CC BY
37
В декабря 2011 г. 11:21
БЕЗОПАСНОСТЬ
Стратегия Cisco в области информационной безопасности
ТамГиптс,
в**#э-президент компании Cisco, генеральньй менеджер сидела, отвечающего за технологии информационной безопасности
Весной этого года комланю Cisco представила архитектуру Secure Borderless Network (безопасная сеть без границ}, которая была разработана в рамках общей стратегж Gsco в сфере информационной безопасности, предусматривающей зашиту заказ1#*ов от любых угроз, включая вирусы, спам, сетевые черви и ботнеты. Новое решение представляет собой небольшую компактную программу, работающую на любом настольном компьютере, ноутбуке и мобильном устройстве. Эта программа дает возможность подключаться к корпоративной сети из любой точки, находящейся за пределами межсетевого экрана, буде то домашний офис или кафе где-нибуде в Австралт. Причем это не виртуальная частная сеть (VPN) в классическом понимании этого термина, а совершенно новый подход к понятию VPN, включающий архитектуру, основанную на трех существующих продуктах Gsco для информационной безопасности. Программа называется Cisco AnyConred Secure Mobity Solution, и она служит для того, чтобы все входящие и исходящие каналы для данного устройства проходіли через сканер безопасности, установленный в произвольной точсе сети.
Дя конечного пользователя это означает крутлосуточюе, непрерьенэ доступное подключение к корпоративной сети. Конец мучениям с логинами и паролями! С точки зрения информационной технолога, системе неважно, где находится пользователь; он получает ту же фуна*ю-нальность, тежеправадоступакигформациии гораздо более высокую управляемость. Вам больше не нужно беспокоиться о том, что тот или иной сотрудник делает с устройством доступа, находясь за пределами компании — вы в любой момент сможете это узнать Таким образом, теперь можно гарантировать непрерывное соблюдете корпоративной погмтиси на каждом от-
делыюм устройстве. Более того, новое решение внедояется с помощю простого обновления программного обеспечена в существующей виртуальной частной сети Gsco.
Информационная безопасность всегда была важнейшим приоритетом для Gsco. За по-следеие три года Gsco затратила свыие 1 млрд долл. на приобретение компаний, работаю-ц*лх в этой сфере. Дальнейшие планы Gsco в таких областях, как актуализация, облсвмыв выделения, мобильность и совместная работа, не могут быть реализованы без надежного фундамента в виде надежно защищенной сети Поэтому Gsco вкладывает значительные средства в разработку решений для информационной безопасности корпоративных сетей.
Краткий обзор других рыночных сегментов.
СоА*ЛЙ крупный, зрелы* и понятный из ник — рънок межсетевых экранов. От больше других нуждается в перестройке. Межсетевой экран (firewoll} предназначен для предотвраще ния случаев несанкционированного доступа в частной сети или каком-то ее фрагменте по входаиему или исходящему каналу. Двадцать лет назад межсетевой экран был главным средством информационной зашиты бизнеса, однако мобильность, "наладон»»1ки‘ и вычисления в сетевом облаке радикальнейшим образом изменили традемионньй подход к безопасности, вызвав необходимость в новых решениях. Gsco предпринимает серьез»«е усилия для разработки новых средств информационной безопасности, призвемгых реимтъ проблемы так называемых "федприятий без грсниц", но об этом чуть позже.
Другая область пристального внимания компании — системы предотвращен*» вторжений, которые позволяют поддерживать связь с нужными вам л юдоли, отсекая злоумышленников. Мы и здесь предлагаем очень эффективные решения. В течение 11 из последних 12 кварталов Gsco занимает на этом рынке первое место. Мы установили больше устройств этого типа, чем любой другой вендор. На прошлогодней конферешии RSA мы представили новую технологию безопасности под названием "global faectf согтекЛоп" (глобальная корреляция угроз). Она повышает эффективность систем IPS, позволяя къи выходгть за при-вычмыо рамки и коррелировать угрозы, возникающие в области электронной почты и вебтрафика. Внедрение этой технологии увеличило эффективность наших систем IPS на 200%.
Gsco всегда была лидером в облости зашиты электронной почты и продолжает сохранять лидерство благодаря разработке гибриде ых
услуг безопасности e-mail, предоставляемых на правах хостинга. Эти услуги дают возможность сканировать почту в поисках спама с помощью устройства, установленного в помещении заказчика или в сетевом облаке, причем ни один администратор не отличит первый вариант от второго: в обоих случаях решение безотказно работает, выглядя единой системой. Мы убеждены, что этой архитектуре принадлежит будущее. Большинству заказчиков безразлично, идет ли ре*«> об "облачных" или собственных устройствах. Если вам нужно отфильтровать и за-иифровать конфиденциальные почтовые сообщения, лучше всего сделать это на ваших собственных устройствах
С другой стороюм, борьба с вирусами и спамом требует больших ресурсов, нее лучш вести в сетевом облаке. Gsco готова взять на себя токую ответственность. Многие участники рынка выбираот "облермые” средства защиты электронной почты, так как ими легче управлять К тому же этот подход переносит часть капитальных затрат на статьи текучих расходов. Гибридны* подход не ограничивается электронной почтой. Он будет распространен на все наци услуги для информационной безопасности.
В области веб-шлюзов мы тоже далеко обошли конкурентов. Веб-шлюз защищает пользователей от итонского программного обеспечения, целенаправленных атак и множества вредоносных программ, распространяемых через Интернет. При этом веб-шлюзы дают компаниям возможность пользоваться всеми преимуществами функций Web 2.0. В ситуации, когда все большее число приложен использует Интернет в качестве основного пользовательского интерфейса, устройство* безопасности мало просто блокировать доступ к тому или иному сайту. Нужно предоставить заказ-ч*жам более точные функции управления, чтобы они, к примеру, могли обеспечить работникам отдела маркетинга доступ к видеоматериале** YouTube, огрсии^ив этот доступ инженерам (чтобы не отнимать ресурсы от других широкополосных приложений).
Можно, к призеру, не блокировать доступ к сервисам Facebook, но сделать так, чтобы вы не смсти случлио опубликовать на этом сайте электронную тобгнцу с номерами кредяных карт. £^>угими словами, нам нужны более тонкие и "ум-и^е" политики управления интернет-трафисом.
Мы также анонсировали новаторскую функцию SaaS Access Confrol (контроль доступа к услугам SaaS), позволяющую компаниям работать с обтачными приложениями, такими как Salerforce.com или Gsco Vvfebex, сохраняя пол-
22
T-Comm, юонь 2010
БЕЗОПАСНОСТЬ
ньй контроль нод доступом, независимо от приложена. Тсжим образом, если сотру»**; уходит из кок*тани*и, его доступ к облачным донньл* немедленно блокируется. При этом комлсмия сохраняет возможность просмотреть вое, что этот сотрудчк делал с помоиью облачных приложений Технология компачии Scan Safe, которую Gsco приобрела в декабре 2009 г., распространяет соеремеюые методы веб-утравления на уровень сетевого облака. Сочетайте решений ScanSafe и IronPort позволит гредпожитъ наи*им заказчикам современные функции веб-утравпе-ния, реализованные на уровне физжеского устройства, сетевого облака или гибридного решения (кск в случае с электронной почтой).
В области контроля сетевого доступа, ограничивающего доступ к сети с помоиью таких функций, как иденл*фиксж*ия пользоеатепя и учет его прав в сфере информац ионной безопасности, мы сделав большой шаг вперед объявив новое клиентское реше»*ие для виртуальных частных сетей используемое для аутенлификации пользователя. Технологическое решение Gsco IrusfSec позволяет идентифицировать, аутентифицировать и контролировал, доступ к вашей сети (проворной, беспроводной или вцэтуалжой частной). Расширение интеллектуальности сети доет возможность унифицировать контроль доступа к ней по каналам любого тикх
При разработке нашей стратегии в сфере информационной безопасности мы учльвоем дее ключевые тенденции. Первая из н*их связана с развитием и распространением мобильности. Все больше пользователей получают контент с помоиьюустройствразноготипа, npичeмиxкo лн*^ecroo велико, как н*когдо раньше, и реч> идет не только о сотрудниках компаний. Бизнесу нужны безопасные метода взаимодействия с внешними контрагентами, которые должны скачивать важную, порой конфиденциальную информацию на устройства, не находящиеся под прямым
И НеПОСреДСТВе***>ТМ КОНТрОЛеМ KOfcfK»**H.
Другая тенденция — это движение в старо ну мобильности донвных и их переноса в “сетевое облако". Это значит, что данные могут хро ниться не только в компании, но и за ее пределами, в сети. Д ля этого разрабатываются такие методы, как SoaS (software as a service — про граммное обеспечение как услуга), безопасность как услуга, инфраструктура кск услуга и платформа как услуга.
Сочетание этих д вух тенденций создает серьезные проблемы для информационной безо пасности. Мы вступаем в эпоху "предприятий без границ", где грань между сотрудниками компании и остальным миром становится все более зыбкой и неопределенной. Представьте себе такую ситуацчо: руководитель отдела продаж проверяет корпоративные прогнозы на сайте Sale5fe31ce.com с помоиью смартофна в
T-Comm, июнь 2010
местном кафе "Стс^эбакс". С точен зрения безопасности, это самый ужасный сц енарий: в кафе нет ни межсетевого экрана, ни других тради-ционньк систем зашиты Что в таком случае делап» спес^юлисту по информационной безо пасности? Как проверить, кто и когда получал доступ к тем или иным данным? Д аже на такой простой с виду вогрос очень трудно ответить.
Чтобы решить данную проблему в комплексе, нужны средства безопасности, позволяощне заказчикам справиться оо всеми указанными вы ше гроблемами. Хотите пользоваться смсртфо ном? Пожалуйста. Хотите, чтобы подряд**, приехав к вам в офис, получил доступ к корпоративным донным? Нет проблем Для этого у нас есть полилка и тнабор инструментальных средств, ко торые автоматически ограничивают доступ к и«-формации, используя широкие возможностям сети. Нужно иметь средства, которые понимают, кто вы тской, какие приложения вы открываете и каковы особенности получаемого вами контен та Кроме того, эти средства должны распространять корпоративную политику не на одну, две или пять точек, а на дестпки, сот>*н и тысячи точек, разбросанных по всему Сделать это можно толыто через встроенные сетевые функцчи, любой другой подход окажется сгмиком громоздким и неуклюжим Именно здесь проявляется преимущества Gsco.
Еще одна сфера, заставляющая полноспю пересматривать системы безопасности — это виртуализация, то есть использование множества операционных систем на одном и том же ко^ъютере Виртуализация открывает перед заказчиками небывалые возможности, но при этом создает большие проблемы для и*нформа-ционной безопасности.
Мы сделали все возможное, чтобы решать проблемы безопасности в комплекса Мы бло кируем вирусы в сред нем за 14 часов до того, как будут получены их сигнатуры. Мы блокируем 90% входящего спама, анализируя поведение почтового сервера. Комплексам подход позволил втрое повысить эффективность систем предотвращения вторжений.
Наш базовый сетевой бизнес неразрывно связан со всеми рыночными новшествами (видео, совместная работа, виртуализация и тд). Эго и есть проявления нового Интернета, которые должны поддерживаться сетями нового поколения. Cisco имеет наилучгше возможности для развертъеа»*ия у заказчиков именно таких сетей, включающих широкий ассортимент средств безопасности, тесно интегрированных в общую сетевую инфраструктуру. Работая с Gsco, вы получаете Интернет нового поколения, включая основные функции, новаторские технологии и средства безопасности, пронизы вакхше все наши решения.
Cisco выдвинула идею "сетей без границ".
Безопасная сеть без границ — это сеть, позво лякхцая партнерам подрядчикам, сотрудникам и другим заинтересованным лицрм получать доступ к дачным по надежн*1м, хорошо защищенным каналам, независимо от своего местоположения и типа используемьк устройств.
Gsco находится на переднем крае развития этой "безгрс**ичной“ модели. С нами работают более 30 тыс. подрвдчков, партнеров и поставщиков. В своей компании мы используем ллноже-ство современных протоколов безопасности и активно внедряем решение для защиты мобильности Secure МоЫ|у Soluion. Мы также разрабо тьваем передовые политики д ля поддержки разнородное устройств. Поддерживаем компыоте-ры Мае и PC разных типов и размеров, а тскже постоянно растущий арсенал мобииных терминалов. Наша кампанив сктивно использует телно логин Web 2.0. Мы разрешаем сотрудникам пользоваться сервисами Focebook и YouTube, по тому что имеем собствен!*» разработки для поддержки ответственного и безопасного пользования новыми сервисами и технолспияк^і
По моему убеждению, эпоха "Интернета на ладони" изменит методы использовали» компыо терных технологий во всех организациях Важнейшим шагом в этом направлении стало распространение устройств iPhone. Это не просто мод ная илучео, о каких забывают через пару лет. Я полагаю, что лет через пять организации стан/т использовать гораздо более разнообразный набор операционных систем У нас появятся различные устройства с более закрытыми и сле-циализированньми ОС Как это отразился на безопасности? Устройства станут гораздо более "лепаими” в том смысле, что вам не придется устанавливать на них традиционные защитные системы, вктючая аиливируа*>іе программы К примеру, на смартфоне вряд ли стоит устанавливать большой антиви^)усньй пакет.
Архитектура Gsco для безопасности работает следующим, образом на великом множестве вычислительных и коммуникацио**ных устройств устанавливается очень камлааный программный агент, гарантирующий что любое вхеднщее и исходящее соед инен** гтроходл через сканер безопасности, установленный в сетевом облаке. Сканеры с многоцдерными фоцвеоорали отличаются небьвало высокой скоростью, мощностью и точностью. Очи способны обрабатывать пять антивирусных уровней, поддерживать сложные алгоритмы, использовать совреме»*ые метода запиты и обеспечивать соблюдение принятых правил пользования. Мы можем загустить все эти системы в сети, поскольку вам вряд ли удалось бы заставить их одновременно работать на пользовательском устройстве. Думаю, мы еще увидим массовый переход от mou**>ix оконечных устройств к "легким" устройствам, вэаимедействую-иым с мошныии сетевыми компонентами.
23
