17.11.2015

Распределённая сеть под защитой

"Журнал сетевых решений/LAN", № 11 (224), ноябрь, 2015<br>
Экспертный комментарий Алексея Александрова, руководителя направления по работе с технологическими партнёрами компании "Аладдин Р.Д."

Построение единой защищённой корпоративной сети для территориально распределённых объектов — сложная комплексная задача. При её решении приходится учитывать множество факторов и рисков. О некоторых из них рассказывается ниже.

Большинство современных информационных систем носят распределённый характер и могут функционировать только при наличии высокопроизводительной корпоративной сети передачи данных, без которой сегодня трудно представить работу коммерческих компаний и государственных организаций.

По данным исследования ZK Research, более 75% сотрудников предприятий работают вне головного офиса — на территории филиалов, в командировках или в домашних условиях. Всем им необходим доступ к корпоративным приложениям и данным, в том числе к таким критически важным системам, как Oracle E-Business Suite, NetSuite, Sage ERP или Microsoft Dynamics. Нередко они работают и с облачными приложениями — например, с Salesforce.com, Google Apps и Microsoft Office 365.

Объединяя в единую систему все офисы и подразделения предприятия, подчас находящиеся на значительном расстоянии от штаб-квартиры, корпоративная сеть позволяет предоставить персоналу возможность одновременной работы с распределёнными или централизованными приложениями, базами данных и другими сервисами.

При этом территориально распределённые сети должны обеспечивать безопасность передаваемой информации, обладать требуемой производительностью, быть удобными в администрировании и "прозрачными" для пользователей и приложений. Это предполагает объединение удалённых офисов и филиалов в единую инфокоммуникационную структуру и формирование на её базе защищённой корпоративной рабочей среды. Нередко инфраструктурный уровень включает ещё и беспроводные сегменты сети Wi-Fi, обеспечивающие мобильность сотрудников в офисе компании.

Как считает Алексей Андриашин, консультант компании Fortinet по информационной безопасности, для обеспечения защищённого удалённого доступа к корпоративной сети необходимо, чтобы подключение осуществлялось только с использованием протоколов SSL VPN/ IPSec при обязательной двухфакторной аутентификации. Желательно также автоматически обеспечивать удалённым пользователям защищённое рабочее пространство, чтобы при завершении сеанса подключения на рабочем месте не оставалось никаких его следов (временные или скачанные файлы, история посещения страниц и др. должны быть удалены).

IP VPN

В территориально распределённой компании для объединения разрозненных подразделений в единую корпоративную сеть могут задействоваться выделенные каналы связи или общедоступные сети передачи данных. Если для передачи данных, голосового трафика и видео используются выделенные каналы, передаваемая по ним информация защищена от внешних воз-действий, но такое решение, во-первых, достаточно дорого, а во-вторых, не всегда и не везде у предприятия есть техническая возможность получить в своё распоряжение выделенный канал.

В таких организациях для создания единой корпоративной сети часто используются соединения VPN через Интернет по IPSec, иногда — через операторские сети MPLS. Подобная сетевая инфраструктура защищается при помощи аутентификации и управления доступом, туннелирования между площадками и шифрования.

Технология виртуальных частных сетей (Virtual Private Network, VPN) обеспечивает множество преимуществ при относительно невысокой стоимости. VPN — логическая частная сеть, организуемая поверх публичной. Подобно выделенным каналам, она позволяет создать защищённое соединение между удалёнными площадками или локальными сетями.

L2 VPN реализуется с привлечением сервисов Ethernet или на основе MPLS. В этом случае коммутаторы "упаковывают" полученные от оборудования клиента кадры Ethernet или IP MPLS и передают их к месту назначения по "виртуальному каналу". По такой технологии строятся городские сети Metro Ethernet или соответственно областные сети IP MPLS.

В случае L3 VPN (IP VPN) виртуальную частную сеть организует провайдер (MPLS VPN) или пользователь (IPSec VPN). Если у предприятия множество филиалов, то с помощью технологии Dynamic Multipoint VPN (DMVPN ) можно обойтись всего двумя концентраторами VPN.

ИНТЕГРАЦИЯ СЕРВИСОВ

При организации VPN корпоративная сеть логически отделена от публичных сетей, то есть трафик защищён от несанкционированного доступа. При этом компания получает полный контроль над её функционированием. По такой сети можно передавать различные виды трафика с разделением по классам обслуживания.

Наряду с передачей данных виртуальные частные сети можно использовать для сервисов IP-телефонии и видео-конференц-связи, гибко изменять пропускную способность каналов в зависимости от потребностей бизнеса, масштабировать сетевую инфраструктуру, включая в единую защищённую частную сеть новые объекты. Поэтому территориально распределённые сети на основе VPN служат основой для внедрения различных сервисов, таких как VoIP, ВКС, бизнес-приложения.

С помощью виртуальных частных сетей можно объединить распределённые офисы в общую сеть, создав единое адресное пространство локальной сети и единую нумерацию в системе корпоративной телефонии, то есть сформировать общее информационное пространство, доступное из любой точки корпоративной сети.

IPSec VPN — достаточно простой и распространённый способ создания защищённой сетевой инфраструктуры территориально распределённых компаний. Между устройствами создаются виртуальные туннели, и весь трафик шифруется на оборудовании заказчика. Таким образом обеспечивается независимость от оператора связи. Хотя решение и отличается более низкой стоимостью по сравнению с арендой каналов, у него есть свои недостатки: часто требуется дополнительное оборудование (или ПО), не всегда можно гарантировать качество сервиса.

СТРАТЕГИИ ЗАЩИТЫ

Выбор технологии и варианта подключения зависит от вида передаваемого трафика, структуры организации и её бизнес-процессов, требований к ИБ, тарифов оператора, услугами которого компания собирается воспользоваться, и прочих факторов. Нужно оценить необходимую пропускную способность и объем трафика, требования к параметрам канала связи (включая надёжность и степень защиты) для трафика разного типа. Анализ бизнес- процессов помогает выявить, насколько критичны для деятельности предприятия используемые сервисы. Однако информационную безопасность следует прорабатывать не только для каналов связи, но и для компании в целом.

Система безопасности опирается на множество технологий, среди которых — шифрование трафика, единая система управления ИБ, средства защиты беспроводной части сети. Выбор технологических, программных и организационных решений для защиты коммуникаций в территориально распределённых системах определяется архитектурой сети, её масштабом, характером обрабатываемой информации, балансом технических и финансовых возможностей. Конкретная реализация защищённых соединений между площадками выбирается на основе категоризации передаваемых данных с учётом их критичности для бизнес- процессов компании и технологических особенностей, например необходимости поддержки QoS.

К основным направлениям сетевой безопасности относятся управление доступом к ресурсам корпоративной информационной системы, защита её периметра, аутентификация транзакций, мониторинг событий безопасности и др. Рациональная защита должна включать в себя шифрование данных, передаваемых при подключении территориально разнесённых подразделений через внешние сети, применение средств межсетевого экранирования и обнаружения вторжений для защиты периметра сети, оперативный контроль за событиями ИБ. Она строится с учётом характеристик информации, параметров информационной системы, оценки рисков и уровня различных угроз.

Спектр доступных сегодня решений для межсетевого экранирования и VPN — зарубежных и отечественных — достаточно широк и способен удовлетворить разнообразные требования к функциональности, производительности и цене. Нередко вендоры предлагают интегрированные системы, объединяющие несколько функций безопасности, например функции межсетевого экрана с VPN и IPS. Об их преимуществах и недостатках рассказывается в статье автора "Межсетевые экраны: расширение функционала", опубликованной в июньском номере "Журнала сетевых решений/LAN" за 2013 год.

Как поясняет Олег Глебов, менеджер по сопровождению корпоративных продаж "Лаборатории Касперского", реализация конкретной стратегии защиты зависит от уровня зрелости процессов безопасности в организации. В зависимости от критичности сервиса средства безопасности могут предусматривать контроль доступа, защиту данных, канала и устройств, а также верификацию последних. Обычно (по возрастающей) применяются следующие технологии: многофакторная аутентификация при организации доступа (не обязательно обеспечивается защита канала), шифрование канала (VPN), профилирование устройств, анализ риска каждого соединения, создание/контроль доверен-ной среды на конечном устройстве.

"Когда целью киберпреступников является крупная организация с большими инвестициями в информационную безопасность, взлом удалённого (и зачастую менее защищённого) сегмента сети становится наиболее простым способом проникновения. Превентивные технологии защиты на стороне удалённых сегментов — вполне преодолимый для них барьер. Они могут повторять попытки атаки снова и снова, пока не достигнут успеха, а получив доступ к удалённому сегменту, будут атаковать уже главный офис / основные процессы с использованием полученных легитимных прав, — рассказывает Олег Глебов. — Поэтому компаниям, обладающим развитой сетью филиалов, нужно быть готовыми не только противодействовать угрозам в удалённом сегменте, но и иметь средства их обнаружения на ранних этапах реализации атак как реактивного (например, ловушек класса honeypot), так и проактивного характера (системы обнаружения вторжений, системы защиты от таргетированных атак)".

Наряду с защищённым удалённым доступом к корпоративной сети все чаще требуется обеспечивать безопасность при работе с облачными сервисами. Когда компания принимает решение использовать такие сервисы, она полагается на компетенцию провайдера. Однако предусмотренные технологии защиты не решают проблем, связанных со своевременным прекращением или правильным обращением с правами доступа к ресурсам, рассказывает Андрей Арефьев, ведущий менеджер по развитию продуктов компании InfoWatch. Если говорить о базовых элементах защиты при использовании облачных сервисов, то ИТ-администратору необходимо выстроить процесс управления доступом (Identity Management), который позволит своевременно блокировать обращение сотрудника к внешним сервисам при изменении его статуса (переход в другой отдел, предстоящее увольнение). Кроме этого, такие процессы должны учитывать и смену ИТ-администратора.

По мнению Алексея Андриашина, для эффективного противодействия современным угрозам в условиях территориально распределённой корпоративной сети должны быть соблюдены следующие требования:

  • централизованное управление политикой безопасности всех элементов системы защиты;
  • корреляция данных на основе поступающих событий и гибкое изменение правил на устройствах в соответствии с изменяющимися угрозами;
  • непрерывное обновление состояния сервисных модулей на устройствах безопасности, таких как Web-фильтрация, системы обнаружения вторжений, контроль трафика приложений, антиспам, базы IP-репутации и других;
  • обеспечение отказоустойчивости ключевых элементов обеспечения безопасности;
  • реализация политик (Single Sign On и Identity Based Policy) для контроля действий всех пользователей сети.

Несомненно, для организации безопасной работы в корпоративной сети нужен комплексный подход. Различные технические решения — межсетевые экраны, антивирусные и антиспам-системы, VPN и другие — необходимо дополнять организационными мерами, уверен Алексей Александров, руководитель направления по работе с технологическими партнёрами компании "Аладдин Р.Д.". Это особенно актуально, когда предприятие имеет территориально удалённые филиалы или требуется создать условия для безопасной работы мобильных сотрудников, например, находящихся в командировках.

В этом случае очень важно не только наличие надёжного и защищённого канала связи между сотрудником и корпоративной сетью, но и возможность однозначно идентифицировать пользователя, чтобы предоставить ему надлежащие права доступа к информации. Необходимо отметить важность аутентификации именно пользователей, а не устройств (ноутбуков, смартфонов), подключающихся к корпоративной сети, так как в случае утери или кражи оборудования злоумышленник может получить доступ в сеть предприятия.

Аналогичные задачи возникают и при обеспечении взаимодействия между территориально распределёнными филиалами. Очень важно использование надёжных механизмов аутентификации как при подключении к корпоративной сети, так и при доступе к различным информационным системам, порталам и сервисам, работающим в ней. Одним из таких механизмов является использование сертификатов открытого ключа, выпущенных корпоративным удостоверяющим центром. Централизованная система управления средствами аутентификации и самим доступом к корпоративным ресурсам и системам позволяет оперативно реагировать на случаи обнаружения угроз или возникновения инцидентов.

ЦЕНТРАЛИЗОВАННЫЙ МОНИТОРИНГ И УПРАВЛЕНИЕ

Насколько важны в этом контексте функции централизованного управления в режиме реального времени? Мониторинг и обнаружение угроз ИТ-безопасности в реальном времени требуют постоянного сбора информации о событиях, происходящих в распределённых сегментах сети. Однако в удалённых подразделениях не всегда имеются специалисты службы поддержки, а тем более сотрудники, отвечающие исключительно за администрирование средств защиты. В таком случае требуется не только централизация, но и возможность иерархического управления, указывает Олег Глебов. Например, распространение глобальных критичных политик, сформированных в головном офисе, при одновременном локальном администрировании уникальных правил для распределённых сегментов.

"Создание единых центров управления, безусловно, необходимо, так как помогает выявлять риски и, соответственно, минимизировать последствия. Однако администрирование таких центров в режиме реального времени требует выделения дополнительного финансирования, — говорит Андрей Арефьев. — Все должно быть соразмерно, и если при оценке рисков устанавливается высокая вероятность того, что предполагаемая атака на предприятие может привести к масштаб-ному ущербу, то системы централизованного управления должны обязательно функционировать в режиме реального времени".

В группе средств мониторинга можно выделить решения для управления событиями и данными безопасности (Security Information & Event Management, SEIM) с корреляцией событий, позволяющие контролировать как сами события безопасности, так и их взаимосвязь. Журналы событий анализируются с применением методов, аналогичных анализу Больших Данных. Быстро развиваются и средства отслеживания внутренних угроз и защиты от утечек информации (DLP). Эволюционируют методы аутентификации и решения PKI. В импортные продукты встраиваются отечественные криптоалгоритмы и движки, например "КриптоПро". А антивирусный движок "Лаборатории Касперского" используется в системах SIEM и DLP, например, компании Blue Coat.

Без централизованного управления невозможно построить эффективную систему защиты в условиях распределённой сети, подчёркивает Алексей Андриашин. Современные средства управления позволяют координировать решения от разных производителей, соблюдая принципы соответствия общей корпоративной политики безопасности. Примером является технология SDN. Вендоры активно работают в данном направлении: например, компания Fortinet представила новую систему безопасности программно-определяемых сетей (Software-Defined Network Security, SDNS).

Эффективные инвестиции в ИБ требуют комплексной оценки рисков и угроз. Нужно принимать во внимание будущее развитие защищённой телекоммуникационной инфраструктуры, иначе неизбежны дополнительные затраты на модернизацию системы.