|
|
№ 6 ноябрь-декабрь 2005 г.
Тема номера: ЦЕНТРАЛИЗОВАННОЕ УПРАВЛЕНИЕ ИБ
|
ОСНОВНЫЕ ПРИНЦИПЫ ЦЕНТРАЛИЗОВАННОГО УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ
М. Ю. Кадер, инженер-консультант компании Cisco Systems |
|
|
Централизованное управление безопасностью – одна из самых захватывающих тем в области информационной безопасности. При написании этой статьи я не ставил перед собой цели сделать обзор всех существующих продуктов, подходов и технологий, а просто хотел обратить внимание на ряд аспектов, учет которых позволит построить именно систему управления безопасностью, а не что-то с ней схожее.
Первый из этих аспектов, и, как обычно, самый важный – организационный. Попросту говоря, это – ответ на вопрос, кто и за какие функции управления безопасностью отвечает. Какие из них закреплены, например, за отделом телекоммуникаций, а какие – за отделом безопасности. Вернуться для более подробного обсуждения данного аспекта целесообразно чуть позже, после того как мы обсудим, что же это за функции.
Второй интересный аспект заключается в том, чем и как мы собственно управляем? И здесь полезно упомянуть о таком понятии, как канал управления, то есть сетевая среда, обеспечивающая доступ нашим системам управления к объектам управления, например к рабочим станциям, серверам, сетевому оборудованию, средствам обеспечения безопасности.
Основываясь на типе используемого канала, можно выделить три варианта управления. Первый из них – это «внутриполосное» управление, означающее, что для управления мы используем те же самые сети, что и для передачи пользовательского потока данных. К плюсам такого решения можно отнести простоту реализации: есть построенная сеть передачи данных – вот нам и построенная сеть управления. К минусам относится полная неприемлемость такого варианта с точки зрения безопасности, так как пользователь сети может получить доступ не только к своим данным, но и к данным управления. А это может означать перехват трафика управления для манипулирования им или перехвата паролей, файлов конфигурации и т. п.
Для того чтобы наше решение по управлению безопасностью являлось защищенным само по себе, существует второй вариант создания канала управления – «внеполосное» управление. Попросту говоря, в дополнение к нашей сети передачи данных мы строим еще одну отдельную сеть с независимой адресацией исключительно для задач управления. Такой подход позволяет обеспечить необходимый уровень защиты сети управления, но не лишен пары недостатков. Первым из них является стоимость. Если мы строим отказоустойчивую сеть передачи данных, а также управление ею и устройствами защиты – критически важная задача для нашего предприятия, то и сеть управления должна быть высоконадежной. Это подразумевает наличие кабельной инфраструктуры, дублирование сетевого оборудования и т. п., что и приводит к весьма значительным дополнительным затратам. Второй недостаток классической системы внеполосного управления – это невозможность ее полной реализации. Если наше предприятие состоит из множества подразделений, разбросанных по всему миру или пусть даже по необъятным просторам нашей Родины, реализация внеполосного управления является не решаемой задачей из-за невозможности получения или очень высокой стоимости территориальных линий связи.
И тут нам на помощь приходит «псевдовнеполосное» управление, означающее, что для задач управления мы строим отдельную логическую сеть в рамках существующей инфраструктуры. Если мы говорим о сегментах локальной сети, то в них используем виртуальные локальные сети. Если о территориально-распределенных сетях, то либо используем туннельные протоколы, такие как IPsec или GRE, либо применяем защищенные протоколы сетевого управления, такие как SSH, SCP, SSL/TLS и т. п. При этом с точки зрения сетевой адресации сеть управления по-прежнему отделена от пользовательской сети. Такой подход позволяет нам реализовать безопасную систему управления, при этом используя инвестиции, уже сделанные нами в построение сети передачи данных нашего предприятия.
Итак, мы разобрались, каким образом будем взаимодействовать с объектами управления. Поговорим теперь о тех средствах, которые будем использовать, а именно о системах управления безопасностью.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|