Hlavní navigace

Názor k článku IT bezpečnost je předražená od anonym - Dobrý den, chtěl bych reagovat na váš poslední odstavec....

  • 3. 10. 2008 10:28

    anonymní
    Dobrý den,

    chtěl bych reagovat na váš poslední odstavec. Rozhodně si nemyslím, že all-in-one řešení je k ničemu.
    Vyjmenujme si nejprve bezpečnostní komponenty které by současné firemní bezpečnostní řešení rozhodně mělo zahrnovat:

    - firewall (na paketové úrovni, ochrana proti DOS útokům, řízení šířky pásma pro kritické firemní aplikace)
    - VPN gateway (IP Sec protokol pro site-to-site a SSL VPN pro uživatele)
    - IPS (blokování útoků na aplikační vrstvě, blokování zranitelností aplikací a protokolů)
    - antivir a antispam ( pro protokoly SMTP, POP3, HTTP, případně i HTTPS)
    - řízení nebo blokování IM/P2P aplikací, blokování phishingu, blokování spyware a URL filtering

    Takže řekněme že jsme dospěli k zjištění že máme pět důležitých komponent. Pokud budete těchto pět komponent implemetovat jako samostané instalace, garantuji vám že se z toho dříve nebo později:
    a) zblázníte
    b) rezignujete na dlouhodobě pečlivé provádění provozně nutných konfiguračních změn

    To už nezmiňuji ten fakt, že neznám jediného bezpečnostního výrobce který by všech pět vyjmenovaných komponent vyráběl a všechyny byly na současné odpovídající bezpečnostní úrovni. Takže budete konfigurovat pět bezpečnostních komponent ve velmi rozdílných GUI (v tom lepším případě).

    Určitě namítnete, že poslení dva komponenty je možné spojit, protože se jedná o kontrolu na aplikační vrstvě. Ano souhlasím, je to logické spojení, takže pojďme je spojit do jednoho komponentu. Správa aplikační bezpečnosti takového řešení bude jednodužší, určitě se to projeví na jednoduchosti konfigurace a spolehlivosti řešení.

    Dále možná namítnete že se celkem logicky nabízí fakt že i první tři komponenty (firewall, VPN gateway, IPS) se dají logicky spojit do jednoho komponentu. Opět souhlasím stejně jako v předchozím případě.

    Takže jsme minimalizovali pět bezpečnostních komponent do dvou. To je úspěch, správa takového bezpečnostního řešení bude podstatně jednodužší, nebude nás tak výrazně časově zatěžovat, budeme dostávat provozní reporty v rozumné podobě a budeme mít čas i na další provozní úkoly i úvahy o možných vylepšeních celkového bezpečnostního řešení ve firmě, například implementaci NAC řešení a podobně.

    A já se vás ptám, proč nespojit poslední dva komponenty do jednoho ? Co nám v tom brání ? Pokud jsme spojili předchozí komponenty proč nespojit i zbývající dva ? Pokud jsme logicky spojovali předchozí komponnety je spojení posledních dvou - na "paketové" (byť IPS rozhodně nepracuje na paketové vrstvě ale na všech vrstvách) a aplikační úrovni opět pouze logickým spojením.
    Možná namítnete, že se spojováním komponent v jeden celek snižuje celková bezpečnost a zvyšuje zranitelnost celého řešení. Pokud dojde ke kompromitaci jednoho komponentu je kompromitované celé řešení. Ale to není pravda. Pokud jednotlivý komponent all-in-one řešení pracuje v chráněném prostředí, například v Linux/Unix prostředí v chroot nebo jail pak už ze samotného principu nemůže ke kompromitaci celého řešení dojít (neuvažujme o Windows řešení tam vše běží se systémovým účtem nebo účtem administrátora). A pokud by snad ke kompromitaci jednoho komponentu došlo, disponují současné all-in-one řešení vnitřními mechanismy které upozorní na nestandardní chování, případně takový komponent administrativně zastaví. Určitě také namítnete že pokud se jedná o jediný box, jeho výpadkem je firma zcela odříznuta od Internetu. To také není pravda, protože all-in-one řešení disponují fukcemi jako ja vysoká dostupnost - High Avalilability nebo Clustering.

    Takže po mé poměrně obsáhlé obhajobě all-in-one řešení se vás chci zeptat a neberte prosím mou následující otázku osobně: Co vám vadí na all-in-one řešení ?


    Aleš Kotmel
    Annex NET, s.r.o.

    P.S. Omlouvám se zapoměl jsem na proxy server. Ale ten se nedá dost dobře zařadit protože plní funkce na paketové úrovni (poskytuje služby pouze z některých sítí ale také na aplikační úrovni filtrováním obsahu - Java aplety, Active X). Hlavně bych ale musel přepsat celý příspěvek a já jsem ještě neměl ranní presso ...

    ;-)