудования сетевой защиты.

2. Устанавливать рекомендованные производителями “заплаты” (security patches).

3. Обновлять системное ПО для защиты от новых уязвимостей на всех устройствах системы безопасности.

4. Настраивать межсетевые экраны, системы обнаружения атак, сетевые сканеры, средства контроля типа MIME Sweeper и MAIL Sweeper.

5. Анализировать журнальные файлы на предмет наличия подозрительной активности (suspicious activities) и т. д.

Даже если предположить, что вся система защиты информации управляется единообразно и число обновлений ПО, а также количест-во инцидентов сетевой безопасности невелико, администратор информационной безопасности тем не менее должен обладать высокой квалификацией, постоянно ее поддерживать, совершенствовать свои специальные знания на соответствующих курсах и тренингах. На практике для администрирования и эффективного решения проблем безопасности в масштабной сети компания вынуждена содержать целый отдел высококвалифицированных ИТ-специалистов. Небольшой компании, для которой бизнес в Интернете не является ключевым, содержать такой штат достаточно накладно. Разумной альтернативой в данном случае является смещение акцентов в деле управления сетевой безопасностью от потребителя сервиса к сервис-провайдеру.

На сегодняшний день большинство ISP занимаются вопросами информационной безопасности как части своего сервиса только на базовом уровне (basic network security). Дополнительные услуги сетевой безопасности, предоставляемые ISP, едва ли выходят за рамки установки сетевых фильтров по запросу клиентов. Обычно это происходит, когда ИТ-отдел клиента обнаружил атаку и постфактум просит отфильтровать ее в опорной сети провайдера. В последнее время еще одним популярным сервисом безопасно-сти становится предоставление VPN-каналов на базе опорной сети сервис-провайдера, когда тот предоставляет несколько разных точек доступа в сеть и гарантирует определенный уровень защищенности трафика, резервирует под него полосу пропускания. Такой набор сервисов информационной безопасности вполне допустим для ISP первого уровня (ISP Tier one), бизнес которых ориентирован на крупных заказчиков, как правило, тоже сервис-провайдеров. Для ISP, обслуживающих в основном конечных потребителей, такого набора услуг становится явно недостаточно. И в этом смысле перенос акцентов content security на сторону ISP является очевидным следующим шагом в развитии дополнительных услуг, выгодных как пользователю, так и сервис-провайдеру.

С точки зрения пользователя, появление сервисов content security на стороне ISP фактически означает следующее:

1. Экономически выгодный аутсорсинг профессионального сервиса обеспечения сетевой безопасно-сти и безусловная экономия средств на содержании отдела высококвалифицированных специалистов по информационной безопасности.

2. Отсутствие ненужных капиталовложений на построение и постоянную поддержку масштабной инфраструктуры системы сетевой защиты.

3. Более оперативная реакция на нарушения сетевой безопасности.

4. Возможность построения, в случае необходимости, эшелонированной системы сетевой безопасности с несколькими рубежами, где первым рубежом будет система защиты на стороне сервис-провайдера.

Для компаний, бизнес которых не связан с Интернетом напрямую и которые используют Сеть лишь как инструмент для ведения основного бизнеса, такой вариант решения проблемы сетевой защиты оптимален как с точки зрения затрат, так и с точки зрения функциональности сервисов защиты.

Что касается ISP, то реализация услуг content security означает для него расширение спектра предоставляемых услуг и получение дополнительного аргумента в свою пользу при построении отношений с клиентами в рамках традиционных ISP-сервисов. Безусловно, требования по информационной безопасности разнятся от клиента к клиенту и эффективно управлять большим набором правил, подстраиваемых под клиента, непросто. Однако опытный ISP, неоднократно решавший подобные проблемы своих заказчиков, сумеет предложить клиентоориентированное решение. Это будет “ноу-хау” этого ISP, и именно за это будет взиматься дополнительная плата.

Как реализовать и реализоваться?

Итак, выгоды подобного решения несомненны. Остается один самый важный вопрос: как реализовать услуги content security в сети сервис-провайдера? Действительно, каким образом реализовать полноценную защиту данных пользователя на стороне провайдера? Собирать для каждого клиента традиционную схему защиты, представленную на рис. 1, с межсетевым экраном, системой обнаружения атак, антивирусным комплексом и т. д.? Это потребует серьезных капитальных вложений в оборудование и денег на содержание большого штата технических специалистов для поддержки сервиса. Очевидное решение — распределение ресурсов на некоторой общей платформе, реализующей сервисы content security. Но реализация подобного сервиса при помощи традиционных средств защиты представляет определенные сложности. Во-первых, существуют проблемы интеграции средств защиты в единое решение. Рынок средств сетевой безопасности в большинстве своем узкоспециализирован, производители фокусируются, как правило, на какой-то одной, максимум двух областях (например, на производстве межсетевых экранов и систем обнаружения атак). Собрать работоспособное и функциональное решение из разнородных продуктов — это отдельная, сложная задача. Во-вторых, возникают вопросы к производительности такого решения. На сегодняшний день ситуация такова, что многие средства сетевой защиты предназначены для использования на стороне пользователя в сетях с относительно небольшой пропускной способностью и не отвечают современным требованиям по производительности в высокоскоростных сетях сервис-провайдеров. Большинство же существующих решений, предназначенных для использования в сетях с широкой полосой пропускания и работающих “на скорости проводов” (wire-speed), не отвечают всем требованиям современной сетевой защиты (например, в части реализации антивирусной защиты сети). Таким образом, вечный вопрос: “Что делать?” (а точнее, “Как делать?”) становится краеугольным камнем в реализации сервисов content security и, в конечном итоге, концепции “чистого Интернета”.

Решение всех этих вопросов видится в использовании средств сетевой защиты, построенных по принципиально новой технологии. Что прежде всего требуется от средства сетевой защиты для реализации сервисов content security на стороне ISP и чего не хватает многим современным устройствам? Как уже говорилось выше, им не хватает высокой скорости обработки данных и реакции на угрозы сетевой безопасности, а также полноценной функциональности системы сетевой защиты (возможности межсетевого экрана, системы обнаружения вторжений, антивирусного комплекса и т. д.). На сегодняшний день одним из интересных решений представляется использование устройств, построенных по технологии UTM (Unified Threat Management).

Чем интересна технология UTM на фоне известных проблем с традиционными средствами сетевой защиты? Она предполагает интеграцию на единой аппаратной платформе основных сервисов сетевой защиты: межсетевого экрана, VPN-устройства, системы обнаружения вторжения и антивирусного комплекса. Эти базовые элементы системы сетевой безопасности представляют собой единый программно-аппаратный комплекс с общими архитектурными принципами построения и интерфейсами взаимодействия, который объединяет и связывает между собой все элементы сетевой защиты под управлением общей операционной среды. При этом реализованные по технологии UTM средства сетевой защиты, как правило, имеют аппаратную акселерацию — базовые функции защиты выполнены в виде специализированных микросхем ASIC (Application Specific Integrated Circuit). Поэтому базовые операции системы защиты по фильтрации трафика, криптозащите виртуальных каналов, распознаванию атак или вирусов по сигнатурам, определению попадания трафика в разряд подозрительного (suspicious profile) и другие процедуры работают фактически на скорости проводов и не привносят задержки в обработку потоков трафика.

Выигрывая по соотношению цена/функциональность и эффективности, системы сетевой защиты, построенные на базе UTM-устройств, приобретают все большую популярность в последнее время. Например, по оценкам IDC (документы Worldwide Quarterly Security Server Appliance Tracker), совокупная доля рынка UTM-устройств, появившихся на рынке чуть более года назад, очень быстро выросла до 12%, тогда как доля рынка традиционных межсетевых экранов/VPN-устройств упала с 87 до 70%. При этом только за I квартал 2004 г. рынок UTM-устройств вырос более чем на 60%. Лидерами на данном сегменте рынка средств сетевой безопасности являются компании Fоrtinet со своей новой серией устройства FortiGate (более 24 % рынка), Semantec (порядка 22% рынка) и Secure Computing (около 9% рынка).

Таким образом, учитывая вышеперечисленные особенности UTM-устройств (высокая скорость обработки данных, единый интерфейс управления системой сетевой безопасности, единая аппаратная платформа и, как следствие, потенциальная возможность аппаратной кластеризации и распределения нагрузки на систему защиты), можно сделать вывод о том, что они оптимально подходят для реализации концепции “чистого Интернета” в сетях ISP. Перспективность использования UTM-технологии уже осознана западными компаниями, которые традиционно опережают остальных в области внедрения передовых Интернет-технологий. На родине Интернета, в США, в настоящий момент появляются первые компании, реализующие проекты по внедрению сервисов content security на базе UTM-устройств. Это например, компания Detica (www.detica.com), запустившая в октябре 2004 г. новый продукт на базе собственного UTM-решения StreamShield. Российский рынок средств и сервисов сетевой безопасности в этом сегменте традиционно отстает.

Давайте представим себе, как может измениться архитектура системы сетевой безопасности, построенная на основе UTM-устройств, и как можно реализовать концепцию “чистого Интернета” с использованием средств UTM. На рис. 2 приведена примерная схема архитектуры сети ISP с использованием UTM-устройств. Согласно данной схеме, оборудование UTM устанавливается на уровне распределения трафика, между клиентскими устройствами и опорной сетью провайдера. Трафик опорной сети проходит через UTM-устройство, которое обрабатывает его в соответствии с настройками и передает на клиентское оборудование трафик, не содержащий потенциально опасных сегментов. Это позволяет обеспечивать защиту клиентского трафика от вирусных атак, атак на прикладные сервисы, атак типа “отказ в обслуживании”, спама, а также гибкое управление списками контроля доступа, возможность оперативной установки проксирующих шлюзов для основных Интернет-приложений (Web, FTP, электронная почта) и предоставление защищенных каналов доступа через сети общего пользования (Интернет). С точки зрения клиента, данный сервис выглядит как подключение к специальному порту, через который клиент получает уже “очищенный” трафик, не содержащий, с высокой долей вероятности, основных информационных угроз (вирусов, спама, сигнатур известных сетевых атак). Кроме того, используя такое подключение, клиент сможет оперативно сформировать защищенный канал в любую точку сети, установить списки контроля доступа для своего подключения, запустить проксирующий шлюз и настроить правила проксирования для основных Интернет-приложений. И, как уже было сказано выше, подключение к сервису комплексной сетевой защиты позволит разгрузить основную систему сетевой безопасности предприятия и свести к минимуму требования к системе сетевой защиты на стороне клиента.

В заключение хотелось бы отметить, что с ростом и все более широким распространением сети Интернет в геометрической прогрессии растет и количество возникающих проблем, так или иначе связанных с нарушениями информационной безопасности в сетях. Только за I квартал 2005 г. международным центром безопасности CERT (www.cert.org) зарегистрированы более 1200 новых уязвимостей открытых систем к информационным атакам. Как известно, спрос рождает предложение, и рынок предлагает несколько вариантов выхода из создавшейся ситуации. Среди них многообещающими представляются решение проблем информационной безопасности за счет смещения акцентов в защите данных на сторону ISP и предоставление комплексного сервиса сетевой защиты в сетях сервис-провайдера. Реализация в сетях сервис-провайдеров концепции “чистого Интернета” и, в частно-сти, услуг content security в настоящий момент получает широкое распространение и становится популярной и выгодной для обоих участников процесса — и для потребителя сервиса, и для сервис-провайдера.

Об авторе
Сереченко Денис Владимирович,
ведущий специалист по передаче данных и хостингу компании WideXs
Телефон: (095) 797-9160
E-mail: info@ionip.ru





  
11 '2005
СОДЕРЖАНИЕ

инфраструктура

• Недорогие коммутаторы Ethernet

• Сетевая печать — от Windows к Linux и обратно

• Выбираем IP-телефоны

информационные системы

• Архивирование сообщений электронной почты

• Тестируем системы архивирования электронной почты

сети связи

• Реализация программы «Тетрарус»

• По пути либерализации

• Видеосвязь в трех ипостасях

кабельные системы

• Сеть 10-Gigabit Ethernet на базе медной проводки. Реально ли это?

• Кабельные лотки развиваются в соответствии с меняющимися потребностями

защита данных

• Тестируем межсетевые экраны для филиалов компаний

• Content-security силами ISP

• Устраняйте уязвимые места прежде, чем их атакуют


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх