Deperymetryzacja sieci
Zawartość strony
 | Wstęp |
| Czym „deperymetryzacja” nie jest |
| Czym jest „deperymetryzacja”? |
| Korzyści biznesowe z deperymetryzacji |
| Technologie deperymetryzacji |
| Wnioski |
Wstęp
Architektura perymetru sieci ulega zmianom. W przeszłości uważano, że perymetr należy jak najbardziej umocnić, poprzez utworzenie wielu warstw szeregu technologii chroniących sieć przed zagrożeniami. Stała za tym idea zabezpieczenia granic organizacji, co za tym idzie i sieci.
Szereg czynników powodował, że taka koncepcja „perymetryzacji” sieci przestała być zgodna z potrzebami firm. Należą do nich:
| • | Gwałtowny wzrost liczby numerów IP, wykorzystywanych niemal przez wszystkie urządzenia elektroniczne, z których znaczna część znalazła swoje zastosowanie w biznesie; |
| • | Zwiększona łączność spoza środowiska korporacyjnego ze strony klientów, pracowników i partnerów biznesowych; |
| • | Zwiększona liczba różnorodnych relacji biznesowych, w tym „kookonkurencji” – sytuacji, w której konkurent na jednym polu, jest partnerem biznesowym na innym. |
Jednym z problemów związanych z modelem wzmocnionego perymetru jest rosnący, wraz z liczbą dodawanych technologii, poziom skomplikowania zarządzania, w niektórych przypadkach wzrastający szybciej niż tempo wdrażania nowych technologii. Dodatkowo wraz ze zwiększającą się liczbą tymczasowych rozwiązań, wprowadzanych do perymetru, zaczyna on mieć negatywny wpływ na zdolność firmy do szybkiego reagowania na nowe okazje czy po prostu prowadzenie interesów.
Należy więc ponownie zastanowić się nad sensem takiego podejścia i uświadomić sobie, że dodając do perymetru nowe technologie w imię bezpieczeństwa, równocześnie zdecydowanie zwiększa się poziom jego skomplikowania, co utrudnia firmie reagowanie na nowe okazje.
Współczesne firmy starają się zwiększyć swoją elastyczność i łatwiej przystosowywać się do potrzeb ludzi, technologii i procesów. Ale elastyczność ta jest ograniczana przez sztywną architekturę perymetru sieci, w którym prawne granice firmy mogą nie być już zgodne z granicami logicznymi.
Ze względu na te zmiany znany z przeszłości wzmocniony, nieelastyczny perymetr szybko traci na popularności jako logiczne rozwiązanie dla wielu organizacji. Wzmocniony perymetr oddaje pole procesowi znanemu jako „deperymetryzacja” — powolnemu zanikowi perymetru sieci (znanego również pod nazwami DMS, strefy zdemilitaryzowanej, czy podsieci ekranowanej), lepiej dostosowanemu do realiów dzisiejszych sieci i środowisk firmowych.
Czym „deperymetryzacja” nie jest
Wielu specjalistów od bezpieczeństwa sieciowego automatycznie kojarzy „deperymetryzację” z ideą rezygnacji ze wszystkich zabezpieczeń na obrzeżach sieci na korzyść jakiejś innej, nowej architektury. Nie jest to do końca właściwe rozumienie. „Deperymetryzacja” nie polega na prostym pozbyciu się wszystkich stosowanych obecnie zabezpieczeń granicznych, nie jest to też usunięcie lub zastąpienie zapór. Nie jest to również zmiana rozkładu urządzeń zabezpieczających w sieci, ani tyrada przeciwko głębokiej inspekcji pakietów czy argument za eliminacją systemów wykrywania włamań czy zapobiegania włamaniom. Deperymetryzacja może wiązać się z zastosowaniem części lub nawet wszystkich z tych środków, ale stoi za nią centralna myśl, że model obrony głęboko urzutowanej stanowi najistotniejszy element zabezpieczeń sieci, a zabezpieczenia muszą zostać bliżej danych niż miało to miejsce wcześniej (Simmonds, 2004).
Czym jest „deperymetryzacja”?
„Deperymetryzacja” to termin ukuty przez grupę Jericho Forum, by „opisać erozję tradycyjnych »bezpiecznych perymetrów« czy »granic sieci« jako mediatorów zaufania i bezpieczeństwa” (Jericho Forum, 2006). Granice te nie są jedynie fizyczne, ale także logiczne, w takim sensie, że wyznaczają granice organizacji lub przedsiębiorstwa. Sieci rosną wraz z rozwojem firmy. Jednak sztywne perymetry stworzyły sytuację, w której zdolność firmy do skutecznego wejścia na nowe rynki (gdzie rynki są określane przez fizyczną lokalizację i zakładania nowych biur sprzedaży, czy poprzez rozwój relacji biznesowych z partnerami) może zostać zakłócona przez brak elastyczności perymetru.
Nierozerwalnie związane z definicją „deperymetryzacji” jest pytanie „co »deperymetryzacja« pociąga za sobą”? Wymaga ona powtórnego przemyślenia koncepcji granic sieci. W branży już widać zapotrzebowanie na przeprowadzenie „deperymetryzacji”. Wskaźniki takie, jak: rozbieżności pomiędzy prawnymi granicami firmy a przebiegiem perymetru sieci, zapotrzebowanie na bezpośrednią łączność ze strony partnerów i dostawców, aplikacje rozproszone i udostępniane w ramach relacji biznesowych i rosnąca liczba aplikacji, które korzystają z technologii, by obejść ograniczenia narzucane przez zapory w perymetrze, wszystko to wskazuje na potrzebę „deperymetryzacji”. Dodatkowo fakt, że tradycyjne zapory i zabezpieczenia perymetru są w coraz większym stopniu bezradne wobec złośliwego oprogramowania, które wykorzystuje jako medium transportowe sieć Web lub pocztę e-mail, zmusza do ponownego przemyślenia sposobu ochrony granic sieci przed tymi zagrożeniami (Jericho Forum, 2007).
Ponieważ pozwalamy protokołom takim, jak HTTP i SMTP, a zwłaszcza zaszyfrowanemu ruchowi, jak protokoły SSL i IPSec, obchodzić zasady zabezpieczeń pogranicza zdefiniowane w perymetrze sieci, nie da się uniknąć w pewnym momencie obejścia zabezpieczeń perymetru sieci przez program wykorzystujący luki w zabezpieczeniach (exploit). Ponadto systemy wykrywania włamań mają w perymetrze sieci ograniczoną przydatność ze względu na znaczną liczbę fałszywych alarmów, które powodują wysoki współczynnik szumu do sygnału w przypadku takich wdrożeń. Rodzaje ataków zmieniają się w coraz szybszym tempie, utrudniając ochronę sieci poprzez proste dodawanie nowych warstw zabezpieczeń w perymetrze.
Czy atakujący wykorzystają słabe punkty zabezpieczeń bezpośrednio czy też pośrednio, środkami takimi, jak phishing (wyłudzanie danych poufnych) lub pharming (fałszowanie wpisów DNS) ich celem jest zdobycie dostępu do danych firmowych lub przejęcie nad nimi kontroli. Dane te mogą mieć postać informacji o kartach kredytowych, danych pracowników czy nawet danych finansowych przedsiębiorstwa. Przykłady można by tu mnożyć, ale zawsze celem atakujących jest dostęp do danych i coraz lepiej im to wychodzi. Choć w przeszłości koncepcja wzmocnionego perymetru sprawdzała się najlepiej, świat się zmienił i musimy ją przemyśleć od nowa. Wzmocniony perymetr jest dobry dla firm czy organizacji, którym wystarcza działanie jedynie w granicach własnego środowiska, gdzie jednym łącznikiem ze światem zewnętrznym jest poczta e-mail (Jericho Forum, 2007). Model ten jednak przeżył się i nie zapewnia korzyści potrzebnych do skutecznego funkcjonowania w obecnym klimacie biznesowym.
Korzyści biznesowe z deperymetryzacji
Deperymetryzacja umożliwia organizacjom nowe sposoby prowadzenia interesów. Niektóre z korzyści, wymienione w dokumencie na Jericho Forum (Jericho Forum, 2007) to:
| • | Firma i jej partnerzy mogą bezpośrednio połączyć i zintegrować systemy planowania zasobów ERP, co umożliwia ściślejszą współpracę i skuteczniejszą wymianę danych; |
| • | Granice prawne, komercyjne i jakości usług mogą zostać skoordynowane z architekturą sieci i infrastruktury; |
| • | Partnerzy, wspólnicy, pracownicy kontraktowi i pozostali zainteresowani mogą uzyskać bezpośredni dostęp do potrzebnych danych, w taki sam sposób jakby mieli fizyczne połączenie z biurem lub lokalizacją firmową; |
| • | Możliwa jest bezpośrednia elektroniczna interakcja z klientami; |
| • | Biura zdalne mogą zrezygnować z wolnych i drogich zarządzanych połączeń sieciowych na rzecz tanich i szybkich bezpośrednich łącz sieciowych. |
Aby „deperymetryzacja” się powiodła, architektura sieciowa firmy musi zostać zbudowana z myślą o zabezpieczeniach. Muszą one zostać wprowadzone w całej firmie, tak na urządzeniach użytkowników (jak ich komputery biurkowe i systemy mobilne), jak i w usługach aplikacji i istotnych zbiorach danych. Koncepcja obrony głęboko urzutowanej musi wykroczyć poza stosowany obecnie model podziału sieci na podjednostki i wprowadzanie kolejnych warstw zabezpieczeń technologicznych. Należy stworzyć sieć, w której najważniejszą sprawą jest bezpieczeństwo. Jeśli zabezpieczenia nie zostaną wbudowane w sieć od samego początku, ich skuteczność zostanie w znacznym stopniu ograniczona.
Technologie deperymetryzacji
Czy „deperymetryzacja” sieci wymaga całkowitej przebudowy sieci? Niekoniecznie. Istnieje wiele technologii, które mogą być wprowadzane etapowo i pomóc firmom dokonać zmian w kierunku sieci zdeperymetryzowanej. Zaliczyć do nich można usługę Active Directory, wirtualne sieci prywatne SSL (VPN), ochronę dostępu do sieci NAP, usługi zarządzania prawami Windows (RMS) i izolację serwera i domeny przy użyciu protokołu IPSec. Choć to nie jedyne potrzebne technologie, stanowią one znaczący podzbiór podstawowych narzędzi, których można użyć przy przechodzeniu od środowiska ze wzmocnionym perymetrem do środowiska zdeperymetryzowanego.
Oto skrócony opis sposobu zastosowania tych technologii:
| • | Usługa Active Directory stanowi centralne repozytorium danych uwierzytelniania i autoryzacji używany w celu określania dostępu do sieci i danych w sieci; |
| • | Usługi zarządzania prawami pomagają chronić dane w sieci poprzez kontrolę bezpośredniego dostępu do danych u ich źródła; |
| • | Ochrona dostępu do sieci zapewnia możliwość kontroli, kto i skąd może uzyskać dostęp do sieci w zależności od stanu urządzenia końcowego; |
| • | Izolacja domeny i serwera umożliwia ograniczenie dostępu, tak z sieci, jak i na krawędzi sieci, poprzez zdefiniowanie dostępu w oparciu o zasady systemu i egzekwowanie tego dostępu poprzez wymaganie połączenia przy pomocy protokołu IPSec do izolowanych serwerów; |
| • | Sieć VPN z protokołem SSL, taka jak Microsoft Intelligent Application Gateway (IAG) 2007, zapewnia użytkownikom możliwość kontrolowanego, bezpiecznego dostępu do danych lub aplikacji w oparciu o parametry uwierzytelniania i stan systemu końcowego. Użytkownikami mogą być klienci, pracownicy lub partnerzy biznesowi. |
Wnioski
Nie można zapominać, że deperymetryzacja sieci nie stanowi zadania na jedną noc. Istnieją jednak technologie, dzięki którym zdeperymetryzowana sieć dla wielu przedsiębiorstw jest na wyciągnięcie ręki. Ważne, by uświadomić sobie, że choć zagrożenia bezpieczeństwa, które dziś obserwujemy ciągle ewoluują, a potrzeby biznesowe przedsiębiorstw uległy poważnym zmianom, architektura i model zabezpieczeń używany dziś przez większość firm nie odzwierciedla tych przemian.