Spór o sprawy odległe

Trwa dyskusja na temat architektur dla rozwiązań zabezpieczających sieci przed zdalnym podłączeniem do nich źle zabezpieczonych urządzeń.

Trwa dyskusja na temat architektur dla rozwiązań zabezpieczających sieci przed zdalnym podłączeniem do nich źle zabezpieczonych urządzeń.

Konieczność kompleksowego zabezpieczenia sieci przed przedostaniem się do niej osób niepowołanych lub złośliwego oprogramowania to mantra, którą słyszymy od kilku lat. Produkty umożliwiające realizację tej wizji zaczynają pojawiać się na rynku, ale o dojrzałych rozwiązaniach będzie można mówić dopiero za jakieś dwa lata. Obecnie trwa ożywiona dyskusja nad właściwą architekturą dla tego rodzaju rozwiązań, bowiem od jej właściwego wyboru zależeć będą korzyści i koszty ich funkcjonowania.

Z dyskusji toczonych w ramach paneli i w kuluarach majowej konferencji Interop w Las Vegas trudno wyciągnąć jednoznaczne wnioski. Najbardziej zaawansowane w rozwoju produktów i rozwiązań do zabezpieczania dostępu do sieci jest Cisco, ale jego potencjalnie największy rywal Microsoft nie wprowadzi na rynek swoich rozwiązań wcześniej niż za 18-24 miesiące. Własne propozycje architektur mają Check Point oraz McAfee. Równolegle mamy do czynienia z próbą wypracowania standardowej specyfikacji architektury dostępowej o nazwie Network Connect przez firmy zrzeszone w konsorcjum Trusted Computing Group (TCG).

Dobra, droga koncepcja

Cisco, które przewodzi inicjatywie o nazwie Network Access Control, opracowało architekturę nadającą się do łatwego skalowania i rozszerzania funkcjonalności. Umieszczenie logiki NAC w przełącznikach, routerach i bramach VPN wydaje się logiczne, ponieważ przez elementy te przepływa ruch i na nich właśnie można dokonywać dowolnej jego inspekcji, blokować go lub przekierowywać. Ostatecznym celem rozwiązania jest przecież zapewnienie bezpieczeństwa sieci i działających w niej usługom i aplikacjom. Wykorzystanie platform sieciowych ułatwia także zarządzanie i nie komplikuje infrastruktury.

Przytakiwanie oczywistym argumentom koncepcji Cisco kończy się, w momencie gdy dowiadujemy się, że wszelkie korzyści są możliwe do uzyskania dopiero wtedy, gdy de facto dojdzie do wymiany infrastruktury sieciowej na nowe rozwiązania - zgodne z NAC. Przy okazji, ze względu na naturę NAC, konieczne będzie także zrobienie sporych zakupów u partnerów Cisco dostarczających certyfikowane dla NAC rozwiązania antywirusowe, skanujące itp. Większość średnich firm z pewnością identyfikuje problemy wskazywane przez NAC, jednak zdecydowanie odżegnuje się od idącego za nią radykalizmu.

Taka postawa klientów ma wielorakie podłoże. Po pierwsze liczą się względy finansowe. Druga sprawa to kłopoty i komplikacje, jakie nieodłącznie towarzyszą wymianie sieci. Jest jeszcze trzeci argument, którego zignorować się nie da: biznes akceptuje wydatki na bezpieczeństwo, ale przede wszystkim wtedy, gdy za wysiłek związany z jego poprawą otrzymuje także wymierne korzyści biznesowe: większą wydajność, dostępność, niezawodność, łatwość zarządzania itp. Pod tym względem NAC nic jednak nie obiecuje, nawet nie próbuje obiecywać.

Centralnie lub w rozproszeniu

Wizja wymiany sieci wyłącznie w imię bezpieczeństwa wielu organizacjom jest nie w smak. Przynajmniej część z nich skusiłaby się na poprawę bezpieczeństwa przez wdrożenie rozwiązania NAC, ale takiego, które byłoby uzupełnieniem już istniejącej infrastruktury. Z myślą o takich klientach ofertę opracowuje konsorcjum TCG. Na majowej konferencji Interop pojawiły się dwie firmy, których oferta stanowi implementację rozwijanej przez TCG architektury. Co ciekawe, w obu przypadkach rozwiązania są jednocześnie zgodne z zapowiadaną przez Microsoft architekturą Network Access Protection (NAP).

Pierwsza z firm - InfoExpress stworzyła rozwiązanie rozproszone Dynamic NAC oparte na agentach instalowanych w komputerach lub serwerach rozlokowanych w różnych gałęziach sieci. Rozproszenie pozwala na utrzymanie niezawodności systemu i szybkości jego działania, co przy ochronie sieci korporacyjnych składających się z wielu oddziałów terenowych jest całkiem usprawiedliwione. Możliwość wykorzystania istniejącego sprzętu jest ukłonem w kierunku obniżenia kosztu wprowadzenia NAC do sieci. Najnowsza wersja (5.0) będzie dostępna od 1 lipca br. Przy cenie 49 USD za użytkownika rozwiązanie InfoExpress wydaje się całkiem atrakcyjne.

Vernier Networks przyjęła strategię centralizacji zarządzania weryfikacją zabezpieczeń zdalnie łączących się komputerów na dedykowanych platformach sprzętowo-programowych. Rozwiązanie EdgeWall 8800 zawiera 4 sloty mogące pomieścić 4 karty zawierające po 6 portów Gigabit Ethernet.

Do połączenia ze szkieletem sieci służy łącze 10G Ethernet. Oferta Vernier jest skierowana do większych firm, o czym świadczy także cena jej rozwiązań: 15 tys. USD kosztuje samo urządzenie EdgeWall 8800 i tyle samo jedna karta z portami.

Poszerzyć bramę

Apetyt na rynek rozwiązań zabezpieczających dostęp do sieci przed nieprawidłowo zabezpieczonymi komputerami mają także firmy działające na rynku "tradycyjnych" rozwiązań dostępowych, a więc bram IPsec VPN i SSL VPN, serwerów RAS, routerów i przełączników WLAN itp. Z technicznego punktu widzenia nie ma problemu, by usługa sprawdzająca zdalne komputery działała na tym samym urządzeniu co brama. Można się jednak zastanawiać, czy jest to rozsądne z punktu widzenia bezpieczeństwa sieci.

Nadmierne rozdmuchanie logiki na samym brzegu sieci może nie być dobrym pomysłem. Inna sprawa, że firmy nie po to poświęciły sporo czasu i wysiłku na poprawne wdrożenie warstwy VPN, by teraz burzyć ją i budować od początku. Wydaje się prawdopodobne, że prościej będzie wprowadzić rozwiązania NAC jako dodatkowy etap uwierzytelnienia. Po wykonaniu sekwencji logowania: klient > brama VPN > serwer 802.1x > serwer AAA > serwer LDAP, a więc po potwierdzeniu zarówno tożsamości, jak i zakresu uprawnień, można wprowadzić przekierowanie na serwer usługi NAC.

Czy będzie to usługa działająca na urządzeniu sieciowym, czy też na dedykowanym serwerze, będzie zależeć od lokalnych uwarunkowań i preferencji. Jeśli rzeczywiście producenci rozwiązań VPN włączą się do rozgrywki, powstanie szansa na szybsze dopracowanie produktów i obniżenie cen rozwiązań o zadowalającej większość funkcjonalności (nisze zawsze będą kosztowniejsze).

Bezpieczeństwo tak, ale nie za wszelką cenę

Wymiana infrastruktury sieciowej może mieć wielorakie podłoże. Firmy mogą chcieć wdrożyć telefonię IP, usługi komunikacji uniwersalnej, zwiększyć pojemność sieci w szkielecie lub w warstwie dostępowej. Zwiększenie bezpieczeństwa jako argument za wdrożeniem NAC przez całkowitą wymianę infrastruktury raczej nie zyska wsparcia kluczowych decydentów. Zwłaszcza teraz, na etapie walki o standardy i architektury. Zyskają głównie ci gracze, którzy będą w stanie zapewnić dostatecznie atrakcyjną funkcjonalność bez zmieniania istniejącego stanu rzeczy. Wiele firm z pewnością będzie czekać na rozwiązania Microsoftu, ponieważ będą traktować NAC bardziej jako element zarządzania komputerami niż bezpieczeństwem sieci. Inne zaś będą czekać zapewne na naturalne zestarzenie się aktualnie wykorzystywanych rozwiązań sieciowych. Eksperymenty z technologią NAC będą prowadzone przy okazji budowy nowych oddziałów, fuzji firm i związanych z nimi projektów ujednolicania infrastruktury. Zwykłe firmy będą czekać na rozwiązania relatywnie tanie, proste do wdrożenia i utrzymania. Całkiem prawdopodobne, że wpływ na jakość i ceny rozwiązań NAC będzie mieć środowisko open source, które w dziedzinie rozwiązań sieciowych czuje się lepiej niż w dziedzinie aplikacji biznesowych.


TOP 200