Tematem przeplatającym wszystkie wystąpienia i prezentacje na konferencji RSA 2006 była skuteczna kontrola dostępu do zasobów sieciowych.

Kontrola dostępu do danych jest absolutnym priorytetem dla firm - konsumentów informatyki, a więc także dla dostawców rozwiązań. Był to główny temat tegorocznej konferencji RSA Security. O żywym zainteresowaniu tą dziedziną świadczy fakt, że konferencja przyciągnęła ok. 14 tys. uczestników, ponad 300 wystawców, a także plejadę czołowych postaci z branży IT - i nie tylko. Swoje wystąpienia mieli m.in. Bill Gates (Microsoft), John Chambers (Cisco), John Thompson (Symantec), Scott McNealy (Sun Microsystems), a także Robert Mueller - dyrektor FBI.

Wielcy walczą o dostęp

W tym roku najważniejszym tematem konferencji była kontrola dostępu do systemów sieciowych. Oprócz prezentacji obecnego stanu i perspektyw rozwoju najbardziej znanych technologii tego typu, jak Cisco NAC i Microsoft NAP, również wiele innych firm zaprezentowało własne, firmowe systemy zabezpieczeń, jak m.in. Juniper Endpoint Defense Initiative, nowe oprogramowanie Mc-Afee, rozwiązania sprzętowo-programowe firmy Symantec.

Podczas konferencji zabrakło informacji o postępach we współpracy Microsoft i Cisco dotyczącej zapewnienia zgodności rozwijanych przez te firmy technologii kontroli dostępu do sieci NAP i NAC. Budząca wiele nadziei użytkowników umowa o współpracy została zawarta i ogłoszona już w październiku 2004 r. Obie firmy prezentowały i promowały swoje wizje bezpiecznych systemów IT niezależnie, co sprowokowało pytania zarówno o koszty, jak i poziom technicznego skomplikowania procesu uzgadniania mechanizmów zabezpieczeń NAC i NAP, jak również o rzeczywistą wolę współpracy między potentatami.

Jasnej odpowiedzi na razie nie ma. Przedstawiciele obu firm potwierdzają wolę współpracy, mimo że jednocześnie przyznają, że technologie zabezpieczania dostępu do sieci są trudniejsze i bardziej skomplikowane niż początkowo sądzili. Jednocześnie w planach Microsoft nie ma obecnie miejsca na produkty opracowywane wspólnie z Cisco. W efekcie może to oznaczać, że NAP i NAC, jeśli kiedykolwiek będą współpracować, to tylko w ograniczonym zakresie funkcji.

Na konferencji RSA własną platformę ochrony sieci - Policy Enforcer 1.0 zaprezentowała firma McAfee. Obejmuje ono serwer zarządzający oraz oprogramowanie klienckie dla Windows, które przed udostępnieniem sieci sprawdza stan aktualizacji systemu operacyjnego, programów antywirusowych i zapór firewall oraz ewentualną obecność nieautoryzowanych aplikacji w komputerze. Serwer Policy Enforcer 1.0 może działać samodzielnie lub też jako rozszerzenie serwera zarządzającego systemami ochrony antywirusowej - McAfee ePolicy Orchestrator.

Również Symantec ma coś do powiedzenia w tej sprawie.

Network Access Control Enforcer to urządzenie typu appliance o podobnej funkcjonalności co oprogramowanie McAfee. Wykorzystuje ono oprogramowanie Sygate Enterprise Protection opracowane przez firmę Sygate Technologies przejętą przez Symantec w ubiegłym roku. W skład zestawu oprócz serwera wchodzą programowe moduły klienckie dla Windows. Rozwiązanie Symantec może być instalowane w dedykowanym segmencie sieci LAN lub też tuż za bramką VPN. Co ważne, może skanować komputery niewyposażone w oprogramowanie klienckie.

Zarówno przedstawiciele McAfee, jak i Symantec deklarują, że ich systemy są zgodne z Cisco NAC oraz będą współpracowały z Microsoft NAP, gdy technologia ta pojawi się na rynku wraz z systemem Windows Vista.

Co więcej, obie firmy zapewniają, że będą wspierać powstający obecnie otwarty standard kontroli dostępu do sieci Trusted Network Connect, którego specyfikacje przygotowuje organizacja Trusted Computing Group.

Na razie ani McAfee, ani Symantec nie ujawniły cen nowych produktów.

Swoje pomysły na kontrolę dostępu do sieci przedstawił także Nortel Networks. Rozwiązanie SNAS (Secure Network Access Switch) mające formę zintegrowanej platformy sprzętowo-programowej współpracuje z przełącznikami tej firmy, umożliwia skanowanie komputerów przed udzieleniem dostępu i możliwość odcięcia dostępu nawet już w trakcie sesji. W odróżnieniu od technologii Cisco i Microsoft system Nortela nie wymaga instalacji oprogramowania klienckiego. Do skanowania zdalnych komputerów SNAS wykorzystuje aplet Java i zintegrowane mechanizmy Symantec WholeSecurity. Według przedstawicieli Nortel, SNAS ma współpracować z NAP, a także modułami agenckimi Trend Micro, McAfee i Check Point Zone Labs. Cena urządzenia z licencją dla 200 użytkowników zaczyna się od 18 tys. USD.

Oprogramowanie do kontrolowania dostępu do sieci oferuje również 3Com, wprowadzając na rynek TippingPoint Quarantine Protection. To nowe rozwiązanie uzupełniające funkcjonalność urządzeń IPS tej firmy o funkcje identyfikacji, kontroli i zabezpieczania dostępu do sieci bez potrzeby instalacji modułów programowych w komputerach klienckich. Aplikacja ma współpracować z Microsoft NAP, a w przyszłości również z rozwiązaniami innych producentów.

Microsoft gra w InfoCard

Kim Cameron z Microsoft pokazał na konferencji skrypt PHP, który umożliwia zmianę konfiguracji stron WWW, aby mogły współpracować z oprogramowaniem do zarządzania tożsamością InfoCard. Ma ono być standardowym elementem Windows Vista i nowej wersji przeglądarki Microsoft - Internet Explorer 7.

PHP może być wykorzystany do konfiguracji serwerów WWW pracujących pod kontrolą Linux, a jego kod umożliwia współpracę klientów InfoCard z serwerami WWW/wiki WordPress. Prezentowany na konferencji RSA skrypt PHP ma być w najbliższym czasie udostępniony pod adresem www.identityblog.com. Klient

InfoCard działa obecnie tylko na platformie Windows, ale jak powiedział Kim Cameron, liczba klienckich komputerów PC pracujących pod kontrolą Linux jest wciąż stosunkowo niewielka - w przeciwieństwie do liczby serwerów WWW . Stąd też zapotrzebowanie na inne wersje InfoCard jest na razie znikome.

Microsoft zamierza promować InfoCard jako prostą i bezpieczną technologię uwierzytelniania, która w perspektywie może zastąpić klasyczne nazwy użytkownika i hasła wykorzystywane obecnie powszechnie przez serwery webowe do kontrolowania dostępu. Jednak po porażce technologii Passport, poprzedniego pomysłu na uwierzytelnianie i przydzielanie praw dostępu w Internecie, przed Microsoft stoi rzeczywiście trudne zadanie.

Jak zapewnia Kim Cameron, instalacja funkcji uwierzytelniania InfoCard nie wymaga przeprowadzania głębokich zmian w kodzie stron WWW i ich funkcjonowaniu. Jednocześnie Microsoft prowadzi szeroko zakrojoną akcję przekonywania operatorów internetowych, a także użytkowników zarządzających indywidualnymi stronami WWW do zastosowania PHP i InfoCard. Jak mówi sam Kim Cameron, albo uda się uzyskać masowe wsparcie, albo projekt ten upadnie.

Zaawansowane funkcje zarządzania dostępem i tożsamością będą nie tylko nowym elementem w klienckiej wersji Windows Vista. Microsoft planuje też wraz z Windows Server Longhorn wprowadzenie nowej wersji Active Directory, która ma być centralnym elementem systemu usług kontroli dostępu i tożsamości użytkowników.

Funkcje takie jak DRM (Digital Rights Management) lub usługi zarządzania podpisami cyfrowymi będące obecnie elementem systemu Windows Server zostaną zintegrowane z nową wersją Active Directory. Ma to ułatwić zarządzanie systemem, bo obecnie różne funkcje związane z uwierzytelnianiem są rozproszone między różnymi, niezależnymi usługami Windows Server 2003.