Сетевая безопасность в повседневной жизни предприятия

Очень часто, говоря о сетевой безопасности, мы вспоминаем в первую очередь межсетевые экраны (например, Cisco ASA или Cisco Virtual Security Gateway), системы предотвращения вторжений (Cisco IPS), системы защиты электронной почты (например, Cisco IronPort Email Security Appliance) или Web-трафика (например, Cisco IronPort Web Security Appliance). Но вся ли это безопасность? Конечно же нет.

Существует такое понятие как «операционная безопасность», которое ярко иллюстрируется такой ситуацией — будет ли повышать безопасность лучший в индустрии межсетевой экран с неправильными настройками, случайно сделанными администратором? Конечно же нет. Поэтому так важно обеспечивать и операционную безопасность, которая складывается из трех ключевых независимых друг от друга элементов:

  • архитектура
  • внедрение
  • операции (эксплуатации).

Хорошим примером, иллюстрирующим независимость этих элементов, является обычный дверной замок (аналог межсетевого экрана). Он может быть сделан из хлебного мякиша (проблемы архитектуры). Он может быть произведен с ошибками и не иметь возможности быть закрепленным на двери (проблемы внедрения). Ключ от замка может быть оставлен под ковриком (проблемы операции).

Основной вывод заключается в том, что ошибки конфигурации не означают проблем с архитектурой или реализацией и внедрением. Ошибки конфигурации могут возникать в операционной деятельность повсеместно и в любой момент и в любой технологии. Следовательно, необходимо быть всегда готовым к устранению таких проблем.

С этой целью компания Cisco выпустила руководство «Understanding Operational Security«, которое описывает именно операционную безопасность применительно к решениям Cisco. Помимо общих рекомендаций, в руководстве перечислены и продукты Cisco, решающие большинство из описанных в руководстве операционных угроз:

  • Cisco Network Admission Control (NAC) позволяет унифицировать используемое ПО и обеспечить актуальность используемых обновлений.
  • Cisco Access Control Server (ACS) позволяет аутентифицировать и авторизовать только «правильных» пользователей и динамически организовывать им доступ только к запрашиваемым и разрешенным ресурсам.
  • Cisco Identity Service Engine (ISE) — новое решение, которое объединяет решения Cisco NAC и Cisco ACS и постепенно заменит их.
  • Cisco Network Compliance Manager (NCM) позволяет автоматизировать процедуру аудита сетевой инфраструктуры и инфраструктуры безопасности на соответствие требованиям корпоративных политик и международных требований.
  • Cisco Security Manager (CSM) позволяет автоматизировать рутинные задачи, стоящие перед администраторами сети и безопасности — обновление десятков и сотен устройств, контроль непротиворечивости правил, наследование политик, контроль удаленных устройств, документооборот заявок на изменение настроек оборудование, контроль работоспособности устройств и т.д.
  • Cisco IOS и Cisco NX-OS включает множество различных функций, снижающих риски неправильной настройки оборудование Cisco.

Операционные ошибки могут нарушить безопасность предприятия и снизить уровень его защищенности. Они являются серьезной проблемой как для корпоративных заказчиков и операторов связи, так и для малых предприятий и даже домашних пользователей. К сожалению, всех ошибок избежать нельзя, но можно существенно снизить риск их появления. Способность своевременного обнаружения таких ошибок и отслеживания их источника также снижает вероятность проявления таких ошибок — случайно или намеренно. И конечно же, операционная безопасность является обязательным требованием многих нормативных актов и стандартов ИБ.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s