Ни тестирование нескольких решений по защите точек подключения к сети, ни лекции на эту тему не заменят реального опыта работы. И хотя продукты становятся всё лучше, всё так же нет одного волшебного, подходящего для всех случаев решения. Я решил поделиться кое-чем из того, что узнал во время своих визитов в разные организации.
Большинство вендоров нацелены только на Windows XP, некоторые лишь теперь начинают предлагать поддержку другой ОС того же вендора, прокладывающей себе путь на Рабочий стол. Vista — наверное, слышали? А уж если говорить о пространстве за пределами Windows — скажем, Mac OS, Linux или PDA, — то тут большинство вендоров абсолютно отстали от жизни.
Есть продукты, например StillSecure SateAccess, которые могут работать как с агентами, так и без них, хотя в последнем случае они обеспечивают лишь малую долю защиты, которую дают агенты для Windows XP. Безусловно, одним из решений могло бы стать обязательное использование XP SP2 для всех десктопов вашей сети.
Меры устранения проблем реализованы лишь отчасти, а в некоторых случаях вообще никак. Когда система защиты находит подключенное устройство, не отвечающее требованиям, как решается эта проблема и что видит конечный пользователь? Переключают ли его на карантин, где ему не остается ничего другого, как обновить “заплатки” и защиту браузера? Или его просто блокируют?
От того, как вы это решите, зависят ваши ресурсы поддержки, и в этом причина того, почему многие не так уж усердствуют, чтобы отточить этот процесс, даже если есть для этого средства.
Стиль управления политикой безопасности в корпоративной сети может определить выбор в пользу того или иного продукта. Некоторые из продуктов потребуют больших или меньших усилий для интеграции с межсетевыми экранами, системами обнаружения/ блокирования вторжений и другими мерами защиты, которые вы используете.
Я знаю случай, когда корпорация защитила точки подключения для управления сетевым доступом с помощью биометрии. Когда пользователи проходили аутентификацию, предъявляя свой пальчик, они получали доступ к сетевым ресурсам и полностью шифрованному локальному жесткому диску. (Использовались жесткие диски Seagate со встроенными средствами шифрования.)
Действительно ли нужно защитить всех? Некоторые из компаний, где мне довелось побывать, внедряют защиту точек подключения только для консультантов, гостей и других пользователей, не сидящих на централизованно управляемых ПК. Другим приходится делать защиту для всех, как в моей альма-матер, Union College. Это во многом зависит от состава ваших ПК: соотношения управляемых машин и количества посетителей.
Теоретически централизованно управляемый ПК можно надежно запереть, и вам не придется заботиться об их системах, как о тех, что просто внесены вместе с компьютерами с улицы и, возможно, кишат вирусами. То же самое относится к решению многих проблем: можно начать с малого и постепенно двигаться дальше.