ИТ-БЕЗОПАСНОСТЬ

Еще несколько лет назад Microsoft (www.microsoft.ru) выбрала RSA Conference в качестве площадки для публичного представления своей стратегии в области информационной безопасности. Не стала исключением и очередная такая конференция (см. PC Week/RE, N 5/2007, c. 1 и N 6/2007, c. 24), где председатель правления корпорации Билл Гейтс и ее директор по исследованиям и стратегии Крейг Манди помимо общего видения проблем построения безопасного ИТ-мира представили также конкретные продукты и технологии, созданные для их решения.

Реализация безопасного и простого "доступа отовсюду" (anywhere access) сегодня связана с эволюцией технологий в трех основных областях: при организации сетей, защите информации и идентификации пользователей.

По мнению Microsoft, реализация безопасного и простого "доступа отовсюду" (anywhere access) сегодня связана с эволюцией технологий в трех основных областях: организация сетей, защита информации и идентификация пользователей.

 Эволюция сетей. Потребители и поставщики ИТ постоянно движутся в направлении не просто расширения, а переопределения самого понятия "границ" вычислительных сетей. Сегодня традиционное преставление о физической топологии сетей как бы исчезает и на смену защите периметра сети приходят методы защиты на основе гибких политик при управлении доступом. При этом цель заключается в том, чтобы пользователь не чувствовал, каким образом он подключается к корпоративной системе: через локальную сеть или Интернет.

Эволюция защиты. Вопросы безопасности теперь уже не ограничиваются защитой локальных информационных ресурсов (рабочих станций, серверов). Пользователь в процессе работы имеет дело с распределенными системами, включающими различные приложения, сервисы, коммуникации, которые наделены собственными средствами защиты. Соответственно задача ИТ-специалистов состоит в том, чтобы обеспечить интеграцию всех этих средств (в том числе для единого управления ими) с уже существующей и будущей ИТ-инфраструктурой. Пользователю также должна быть предоставлена возможность выбора средств безопасности, наилучшим образом подходящих для решения его задач. Кроме того, нужно учитывать, что повышение уровня защиты все же связано не только с процессом передачи данных, но и с процедурами создания и хранения информации, причем как на стационарных компьютерах, так и на мобильных устройствах.

Эволюция идентификации. Сегодня и деловые, и частные пользователи используют целый ряд цифровых идентификаторов. Опыт (на примере применения в быту различных пластиковых карточек) показывает, что заменить их на один универсальный идентификатор не удается. Поэтому встает задача снижения уровня сложности таких "частных" идентификаторов и рисков, связанных с их использованием. Ее решение лежит в плоскости создания совместными усилиями ИТ-отрасли единой идентификационной метасистемы, способной обеспечивать возможности применения различных средств идентификации на базе стандартных протоколов в гетерогенной ИТ-инфраструктуре в среде как вычислительных сетей, так и Web.    

В рамках реализации концепции Identity Metasystem корпорация Microsoft представила предварительную версию Identity Lifecycle Manager (ILM) 2007.

В рамках реализации концепции Identity Metasystem корпорация Microsoft представила на RSA Conference’2007 предварительную версию Identity Lifecycle Manager (ILM) 2007; в окончательном варианте она будет доступна в мае. Новинка представляет собой единое решение на базе технологий метакаталогов Microsoft, в котором реализована поддержка управления надежными удостоверяющими мандатами, такими, например, как сертификаты и смарт-карты. ILM позиционируется как средство управления идентификационной информацией пользователей на протяжении всего ее жизненного цикла. Компания намерена расширять возможности этого продукта - выпуск следующего его варианта, ILM 2, запланирован на 2008 г. В настоящее время заказчики уже могут на практике использовать технологию идентификации Windows CardSpace, представленную Windows Vista и Internet Explorer (IE) 7. Ее взаимодействие с решениями других поставщиков обеспечивается на базе спецификаций OpenID 2.0 и протоколов WS-Trust.

Очевидно, что решение проблем безопасности требует совместных усилий ИТ-отрасли.

Решение задач защиты от внешних угроз и вредоносного ПО возлагается на семейство Microsoft Forefront, в которое входят три группы продуктов: Client Security (защита клиентских и серверных ОС), Server Security (защита серверных приложений) и Network Edge (защита периметра сети).

Говоря о защите ОС, нужно подчеркнуть, что встроенные средства безопасности, включенные в недавно выпущенную Windows Vista, реализуют лишь некоторый минимальный "джентльменский" набор технологий. Для создания более эффективной системы защиты Microsoft предлагает механизм Server & Domain Isolation на основе протокола IPsec и служб Active Directory, который позволяет динамически сегментировать среду Windows с целью создания защищенных, изолированных логический сетей, а также полнофункциональное решение Forefront Client Security (ранее, на этапе бета-тестирования, оно называлось Microsoft Client Protection) для защиты от широкого спектра вредоносного ПО. На прошедшей конференции было объявлено о реализации в IE 7 поддержки технологии Extended Validation (EV) SSL Certificates, что позволит повысить безопасность работы с сертифицированными Web-сайтами, а также о возможности подключения дополнительных провайдеров для службы Microsoft Phishing Filter в составе Windows Vista и IE7.

Направление Forefront Server Security базируется на развитии семейства продуктов Antigen компании Sybari, которую Microsoft приобрела пару лет назад. В прошлом году корпорация начала обновление этой линейки, выпустив решения под торговой маркой Forefront для новых версий своих серверов - Exchange и SharePoint. А на RSA Conference’2007 была представлена первая публичная версия Forefront Server Security Management Console, призванная заменить текущий вариант Antigen Enterprise Manager. Новая консоль должна обеспечить централизованное управление всеми продуктами данного семейства, в том числе и теми, что появятся в будущем.

Задача сетевой защиты в общем семействе ПО Microsoft традиционно возлагалась на Internet Security and Acceleration Server (ISA Server), представленный сейчас версией 2006. Однако теперь возможности этого средства существенно расширены: корпорация объявила о выпуске решения Intelligent Application Gateway (IAG) 2007, объединяющего в себе Secure Sockets Layer Virtual Private Network (SSL VPN) - продукт, полученный в результате приобретения летом прошлого года компании Whale Communications, и ISA Server 2006. Основные новшества IAG связаны с обеспечением безопасного удаленного доступа к прикладным программам, в том числе к критически важным бизнес-приложениям с использованием набора специальных модулей Intelligent Application Optimizers.

Очевидно, что решение проблем безопасности требует совместных усилий ИТ-отрасли, и потому Microsoft наращивает усилия по взаимодействию с отраслевым сообществом. На прошлогодней RSA Conference’2006 по инициативе корпорации был создан SecureIT Alliance, в который сейчас входят уже более ста фирм, преимущественно независимых разработчиков софта. Эта структура работает в плотном контакте с глобальной индустриальной группой Interop Vendor Alliance, образованной в ноябре 2006 г. для объединения действия поставщиков ПО и аппаратных средств в направлении продвижения стандартов Web Services для поддержки интероперабельности систем и решений.

Кроме того, Microsoft активно продвигает партнерскую программу Network Access Protection (NAP), направленную на обеспечение взаимодействия различных платформ, устройств и сетей. Правда, в рамках NAP, говоря об интероперабельности решений, компания подразумевает, что они должны работать под управлением Windows Vista или Windows Server "Longhorn". Тем не менее участниками NAP также являются свыше ста компаний, и почти половина из них (в их числе Cisco, Nortel, Extreme Networks и Foundry Networks) представила свои NAP-решения на выставке RSA Conference’2007.