Deperymetryzacja, czyli bezpieczeństwo w świecie bez granic

Pojęcie perymetru sieci staje się coraz bardziej rozmyte, niektórzy analitycy przewidują całkowite odejście od tego modelu ochrony. Nie wszyscy są jednak pewni, czy to właściwa droga.

Pojęcie perymetru sieci staje się coraz bardziej rozmyte, niektórzy analitycy przewidują całkowite odejście od tego modelu ochrony. Nie wszyscy są jednak pewni, czy to właściwa droga.

W miarę otwierania sieci przedsiębiorstw dla partnerów biznesowych, klientów czy dostawców okazuje się, że posterunki ochronne obrony okrężnej, takie jak zapory ogniowe, są również otwarte. Zwiększa się także mobilność użytkowników wewnętrznych, którzy łączą się z zasobami korporacyjnymi poprzez zewnętrzne łącza przewodowe lub bezprzewodowe. Organizacje nadal utrzymują obwodowe zapory ogniowe, ale teraz mają one tyle otwartych furtek, że ledwie zapewniają jakąkolwiek ochronę.

Utrzymywanie sztywnych granic w dzisiejszych sieciach staje się nieefektywne. Co prawda chronią one sieć przed atakami typu DoS czy amatorskimi włamaniami, ale nie chronią przed zagrożeniami dnia dzisiejszego. Zagrożenia takie jak Sasser czy Blaster, które łatwo przechodzą przez perymetr ochronny sieci i atakują sieci wewnętrzne, są tego najlepszym dowodem.

Specjaliści są na ogół zgodni: ochrona obwodowa nie zapewnia teraz pełnej obrony. Najbardziej popularną strategią odchodzenia od ochrony obwodowej (perymetru) jest to, co specjaliści od ochrony nazywają "obroną przesuniętą w głąb sieci" (defense in depht). Jest to proces wspierania obrony perymetrycznej przez podział na warstwy i bardziej liczną ochronę wewnętrzną.

Stosuje się tu takie rozwiązania, jak zapory ogniowe poziomu aplikacyjnego, IDS-y w różnych punktach sieci czy pakiety oceny podatności na zagrożenia.

Cztery fazy demontażu perymetru ochrony

Zakłada się, że organizacje przechodzić będą cztery fazy "deperymetryzacji", aby osiągnąć stan, w którym będzie można bezpiecznie prowadzić biznes w pełni otwartym środowisku - bez ochrony obwodowej.

Wiele organizacji jest dzisiaj w fazie pierwszej, którą można określić jako "wychodzenie poza perymetr sieci". W tej fazie organizacje przesuwają publicznie dostępne aplikacje webowe poza perymetr sieci korporacyjnej, bliżej użytkowników z nich korzystających. Pozwala to na ustanowienie bezszwowej, opartej na Internecie, komunikacji z klientami czy partnerami biznesowymi, uwalniając personel IT od konieczności ochrony danych na obwodzie sieci.

W fazie drugiej - "zmiękczania perymetru" ( organizacje przestają stwarzać pozory wspierania umocnionego perymetru i zamiast tego skupiają się na zapewnieniu szyfrowanego transportu i uwierzytelnianego dostępu do wewnętrznych danych. Zdaniem ekspertów faza ta pojawi się w ciągu dwóch lat w większości organizacji.

W fazie trzeciej perymetr przestaje istnieć. Organizacje będące w tej fazie ewolucji przejdą na szyfrowanie danych i uwierzytelnianie połączeń, eliminując potrzebę istnienia jakiegokolwiek perymetru. Przejść do fazy trzeciej należy się spodziewać w okresie od 2006 do 2007 r.

Faza czwarta to już komunikacja bez granic. Forum Jerycho (zob. ramka) podkreśla, że faza ta jest zależna od szerokiego stosowania globalnych standardów uwierzytelniania na poziomie danych. Grupa ocenia, że większość organizacji będzie zdolna do przejścia w tę fazę w roku 2008.

Architektura deperymetryzacji

Prawdziwa deperymetryzacja wychodzi poza ochronę przesuniętą w głąb sieci i polega na pewnej formie globalnego szyfrowania danych, uwierzytelnianiu i zarządzaniu tożsamością. Taka architektura ochrony wymaga stosowania technologii zarządzania uprawnieniami i narzędzi wymuszania reguł polityki bezpieczeństwa, aby zapewniać użytkownikom uzyskiwanie dostępu jedynie do tych sieci, serwerów i danych, do którym mają upoważnienie. Ma to umożliwić bezszwowe połączenia B2B - bez potrzeby stosowania zapór ogniowych i IDS.

Problem leży po stronie dostawców systemów zarządzania, którzy muszą zapewnić rozwiązania obejmujące zdolność uwierzytelniania między różnymi organizacjami, wymuszania reguł polityki bezpieczeństwa i zarządzania sfederowaną tożsamością.

Chociaż takie globalne uwierzytelnianie jest poza możliwościami dzisiejszych rozwiązań, coraz szersze stosowanie sfederowanej tożsamości i prace organizacji, takich jak Liberty Alliance, powinny to umożliwić w niedługim czasie. Stowarzyszenie to pracuje właśnie nad standardem zarządzania sfederowaną tożsamością i web services.

Trochę wątpliwości

Wszystko to wygląda pięknie w idealnym świecie, ale większość użytkowników odnosi się dzisiaj sceptycznie do możliwości usunięcia ochrony obwodowej. Koncepcje, takie jak zarządzanie sfederowaną tożsamością, są dość odległe i nikt do końca nie pracuje w takim systemie. Trudno stwierdzić dzisiaj, że nie można z kimś prowadzić biznesu, ponieważ nie ma on prawidłowego identyfikatora cyfrowego. Wielu obserwatorów sceptycznie wyraża się o szybkim osiągnięciu ideału sfederowanej tożsamości.

W opinii obserwatorów obecnie większość elementów potrzebnych do czterofazowego przejścia do deperymetryzacji jeszcze nie istnieje. Uwierzytelnianie na poziomie danych i zarządzanie sfederowaną tożsamością są na razie w fazie koncepcji.

Jak na razie użytkownicy muszą zdawać się na rozwiązania odcinkowe i przejściowe, które obejmują fragmenty tego problemu. Wiele organizacji poszukuje ukierunkowanych produktów, które wspierają ochronę wewnętrzną, torując jednocześnie drogę do bardziej zintegrowanej tożsamości cyfrowej i zarządzania polityką bezpieczeństwa. Realizują one postulat "zwijania perymetru" i skupiają się na przenoszeniu zarządzania ochroną na poziom indywidualny.

Kluczowe składowe niezbędne do przeprowadzenia deperymetryzacji

Organizacje będą musiały użyć następujących technologii w celu uzyskania architektury ochronnej nieposługującej się pojęciem perymetru:

  • Narzędzia wymuszania polityk bezpieczeństwa
  • Systemy zarządzania tożsamością
  • Systemy zarządzania uprawnieniami
  • Szyfrowanie danych na wszystkich poziomach i na wszystkich etapach - transmisji czy magazynowania w postaci pliku lub rekordu bazy danych.
Forum Jerycho i jego cele

Forum Jerycho określa siebie jako grupę dużych, wielonarodowych firm, która za cel postawiła sobie zaprojektowanie otwartych standardów umożliwiających bezpieczny, nieuwzględniający granic przepływ informacji między firmami.

Statutową misją Jerycho jest projektowanie skodyfikowanych wymagań, przede wszystkim w dziedzinach uwierzytelniania, szyfrowania i zarządzania tożsamością oraz wymuszania reguł polityki.

Forum skupia ponad 40 członków, m.in. BAE Systems, Pfizer, Procter&Gamble, Reuters, Rolls-Royce i Unilever. Grupa rozwija się i ostatnio pozyskała kilku nowych członków ze Stanów Zjednoczonych oraz firmy międzynarodowe, m.in. Airbus, Boening i GlaxoSmithKline. Teraz czynione są starania rozszerzenia grupy o członków z Japonii, Francji i Niemiec.

Podczas spotkania w sierpniu tego roku, grupa zaplanowała opublikowanie pod koniec roku specyfikacji roboczej, która ma uszczegółowić wymagania dostawców pozwalające na realizowanie rzeczywistej deperymetryzacji.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200