Галина Большова

Компания Check Point Software выпустила новую систему управления безопасностью, ориентированную на операторов связи, сервис-провайдеров и крупные корпорации

В наши дни Интернет, несмотря на множество связанных с ним рисков и опасностей, играет все большую роль в бизнесе компаний, становясь основной сетевой средой для выполнения внешних и внутренних транзакций. Обмен данными между удаленными офисами, взаимодействие с партнерами, электронная коммерция, оказание различных услуг в онлайновом режиме и многие другие операции делаются привычными и для российских предприятий. В этих условиях разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести бизнесу значительный материальный ущерб. Именно поэтому с каждым днем возрастает и роль средств обеспечения безопасности корпоративных сетей.

Наиболее часто средства защиты размещаются непосредственно в корпоративных сетях. Например, межсетевые экраны (firewalls), контролирующие доступ к ресурсам, отражают атаки злоумышленников извне, а шлюзы виртуальных частных сетей (VPN) обеспечивают конфиденциальную передачу информации через сети общего пользования, в том числе через Интернет. Кроме того, сегодня "серьезные" компании стараются создавать в своих сетях комплексные системы надежной "эшелонированной обороны", используя широкий спектр различных средств безопасности, таких, как системы обнаружения вторжений (Intrusion Detection Systems, IDS), средства контроля доступа по содержимому информации, антивирусные системы и т. п.

Каждая из этих составляющих требует тщательного и достаточно специфического конфигурирования, отражающего взаимосвязи между пользователями и доступными им ресурсами. Квалифицированные специалисты в данной области обходятся недешево, да и найти таковых не так уж просто. Поэтому многие предприятия предпочли бы передать функции управления своими средствами защиты информации сторонней компании, обладающей достаточным уровнем знаний и опыта.

Исполнителями таких работ чаще всего становятся операторы связи, обеспечивающие комплексный сервис - предоставление доступа в Интернет, телефонию, передачу данных и управление безопасностью сети клиента. Такой оператор, предоставляющий также услуги защиты информации, решает все проблемы заказчика, связанные с коммуникациями с внешним миром. Именно он содержит высококвалифицированных и высокооплачиваемых специалистов, которые постоянно отслеживают новые уязвимости и типы атак и своевременно модифицируют политики безопасности всех абонентов.

Ключевой элемент для достижения успеха при оказании услуг защиты информации - применение такой архитектуры управления безопасностью, которая позволит максимально быстро и безболезненно наращивать клиентскую базу при минимизации расходов на персонал и аппаратное обеспечение. К сожалению, большинство существующих в настоящее время систем рассчитано на управление ограниченным количеством точек защиты в рамках одного предприятия. Постоянные изменения политик безопасности, медленные механизмы сбора и обработки отчетности, большие затраты времени на управление политиками отдельных клиентов - таковы типичные проблемы, с которыми сталкивается провайдер информационной безопасности.

Однако недавно компания Check Point Software Technologies (http://www.checkpoint.com), в течение долгих лет работающая в области информационной безопасности, выпустила новую систему управления, решающую многие проблемы такого рода и ориентированную на операторов связи, сервис-провайдеров и крупные корпорации. Сегодня выпускаются два варианта этой системы. Вариант Provider-1 предназначен для крупных сетей операторов и компаний, а SiteManager-1 - для провайдеров, обслуживающих предприятия малого бизнеса. Они различаются прежде всего числом независимых политик безопасности, хранимых на одном мультидоменном сервере. Кроме того, Provider-1 управляет любыми точками защиты, а SiteManager-1 работает только с продуктами Small Office и Module, представляющими собой модификацию системы VPN-1/Firewall-1.

Архитектура управления для множества политик

Provider-1, как и SiteManager-1, объединяет в рамках трехуровневой архитектуры (рис. 1) станцию управления политиками, шлюз безопасности и графический интерфейс управления (GUI). Такая архитектура позволяет работать со множеством политик безопасности одновременно и управлять защитой не только единичного устройства, но и целых групп. Оператор связи, установивший любую из названных систем, может в защищенном режиме задавать отдельный набор правил безопасности для каждого клиента. При этом администратор клиента также получает определенный уровень полномочий, чтобы подстраивать заданные оператором правила в соответствии с потребностями своей компании. Разграничение администрирования выполняется на основе системы ролей. Но при работе с клиентскими системами безопасности приходится учитывать одно ограничение: они должны базироваться также на продуктах компании Check Point.

Fig.1
Рис. 1. Трехуровневая архитектура для управления множеством политик.

Как и другие "серьезные" системы управления безопасностью, новинка Check Point предусматривает автоматизированное управление отчетностью, а также автоматизированное распределение ПО и лицензий на шлюзы безопасности. Кроме того, обеспечивается полное резервирование управления защитой.

Трехуровневая архитектура, состоящая из точек защиты, станции управления и GUI, предоставляет надежное и масштабируемое средство для создания одной политики безопасности и автоматического распределения ее на множество точек защиты. Однако сервис-провайдерам и крупным компаниям требуется управлять не одной политикой безопасности, а множеством разных политик одновременно. Такую возможность обеспечивает мультидоменный сервер (Multi Domain Server, MDS), способный хранить до 500 политик (для Provider-1) или до 100 (для SiteManager-1) на одном компьютере типа Sun SPARC с ОС Solaris. Поскольку MDS-серверы можно каскадировать, для управления оказывается доступно практически неограниченное число политик.

На MDS каждая политика индивидуального клиента хранится в виде так называемого абонентского модуля управления (Customer Management Add-on, CMA), который дает возможность одновременно управлять множеством шлюзов безопасности этого клиента. В состав абонентского модуля входят списки пользователей и объектов, база правил безопасности и журнал (log-файл). Все CMA полностью изолированы друг от друга.

Мультидоменный интерфейс управления GUI (Multi Domain GUI, MDG, рис. 2), упрощающий администрирование множества политик безопасности, предоставляет интуитивно понятные возможности просмотра, редактирования и навигации между политиками (CMA), централизованно хранимыми на MDS. С помощью этого интерфейса один администратор может контролировать правила, объекты и события сотен клиентов одновременно.

Fig.2
Рис. 2. Мультидоменный графический интерфейс управления.

Дополнительно вместе с системой управления поставляется мультидоменный модуль отчетности (Multi Domain Log Module, MLM), который рекомендуется устанавливать на отдельном сервере, чтобы снять с сервера MDS нагрузку по работе отчетами. Такое решение позволяет создавать резервную инфраструктуру отчетности, назначая MLM основным лог-сервером, а MDS - резервным. В случае отказа MLM вся отчетность будет направлена на MDS.

Трехуровневая архитектура включает также и абонентский модуль Customer Log Module (CLM) - лог-сервер, поддерживающий отчетность одного клиента. Его можно разместить на территории клиента, чтобы обеспечить более быстрый и легкий локальный доступ к отчетам, генерируемым системой безопасности данной компании.

Функциональные возможности

Поддержка глобальных политик - важная функция системы управления защитой. По сути глобальные политики представляют собой шаблоны правил безопасности, которые могут применяться к множеству разных политик. Это позволяет не тратить время на создание идентичных политик для разных клиентов и повышает эффективность управления системой.

Ролевое разграничение прав доступа администраторов дает возможность четко определить права и ответственность администраторов безопасности. Интерфейс ПО Manager Administrators обеспечивает удобные и гибкие способы распределения зон ответственности в группе таких администраторов. Так, полномочия могут назначаться в соответствии с принадлежностью к списку администраторов в абонентском модуле управления CMA и разграничиваться внутри одного CMA в соответствии с функциональными задачами исполнителя: безопасность/VPN, мониторинг отчетности, QoS и т. д. Заметим, что клиентам также могут предоставляться различные права управления системой и доступа к некоторым функциям, например, для управления внутренней базой пользователей. При этом в системе предусмотрена возможность детального аудита действий каждого администратора - дата и время его входа в систему и все выполняемые им операции, вплоть до изменения цвета сетевого объекта.

Архитектура построения системы гарантирует постоянную доступность управления (Total Availability Management, TAM) и полную отказоустойчивость инфраструктуры управления безопасностью. В пределах региона или страны может работать несколько сетевых центров управления, а в каждом из них - несколько MDS-серверов, объединенных в единую систему, которая автоматически синхронизирует пользовательскую и административную информацию таким образом, что любой MDS-сервер служит резервным для остальных. Такая разветвленная структура обеспечивает управление в режиме нон-стоп без применения дополнительных программных или аппаратных средств резервирования.

Централизованное автоматизированное обновление ПО и лицензий (SecureUpdate) - одна из наиболее ценных функций системы защиты. Известно, что для поддержания максимальной безопасности всегда необходимо иметь самую свежую версию ПО. А если приходится обслуживать тысячи точек защиты, то задача частого обновления ПО становится весьма трудоемкой и требует немалого времени. С учетом этого разработчики Check Point создали специальный инструмент для эффективного управления обновлениями ПО и лицензий. С его помощью можно одновременно установить новую версию ПО на всех клиентских точках защиты непосредственно с MDS-сервера, причем без какого-либо локального администрирования.

Минимальные системные требования Provider-1

  Мультидоменный сервер Мультидоменный GUI
Платформа Sun Ultra SPARC Sun Ultra SPARC, Intel Pentium не ниже 100 МГц
Операционная система Solaris 7 или 8 Solaris 7 или 8, Windows 2000 или NT
Пространство на диске, Мбайт 120 + 50 на клиента 50
Объем оперативной памяти, Мбайт 256 + 40 на клиента 64

***

Системы защиты, созданные на базе продуктов Сheck Point Provider-1 и SiteManager-1, дают операторам связи и сервис-провайдерам возможность решать вопросы безопасности своих клиентов, консолидируя политики безопасности отдельных абонентов в единую структуру централизованного управления, практически не имеющую ограничений для расширения. Эти системы минимизируют затраты на аппаратное обеспечение и персонал. Трехуровневая архитектура обоих продуктов позволяет упростить общий алгоритм политики безопасности путем его разбиения на части, группируемые по географическому, функциональному или иным признакам. Это делает многосвязную задачу управления менее сложной и более прозрачной.