ВОПРОС “КАК” ОСТАЕТСЯ ОТКРЫТЫМ
Один из вопросов, заданных производителям и экспертам, съехавшимся на майскую выставку Interop в Лас-Вегасе, касался дальнейших путей развития технологий контроля доступа в сети (NAC) с подключаемых оконечных устройств.
Для заинтересованных этим предметом посетителей в графике Interop был выделен тематический день NAC Day, во время которого Cisco Systems, Microsoft, Trusted Computing Group и еще ряд менее именитых провайдеров так называемых NAC-right-now-продуктов (“NAC прямо сейчас”) должны были дружно доказать, что лучшим местом для контроля доступа является сама сеть. NAC Interop Lab — в самом деле то место, где можно получить ответ на ряд насущных практических вопросов. Эта лаборатория успешно функционировала по крайней мере уже на двух предыдущих выставках, и ее гости могли познакомиться с множеством печатных материалов и интересными демонстрациями.
Вопреки бодрым заявлениям NAC-производителей вопрос о том, действительно ли сеть — оптимальное место для проверки благонадежности пользовательских устройств по меркам политики безопасности, пока остается открытым. Один из контраргументов состоит в том, что использование NAC-устройств и сервисов для оценки состояния подключаемой оконечной аппаратуры (включая наличие обновлений антивирусных сигнатур, ОС и приложений, правильность установок персональных брандмауэров, отсутствие недозволенного ПО и программ-паразитов) может обернуться кошмарным трудом для тех, кто реально пишет политику.
К тому же сегодняшние средства NAC обычно довольствуются весьма ограниченными понятиями об оконечных звеньях сети, зачастую игнорируя множество сетевых клиентов, не входящих в круг вариантов Microsoft Windows. В итоге платформы Apple, Linux, Unix и мириады других ОС для карманной аппаратуры, а также принтеры, копиры и тому подобные сетевые устройства почти всегда оказываются за скобками NAC-предложений.
Interop в Лас-Вегасе
Помимо известной группы крупных NAC-игроков (Cisco, Microsoft и Juniper Networks) обращаем внимание на ряд интересных производителей и NAC-экспонатов.
- Компания Bradford Networks с ее устройством NAC Director.
- Фирма ConSentry Networks, чей контроллер LANshield и NAC-оборудование заслуживают серьезной оценки. С LANshield можно познакомиться по обзору eWeek на странице www.networking.eweek.com/print_article/High+Priority+on+LAN+Assets/191040.aspx.
- Lockdown Networks с продуктом Enforcer.
- StillSecure с предложением Safe Access. Информация о Safe Access имеется на странице www.eweek.com/article2/0,1759,2100749,00.asp.
- Vernier Software & Technology с последним вариантом устройства EdgeWall. Наш обзор EdgeWall 7000 Rx находится на странице www.eweek.com/article2/0,1895,1870305,00.asp.
- Компании Caymas Systems и TippingPoint — у них имеются интересные NAC-предложения, на которые стоит обратить внимание.
23 мая состоялся полезный семинар “The Truth About Network Access Control” с выступлением Рассела Райса из Cisco, опытного специалиста и довольно информативного докладчика, претендующего на роль “отца NAC”. Выступали также ведущие эксперты от Juniper, Microsoft и McAfee.
Нынешние средства NAC в основном ориентированы на внешние подключения подрядчиков и контролеров, чьи системы не подпадают под строгий контроль центрального ИТ-отдела организации. Ясно, что чаще всего данные системы действительно должны иметь доступ в контролируемые сети, поскольку это важно для работы организаций и контроля за их соблюдением все возрастающего числа инструкций.
Вместе с тем, как показывают наблюдения, системы подрядчиков и контролеров, находящиеся вне зоны централизованного ИТ-контроля, наиболее сложны в плане проверок на безопасность. С одной стороны, на эти системы не так просто установить проверяющий агент, с другой — их практически невозможно исправить или вылечить, так как по лицензионным причинам принимающая сеть может, например, не иметь права доступа к сигнатурам антивирусного ПО, установленного на подключаемой системе.
Другим способом обороны от вирусов и программ-паразитов, заносимых в сеть гостевыми системами, является упрочнение защиты внутрисетевых клиентов и серверов.
Менеджеры серверного оборудования могут получить полезную информацию, познакомившись с функциональностью доверяемых ОС и опытом разработки платформ Linux и Solaris. Защите серверов также помогает их специальное размещение в центре обработки данных — это позволяет эффективно скомбинировать брандмауэры и системы доступа через идентификацию так, чтобы защищаемые ресурсы были открыты исключительно для авторизованных пользователей.
Мы уже многие годы говорим о возможных способах защиты клиентских систем, и наши рекомендации остаются в прежней силе. Минимум пользовательских привилегий в сочетании со строгой изоляцией систем от других пользователей — по-прежнему один из лучших способов гарантированно уберечь системы от внедрения вредоносных программ. А тем из ИТ-менеджеров, кто не исповедует эту веру, следует обратить пристальное внимание на экспонентов Interop, предлагающих продукты и сервисы для контроля подключаемых систем.
В конечном счете проблему предоставления сетевого доступа к информации без вреда для сети или подключенных к ней клиентов, по-видимому, решит объединение той или иной формы сетевого контроля доступа со значительно упрочненной конфигурацией внутренних клиентов. Тем не менее мы считаем, что вопросы, на которые пыталась ответить Interop, вполне правомерны, а продвигаемые сегодня NAC-технологии в ближайшие годы станут активно использоваться.