Vlákno názorů k článku IT bezpečnost je předražená od anonym - Dobrý den, chtěl bych reagovat na váš poslední odstavec....
-
Článek je starý, nové názory již nelze přidávat.
- Podle hodnocení
- Podle vláken
- Nejnovější
-
anonymníDobrý den,
chtěl bych reagovat na váš poslední odstavec. Rozhodně si nemyslím, že all-in-one řešení je k ničemu.
Vyjmenujme si nejprve bezpečnostní komponenty které by současné firemní bezpečnostní řešení rozhodně mělo zahrnovat:
- firewall (na paketové úrovni, ochrana proti DOS útokům, řízení šířky pásma pro kritické firemní aplikace)
- VPN gateway (IP Sec protokol pro site-to-site a SSL VPN pro uživatele)
- IPS (blokování útoků na aplikační vrstvě, blokování zranitelností aplikací a protokolů)
- antivir a antispam ( pro protokoly SMTP, POP3, HTTP, případně i HTTPS)
- řízení nebo blokování IM/P2P aplikací, blokování phishingu, blokování spyware a URL filtering
Takže řekněme že jsme dospěli k zjištění že máme pět důležitých komponent. Pokud budete těchto pět komponent implemetovat jako samostané instalace, garantuji vám že se z toho dříve nebo později:
a) zblázníte
b) rezignujete na dlouhodobě pečlivé provádění provozně nutných konfiguračních změn
To už nezmiňuji ten fakt, že neznám jediného bezpečnostního výrobce který by všech pět vyjmenovaných komponent vyráběl a všechyny byly na současné odpovídající bezpečnostní úrovni. Takže budete konfigurovat pět bezpečnostních komponent ve velmi rozdílných GUI (v tom lepším případě).
Určitě namítnete, že poslení dva komponenty je možné spojit, protože se jedná o kontrolu na aplikační vrstvě. Ano souhlasím, je to logické spojení, takže pojďme je spojit do jednoho komponentu. Správa aplikační bezpečnosti takového řešení bude jednodužší, určitě se to projeví na jednoduchosti konfigurace a spolehlivosti řešení.
Dále možná namítnete že se celkem logicky nabízí fakt že i první tři komponenty (firewall, VPN gateway, IPS) se dají logicky spojit do jednoho komponentu. Opět souhlasím stejně jako v předchozím případě.
Takže jsme minimalizovali pět bezpečnostních komponent do dvou. To je úspěch, správa takového bezpečnostního řešení bude podstatně jednodužší, nebude nás tak výrazně časově zatěžovat, budeme dostávat provozní reporty v rozumné podobě a budeme mít čas i na další provozní úkoly i úvahy o možných vylepšeních celkového bezpečnostního řešení ve firmě, například implementaci NAC řešení a podobně.
A já se vás ptám, proč nespojit poslední dva komponenty do jednoho ? Co nám v tom brání ? Pokud jsme spojili předchozí komponenty proč nespojit i zbývající dva ? Pokud jsme logicky spojovali předchozí komponnety je spojení posledních dvou - na "paketové" (byť IPS rozhodně nepracuje na paketové vrstvě ale na všech vrstvách) a aplikační úrovni opět pouze logickým spojením.
Možná namítnete, že se spojováním komponent v jeden celek snižuje celková bezpečnost a zvyšuje zranitelnost celého řešení. Pokud dojde ke kompromitaci jednoho komponentu je kompromitované celé řešení. Ale to není pravda. Pokud jednotlivý komponent all-in-one řešení pracuje v chráněném prostředí, například v Linux/Unix prostředí v chroot nebo jail pak už ze samotného principu nemůže ke kompromitaci celého řešení dojít (neuvažujme o Windows řešení tam vše běží se systémovým účtem nebo účtem administrátora). A pokud by snad ke kompromitaci jednoho komponentu došlo, disponují současné all-in-one řešení vnitřními mechanismy které upozorní na nestandardní chování, případně takový komponent administrativně zastaví. Určitě také namítnete že pokud se jedná o jediný box, jeho výpadkem je firma zcela odříznuta od Internetu. To také není pravda, protože all-in-one řešení disponují fukcemi jako ja vysoká dostupnost - High Avalilability nebo Clustering.
Takže po mé poměrně obsáhlé obhajobě all-in-one řešení se vás chci zeptat a neberte prosím mou následující otázku osobně: Co vám vadí na all-in-one řešení ?
Aleš Kotmel
Annex NET, s.r.o.
P.S. Omlouvám se zapoměl jsem na proxy server. Ale ten se nedá dost dobře zařadit protože plní funkce na paketové úrovni (poskytuje služby pouze z některých sítí ale také na aplikační úrovni filtrováním obsahu - Java aplety, Active X). Hlavně bych ale musel přepsat celý příspěvek a já jsem ještě neměl ranní presso ...
;-) -
Jarda (neregistrovaný)Ad restarty: pokud potrebujete 99,999 dostupnost, jedno zarizeni nestaci. Proto ty kriticke casti (a plati to i o firewallech/UTM/rikejte jim jak chcete) byvaji alespon zdvojene. U lepsich implementaci jako bonus ziskate celkovy vykon blizici se souctu vykonu pouzitych zarizeni.
-
petr_p (neregistrovaný)Sjednocené řešení má také nezanedbatelné problémy:
Optimální řešení všech problémů od jednoho dodavatele většinou nedostanete. (Jak sám připouštíte.) Takže zákazník musí slevit ze svých požadavků, pokud chce vše v jednom.
Další problém je, že veškerou funkcionalitu soustředíte do jediného místa, takže pokud tam dojde k selhání, přicházíte o všechny služby. (Např. upgrade jedné části si vynutí restart a ve výsledku lidem přestane fungovat VPN.)
Takže nakonec celé to je o penězích a o lidech, kteří jsou schopni najít hrozby, ohodnotit rizika a posoudit nabízená řešení. -
P. (neregistrovaný)Naopak, ten pan o prispevek vyse to popsal dobre. Celkem dobre vystihl podstatu veci, naopak Vase tvrzeni, ze problem je s upgrady apod je zcestny. Enterprise reseni neni zalozene ve vysledku na jednom boxu, mate sice komplexni reseni v kostce, ale fyzicky se o to stara vice zarizeni v HA:
switche ve stacku nebo s vice supervisory
FW opet v clusteru s replikaci spojeni - vypadek jednoho nevynuti rozpad spojeni (nebo je lze balancovat na zaklade za ACE moduly, lze navysovat vykon libovolne nahoru)
IPS sondy v HA nebo s dynamickym routingem
Geoclustery ....
Z praxe co se vypadku tyce, napriklad na Cisco ASAch v clusteru (jak A/S tak A/A) je vypadek pri upgradu/reloadu nulovy. To same treba pri load balancingu na ACE modulech/appliancich.
Ve vyssim svete je na vsechno reseni, je to samozrejme o penezich, ale realizovat to lze (a kupodivu to vesmes funguje).
Ve vysledku stejne ale neni problem s utokem zvenku, nejvetsi problem je zevnitr - zavirovane pocitace, trojske kone, lidsky utocnik zevnitr site atd. Tam uz nastava velky problem a vse nemusi vyresit ani NAC atd... -
Jarda (neregistrovaný)Specielne s antispamem bych byl veeelmi opatrny. Antispam totiz neni jenom blacklist nebo online databaze podezrelych mailu. Dobry antispam je taky graylisting (predpoklada korektni implementaci SMTP), bayesianske filtry (predpoklada datove uloziste) atd., a to jsou metody krapet nad moznosti bezneho UTM zarizeni. Takze plati jako vsude: Nikdo neumi vsechno a Monokultura skodi.
-
Petr (neregistrovaný)Tohle vse davno v jednom baliku a velmi funkcnim existuje.Jmenuje se to http://www.openbsd.org ;-)
Jde pak uz jen o spravnou konfiguraci site a umerny pocet serveru.To znamena,ze treba Antispam,Antivir a Posta klidne mohou byt na jednom serveru,ale zcela jiste tam s nima nema co delat treba firewall nebo ftp nebo DNS servery atp.
To je z pohledu vhodneho produktu ciste na bezpecnost.Kdyz vezmeme v uvahu kombinace,tak treba vnitrni a vnejsi bezpecnost bude resit OpenBSD a databazovy server kvuli vykonu bude resit FreeBSD.K vnitrni bezpecnosti je treba prijmout urcita pravidla,nechat si je podepsat a taky je dodrzovat a tvrde vyzadovat,to znamena i aplikovat snizovani platu,vypovedi atp. za prohresky. -
bman (neregistrovaný)Dle mě jsou UTM řešení vhodná do menších firem, kde je méně zaměstnanců a není moc prostředků investovaných do IT, tak toto řešení bude pravděpodobně vycházet nejlépe.
Ale jinak bych volil rozdělení po jednotlivých produktech.
Firewall má dle mého názoru pořádně provádět filtrování a ochranu proti síťovým útokům, případně některým specifickým útokům na aplikační vrstvě. AV, AS a další takové věci bych nedoporučoval. Důvody?
1. Více komponent, více zranitelností.
2. Firewall jako centrální prvek musí být spolehlivý a výkonný. Není dobré, aby např. kvůli AV kontrole, která vytíží vlastní stroj došlo ke zpožďování veškerého provozu.
3. Kontrola SMTP - je rozdíl, pokud jako MX použiji jeden z ověřených MTA nebo UTM řešení, protože výrobce UTM řešení naimplementuje jen to nejnutnější a toto vlastní MTA bude pravděpodobně obsahovat více chyb.
Pro větší organizace není ani výkonnově reálné mít vše na jednom stroji. Výkonnově nejnáročnější je dnes asi AV brána pro HTTP (FTP) provoz. Může nastat situace, kdy i relativně výkonný stroj může mít problém s výkonem. Vím o situacích, kdy i jeden uživatel dokázal nevědomky dostat takový stroj téměř k DoS. Pokud mám tento stroj zvlášť, dojde max k problémům s HTTP provozem, ale neodszřelí se nic jiného jako na UTM řešení.
A za poslední, bezpečnost je vždy kompromis mezi cenou/výkonem a co je schopna daná společnost do této oblasti investovat. -
z (neregistrovaný)Viz predchozi reakce, allin reseni jsou vzdy v jednotlivych funkcionalitach horsi. Je to uplne stejne, jako kdyz si koupite povestny svycarsky nuz. Je to nuz, ale nic moc, je to sroubovak, ale tak na jeden dva srouby, je to pilka, ale tak na klesti na podpal ...
Pro vasi informaci, existuji aplikace, ktere sjednocuji konfiguraci mnoha ruznych nastroju do jedineho GUI.
Mimochodem, vas post mi prijde jako PR/sebechvala. Firem, ktere tvrdily jak umi "vsechno" uz sem videl ... a vzdy stal jejich prudukt bud za starou backoru, nebo byl presne jak ten nuz, od vseho trochu a nic poradne. Priciny ? Jednoduche, firma disponuje omezenym poctem vyvojaru, ti musi hasit aktualni problemy a na koncepcni vyvoj neni cas. -
Zappo (neregistrovaný)Uprimne, agentura Gartner je sice vyznamnym hracem na trhu, ale samy firmy, ktere se o jeji pruzkumy opiraji potvrdi, ze Gartneri udelaji pruzkum tak, aby vysel jak chteji.
K tomu ale psat nechci - co je v clanku naznaceno a sice ze firmu by mel chranit spolupracujici homogenni system, oproti soucasnemu stavu nekolika specializovanych produktu ruznych firem, nepovazuju za spravne.
Homogenita systemu vede jen k tomu, ze v pripade chyby na jednoho vyrobce (toho, od koho system mate) jste vystaveni riziku skrz naskrz, zatimco pokud jsou pouzity ruzne technologie, tak se toto minimalizuje. Koncept naraznikoveho firewallu jednoho vyrobce a interniho firewallu vyrobce druheho, demilitarizovanych zon a k tomu nasazene aplikacni ochrany je podle me daleko odolnejsi vuci utoku.
Ano, aby se z toho nestal gulas tak to chce nejake znalosti a urcite se to neda stavet principem "koupime vsechno a pak to nejak nasypeme dohromady" - ale to je spis o designu sitoveho prostredi nez o pouzitych technologiich, kteryma je realizovan.
A jeste jednu vec - reseni "na vsechno" jsou podle me k nicemu. Firewall ma delat firewalling a nehrat si na antispam a antivir v jednom, proxy server nema zkouset plnit ulohu firewallu atd. To je cesta do pekel.
