Код Безопасности

четверг, 14 июля 2011 г.

TrustAccess — защита ключевых ресурсов организации


Юлия Смирнова, менеджер
по развитию направления,
компания "Код Безопасности"

Тот факт, что внешний периметр корпоративной сети должен быть защищен межсетевым экраном, уже ни у кого не вызывает сомнения. При этом внутренний периметр сети предприятия считается доверенной зоной и дополнительных мер по его защите, как правило, не предпринимается. Конечно, в большинстве организаций для защиты рабочих мест сотрудников дополнительно используются персональные межсетевые экраны, но они в основном сосредоточены на ограничении доступа к Интернет-ресурсам. А доступ к серверам, наиболее критичным ресурсам, вообще контролируется в основном только организационными мерами. Невольно напрашивается вопрос: «Защищены ли в должной мере от сетевых атак ключевые ресурсы организации, такие как, например, рабочее место руководителя предприятия, главного бухгалтера или сервер баз данных?»


Гарантирует ли традиционный межсетевой экран, установленный на границе сети предприятия, защиту ключевых ресурсов организации от сетевых атак?

Несомненно, «периметровый» МЭ — своего рода забор на пути потенциального злоумышленника. Но если его оборона будет преодолена, внутренние ресурсы окажутся полностью беззащитны. Фильтрация сетевого трафика (стандартный механизм МЭ) не дает 100 % гарантии того, что злоумышленник не сможет получить доступ к ключевым ресурсам. С развитием современных технологий создание, так называемого, «доверенного» периметра уже не столь эффективно. Например, потенциальный злоумышленник может получить доступ внутрь корпоративной сети, например, по Wi-Fi или 3G, минуя межсетевой экран на границе сети.

Кроме того, «периметровые» межсетевые экраны не обеспечивают защиту внутренних ключевых ресурсов предприятия от инсайдера. Согласно статистике, в большинстве случаев «злоумышленником», виновным в утечке конфиденциальной информации, является именно внутренний нарушитель. При этом в большинстве случаев действия инсайдера не носят злоумышленный характер. Как правило, причиной утечки является халатность, невнимательность и необдуманные действия сотрудников организации.

Если традиционный МЭ не дает 100 % гарантии защиты ключевых ресурсов, каков же тогда выход?

Можно, конечно, пытаться ограничиться только орг. мерами (например, такими как физическое ограничение доступа к ключевым ресурсам или выделение их в отдельный сегмент сети), но такой подход не всегда эффективен или вообще применим.

Внедрение криптографических методов, таких как ЭЦП или шифрование, хотя и эффективно, но сопряжено со значительными техническими трудностями и финансовыми расходами. К этому можно добавить неизбежное снижение скорости трафика в сети, а также необходимость периодического выпуска и замены сертификатов.

Применение распределенного межсетевого экрана TrustAccess, предназначенного именно для защиты ключевых ресурсов сети, позволит обеспечить эффективную защиту самых важных  ресурсов организации от сетевых угроз без применения традиционных криптографических средств.

В отличие от «периметровых» межсетевых экранов TrustAccess функционирует непосредственно на защищаемых объектах, обеспечивая их защиту от сетевых угроз как со стороны внешнего нарушителя, так и инсайдера. В качестве защищаемых объектов могут выступать: сервер баз данных, сервер бухгалтерии, компьютер руководителя или главного бухгалтера — одним словом ключевые ресурсы организации. Помимо традиционного для межсетевых экранов механизма фильтрации сетевых соединений, TrustAccess также обеспечивает аутентификацию, позволяющую разграничить сетевой доступ к защищаемым информационным системам.

Несколько аргументов в пользу TrustAccess

1. Сертифицированная защита
TrustAccess сертифицирован во ФСТЭК по уровню МЭ 2 и НДВ 4 (Имеется также усиленная версия продукта для защиты государственной тайны), что позволяет использовать его для защиты информационных систем персональных данных до класса К1 включительно. Продукт позволит выполнить требования к системе защиты персональных данных (в соответствии с требованиями приказа ФСТЭК №58) не только в части обеспечения безопасного межсетевого взаимодействия, но и закроет требования к некоторым другим подсистемам (например, подсистемам управления доступом, регистрации и учета (Выполняются с некоторыми ограничениями), контроля целостности (Частично выполняются)):

2. Мощные защитные механизмы
TrustAccess —межсетевой экран второго класса (согласно классификации РД Гостехкоммиссии при Президенте РФ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации") с широким набором защитных механизмов:

  • аутентификация сетевых соединений на базе протокола Kerberos;
  • фильтрация сетевых соединений с широким диапазоном настроек и настраиваемый реакцией на срабатывание;
  • защита от replay-атак с помощью ISAKMP-ассоциации;
  • гибкая настройка уровня защиты сетевого взаимодействия на базе протоколов семейства IPsec;
  • возможность ограничения работы по некоторым сетевым протоколам
  • ICMP-защита для предотвращения атак отказа в обслуживании.

3. Защита от сетевых атак
TrustAccess — эффективная защита от большинства известных сетевых угроз таких как: Man in the Middle, подмена защищаемого объекта, IP-cпуффинг, отказ в обслуживании, перехват сетевых пакетов и т.д.

4. Прозрачность для приложений
Защитные механизмы TrustAccess являются прозрачными для приложений: нет необходимости вносить изменения в логику работы информационных систем, дорабатывать приложения или менять протоколы сетевого взаимодействия компонентов информационной системы. Следует также отметить, что внедрение TrustAccess не требует реконфигурации сети или приобретения дополнительного оборудования.

5. Многоплатформенность
Компоненты Trust Access могут функционировать на компьютере под управлением практически любой операционной системы семейства Windows.


Важным преимуществом TrustAccess является наличие статусов совместимости Microsoft Works with Windows Server 2008 R2 и Microsoft Works with Windows 7. Драйверы TrustAccess протестированы в соответствии с методикой Microsoft и подписаны сертификатом WHQL (Windows Hardware Quality Lab).

6. Разнообразные сценарии использования
TrustAccess позволяет максимально ограничить доступ к серверу БД в многозвенных ИСПДн или разграничить доступ к серверам разных отделов предприятия на основе должностей пользователей. Кроме того, TrustAccess позволяет решить важную практическую задачу — снижение класса ИСПДн путем сегментирования сети с целью сэкономить затраты.

Следует отметить, что защитные механизмы TrustAccess эффективны в современных конфигурациях информационных систем (при терминальных соединениях и на виртуальных машинах).

Следует отметить, что TrustAccess имеет статус VMware Ready и внесен в каталог партнерских продуктов VMware.

Комментариев нет:

Отправить комментарий