Что мы знаем о работе секретных служб, обеспечивающих охрану президента США? Такой вопрос недавно задал генеральный директор компании Vidder Марк Ховер посетителям сайта CTR, специализующегося на обсуждении вопросов развития в области ИТ. Немного, считает он, и добавляет, что при этом основые правила их работы совершенно ясны: между президентом и внешним миром выстраивается надежное кольцо защиты из телохранителей, которые изолируют его от нежелательных контактов, угроз атаки со стороны злоумышленников. Хотя работа всей системы скрыта тайной, правила ее функционирования отвечают требованиям очевидной логики.
Допустим, говорит Ховер, организация работы секретной службы изменилась и теперь она выстроена по следующим правилам:
- Служба постоянно публикует распорядок дня президента — когда и где он находится;
- Жителям города разрешают свободно разгуливать вблизи президента, в любом месте и в любое время, разрешают подходить к нему и жать руку;
- От жителей требуют предъявления только их идентификационных документов;
- Сведения, полученные от жителей, подвергаются минимальной проверке, выполняемой в фоновом режиме;
- При физической проверке ведется поиск только оружия.
Можно ли назвать такую защиту президента надежной? «Если бы система придерживалась этих правил, то каждую неделю пришлось бы выбирать нового президента, — считает Ховер. — Представленная модель безопасности не просто ужасна, она нерезультативна. Совершенно очевидно, что все перечисленные правила приводят к результату, противоположному ожидаемому».
Все эти размышления нужны Ховеру, чтобы перейти к теме защиты сетей TCP/IP. Он предлагает вспомнить правила, по которым работает такая система защиты. Найти отличия от вышеприведенного сценария, оказывается, невозможно, хотя таким образом выстроены Интернет и любая корпоративная сеть.
Ховер назвал эти правила:
- В DNS передается список адресов критически важных серверов.
- В ожидании возможных соединений в конфигурации серверов задается опция «listen all» («ожидать соединения на всех адресах»).
- Отвечать на все входящие запросы для подключений и формировать сессию («handshake») со всеми запросившими клиентами.
- Запрашивать учетные данные респондента (credentials).
- Проводить анализ полученных учетных данных для отбора и авторизации клиентов с целью начала дальнейшего обмена данными.
Перечисленные правила обеспечивают простоту подключения. Однако с точки зрения безопасности результат получается нежелательный: в сети появляются многочисленные скомпрометированные серверы, компании вынуждены нести внушительные операционные и капитальные затраты для закрытия обнаруженных упущений в системе безопасности. Однако в результате создается лишь видимость благополучия.
Можно ли защитить сети TCP/IP иначе?
Отвечая на этот вопрос, Ховер снова вспоминает правила работы секретной службы охраны президента. Они подвергают тщательной превентивной проверке всех, кого планируется допустить до контакта с президентом или кто получит возможность находиться на подконтрольной дистанции в непосредсвенной близости от него. При этом:
- Предварительно требуется составить заявку на встречу с президентом;
- Служба охраны выполняет предварительную всестороннюю проверку по каждому запросу;
- Перед непосредственным визитом человека тщательно обыскивают, просвечивают и обнюхивают собаками;
- Служба охраны контролирует любые перемещения вблизи президента; лицам, находящимся поблизости, рекомендуют не делать резких или неожиданных движений.
Чтобы повысить защищенность сетей TCP/IP, нужно обеспечить естественный контроль за трафиком, считает Ховер. В качестве примера он называет модель контроля сетевого доступа SDP (Software Defined Perimeter, программно-определяемый периметр).
Это архитектурное решение позволяет компаниям реализовать модель «нулевого доверия» к любого вида устройствам, ПО и клиентам, запрашивающим доступ к корпоративной сети. Это означает, что на первом этапе установки подключения видимость и доступность защищаемых критических ИТ-активов компании принимается нулевой. Затем она повышается, но при условии, что объект контакта прошел полный цикл предварительной проверки на свою достоверность и доверие.
Правила контакта в этом случае выстроены следующим образом:
- Изолируются серверы с критическими приложениями, на любые входящие запросы для подключения они отвечают «Deny All» («отказ всем»); это распространяется также на запросы со стороны DNS-серверов;
- Выполняются необходимые операции для оценки доверия пользователя к устройству, клиенту и ПО, предлагающему установить контакт;
- Видимость и поддержка подключений для авторизованных пользователей и служб формируется динамически, она предоставляется только после прохождения проверок по всем политикам работы с конкретным приложением;
- Ведется постоянный мониторинг действий пользователей, контролируется, что они не совершают «внезапных или неожиданных» действий.
SDP можно рассматривать как «элитную» службу для охраны сетей TCP/IP. Как образно объяснил Ховер, в создаваемой программной среде обороны нельзя разглядеть тайного агента. Здесь нет замаскированных наушников, микрофонов, вшитых в лацканы пиджака, нет короткой стрижки и бычьей шеи, нет спрятанного оружия и сопровождающих собак. Но все это «замаксировано» в виде кода.
Концепция SDP выстроена на архитектуре Isolate/Verify/Connect (полная изоляция/проверка/подключение). Она направлена на защиту от клиентов, имеющих официальное разрешение на доступ, эксплойтов, использующих уязвимости на уровне сервер/приложение, DDoS-атак, от попыток взлома системы подключения, от атак «человек посередине».
Хотя с внедрением SDP угрозы не исчезают, взамен нынешней модели, предусматривающей высокую степень открытости для сетевого обмена, появляется модель доверенного подключения. Это позволяет создать более прочные форпосты для обороны, которые можно дополнять элементами выборочной защиты, применяя их для наиболее критичных участков ИТ-инфраструктуры компаний, утверждает Ховер.