Bezpieczeństwo w pudełku

Na rynku oprócz programów można znaleźć coraz więcej urządzeń, które pomagają w zapewnieniu bezpieczeństwa informatycznego w firmie. Przedstawiamy przegląd takich urządzeń.

Zapora sieciowa

Historycznie pierwszymi urządzeniami związanymi z bezpieczeństwem były zapory sieciowe. Zapory sprzedawane są do dziś, jednak ich funkcjonalność znacznie się rozszerzyła. Wprowadzono klasyfikację ruchu na podstawie zawartości, a nie tylko portów, zainstalowano narzędzia wykrywające połączenia pochodzące od niepożądanych aplikacji w firmie, a założenia polityki kontroli ruchu są już automatycznie dystrybuowane na wszystkie węzły sieci.

Zapora sieciowa jest niezbędnym elementem ochrony sieci, gdyż jej zadaniem jest filtrowanie przechodzącego ruchu. Obecnie funkcjonalność zapory sieciowej jest wbudowywana do urządzeń klasy UTM i stanowi część ich możliwości. Wyjątkiem są zapory o bardzo wysokiej wydajności lub rozwiązania specjalizowane.

Zobacz również:

  • Cisco finalizuje przejęcie Splunk
  • Firewall as a Service - nowy trend w cyberbezpieczeństwie

Niektórzy producenci opracowali zapory sieciowe dystrybuowane w formie maszyny wirtualnej, dzięki czemu można elastycznie wdrożyć programowy firewall w środowisku wirtualizowanym. Metoda ta sprawdza się z powodzeniem przy ochronie różnych aplikacji. Jeśli przedsiębiorstwo ma środowisko wirtualizowane, w którym pracują produkcyjne serwery, warto rozważyć wdrożenie zapory sieciowej właśnie w wirtualizowanej konfiguracji.

Koncentrator VPN

Połączenia wirtualnych sieci prywatnych są bardzo często wykorzystywane w firmach, gdzie zapewniają bezpieczną transmisję danych przez niezaufaną sieć publiczną. Połączenia takie zestawiane są między podsieciami, a także między końcówką (np. mobilną stacją roboczą) a koncentratorem. Oprócz stosowanych w tym celu rozwiązań programowych do zakańczania połączeń VPN przeważnie wykorzystuje się sprzętowe urządzenia, gdyż zapewniają one odpowiednią wydajność i bezpieczeństwo. Koncentrator taki integruje się z firmowymi mechanizmami dwuskładnikowego uwierzytelnienia.

Opcje zakończeń tuneli VPN znalazły się w urządzeniach wielofunkcyjnych UTM, ponadto podstawowe tunele IPSec można spotkać nawet w routerach przeznaczonych dla małych przedsiębiorstw. Jeśli to możliwe, warto rozważyć wdrożenie VPN nawet w bardzo małej firmie, gdyż ułatwi to pracę zdalną lub ewentualne zewnętrzne wsparcie techniczne.

Filtr antyspamowy

Zalew niechcianą pocztą elektroniczną stanowi poważny problem dla administratora każdego publicznego serwera pocztowego. Niezbędne są narzędzia filtrowania przychodzących wiadomości poczty elektronicznej, przy czym nie zawsze narzędzia czysto skryptowe zapewniają wymaganą sprawność filtrowania spamu. Organizacje mogą skorzystać albo z usługi filtrowania spamu, polegającej na przekierowaniu ruchu na zewnętrzny serwer wyposażony w odpowiednie narzędzia, albo z oprogramowania, które ten sam cel osiągnie wewnątrz firmowych systemów IT.

Na rynku znajdują się gotowe narzędzia antyspamowe, które zawierają zestaw filtrów, a jednocześnie korzystają z chmury obliczeniowej operatora danej usługi. W dobie zalewu specjalnie dostosowywanych śmieci niezbędna staje się komercyjna usługa filtrowania takich wiadomości. Statyczny filtr, nawet wyposażony w mechanizmy probabilistyczne, niezbyt dobrze daje sobie radę w firmach.

Serwer uwierzytelnienia

Dwuskładnikowe uwierzytelnienie znacząco podwyższa bezpieczeństwo dostępu do zasobów firmy, ale wdrożenie podobnych rozwiązań bywa dość skomplikowane. Niektórzy producenci wychodzą naprzeciw potrzebom organizacji średniej wielkości i dostarczają gotowe urządzenie klasy appliance wyposażone w odpowiednie oprogramowanie.

Po wstępnej konfiguracji serwer uwierzytelniający jest gotowy do pracy i łatwo integruje się z firmowymi serwerami za pomocą specjalnych agentów. Wykorzystanie gotowego urządzenia bardzo przyspiesza proces wdrożenia i zmniejsza ilość codziennej pracy, którą musi podjąć dział IT przy utrzymaniu całego środowiska.

Urządzenie do backupu

Przy przetwarzaniu danych niezbędna jest kopia bezpieczeństwa. Początkowo przechowywana była wyłącznie na taśmie, obecnie coraz częściej na dyskach, a także w zasobach specjalizowanych urządzeń, które mają własne dyski lokalne, a także możliwość integracji z usługą składowania danych w chmurze. Rozwiązują one ważny problem związany ze złożonością stosowanego dziś oprogramowania do backupu.

W przeciwieństwie do pakietów programowych, które wymagają instalacji na odpowiednim serwerze, dołączenia urządzeń i utrzymywania oprogramowania w stanie aktualności, rozwiązania sprzętowe są bardzo proste we wdrożeniu i w utrzymaniu, a w połączeniu z usługą chmurową zapewniają naprawdę dużą pojemność. W odróżnieniu od usługi czysto chmurowej odtworzenie ostatniej kopii bezpieczeństwa odbywa się z buforów w skrzynce, a zatem o wiele szybciej niż w przypadku pobierania tej samej porcji danych przez internet.

Archiwum poczty

Gdy w firmie działa serwer poczty elektronicznej, dość szybko pojawia się potrzeba archiwizacji wiadomości pocztowych.

E-maile są danymi niestrukturalnymi, zajmują bardzo dużo miejsca i nie można przechowywać ich bez końca na produkcyjnym serwerze pocztowym, gdyż radykalnie spada jego wydajność. Wzrastają również koszty związane z przechowywaniem starych wiadomości. Usuwanie jest zawsze kłopotliwe, gdyż pojawia się pytanie: czy ta wiadomość kiedykolwiek będzie do czegokolwiek potrzebna. Na to pytanie często nikt nie potrafi dać jednoznacznej odpowiedzi.

Rozwiązaniem jest w takim przypadku archiwizacja wiadomości na zewnętrznym urządzeniu, by odciążyć serwer pocztowy. Archiwum takie można będzie potem przeszukiwać w miarę potrzeb. W odróżnieniu od produkcyjnego systemu pocztowego w takim archiwum można z powodzeniem włączyć deduplikację i kompresję bez utraty wydajności.

Wszystkie zdarzenia w jednym miejscu

Nie można mówić o zapewnieniu bezpieczeństwa bez zbierania informacji o pracy chronionych systemów. Każda aplikacja, każde urządzenie i każdy system zazwyczaj zostawiają wpisy w lokalnym logu, a zatem najpełniejszą informację o działaniu wszystkich urządzeń można uzyskać po zebraniu logów w jednym miejscu, a następnie korelacji zdarzeń.

Urządzenia klasy SIEM potrafią analizować logi, automatycznie klasyfikować informacje i podnosić alarm w przypadku wykrycia zdarzeń, które spełniają określone kryteria. Metoda ta jest skuteczna i umożliwia szybką reakcję działu IT na zdarzenia, których nie udałoby się wykryć w inny sposób, np. stopniową infiltrację infrastruktury przez włamywacza. Chociaż systemy SIEM wymagają dużej wiedzy ze strony specjalistów ds. bezpieczeństwa, są potężnym narzędziem, które umożliwia wykrycie nawet bardzo skomplikowanych ataków, by dział IT mógł na nie odpowiedzieć.

Dostęp do sieci

Aby minimalizować ryzyko niekontrolowanego dostępu do sieci, powstała technologia NAC, która sprawdza dostęp każdego urządzenia. Oprócz rozwiązań ściśle programowych na rynku pojawiły się również rozwiązania klasy appliance, które cechują się łatwym wdrożeniem. W połączeniu z zarządzanymi przełącznikami można uruchomić środowisko, w którym każda stacja robocza będzie autoryzowana przed zalogowaniem do sieci, przy czym będzie można sprawdzić stan aktualności systemu operacyjnego, sygnatur programu antywirusowego lub ustawień zabezpieczeń.

Ruch pod lupą

Potrzeba obrony przed różnymi atakami była jednym z powodów powstania narzędzi IDS, które analizują ruch sieciowy pod kątem znanych incydentów. W razie wykrycia symptomów ataku urządzenie podnosi alarm (IDS) lub podejmuje działania mające na celu zablokowanie ataku (IPS). Urządzenia te działają w czasie rzeczywistym, a zatem przy większej przepustowości badanego łącza wymagają akceleracji sprzętowej. Urządzenia IPS są jednymi z niewielu, które nadal potrzebują specjalizowanych układów scalonych, by osiągnąć oczekiwaną wydajność analizy. Duża moc obliczeniowa jest niezbędna, by urządzenie zdążyło zablokować dany atak. Właśnie z tego powodu urządzenia IPS przewidziane do ochrony gigabitowych łączy internetowych korzystają z programowalnych bramek logicznych oraz specjalizowanych bardzo szybkich mikroprocesorów.

Wiele w jednym

Nie zawsze firma potrzebuje nadzwyczajnej wydajności każdego z rozwiązań – o wiele częściej z przepustowością nie ma problemów, a o wyborze urządzenia decyduje jego funkcjonalność. W takim przypadku można zastosować urządzenia klasy UTM, które łączą w sobie zaporę sieciową, IPS, klasyfikator treści, a niekiedy także koncentrator VPN i akcelerator SSL. Takie rozwiązanie jest o wiele tańsze od kilku połączonych ze sobą urządzeń, jest ponadto o wiele prostsze w konfiguracji. Wadą jest jednak ograniczona wydajność, która nie we wszystkich przedsiębiorstwach będzie wystarczająca.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200