Архитектура управления средствами сетевой безопасности

16.2.3. Глобальная и локальная политики безопасности

Глобальная политика безопасности корпоративной сети представляет собой конечное множество правил безопасности (security rules), которые описывают параметры взаимодействия объектов корпоративной сети в контексте информационной безопасности:
• необходимый для соединения сервис безопасности (правила обработки, защиты и фильтрации трафика);
• направление предоставления сервиса безопасности;
• правила аутентификации объектов;
• правила обмена ключами;
• правила записи результатов событий безопасности в системный журнал;
• правила сигнализации о тревожных событиях и др.

При этом объектами ГПБ могут быть как отдельные рабочие станции и подсети, так и группы объектов, которые могут включать в себя целые структурные подразделения компании (например, отдел маркетинга или финансовый департамент) или даже отдельные компании (входящие, например, в холдинг). Политика безопасности для каждого объекта в группе автоматически реплицируется всем объектам группы.

Политика по умолчанию для доступа к любому защищаемому объекту корпоративной системы представляет собой запретительное правило: все, что не разрешено явно — запрещено. Такое правило обеспечивает полноту защиты информации в сети предприятия и априорное отсутствие «дыр» в безопасности.

Чтобы обеспечить взаимодействие устройств в сети, для них создается и доставляется (в общем случае не по каналам сети) стартовая конфигурация,содержащая необходимые правила настройки устройств только для их централизованного управления — стартовая политика безопасности устройства.

Правила ГПБ могут быть распространены как на сетевые взаимодействия, так и на функции контроля и управления самой системы.

Функционально правила ГПБ разбиты по группам:
• правила VPN. Правила данного тира реализуются при помощи протоколов IPSec; агентом исполнения правила является драйвер VPN в стеке клиентского устройства или шлюза безопасности (IPX, IP2, VPNRule);
• правила пакетной фильтрации. Они обеспечивают пакетную фильтрацию типа stateful и stateless; исполнение этих правил обеспечивают те же агенты, что исполняют VPN-правила (IP1, IP2, PacketRule);
• proxy-правила, включая антивирусную защиту «на лету». Эти правила отвечают за фильтрацию трафика, передаваемого под управлением заданных прикладных протоколов; их исполнительным агентом является proxy-агент, например (User, Protocol, ProxyRule) или (Application, Protocol, Proxy-Rule);
• правила ayтентифицированного/авторизованного доступа, включая правила Single Sign-On. Управление доступом Single Sign-On обеспечивает данному пользователю работу на едином пароле или другой аутентификационной информации со многими информационными ресурсами; понятно, что символическая запись правила сетевого доступа легко распространяется на Single Sign-On (User, Application, Authentication Scheme). Правила этой группы могут комбинированно исполняться агентами различного уровня, от VPN-драйвера до proxy-агентов; кроме того, агентами исполнения таких правил могут быть системы аутентификации запрос—отклик и продукты третьих разработчиков;
• правила, отвечающие за сигнализацию и событийное протоколирование. Политика протоколирования может оперативно и централизованно управляться агентом протоколирования; исполнителями правил являются все компоненты системы.

Набор правил ГПБ является логически целостным и семантически полным описанием политики безопасности в масштабах сети, на основе которой может строиться локальная политика безопасности отдельных устройств.

Локальная политика безопасности. Любому средству защиты, реализующему какой-либо сервис информационной безопасности, необходима для выполнения его работы ЛПБ — точное описание настроек для корректной реализации правил аутентификации пользователей, управления доступом, защиты трафика и др. При традиционном подходе администратору приходится отдельно настраивать каждое средство защиты или реплицировать какие-то простейшие настройки на большое число узлов с последующей их корректировкой. Очевидно, что это неизбежно приводит к большому числу ошибок администрирования и, как следствие, существенному снижению уровня защищенности корпоративной сети.

После формирования администратором ГПБ Центр управления на основе интерпретации ГПБ автоматически вычисляет и, если это необходимо, корректирует отдельные ЛПБ для каждого средства защиты и автоматически загружает нужные настройки в управляющие модули соответствующих средств защиты.

В целом, ЛПБ сетевого устройства включает в себя полный набор правил разрешенных соединений данного устройства, исполняемых для обеспечения какой-либо информационной услуги с требуемыми свойствами защиты информации.

Различие между правилами, реализующими ГПБ в сети, и правилами, реализующими ЛПБ конкретного устройства, заключается в том, что в правилах группы ГПБ объекты и субъекты доступа могут быть распределены произвольным образом в пределах сети, а правила группы ЛПБ, включая субъекты и объекты ЛПБ, предназначены и доступны только в пределах пространства одного из сетевых устройств.

Эта статья была опубликована Среда, 8 декабря, 2010 at 13:39 в рубрике Защита от вирусов. Вы можете следить за ответами через RSS 2.0 feed.