Защита вашей сети в эпоху гетерогенности
Введение
Windowsecurity.com, как следует из названия, был разработан для предоставления информации и учебных материалов для ИТ-специалистов, занимающихся настройкой, обслуживанием и администрированием сетей на основе операционных систем Windows. Когда я впервые начал писать для сайта в начале 2000-х, это был другой сетевой мир, во многих случаях гораздо более однородный. Многие магазины Windows, как правило, были полностью ориентированы на Windows; они запускали серверы Windows и клиенты Windows. У большинства из них не было планшетов или смартфонов, подключенных к их сетям, за исключением, может быть, некоторых выпущенных компанией Blackberry. Им, конечно же, не приходилось иметь дело с множеством различных устройств, которыми лично владели сотрудники; «потребительство» еще не было модным словом в ИТ-индустрии.
Сегодня у нас гораздо более разнородные среды, от малого бизнеса до крупного предприятия. Многие компании имеют настольные компьютеры под управлением Windows, Mac и различных итераций Linux. У них есть серверы на базе Linux или UNIX наряду с их серверами Windows. У них есть сотрудники, которые привозят нетбуки и планшеты под управлением Windows, Linux, Android, iOS, Chrome OS, может быть, даже WebOS и Blackberry QNX. У них есть сотрудники, подключающиеся к сети через смартфоны. Со всеми этими различными типами устройств, которые нужно контролировать, как установить и внедрить политики, которые обеспечат безопасность вашей сети? Пока облако полностью не возьмет верх и не избавит вас от всего этого, вы сами должны сбалансировать потребности пользователей во всех этих различных системах с необходимостью защиты вашей сети от атак и вторжений. А поскольку многие организации предпочтут внедрить частные облачные решения (в этом случае вы все равно будете нести ответственность за часть или всю безопасность), вы даже не можете рассчитывать на то, что внедрение облака избавит вас от бремени безопасности.
В этой статье мы предоставим несколько советов по безопасности для различных популярных операционных систем (кроме Windows), а также ряд рекомендаций, которые следует применять ко всем.
Преимущества и недостатки неоднородности
Гетерогенность относится к объекту, состоящему из различных или непохожих связанных частей. В ИТ это конкретно относится к сети, состоящей из компьютеров разных типов или архитектур. Это описывает большинство современных сетей, но многие из сегодняшних ИТ-администраторов не были обучены работе в такой среде. Если вы исключительно Windows-парень (или девушка), а теперь обнаруживаете, что Ubuntu, OS X и различные операционные системы для планшетов вторгаются на вашу территорию, вы можете чувствовать себя немного не в своей тарелке. И вы можете быть настолько заняты попытками выяснить, как предоставить этим пользователям доступ к необходимым им ресурсам, что вы оставляете безопасность на обочине — или делаете предположения о безопасности по умолчанию в этих системах, которые неверны.
У неоднородности есть свои преимущества: разные платформы и операционные системы имеют разные характеристики, и одна из них может лучше подходить для конкретной задачи. Наличие систем, работающих под управлением множества различных операционных систем, дает пользователям доступ к более широкому спектру прикладного программного обеспечения. А что касается безопасности, поскольку эксплойты и вирусы обычно пишутся для воздействия на конкретную ОС, атака или заражение могут не повлиять на все ваши системы, как если бы все они работали под управлением одной и той же ОС. Независимо от конкретной ОС существуют сопутствующие риски. Когда вы «кладете все яйца в одну корзину», стандартизируя одну ОС или семейство ОС, влияние риска возрастает.
С другой стороны, изучение передовых методов блокировки одной ОС может быть достаточно сложным, без необходимости изучать, что вам нужно делать для нескольких разных операционных систем. А поскольку всем этим разным системам необходимо взаимодействовать друг с другом, параметры безопасности в разнородной сети могут конфликтовать, что приводит к тому, что необходимые ресурсы становятся недоступными.
Аутентификация в гетерогенной среде
Управление идентификацией и аутентификация являются основой безопасности любой сети. Централизованная проверка подлинности в гибридной сети может быть сложной задачей, хотя на рынке существует ряд решений, позволяющих управлять проверкой подлинности компьютеров с разными операционными системами. Если у вас есть серверы Windows, вы можете использовать Active Directory в качестве сервера LDAP для аутентификации компьютеров на базе Windows и Linux или OS X. Такие решения, как Quest Authentication Services, работают с AD, позволяя клиентам Unix, Linux и Mac проходить аутентификацию через Active Directory с теми же преимуществами безопасности, что и клиенты Windows. Вы можете управлять информацией об учетной записи Unix для пользователей и групп, используя те же инструменты, которые вы привыкли использовать в Active Directory, и ваши клиенты, отличные от Windows, могут продолжать работать, даже если контроллеры домена недоступны.
Другим решением для интеграции клиентов на основе *Nix в сети Active Directory является PowerBroker Identity Services Open Edition (ранее известная как Likewise Open), которую можно загрузить бесплатно и которая позволяет применять политики безопасности через Active Directory к клиентам, отличным от Windows, в вашей сети. с использованием агентной технологии.
Общие правила безопасности в гетерогенной среде
Управление исправлениями — это основа безопасности операционной системы и приложений, и в гетерогенной среде это удваивается. Проблема здесь в том, что вам придется следить за обновлениями для нескольких операционных систем, а не полагаться на программу выпуска исправлений одного поставщика. Это означает, что вам может потребоваться развернуть несколько решений для управления исправлениями и/или выполнить некоторые исправления вручную, что увеличивает административные издержки.
Как и в сети, работающей только на Windows, гетерогенная сеть должна быть защищена несколькими уровнями безопасности. Это начинается с периферии и должно состоять не только из простого брандмауэра — вы хотите немедленно остановить большинство угроз извне. Защита периферии с помощью сложного решения, такого как Microsoft Threat Management Gateway (TMG), является базовой задачей, но современные «сети без границ» требуют гораздо большего.
Современные разнородные сетевые среды, объединенные с облаком, требуют переоценки политик безопасности, основанных в первую очередь на защите границ. Традиционная практика создания в сети надежных брандмауэров и решений для обнаружения вторжений для защиты от посторонних и предоставления высокого уровня доверия тем, кто находится внутри, может превратить внутреннюю сеть в «мягкую мишень», которая в случае проникновения через «жесткую оболочку» (или просто обходятся злонамеренными или неосторожными инсайдерами) приводит к зияющим дырам в безопасности, которые легко использовать.
Это означает, что пришло время вернуть безопасность на локальные машины и на данные, которые необходимо защитить. Одним из решений является распределенный брандмауэр, который реализует центральную политику безопасности на каждой конечной точке, чтобы создать комплексное решение для обеспечения безопасности по сравнению со старой моделью сквозного решения. Распределенные брандмауэры могут существовать в сочетании с традиционной пограничной защитой; это не обязательно должно быть решение «или/или». Кроме того, механизмы безопасности на основе хоста и шифрование данных как на жестком диске, так и при их передаче по сети являются ключом к обеспечению безопасности гибкой и гибкой разнородной совокупности компьютеров и других устройств. Очевидно, важно найти механизмы шифрования, которые будут работать в разных операционных системах, таких как IPsec и SSL.
Обеспечение безопасности конечных точек — требование о том, чтобы каждое устройство, подключающееся к сети, соответствовало минимальным требованиям безопасности или «состояния», определяемым политиками безопасности компании, — важнее, чем когда-либо, в сегодняшней среде, однако решения по обеспечению безопасности, такие как NAP и NAC, еще не реализованы. почти столь же широкое распространение, как и ожидалось. Это может быть связано со сложностью развертывания таких решений. NAP входит в состав Windows Server 2008 бесплатно, но взгляд на руководство по развертыванию и количество компонентов, которые необходимо настроить, может быстро отбить у среднего перегруженного работой ИТ-администратора желание даже подумать об этом. Нам нужен более простой способ для достижения той же цели.
Резюме
Гетерогенные сетевые среды имеют как преимущества, так и недостатки, когда речь идет о безопасности. Хотя разнообразие типов устройств, операционных систем и приложений снижает риск одновременного воздействия атаки или вредоносного ПО на всех пользователей, оно также увеличивает нагрузку на администраторов и усложняет процесс применения стандартных мер безопасности. Нравится вам это или нет, гетерогенная сеть никуда не денется и, вероятно, со временем станет еще более диверсифицированной, поэтому ИТ-специалистам важно ознакомиться с общими проблемами безопасности, создаваемыми этой тенденцией, и с решениями, которые разрабатывается для решения этих задач.