 |
|
|
|
Security as a Service. Безопасность как услуга
Security as a Service Обеспечение услуг ИБ традиционно являлось задачей, решаемой средствами самой компании. Но теперь есть возможность использовать для этих целей облачные вычисления В конце октября прошла конференция CiscoExpo 2010, на которой было представлено несколько интересных докладов, посвященных различным аспектам информационной безопасности. Начну с доклада, сделанного на потоке «Безопасность» и посвященного Security as a Service (SaaS, безопасность как услуга). Строго говоря, аббревиатура SaaS также часто расшифровывается как Software аs а Service – «приложение как услуга». Однако в рамках данной статьи SaaS будет использоваться в значении «безопасность как услуга». Экономический кризис, который, как все мы надеемся, подходит к концу, заставил многие компании пересмотреть свои расходы на внедрение и обслуживание ИТ-систем, в том числе и систем информационной безопасности. Особенно это коснулось небольших компаний, которые зачастую просто лишились возможности тратить значительные ресурсы на создание и обслуживание высококачественных систем информационной безопасности, а средние и крупные, в свою очередь, стали искать способы максимального снижения совокупной стоимости владения (TCO) при выборе новых решений и пересмотре эффективности работы уже имеющихся. В таких ситуациях может оказаться гораздо выгоднее воспользоваться услугами безопасности по модели SaaS (Security as a Service) вместо приобретения, установки и сопровождения программного и аппаратного обеспечения, а также найма персонала для обслуживания систем защиты. Причина тому очевидна: SaaS-услуги безопасности обладают рядом существенных преимуществ по сравнению с приобретением оборудования и ПО, а именно: вам не нужно самостоятельно приобретать дорогостоящее аппаратное и программное обеспечение, осуществлять поиск специалистов и поддержку развернутых систем. На все это требуются значительные затраты денег и времени. При использовании Security as a Service все эти проблемы решает провайдер услуг, на площадке которого и располагаются аппаратные и программные ресурсы для предоставления услуги. Таким образом, отсутствие капитальных затрат на внедрение и существенное снижение операционных затрат на сопровождение, а также минимальные сроки развертывания являются неоспоримыми преимуществами использования SaaS. Кому нужны внешние услуги В феврале 2010 года глобальным консалтинговым подразделением Cisco IBSG было проведено исследование потребностей заказчиков в услугах по информационной безопасности. В исследовании приняли участие 510 предприятий МСБ, которым, в частности, был задан вопрос: «Когда, по вашему мнению, ваша компания начнет пользоваться хостингом или подпиской на услуги в таких областях, как информационная безопасность, хранение и резервирование, приложения для настольных систем, веб-хостинг, бизнес-приложения, конференции и совместная работа, продажи и маркетинг, среда разработки, вычисления по требованию?» В результате выяснилось, что лишь 20% малых предприятий знают, что такое облачные услуги, хотя 75% опрошенных представителей малого и среднего бизнеса (МСБ) в той или иной мере используют хостинг и подписку на услуги, чтобы расширить свои деловые возможности. Также вышеупомянутые исследования Cisco показали, что из всех приложений для информационной безопасности малые предприятия любого типа чаще всего используют антивирусные средства, на втором месте с небольшим отставанием – средства хранения и резервирования, на третьем – офисные приложения для настольных систем. Преимущества в обслуживании Как уже упоминалось ранее, малые и средние предприятия охотнее многих других внедряют облачные услуги: приобретение программного обеспечения у внешних поставщиков через хостинг или по подписке освобождает их от технических забот, позволяя сосредоточиться на основном бизнесе. Предприятия МСБ используют облачные услуги для расширения отношений с заказчиками и повышения производительности труда, не прибегая к коренной перестройке информационно-технологической инфраструктуры. До приобретения услуг заказчики могут протестировать их в пилотном режиме, по аналогии с использованием испытательного режима в программном обеспечении. Однако в отличие от ПО здесь нет необходимости тратить массу времени на развертывание и настройку. В случае если качество услуги удовлетворяет требованиям заказчика, он может подписаться на эти услуги в зависимости от количества рабочих мест или сотрудников. Такой подход избавляет заказчиков от крупных капитальных затрат, в частности, не нужно тратить средства на оборудование серверной, получение необходимых лицензий. Да и на ИТ-специалистах можно сэкономить, так как отпадает необходимость нанимать дорогостоящих администраторов баз данных или промышленных бизнес-приложений и тратиться на оплату труда, обучение, замену при их отпусках или болезни и т. д. В случае предоставления услуги внешним провайдером все это становится его проблемами. Подобная методика хорошо знакома заказчикам, работающим с аутсорсинговыми компаниями, где также корпоративная ИТ-инфраструктура обслуживается внешними специалистами. Кроме того, облачные услуги как сервисы позволяют четко управлять обновлением программных средств, всегда задействовать новейшие версии приложений и внедрять новые функции по мере того, как бизнес будет готов к их эффективному использованию. Гибкость Внешние приложения, в том числе и SaaS, доставляемые через сетевое облако, не только дают предприятиям возможность заниматься основным бизнесом, но и предоставляют им большую гибкость. Как правило, в процессе работы компании количество пользователей бизнес-приложения может изменяться, в большинстве случаев в большую сторону. При использовании, к примеру, внутренних почтовых серверов и систем защиты от спама заказчик должен учитывать перспективы увеличения производительности, связанные с ростом числа пользователей. В случае если производительности не хватает, возникает необходимость в миграции систем на более производительное оборудование, что зачастую является настоящей головной болью для системных администраторов и ИТ-специалистов. Это критически важный компонент общей стратегии роста, поскольку для адаптации к требованиям заказчика компаниям часто нужно наращивать (либо сокращать) объем используемых ресурсов. При использовании внутренних ресурсов возникает необходимость в контроле пользовательских лицензий, при использовании внешних услуг это становится задачей провайдера. SaaS на практике Однако вернемся к услуге SaaS. Распространение технологии SaaS постепенно набирает силу. По данным исследования Cisco, в течение ближайших двух лет более 80% малых предприятий планируют подключиться по крайней мере к одной облачной услуге. При этом наиболее динамично развиваются облачные услуги, построенные на технологиях совместной работы, конференц-связи, SaaS и вычислениях по требованию. Мы обсудили преимущества облачных услуг вообще, теперь перейдем непосредственно к услуге SaaS, в частности, к практическим аспектам ее использования, из каких сервисов она сейчас состоит и что из себя представляет. На данный момент Security аs a Service состоит из двух услуг Cisco IronPort Hosted Email Security и Cisco ScanSafe, обеспечивающих полных спектр защиты Email и веб- коммуникаций, включая фильтрацию спама, защиту от вредоносного кода, URL-фильтрацию, блокирование опасных сценариев и т.п. Почему первыми предоставляемыми Cisco услугами стали именно Email и Web? Ответ достаточно прост: потому, что, во-первых, на сегодняшний день это основные виды бизнес-коммуникаций, во-вторых, они же основные каналы распространения угроз, и, наконец, они облачны по своей природе. Ведь почтовые сервера совершенно не обязательно должны находиться в вашей серверной, и веб-сервер с интересующей страницей часто бывает на другом конце света. Тема распространения угроз тоже весьма актуальна. Множество вирусов распространяется через сообщения электронной почты и веб-страницы. Нежелательная почта – спам – ежегодно увеличивается в два раза, при этом активно используются ботнеты. Специалисты Cisco провели аналогию между протоколами HTTP и TCP, сделав вывод, что HTTP – это новый TCP, так как на сегодняшний день через веб-трафик передаются и видеоконтент, и текстовые сообщения, и файлы. При этом вирусные заражения через веб-страницы получают все большее распространение. Вирусы проникают через ссылки в HTML-коде, по которым браузер получает файлы с изображениями, скрипты и другой исполняемый код, который, в свою очередь, может оказаться вредоносным. Уязвимыми элементами браузеров являются компоненты управления ActiveX, медиаплееры и объекты Browser Helper. Для предотвращения этих угроз в настоящее время у компании Cisco есть два продукта, которые поставляются по модели SaaS. Они находятся довольно близко к основной деятельности компании – это защита почты и веб. Cisco IronPort Hosted Email Security Первым решением является Cisco IronPort Hosted Email Security. Оно основывается на идеях компании IronPort, которую Cisco некоторое время назад приобрела. Как и классическая облачная услуга, данное решение нацелено в основном на тех заказчиков, которые не имеют возможности приобрести аналогичное для установки в офис. Основы технологии IronPort заключаются в использовании глобальной базы сетевых угроз SenderBase, по которой производится основная фильтрация писем, после чего вступают механизмы проверки на спам и вирусы. Собственно, нельзя сказать, что технология использования глобальной базы угроз является чем-то революционным, ее используют во многих решениях, к примеру, в тех же антивирусах. Однако она доказала свою эффективность, и использование глобальной базы SenderBase в решении IronPort вполне оправдано. База SenderBase имеет несколько источников своего пополнения:
Серверы, которые обрабатывают запросы обоих сервисов, находятся в девяти датацентрах по всему миру, в России такой датацентр должен появиться в 2011 году. В базе хранится следующая информация по репутации E-Mail, используемой при определении принадлежности сообщения к спаму: Global Volume Data, Message Composition Data, Spam Traps, Complaint Reports, IP Blacklists & Whitelists, Domain Blacklists & Safelists, Compromised Host Lists, Web Site Composition Data Other Data. На основании данных в этих полях производится оценка почтового сообщения на принадлежность к спаму. Так, например, если IP-адрес SMTP-сервера, который является источником почтового сообщения, принадлежит к пулу IP-адресов, выделяемых провайдером для DSL-подключений, то такой IP-адрес скорее всего будет в списке IP Blacklists, и соответственно такое письмо будет причислено к спаму. Проверка на вирусы выполняется на многоуровневой основе. Сначала проверяется Virus Outbreak Filters. Несмотря на то что основанные на сигнатурах антивирусные системы устанавливаются уже давно, многие клиенты до сих пор имеют проблемы с вирусными атаками, которые распространяются до появления сигнатур. Рисунок 1. Архитектура решения IronPort ESA Причина в изначальной реактивности антивирусных сигнатур. Каким бы хорошим не был производитель антивирусных сигнатур, требуется определенное время для того, чтобы обнаружить, изолировать и охарактеризовать вирус. Далее нужно время на создание, тестирование и установку сигнатуры. В зависимости от атаки на все эти задачи обычно необходимо от 6 до 48 часов. В течение этого времени вирус будет активно распространяться по всему миру. IronPort Threat Operations Center (TOC) разработал алгоритмы, обнаруживащие аномалии, такие как массовое появление новых отправляющих почту IP-адресов, которые до этого вообще не отправляли почту, и соответствующее увеличение объема сообщений с определенным размером, типом или именем вложения. Затем TOC автоматически генерирует оповещения и создает правило, утвержденное техническими специалистами TOC. Это правило затем автоматически отправляется на все устройства IronPort, и вся похожая на аномальную почта помещается в карантин. Системному администратору отправляются оповещение и информация об обновлениях состояния вирусной вспышки. Администраторы могут просматривать этот карантин и проверять на вирусы, удалять или отпускать сообщения. После обновления сигнатур администраторы могут проверять сообщения снова, чтобы убедиться, что они безопасны, а затем отпускать сообщения в соответствии с настройками политики антивируса. Только система IronPort Outbreak Filters постоянно сканирует сообщения в карантине и оценивает их заново (на основании последних правил, идентифицирующих вирус), что приводит к минимальным шансам неправильной классификации. Затем динамический карантин IronPort автоматически отпускает сообщения, не соответствующие новым правилам. Таким образом, динамический карантин обеспечивает незамедлительную защиту и высокую точность обработки сообщений. Далее почтовое сообщение передается уже традиционной реактивной системе антивирусной защиты. Ядром антивирусной защиты является Sophos и MaCafee. Если описанные выше облачные услуги по контролю входящего трафика достаточно стандартны, то услуги по контролю исходящего трафика являются новыми. IronPort предлагает услуги по контролю исходящего трафика на предмет утечек данных (DLP), а также шифрование. DLP работает по принципу контекстного анализа и проверяет трафик на наличие ключевых фраз. Что касается шифрования почтового трафика из сети отправителя в сеть получателя, в облаке может быть настроено либо на стороне отправителя или с помощью стороннего провайдера с использованием TLS. Описанная облачная услуга может оказаться полезна для защиты электронной почты компании как от вредоносного кода, так и от спама. Возможны различные варианты размещения элементов, входящих в состав услуги. Например, все модули можно разместить в облаке. При этом можно произвести быстрое развертывание, снизить нагрузку по обслуживанию, вопросы масштабирования и отказоустойчивости решает провайдер услуг IronPort. Но если заказчик предъявляет требования к конфиденциальности данных, то такой вариант неприемлем. Тогда можно развернуть гибридное решение. В этом случае очистка входящей почты будет производиться в облаке Cisco, а обработка исходящей почты, в том числе и DLP, – у заказчика. Очевидно, что при таком размещении конфиденциальная информация не покидает сети заказчика, что позволяет соблюсти требования конфиденциальности. ScanSafe Теперь перейдем ко второй услуге, входящей в состав SaaS. Второе решение тоже было приобретено компанией Cisco, называется оно Cisco ScanSafe – решение для защиты веб-серфинга. 7 декабря 2009 года Cisco объявила о завершении сделки по приобретению ScanSafe, Inc. Данная компания имеет отделения в Лондоне и Сан-Франциско и считается лидером рынка в области решений SaaS для веб-безопасности. Решениями ScanSafe пользуются самые разные заказчики – от глобальных корпораций до малых предприятий. С учетом сделанного ранее приобретения компании IronPort теперь Cisco сможет объединить высокопроизводительные устройства веб-безопасности Cisco IronPort с лучшими услугами ScanSafe SaaS и предложить заказчикам решения для локальной защиты, защиты на правах хостинга и гибридной веб-безопасности. С учетом того, что недавно Cisco объявила о завершении продаж и поддержки продукта Cisco MARS, можно сделать вывод: облачные технологии вообще и SaaS в частности становятся приоритетными решениями данного разработчика в области информационной безопасности. Услуги ScanSafe интегрированы с новейшим клиентским продуктом Cisco AnyConnect VPN Client, предназначенным для виртуальных частных сетей, что позволяет разработать одно из лучших в отрасли решений для безопасной мобильности. Кроме того, глобальная сеть центров обработки данных операторского класса ScanSafe и многопользовательская архитектура расширяют возможности Cisco по доставке услуг «облачной безопасности» в любую точку земного шара. По завершении сделки сотрудники ScanSafe вошли в состав отдела технологий безопасности Cisco STBU. Для Cisco приобретение компании ScanSafe стало 135-м за последние 15 лет и четвертым с начала 2009 календарного года. Изначально в решении использовалась собственная база угроз, но после приобретения компании к ней уже успели подключить SenderBase, и теперь оба сервиса используют общую расширенную базу. ScanSafe защищает пользователей от большинства угроз – имеются профили защиты для различных типов содержимого (JS, JavaApplets, Flash, PDF, etc). Сканирование нескольких потоков контента ведется параллельно. При этом для каждого из типов приложений есть свое ядро сканирования. Такая архитектура позволяет существенно снизить нагрузку на систему за счет распараллеливания. Механизм URL-фильтрации является достаточно традиционным, то есть проверяются сайт на принадлежность к спискам запрещенных ресурсов. Расширением функциональности является проверка протоколов HTTPS, FTP over http. Также есть возможность использовать DLP по принципу «предупреждать, но не блокировать» и механизмы анонимизации. В случае если сайт неизвестен системе фильтрации, производится его динамическая классификация. В среднем этот процесс по заявлением разработчиков занимает одну тысячную секунды. Эффективность детектирования сайтов для взрослых, криминальных и т.п. – около 99%. Также присутствует обработка поисковых запросов SearchAhead, заключающаяся в классификации и уведомлении пользователя. Как трафик попадает в облако Направить трафик в облако можно несколькими способами. Первый способ – это перенаправление с помощью имеющейся инфраструктуры заказчика. Здесь тоже возможны различные варианты реализации. Прежде всего это классические изменения настроек в браузере. Настройки Proxy загружаются на компьютеры из Active Directory (GPO / PAC file) или по DHCP. Межсетевой экран заказчика должен блокировать исходящий http-трафик на все адреса, кроме ScanSafe. Такой способ удобен прежде всего своей простотой в администрировании. Также можно перенаправить трафик без изменения настроек браузера, по сути, прозрачно для пользователя. Для этого имеющееся у заказчика устройство маршрутизации перенаправляет трафик в облако помощи функций Cascade Proxy или Port Foreward. Опционально можно помечать пользователей или группы с помощью User/Group Granularity. Для этого в HTTP-запросы пользователей добавляется защищенная (хеши) информация об имени пользователя/группы с помощью Login скриптов/GPO. Это также прозрачно для пользователя. Второй вариант – это использование ПО ScanSafe Connector. Преимущество заключается в том, что данное программное обеспечение устанавливается и настраивается один раз, в дальнейшем не требует администрирования и обновлений. Основной задачей ScanSafe Connector является перенаправление веб-трафика в облако. Также ScanSafe отвечает за взаимодействие с AD и предоставляет в облако защищенную информацию о пользователях и его принадлежности к группе. Рисунок 2. Смешанное размещение услуг SaaS В будущем предполагается внедрить данную функциональность в маршрутизаторы и межсетевые экраны Cisco. Основной областью применения данного варианта подключения могут являться клиенты, к которым по каким-то причинам не могут быть применены групповые политики. Помимо приведенных выше двух вариантов подключения к облаку, существует также третий, предназначенный специально для мобильных пользователей. По оценке аналитиков Cisco, мобильные пользователи только 17% времени проводят в корпоративном VPN. Возникает необходимость в обеспечении безопасной работы в Интернете в остальное время. Специально для таких мобильных клиентов предлагается устанавливать сетевой драйвер, который незаметен для пользователя. Данный драйвер автоматически определяет ближайший к пользователю ЦОД и перенаправляет веб-трафик пользователя в облако. При этом драйвер защищен от отключения пользователем. Здесь также обеспечивается User/Group Granularity. Говоря о поддерживаемых платформах, замечу, что, помимо версии под Windows и Linux, есть также версии под Mac. Несколько слов об управлении Для управления политиками, создания отчетов и мониторинга используется клиентский портал ScanCenter. Все эти настройки выполняются на портале. Набор шаблонов отчетов достаточно богат – более 5000. При этом имеется возможность создания своих шаблонов отчетов и политик. Для составления отчетов имеются 75 анализируемых параметров трафика. Отчеты можно генерировать автоматически, по расписанию. Можно получать информацию как по клиенту, так и глобальные тенденции, собираемые аналитиками Cisco. Условия предоставления SaaS Протестировать полнофункциональную работу услуг SaaS можно в течение пробного периода – 30 дней. Далее в случае продолжения использования услуги необходимо оплатить подключение, затем взимается ежемесячная абонентская плата. Точная сумма выплат зависит от общего числа рабочих мест в организации. *** Сделаем некоторые выводы о том, что такое услуги SaaS и каковы их перспективы. Многие пользователи могут путаться в определениях облачных услуг, так как это понятие еще не полностью сформировалось. Но с полной уверенностью можно сказать, что модели типа SaaS будут оказывать большое влияние на среду малого бизнеса в течение многих лет. Приложения, доставляемые по методу SaaS, могут существенно изменить базовые деловые операции. Примерами служат веб-системы для совместной работы, такие как Cisco WebEx, или хостинг информационной безопасности с помощью решения ScanSafe. В будущем малые и средние предприятия получат более широкий выбор пакетированного программного обеспечения в рамках модели SaaS. Можно предположить, что в мире будут популярны услуги SaaS, распространяемые через сетевое облако и сконцентрированные на коммуникациях, совместной работе и информационной безопасности, чтобы сократить сложность предложений в типичной среде малого предприятия.
|
АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
