Ochrona graniczna kontra zabezpieczenia wewnętrzne

Skuteczność zapór na styku z internetem bywa obecnie kwestionowana.

Kiedy świat na przełomie lat 80. i 90. zaczął się podłączać do internetu, wiadomo było, że prędzej czy później pojawią się także nieprzyjemne konsekwencje tego faktu. W nadziei zatrzymania zła z dala od wewnętrznych sieci i zasobów zaczęto wdrażać koncepcję firewalla, czyli zapory ogniowej, której autorami byli Marcus Ranum i Bill Cheswick. Pierwsze komercyjne zapory, w tym SEAL firmy Digital Equipment Corp., uwolniły przedsiębiorstwa i instytucje od konieczności tworzenia własnych rozwiązań.

Zapora na brzegu sieci stała się nieodłącznym elementem krajobrazu - punktem demarkacyjnym, w którym specjaliści od bezpieczeństwa tworzyli zestawy skomplikowanych reguł ochrony, określających, co jest, a co nie jest dozwolonym ruchem. Ale 20 lat później niepodważalna dotąd rola zapory internetowej zaczęła być kwestionowana - coraz większa grupa specjalistów od bezpieczeństwa swoje wątpliwości opiera na jednym fakcie: brzeg sieci zupełnie się rozmył.

Konieczność umożliwienia dostępu aplikacji e-commerce do systemów wewnętrznych, współpraca z kontraktorami w modelu outsourcingu, mobilne komputery i handheldy, używane przez pracowników podróżujących po całym świecie - to wszystko wnosi wkład do zniesienia ostrych granic sieci korporacyjnej z internetem.

"Ochrona graniczna zanika" - zauważa Paul Simmonds, jeden z aktywistów Jericho Forum, grupy mającej za cel stworzenie innowacyjnej, opartej na danych architektury zabezpieczającej (nazwanej "collaboration-oriented architecture"). Członkowie Jericho Forum to specjaliści ds. bezpieczeństwa sieciowego dużych, głównie europejskich firm o międzynarodowym zasięgu. Jednym z najważniejszych dla Jericho Forum terminów jest "de-perimeterization", co można przetłumaczyć jako "znoszenie granic". I chociaż grupa nie rekomenduje pozbywania się granicznych zapór, to ich krytyka firewalli jako barier dla e-commerce spotkała się już z silną opozycją.

Wspomniany twórca firewalli Bill Cheswick, z AT&T Research, choć przyznaje, że wizja korporacyjnego bezpieczeństwa nie opartego na ochronie brzegowej może się wydawać atrakcyjna, to widzi jej ograniczenia - "nie można wtedy np. powstrzymać ataku DoS, więc i tak dla naszego ogrodu nadal będziemy potrzebowali płotu..."

***

Zobacz: "Najbardziej zażarte spory technologiczne"

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200