Ochrona brzegowa sieci jest już raczej koniecznością. W pierwszej części cyklu Wróg u Bram porozmawiamy o podstawowych problemach związanych z ochroną sieci.
Aby zrozumieć, jak wygląda nasza sieć, powinniśmy spojrzeć na nią z zewnątrz. Jest to zbiór hostów połączonych ze sobą fizycznie i logicznie oraz nasz stan posiadania: serwery aplikacji, bazy danych, systemy kolaboracji biznesowej. To wszystko spięte jest poważną autostradą czyli łączem internetowym, które skutecznie łączy nas za pomocą usług z zasobami Internetu. To w tym miejscu powinniśmy porozmawiać o bezpieczeństwie.
Istotną sprawą jest zadanie sobie pytania: co i jak chcemy chronić? Mamy antywirusy na stacjach i serwerach, zablokowane wszystkie porty na firewall-u (oprócz produkcyjnych ). My o tym wiemy i, przewrotnie, wszyscy o tym wiedzą. Ot tak, domyślnie. Czy możemy w jakiś sensowny i wygodny sposób zabezpieczyć ruch produkcyjny? Oczywiście.
Dobrą zasadą jest zrobienie sobie inwentaryzacji używanych usług, które korzystają z dedykowanych portów (ftp, smtp, http, imap etc.). Oczywistą sprawą jest też analiza ruchu sieciowego na naszym routerze. W dzisiejszych czasach Administrator jest postrzegany jako człowiek od wszystkiego więc nie ma na nic czasu. A już w szczególności na zabawy w szeryfa i analityka zagrożeń. Trzeba zatem znaleźć takie rozwiązanie, które będzie niemalże bezobsługowe i jednocześnie skuteczne. W swojej praktyce spotkałem się z naprawdę bardzo mocnym deficytem czasu kolegów Adminów i mimo szczerych chęci z ich strony, musieliśmy wypracować mało absorbujący model współpracy wdrożeniowej. Sprawdziło się to w większości przypadków klinicznych.
Następną bardzo ważną rzeczą było uszycie rozwiązania - czyli dobranie takiego urządzenia, które np. wdrażało się w 20 minut (sic!). Włącznie ze wstępną konfiguracją, która nie zatrzyma systemów strategicznych. Bardzo ważną rzeczą było ustalenie technicznych aspektów wdrażanych rozwiązań, co jest całkowicie zrozumiałe. Jeśli zaś chodzi o same urządzenia UTM, to sensownym jest wdrażanie rozwiązań pracujących w trybie transparent PROXY, dzięki którym nie musimy rekonfigurować sieci, czy robić zamieszania w infrastrukturze.
Jeśli zaś mowa o filtrowaniu to oczywiście wydajność jest tu na pierwszym miejscu. Niezwykle istotne jest też to, w jakiej warstwie protokołu sieciowego mamy rozebrać ten ruch, przeskanować, złożyć do kupy i zaserwować klientowi. Życie nauczyło mnie, że prezentacje produktowe polegają przede wszystkim na sprzedaniu informacji dopasowanych do oczekiwań, dlatego powinniśmy być czujni. Wiele wywodów to po prostu reklama, ale za prowadzącym spotkanie przeważnie siedzi inżynier wsparcia (ten od trudnych pytań i wtrąceń pokroju: to bardzo dobre pytanie), to tego kolegę należy przesłuchać w kwestii rozwiązań technologicznych. Prawda leży między zdaniami i jest statystycznie rozłożona na 70% marketingu i 30 % prawdy.
Wróćmy jednak do technologii - urządzenia używają różnych technik i silników AV i tu trzeba jasno powiedzieć, że silniki, sygnatury są kupowane od dostawców zewnętrznych jako usługa. Oczywiście spotkałem się z rozwiązaniami All in One - jeden dostawca, jedno urządzenie, autorskie silniki AV. Co do samych rozwiązań, to praktycznie wszystkie są podobne do siebie w sensie funkcjonalności, lecz technicznie mogą się znacznie różnić. W praktyce testowałem i wdrażałem kilkanaście tego typu urządzeń i jak to w życiu bywa, ich skuteczność zweryfikowałem dopiero na froncie, u klientów.
Na koniec zostawiamy krótki film o Trend Micro, który będzie przestrogą przed tym, jak dziś wygląda szpiegostwo korporacyjne. W kolejnej części porozmawiamy już o konkretnych rozwiązaniach.
Dodaj komentarz