Zarządzanie ochroną punktów końcowych sieci
- Józef Muszyński,
- 01.09.2004
Model polityki wymuszania bezpieczeństwa klienta
IDC proponuje model wymuszania bezpieczeństwa klienta (Policy Enforcement Client Security - PECS) podobny do struktury atomu (zob. rys. 2). Jądrem jest polityka. Reguły takiej polityki mogą określać proste wymogi, np. użytkownik nie może utworzyć tunelu VPN dopóty, dopóki nie zostaną spełnione szczególne warunki: obecność oprogramowania antywirusowego z najnowszymi sygnaturami, aktywna osobista zapora ogniowa w aktualnej wersji. W przyszłości takie reguły polityki mogą obejmować również uwierzytelnianie, zarządzanie tożsamością, zapobieganie wtargnięciom i regularne skanowanie VA na klienckiej konfiguracji sprzętu i oprogramowania.
Poza tymi podstawowymi wymogami istnieje potrzeba scentralizowanego zarządzania, pozwalającego nie tylko na wdrażanie nowych reguł polityki na poziomie klienta, ale także na określanie, czy dopuścić, zabronić lub poddać kwarantannie żądanie dostępu pochodzące od klienta. Jeżeli klient podlega kwarantannie, możliwe jest jego uzupełnienie (naprawa) np. przez wyposażenie w odpowiednią wersję sygnatur antywirusowych. Scentralizowana infrastruktura IT zapewnia także możliwość rejestracji zdarzeń i audytu niezbędnych do określania zgodności poszczególnych elementów infrastruktury z wymogami polityki obowiązującymi w całym przedsiębiorstwie.
Chociaż koncepcja zarządzania politykami nie jest nowa (termin ten pojawił się już na początku lat 90.), to polityka bezpieczeństwa jest przeważnie implementowana w takich obszarach, jak konfigurowanie oprogramowania lub zapory ogniowej. Mechanizmy wymuszania polityk w sieci i systemach zarządzania istnieją dopiero od niedawna i obsługują takie elementy, jak zapewnianie poziomu usług, w których bezpieczeństwo odgrywa znaczącą rolę. Dzisiaj poszukuje się technik spokrewnionych z zarządzaniem siecią i systemem, dostosowanych do zarządzania bezpieczeństwem. Konwergencja taka może przejawiać się w wielu formach. Jedną z przykładowych inicjatyw, poszukujących zgodności koordynowania i wymuszania ze spójnymi środkami ochrony w punktach końcowych, jest Endpoint Compliance Enforcement (ECE). Chociaż nie spełnia jeszcze wszystkich wymagań, jest przykładem kompleksowego zarządzania polityką bezpieczeństwa.
Elementy wymuszania reguł polityki
ECE dotyczy głównie ochrony punktów końcowych. Główne założenia tej strategii to przede wszystkim ochrona przed:- Obecnością oprogramowania nieautoryzowanego lub szkodliwego, takiego jak wirusy, trojany i wormy, niedozwolone aplikacje, a także ustawień konfiguracyjnych, np. niepożądane współdzielenie plików czy instant messaging. Kluczowym celem jest również usuwanie nieszczelności w oprogramowaniu.
- Nieautoryzowanym dostępem do platform, hosta lub sieci.
- Nieautoryzowaną konfiguracją punktu końcowego (np. wymienny dysk, zakazane połączenia lub nieuzgodnione połączenia bezprzewodowe).
- Nieautoryzowanym ruchem sieciowym, niezależnie od tego, czy związany jest z użytkownikiem uwierzytelnionym czy nieuwierzytelnionym.
- Platformy hostowe, takie jak urządzenia osobiste.
- Platformy ulotne, m.in. przeglądarki webowe - publiczne lub prywatne.
- Samą sieć, stykającą się z punktem końcowym.
Hostowe ECE
Moduły agentów hostowego ECE zazwyczaj monitorują bieżący i akceptowalny stan:
- Ochrony antywirusowej.
- Osobistych i hostowych zapór ogniowych.
- Skompletowania i konfiguracji oprogramowania.
- Bieżącego poziomu łatek systemów operacyjnych.
- Odpowiednio licencjonowanych wersji oprogramowania.
- Dopuszczalnych konfiguracji sieci i nośników wymiennych.
- Innych elementów ochronnych, takich jak szyfrowane dane czy dyski.
Hostowe ECE mogą bezpośrednio wymuszać zgodność z regułami polityki. Mogą zapobiegać i nie dopuszczać do operacji, takich jak instalowanie zakazanego oprogramowania lub łączenie się z nieautoryzowanymi hostami i sieciami.