ECE może rozciągać się na inne aplikacje ochrony punktów końcowych przez bezpośrednie wymuszanie zgodności z dodatkowymi standardami, takimi jak: dopuszczalność używania nośników wymiennych lub możliwość podłączania się do specyficznych sieci. Na przykład wskazane jest zapobieganie konfiguracjom, które mogłyby umożliwiać bezprzewodowe połączenia ad hoc typu host-host lub wyłączanie niektórych bądź wszystkich funkcji bezprzewodowych dla urządzeń mobilnych. Gdy system bezprzewodowy zostanie zaaprobowany, połączenia mogą być ograniczane do "białej listy" zaaprobowanych punktów dostępu.

Dla systemów połączeń nieregularnych, takich jak urządzenia podręczne czy laptopy, agent hostowy może funkcjonować niezależnie od sieci. W takim przypadku musi mieć możliwość wykonywania swoich funkcji w sposób bezpieczny i zaufany. Dlatego też istotne jest, aby sam agent był nienaruszalny. Sieć może mieć możliwość ochrony samej siebie przez rozpoznawanie agentów niezgodnych z oczekiwanym stanem. Taka funkcjonalność jest zazwyczaj wykorzystywana przez krótki czas - w okresie przejściowym.

ECE dla platform ulotnych

Gdy połączenie z zaufaną siecią jest nawiązywane z platformy ulotnej, takiej jak publiczne przeglądarki webowe lub kioski, to staje się ona punktem końcowym sieci. W tej sytuacji ECE zakłada większą rolę aplikacji z funkcjami zapory ogniowej, chroniącej punkty końcowe sieci przed nieautoryzowanym ruchem. W efekcie takie ECE staje się rozszerzeniem zapory ogniowej na czas trwania sesji, wymuszając ustawienia konfiguracyjne i kontroli zawartości.

Funkcjonalność ta może znikać po zamknięciu sesji lub może istnieć pomiędzy sesjami w całości lub częściowo. Przejściowa funkcjonalność zapewnia także pośrednictwo w uzyskaniu zgodności drogą korekcji, takich jak uaktualnienia oprogramowania i konfiguracji.

ECE zorientowane na przeglądarki może także wymuszać politykę na samej przeglądarce. I tak, jeżeli część zaufanej sesji obejmuje sprowadzanie (download) plików z wrażliwą informacją, to informacja ta może pozostać w buforze przeglądarki po zakończeniu sesji. Innym przykładem są cookies i inne informacje czasowe, zawierające wrażliwe dane. ECE dla platform ulotnych może likwidować te nieszczelności przez ograniczenia przekazywane w czasie trwania połączenia, a także czyszczenie pozostałości zawartości w przeglądarkach po zakończeniu połączenia.

Sieć na styku z punktami końcowymi

Mechanizmy oparte na sieci chronią samą sieć przed niezgodnymi hostami i uzupełniają działania wymuszane na punktach końcowych. Jeżeli punkt końcowy nie spełnia wymagań, to właśnie funkcjonalność sieciowa musi zdecydować, czy połączenie do sieci zaufanej ma nie dojść do skutku lub czy punkt końcowy utracił zgodność podczas sesji. Ochrona sieciowa obejmuje:

• Uwierzytelnianie punktu końcowego. W uzupełnieniu uwierzytelniania użytkownika środki ECE mogą także weryfikować samą platformę punktu końcowego, używając takich informacji, jak adres MAC czy (bardziej bezpiecznych) "odcisków palca", dostępnych dla wielu komponentów.
• Kontrolę obecności akceptowalnych agentów hostowego ECE lub funkcjonalności przejściowej ECE, właściwie skonfigurowanych.
• Weryfikacje statusu zgodności. Może to być raportowane przez komponenty ECE na hostowych i przejściowych punktach końcowych lub weryfikowane bezpośrednio przez sieć.

Jeżeli punkty końcowe nie spełniają wymogów polityki, sieciowy ECE może reagować na tę sytuację na różne sposoby: zapobiegając ustanowieniu połączenia, kończąc aktywne połączenia lub kierując punkt końcowy do miejsca, gdzie mogą być zastosowane środki naprawcze.

Funkcje naprawcze są szczególnie ważne, ponieważ mogą ułatwiać zabezpieczanie operacji punktów końcowych zamiast - po prostu - eliminować je z sieci z powodu niespełnienia wymagań.

Jeżeli punkt końcowy nie spełnia wymagań i jest oferowana jego korekta, to zazwyczaj obejmuje ona połączenie do specyficznej lokalizacji. Połączenie takie może być skierowane do sieci wyodrębnionej, która dopuszcza tylko niektóre typy działań sieciowych, np. ograniczone do gości, kontrahentów czy partnerów biznesowych. Sieć taka jest właściwie strefą zdemilitaryzowaną (DMZ) dla tych klas połączeń.

Sesja (lub host) może być też skierowana do sieci, gdzie jest oferowana korekta związana z niespełnieniem wymagań. Naprawa może być ręczna (użytkownikowi oferowany jest wybór sposobów uzyskania zgodności, sprowadzenia lub implementacji) bądź wykonywana bezobsługowo.

Jedną z zalet sieciowych ECE jest zdolność do powstrzymania incydentów powiązanych z bezpieczeństwem w momencie ich powstawania. Możliwość ta (ciągle na wczesnym etapie rozwoju) wpływa także na funkcjonalność już dostępną w zarządzanej sieci. Na przykład, nagły nietypowy wzrost ruchu sieciowego, kierowanego do wielu hostów na port 135 (Microsoft DCOM RCP), może wskazywać narastanie niebezpiecznych zdarzeń. Przy prawidłowej korelacji funkcje wspierające ECE mogą umożliwiać identyfikację takich zdarzeń i odpowiednie ich dławienie. Host propagujący wormy, a także cały segment sieci lub podsieci mogą być odizolowane.

Zalety i wady ECE

Potencjalne korzyści z egzekwowania zgodności punktów końcowych są oczywiste: zapewnienie, że punkty końcowe spełniają zdefiniowane standardy bezpieczeństwa, uproszczenie ochrony i administrowania systemem, zgodność polityki i inne. Kolejną korzyścią z ECE jest to, że wnosi ona proaktywne środki do ochrony zazwyczaj uważanej za reaktywną.

Jednym z problemów ECE jest zakres, w jakim musi się ono integrować z zarządzaniem łatkami, co jest trudnym przedsięwzięciem. Mając to na uwadze, trzeba pamiętać, że rolą ECE jest przede wszystkim egzekwowanie. Dlatego też może być stosowane do wzbogacania zarządzania oprogramowaniem, zapewniając np., że system został "załatany" lub skonfigurowany zgodnie z oczekiwaniami. Tam gdzie istnieje luka w zarządzaniu oprogramowaniem, ECE może wnieść dodatkową ochronę, taką jak wymuszanie blokad nieszczelności na zaporach ogniowych dopóty, dopóki nie pojawią się efektywne łatki.

ECE jest ciągle we wczesnym stadium rozwoju i nie jest jeszcze pewne, czy może je wdrożyć jak największa liczba dostawców. Na przykład, ECE oparte na agentach może spotkać się z zarzutem konieczności dodawania jeszcze jednego agenta do zarządzania. Z drugiej jednak strony kod tego agenta może być niewielki, a jego wartość powinna być mierzona ryzykiem, przed którym chroni.

Nie ma rozwiązań idealnych. Potrzebne jest więc stosowanie szerokiego zestawu rozwiązań w celu zmniejszenia ryzyka utraty wydajności infrastruktury IT. Krytyczne składniki systemu ochrony punktów końcowych powinny obejmować:

• Definiowanie polityki i kontroli zgodności na poziomie klienta.
• Możliwość raportowania i rejestrowania, która pozwala mierzyć zgodność z polityką.
• Integrację polityk serwera i klienta z istniejącą, heterogeniczną ochroną klienta (VPN, antywirusy, zapory ogniowe, wykrywanie intruzów, skanowanie poczty, filtrowanie Weba i szyfrowanie).
• Minimalizację wymagań pamięciowych agenta na kliencie.
• Łatwość administrowania (uaktualnianie reguł polityki, rejestrowanie zdarzeń, audyt i klasyfikacja klienta powinny odbywać się przez przeglądarkę).
• Centralne zarządzanie z punktu widzenia polityki.
• Oferowanie dokładnego zarządzania politykami, tak aby obejmowało ono różne typy użytkowników, urządzeń i połączeń sieciowych.
• Transparentność dla użytkownika i odporność na "majstrowanie" (użytkownik, nie widząc takiej aplikacji, nie może zapobiec jej uruchomieniu i nie może majstrować przy jej ustawieniach).
• Kontrolę klienta poprzez sprawdzanie odpowiednich produktów ochronnych i pozwoleń, odmawianie tworzenia lub poddawanie kwarantannie połączeń sieciowych bez lub z VPN.
• Wsparcie dużego wyboru przewodowych i bezprzewodowych technik dostępowych, takich jak ISDN, WiFi, GRPS, szerokopasmowe i dial-up.
• Zastosowanie uwierzytelniania, takiego jak Domeny NT czy Active Directory.

Zabezpieczenie infrastruktury sieciowej, w którym szczególną uwagę poświęca się jej punktom końcowym, jest przedmiotem najnowszych strategii obronnych prezentowanych przez dostawców urządzeń sieciowych, takich jak Self-Defending Network z Cisco, Secure Networks firmy Enterasys Networks, Clear-Flow z Extreme i Unified Security Framework firmy Nortel. Każda z nich ma zapewnić sieci wyposażenie mające pomóc w identyfikacji, zapobieganiu lub co najmniej zmniejszeniu skutków naruszenia bezpieczeństwa. Oddzielny artykuł na ten temat zaprezentowaliśmy w numerze 6/2004 NetWorld.