Програмна захист мережі

Апаратна захист мережі


Олексій Лукацький, консультант з безпеки Cisco Systems


Мене завжди дивують спроби софтверних вендорів протиставити свої рішення апаратних засобів захисту. Це, щонайменше, дивно, оскільки програмні рішення в принципі не можуть працювати в "повітрі" – Їм потрібна якась апаратна складова – сервер, мережеве обладнання і т.п. Навіть "чисто" програмні продукти (такі як антивіруси, персональні міжмережеві екрани і т.д.) теж прив'язані до заліза, – Починаючи від типу архітектури (SPARC або Intel) і закінчуючи системними вимогами до пам'яті, жорсткого диску і т.п. Тому приміщення програмних і апаратних рішень на різні шальки терезів – лише спроба виробників випнути якісь свої достоїнства без думки про споживача.


Тому, якщо говорити про засоби мережевий безпеки, питання стоїть трохи інакше. Купувати рішення на універсальному комп'ютері або на спеціалізованому? Прихильники і противники є в обох варіантів. Які доводи наводять прихильники спеціалізованих комп'ютерів? По-перше, вони відзначають простоту впровадження рішення. І дійсно, якщо дивитися з точки зору виробника, то програмні рішення вигідніше, тому що їх можна постачати через інтернет і взагалі не витрачатися на логістику.


Зате з точки зору споживача ситуація виглядає з точністю навпаки. Отримавши CD з ПЗ або скачавши його з інтернету, ми встаємо перед низкою непростих завдань. Почнемо з того, що необхідно знайти підходящий комп'ютер. Потім на нього ми повинні інсталювати ліцензійну операційну систему. Потім всі необхідні драйвери і додаткове ПЗ. І тільки після налаштування і тюнінга ми переходимо до установки самої системи захисту, яка також може вимагати додаткової конфігурації. Все це займає час, і у випадку з серйозною системою мережевої безпеки – не один день. А якщо ми помножимо число цих днів на кількість фахівців, що беруть участь у впровадженні, і їхню зарплату, то цифра вийде чималенька (не рахуючи вартості сервера, ліцензійної ОС і ПЗ). Зрозуміло, якщо у нас на складі накопичилося багато старого заліза, "яке викинути шкода", то його можна задіяти під завдання безпеки, але цей варіант далекий від ідеального – у разі виходу застарілого сервера з ладу або через брак системних ресурсів звинувачувати залишиться тільки себе.


Другий аргумент, часто приводиться апологетами програмної безпеки – простота оновлення. Але ж і програмно-апаратні системи захисту оновлюються також ефективно і просто. Навіть якщо йдеться про спеціалізовані чіпах, то за умови дотримання певної технології (наприклад, FPGA), вони можуть також легко модернізуватися, як і звичайна ОС або ПЗ. Зате швидкість роботи таких мікросхем незрівнянно вище, ніж у звичайної програми, вимушеною "спиратися" на універсальний процесор, який працює в умовах постійної боротьби за свої ресурси з боку зовнішніх програм і процесів.


Дуже часто доводиться чути, що, мовляв, "наше програмне забезпечення працює швидше заліза". Але це замовчання справжнього стану справ. Оптимізоване для вирішення певної задачі спеціалізований пристрій за визначенню краще універсального комп'ютера, який за характеристиками. Тільки ось останні три слова виробники програмних засобів мережевого захисту зазвичай опускають у своїх матеріалах. А на практиці виходить, що програмно-апаратний міжмережевий екран, в основі якого лежить один гігагерцевий процесор Celeron, порівнюється з "софтові" МСЕ, що працюють на сервері IBM 3650 на базі двох двоядерних трехгігагерцевих процесорів Xeon з 4 Гб пам'яті. Вартість тільки "залізної" частини такого сервера перевищує 5 тисяч доларів.


А як щодо підтримки? У випадку з програмно-апаратним пристроєм ви отримуєте все з одних рук. У випадку ж з програмними рішеннями підтримка приходить з різних сторін. На ОС своя підтримка, на систему захисту – своя, на сервер – своя, на додаткове ПЗ – своя. А що робити, якщо виникне конфлікт між ПО і "чужим" сервером? Хто, а головне, як зможе швидко його вирішити? А якщо стандартом у вашій компанії є русифікована ОС? Не кожен виробник буде підтримувати рішення на неаглійской версії, а значить, ви повністю втрачаєте підтримки на куплену систему захисту.


Але головне, з чим доведеться боротися власникам програмних систем захисту – з питанням довіри. Якщо не можна довіряти операційної системи, встановленої на сервері, то чого чекати від ПЗ, встановленого поверх такої сумнівної ОС? І навіть наявність сертифіката на куплене ПЗ системи захисту не дає нічого, так як цей захист не може функціонувати без ОС. Отже, щоб бути впевненим, вам знадобиться сертифікувати або купувати сертифіковану операційну систему, що вимагає часу і додаткових грошей. У випадку з "апаратної" захистом ви не маєте таких проблем, так як сертифікація зачіпає відразу всі компоненти – і софт, і апаратну частину.


Все вищесказане в першу чергу стосується засобів мережевої безпеки. Захист комп'ютерів "грає" трохи за іншими правилами. Хоча останнім часом і тут все не так очевидно. Наприклад, поява на ринку міжмережевих екранів, інтегрованих в мережеві плати, електронні замки, технологія Trusted Protected Module (TPM) або технологія Intel AMT / vPro в материнських платах. Все це зайвий раз доводить, що довіра до програмного забезпечення знижується, і виробники, намагаючись запропонувати споживачам захищене рішення, опускаються все нижче – на апаратний рівень.



Олексій Доля, керівник аналітичного центру InfoWatch


Якщо порівнювати програмні рішення з IT-безпеки з їх апаратними аналогами, то софтверні продукти мають ряд достоїнств. Більш гнучка настройка, розширення функціоналу за рахунок plug-in і add-on, оновлення основних компонентів, масштабованість в корпоративній мережі, а в деяких випадках навіть більш висока продуктивність. Зупинимося на кожному з цих факторів.


По-перше, програмні засоби IT-безпеки завжди можуть налаштовуватися більш гнучко і точно, ніж їх апаратні аналоги. У принципі, це продиктовано самою природою софтверних рішень і типовими сценаріями застосування апаратних продуктів. Наприклад, при впровадженні рішень InfoWatch у великих компаніях типовою ситуацією є використання програмного рішення у штаб-квартирі та його точна настроювання відповідно з усіма політиками. Після цього відповідні правила і політики просто відсилаються за регіональним представництвам і філіям, де використовується вже апаратне рішення InfoWatch Security Appliance. Цей продукт приймає настройки і керується ними. При цьому в регіональних представництвах персонал просто фізично не може змінити конфігурацію пристрою. З одного боку це плюс, але з іншого – Не будь софтверного рішення в штаб-квартирі, все точно налаштувати не вдалося б. Причому це справедливо для всіх подібних рішень IT-безпеки.


По-друге, можливе розширення функціоналу за рахунок зовнішніх модулів. Тут доречно звернутися до Microsoft ISA Server. Це програмний продукт, у який багато інші постачальники можуть вбудовувати plug-ins. Наприклад, Лабораторія Касперського поставляє антивірус для ISA Server, а деякі версії InfoWatch Web Monitor точно так само інтегруються в продукт Microsoft, щоб фільтрувати трафік. Очевидно, що взаємодіяти з апаратним рішенням на такому ж рівні інтеграції було б просто неможливо.


По-третє, оновлення основних компонентів. Звичайно, не можна стверджувати, що "залізні" продукти не оновлюються. Адже є маса апаратних антивірусів, фільтрів спаму, IDS та IPS. Однак оновлюються в даному випадку лише сигнатури, а точніше – бази сигнатур. Якщо ж говорити про більш серйозних оновлень, наприклад, окремих компонентах продукту, ядра або системних модулів, то в апаратній вирішенні це неможливо. Легко ілюструє цей приклад деяке протистояння Microsoft ISA Server і апаратних міжмережевих екранів, що працюють під Linux. Якщо Windows застаріває або з'являються проломи в ній або ISA Server, то Microsoft випускає оновлення або виправлення. Це не викликає проблем. А якщо апаратний продукт працює під управлінням Linux, на якому використовується міжмережевий екран, то виправити помилку в ядрі або залатати там "дірку" практично неможливо.


По-четверте, масштабованість в корпоративній мережі. Справа в тому, що апаратні рішення зазвичай славляться своєю продуктивністю. Однак на практиці, коли мова йде про дійсно високому навантаженні, масштабувати залізних продуктів практично нульова. Якщо говорити про софтверних рішеннях, то їх можна використовувати на серверах, які об'єднані в кластер. Таким способом, наприклад, рішення InfoWatch фільтрують більше 20 Гб поштового трафіку щодоби у ВАТ "Вимпелком". Природно, апаратні рішення не впоралися б з цим завданням з урахуванням вимог до максимальної затримки одного повідомлення при фільтрації.


Таким чином, софтверні рішення справді мають цілу низку переваг у порівнянні з апаратними аналогами. Правда, багато зазначені гідності справедливі для великого бізнесу, де потрібна масштабованість, продуктивність, настройка з центру в регіони. Тим не менш, це зовсім не применшує принципові гідності софтверних продуктів, а лише підкреслює їх.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*