Model polityki wymuszania bezpieczeństwa klienta

IDC proponuje model wymuszania bezpieczeństwa klienta (Policy Enforcement Client Security - PECS) podobny do struktury atomu (zob. rys. 2). Jądrem jest polityka. Reguły takiej polityki mogą określać proste wymogi, np. użytkownik nie może utworzyć tunelu VPN dopóty, dopóki nie zostaną spełnione szczególne warunki: obecność oprogramowania antywirusowego z najnowszymi sygnaturami, aktywna osobista zapora ogniowa w aktualnej wersji. W przyszłości takie reguły polityki mogą obejmować również uwierzytelnianie, zarządzanie tożsamością, zapobieganie wtargnięciom i regularne skanowanie VA na klienckiej konfiguracji sprzętu i oprogramowania.

Poza tymi podstawowymi wymogami istnieje potrzeba scentralizowanego zarządzania, pozwalającego nie tylko na wdrażanie nowych reguł polityki na poziomie klienta, ale także na określanie, czy dopuścić, zabronić lub poddać kwarantannie żądanie dostępu pochodzące od klienta. Jeżeli klient podlega kwarantannie, możliwe jest jego uzupełnienie (naprawa) np. przez wyposażenie w odpowiednią wersję sygnatur antywirusowych. Scentralizowana infrastruktura IT zapewnia także możliwość rejestracji zdarzeń i audytu niezbędnych do określania zgodności poszczególnych elementów infrastruktury z wymogami polityki obowiązującymi w całym przedsiębiorstwie.

Chociaż koncepcja zarządzania politykami nie jest nowa (termin ten pojawił się już na początku lat 90.), to polityka bezpieczeństwa jest przeważnie implementowana w takich obszarach, jak konfigurowanie oprogramowania lub zapory ogniowej. Mechanizmy wymuszania polityk w sieci i systemach zarządzania istnieją dopiero od niedawna i obsługują takie elementy, jak zapewnianie poziomu usług, w których bezpieczeństwo odgrywa znaczącą rolę. Dzisiaj poszukuje się technik spokrewnionych z zarządzaniem siecią i systemem, dostosowanych do zarządzania bezpieczeństwem. Konwergencja taka może przejawiać się w wielu formach. Jedną z przykładowych inicjatyw, poszukujących zgodności koordynowania i wymuszania ze spójnymi środkami ochrony w punktach końcowych, jest Endpoint Compliance Enforcement (ECE). Chociaż nie spełnia jeszcze wszystkich wymagań, jest przykładem kompleksowego zarządzania polityką bezpieczeństwa.

Elementy wymuszania reguł polityki

ECE dotyczy głównie ochrony punktów końcowych. Główne założenia tej strategii to przede wszystkim ochrona przed:

• Obecnością oprogramowania nieautoryzowanego lub szkodliwego, takiego jak wirusy, trojany i wormy, niedozwolone aplikacje, a także ustawień konfiguracyjnych, np. niepożądane współdzielenie plików czy instant messaging. Kluczowym celem jest również usuwanie nieszczelności w oprogramowaniu.
• Nieautoryzowanym dostępem do platform, hosta lub sieci.
• Nieautoryzowaną konfiguracją punktu końcowego (np. wymienny dysk, zakazane połączenia lub nieuzgodnione połączenia bezprzewodowe).
• Nieautoryzowanym ruchem sieciowym, niezależnie od tego, czy związany jest z użytkownikiem uwierzytelnionym czy nieuwierzytelnionym.

Implementacja każdego z tych elementów strategii zależy od środowiska, które może obejmować:

• Platformy hostowe, takie jak urządzenia osobiste.
• Platformy ulotne, m.in. przeglądarki webowe - publiczne lub prywatne.
• Samą sieć, stykającą się z punktem końcowym.

Chociaż większość działań związanych z ochroną punktu końcowego ogniskuje się na środowiskach personalnym i zdalnym, takich jak korporacyjne urządzenia mobilne, systemy osobiste lub domowe oraz publiczne przeglądarki webowe, punkty końcowe przedsiębiorstw podpięte do sieci przewodowych również muszą podlegać zasadzie podporządkowania. Systemy głęboko zanurzone w sieci także mogą czasami działać jako punkty końcowe - np. serwery wirtualnych dektopów dla "cienkich" klientów. Tak więc funkcje ECE mogą różnić się zależne od tego, czy punkt końcowy jest hostem czy aplikacją, osobistym czy korporacyjnym, na stałe podpiętym do sieci czy mobilnym, przewodowym czy bezprzewodowym oraz czy platforma działająca jako punkt końcowy jest podpięta do punktów w innych środowiskach.

Hostowe ECE

Moduły agentów hostowego ECE zazwyczaj monitorują bieżący i akceptowalny stan:

• Ochrony antywirusowej.
• Osobistych i hostowych zapór ogniowych.
• Skompletowania i konfiguracji oprogramowania.
• Bieżącego poziomu łatek systemów operacyjnych.
• Odpowiednio licencjonowanych wersji oprogramowania.
• Dopuszczalnych konfiguracji sieci i nośników wymiennych.
• Innych elementów ochronnych, takich jak szyfrowane dane czy dyski.

Funkcje ECE mogą się różnić od tych, jakie są zapewniane przez ochronę punktów końcowych (zaporę ogniową czy antywirusową), ponieważ umożliwiają wymuszanie akceptowalnych konfiguracji tych i innych aplikacji. Na przykład, agent hostowego ECE może zapobiegać podejmowanym przez użytkownika próbom rekonfiguracji zapory ogniowej lub aplikacji antywirusowej. Funkcjonalność ECE może być także dostępna jako rozszerzenie usług zapory ogniowej czy oprogramowania antywirusowego.

Hostowe ECE mogą bezpośrednio wymuszać zgodność z regułami polityki. Mogą zapobiegać i nie dopuszczać do operacji, takich jak instalowanie zakazanego oprogramowania lub łączenie się z nieautoryzowanymi hostami i sieciami.