Многоуровневая безопасность трафика сети
Многоуровневая защита траффика — самый верный путь обезопасить себя от принципиально небезопасного Интернета. Правда, какой бы вариант защиты компания ни выбрала — будь то несколько программных пакетов различного назначения или единая комплексная система, — главным условием успеха является постоянное сопровождение всех развернутых средств.
У менеджера ИТ сегодня есть два варианта. Во-первых, он может приобрести единое устройство с заказной ОС, программным обеспечением и аппаратными средствами. Во-вторых, на рынке имеются специализированные программные продукты, способные оперативно проверять входящий и исходящий трафики, используя балансировки нагрузки, кластеризацию, кэширование и собственные алгоритмы, очищать его от потенциальных или известных угроз безопасности.
Проще всего установить у себя оборудование (например, фирмы Blue CoatSystems), которое затем можно на протяжении нескольких лет обновлять программно. Подобные системы поставляются, что называется, "под ключ" — с собственной защищенной ОС и (как правило) очень прочным корпусом, заказным ПО и специализированными интегральными микросхемами, ускоряющими проверку всех пакетов. Цена таких систем колеблется от 1500 до 10 000 долл.
Нелишним будет здесь вспомнить историю Blue Coat. Начав жизнь под названием Cacheflow Systems, эта фирма в эпоху процветания Интернет-бизнеса занималась совершенствованием аппаратных средств для ускоренного доступа в Сеть. После того как пузырь электронной коммерции лопнул, специалисты Blue Coat нашли технологиям кэширования другое применение. Оказалось, что с их помощью можно очень быстро проверять, не содержит ли пакет вредоносной информации и не передается ли она по подключению. Благодаря этому открытию фирма начала осваивать совершенно новое направление.
Из программных продуктов можно назвать комплект eSafe 4 фирмы Aladdin Knowledge Systems, который реализует примерно такой же подход, что и комплекс Blue Coat, но при этом позволяет компаниям применять собственные (что зачастую намного дешевле) аппаратные средства. Пакет eSafe прежде всего загружает специализированную версию операционной системы Red Hat Linux, a затем — приложение eSafe 4. Такая последовательность гарантирует, что вся дальнейшая работа ведется в полностью защищенной операционной среде, что крайне важно для полной безопасности.
Однако и аппаратные средства, и программное обеспечение со временем приходится обновлять.
В долгосрочном плане явное преимущество принадлежит аппаратным комплексам, поскольку их производители точно знают конфигурацию оборудования, установленного у каждого клиента. Даже несмотря на то что модернизация порой требует внесения физических изменений в оборудование, она себя вполне оправдывает, так как поведение систем, работающих на любой машине с процессором и источником питания, бывает очень трудно предсказать, а это в области безопасности — большой минус.
Правда, работая с устройствами на базе Linux, мы не переставали удивляться их способности адаптироваться к любой аппаратной платформе. А администрировать многие функции вычислительных центров при этом оказалось ничуть не сложнее, чем в среде Windows.
Не стоит забывать и об открытости кода подобных средств, благодаря которой Aladdin, например, смогла надежно защитить операционную базу своей системы. Таким образом, мы не видим никаких причин, мешающих программным комплексам выйти в ближайшем будущем на тот же уровень простоты использования и сопровождения, который характерен для аппаратных систем.