На проходившей 1-5 марта в Сан-Франциско междоеународной конференции по информационной безопасности RSA 2010 компания Cisco представила архитектуру Secure Borderless Network (безопасная сеть без границ). Она была разработана в рамках общей стратегии Cisco в сфере информационной безопасности, предусматривающей защиту заказчиков от любых угроз, включая вирусы, спам, сетевые черви и ботнеты. Об этом рассказывает вице-президент компании Cisco, генеральный менеджер отдела, отвечающего за технологии информационной безопасности (Cisco Security Technology Business Unit) Том Гиллис (Tom Gillis).
"Наше новое решение представляет собой небольшую компактную программу, работающую на любом настольном компьютере, ноутбуке и мобильном устройстве. Эта программа дает возможность подключаться к корпоративной сети из любой точки, находящейся за пределами межсетевого экрана, будь то домашний офис или кафе где-нибудь в Австралии. Причем это не виртуальная частная сеть (VPN) в классическом понимании этого термина, а совершенно новый подход к понятию VPN, включающий архитектуру, основанную на трех существующих продуктах Cisco для информационной безопасности. Программа называется Cisco AnyConnect Secure Mobility Solution, и она служит для того, чтобы все входящие и исходящие каналы для данного устройства проходили через сканер безопасности, установленный в произвольной точке сети.
Для конечного пользователя это означает круглосуточное, непрерывно доступное подключение к корпоративной сети. Конец мучениям с логинами и паролями! С точки зрения информационной технологии, системе неважно, где находится пользователь: он получает ту же функциональность, те же права доступа к информации и гораздо более высокую управляемость. Вам больше не нужно беспокоиться о том, что тот или иной сотрудник делает с устройством доступа, находясь за пределами компании - вы в любой момент сможете это узнать. Таким образом, теперь вы можете гарантировать непрерывное соблюдение корпоративной политики на каждом отдельном устройстве. Более того, наше новое решение внедряется с помощью простого обновления программного обеспечения в существующей виртуальной частной сети Cisco (замечу, что сети VPN нашей компании - самые популярные в мире и с большим отрывом опережают всех конкурентов).
Информационная безопасность всегда была важнейшим приоритетом для Cisco. Наша компания считается самым крупным в мире поставщиком новаторских решений для информационной безопасности предприятий. За последние три года Cisco затратила свыше 1 млрд долларов США на приобретение компаний, работающих в этой сфере. Более того, дальнейшие планы Cisco в таких областях, как виртуализация, облачные вычисления, мобильность и совместная работа, не могут быть реализованы без надежного фундамента в виде надёжно защищенной сети. Поэтому Cisco вкладывает значительные средства в разработку решений для информационной безопасности корпоративных сетей.
О том, что мы делаем в области виртуальных частных сетей и мобильности, я уже рассказал, а теперь дам краткий обзор других рыночных сегментов. Самый крупный, зрелый и понятный из них - рынок межсетевых экранов. Он же больше других нуждается в перестройке. Межсетевой экран (firewall) предназначен для предотвращения случаев несанкционированного доступа в частной сети или каком-то ее фрагменте по входящему или исходящему каналу. Двадцать лет назад межсетевой экран был главным средством информационной защиты бизнеса, однако мобильность, "наладонники" и вычисления в сетевом облаке радикальнейшим образом изменили традиционный подход к безопасности, вызвав необходимость в новых решениях. Cisco предпринимает серьезные усилия для разработки новых средств информационной безопасности, призванных решить проблемы так называемых "предприятий без границ" (borderless enterprise), но об этом чуть позже.
Другая область нашего пристального внимания - системы предотвращения вторжений (IPS, intrusion prevention systems), которые позволяют поддерживать связь с нужными вам людьми, отсекая злоумышленников. Мы и здесь предлагаем очень эффективные решения. В течение 11 из последних 12 кварталов Cisco занимает на этом рынке первое место. Мы установили больше устройств этого типа, чем любой другой вендор. На прошлогодней конференции RSA мы представили новую технологию безопасности под названием "global threat correlation" (глобальная корреляция угроз). Она повышает эффективность систем IPS, позволяя им выходить за привычные рамки и коррелировать угрозы, возникающие в области электронной почты и веб-трафика. Внедрение этой технологии увеличило эффективность наших систем IPS на 200 процентов.
Cisco всегда была лидером в области защиты электронной почты и продолжает сохранять лидерство благодаря разработке гибридных услуг безопасности e-mail, предоставляемых на правах хостинга. Эти услуги дают возможность сканировать почту в поисках спама с помощью устройства, установленного в помещении заказчика или в сетевом облаке, причем ни один администратор не отличит первый вариант от второго: в обоих случаях решение безотказно работает, выглядя единой системой. Мы убеждены, что этой архитектуре принадлежит будущее. Большинству заказчиков безразлично, идет ли речь об "облачных" или собственных устройствах. Если вам нужно отфильтровать и зашифровать конфиденциальные почтовые сообщения, лучше всего сделать это на ваших собственных устройствах. С другой стороны, борьба с вирусами и спамом требует больших ресурсов, и ее лучше вести в сетевом облаке. Cisco готова взять на себя такую ответственность. Многие участники рынка выбирают "облачные" средства защиты электронной почты, так как ими легче управлять. К тому же этот подход переносит часть капитальных затрат на статьи текущих расходов. Гибридный подход не ограничивается электронной почтой. Он будет распространен на все наши услуги для информационной безопасности.
В области веб-шлюзов мы тоже далеко обошли конкурентов. Веб-шлюз защищает пользователей от шпионского программного обеспечения, целенаправленных атак и множества вредоносных программ, распространяемых через Интернет. При этом веб-шлюзы дают компаниям возможность пользоваться всеми преимуществами функций Web 2.0. В ситуации, когда все большее число приложений использует Интернет в качестве основного пользовательского интерфейса, устройствам безопасности мало просто блокировать доступ к тому или иному сайту. Нужно предоставить заказчикам более точные функции управления, чтобы они, к примеру, могли обеспечить работникам отдела маркетинга доступ к видеоматериалам YouTube, ограничив этот доступ инженерам (чтобы не отнимать ресурсы от других широкополосных приложений). Можно, к примеру, не блокировать доступ к сервисам Facebook, но сделать так, чтобы вы не смогли случайно опубликовать на этом сайте электронную таблицу с номерами кредитных карт. Другими словами, нам нужны более тонкие и "умные" политики управления интернет-трафиком.
Мы также анонсировали новаторскую функцию SaaS Access Control (контроль доступа к услугам SaaS), позволяющую компаниям работать с облачными приложениями, такими как Salesforce.com или Cisco Webex, сохраняя полный контроль над доступом, независимо от приложения. Таким образом, если сотрудник уходит из компании, его доступ к облачным данным немедленно блокируется. При этом компания сохраняет возможность просмотреть все, что этот сотрудник делал с помощью облачных приложений. Технология компании ScanSafe, которую Cisco приобрела в декабре 2009 года, распространяет современные методы веб-управления на уровень сетевого облака. Сочетание решений ScanSafe и IronPort (эту компанию мы приобрели в 2007 году) позволит предложить нашим заказчикам современные функции веб-управления, реализованные на уровне физического устройства, сетевого облака или гибридного решения (как в случае с электронной почтой).
В области контроля сетевого доступа (Network Admission Control, NAC), ограничивающего доступ к сети с помощью таких функций, как идентификация пользователя и учет его прав в сфере информационной безопасности, мы сделали большой шаг вперед, объявив новое клиентское решение для виртуальных частных сетей, используемое для аутентификации пользователя. Технологическое решение Cisco TrustSec позволяет идентифицировать, аутентифицировать и контролировать доступ к вашей сети (проводной, беспроводной или виртуальной частной). Расширение интеллектуальности сети дает возможность унифицировать контроль доступа к ней по каналам любого типа.
При разработке нашей стратегии в сфере информационной безопасности мы учитываем две ключевые тенденции. Первая из них связана с развитием и распространением мобильности. Все больше пользователей получают контент с помощью устройств разного типа, причем их количество велико, как никогда раньше, и речь идет не только о сотрудниках компаний. Бизнесу нужны безопасные методы взаимодействия и с внешними контрагентами (заказчиками, подрядчиками и партнерами), которые должны скачивать важную, порой конфиденциальную информацию на устройства, не находящиеся под прямым и непосредственным контролем компании.
Другая тенденция - это движение в сторону мобильности данных и их переноса в "сетевое облако". Это значит, что данные могут храниться не только в компании, но и за ее пределами, в сети. Для этого разрабатываются такие методы, как SaaS (software as a service - программное обеспечение как услуга), безопасность как услуга, инфраструктура как услуга и платформа как услуга. Выбирайте на любой вкус! В любом случае ваши пользователи и данные все чаще будут оставаться вне зоны действия корпоративного межсетевого экрана.
Сочетание этих двух тенденций создает серьезные проблемы для информационной безопасности. Мы вступаем в эпоху "предприятий без границ", где грань между сотрудниками компании и остальным миром становится все более зыбкой и неопределенной. Представьте себе такую ситуацию: руководитель отдела продаж проверяет корпоративные прогнозы на сайте Salesforce.com с помощью смартофна в местном кафе "Старбакс". С точки зрения безопасности, это самый ужасный сценарий: в кафе нет ни межсетевого экрана, ни других традиционных систем защиты. Что в таком случае делать специалисту по информационной безопасности? Как проверить, кто и когда получал доступ к тем или иным данным? Даже на такой простой с виду вопрос очень трудно ответить.
Чтобы решить данную проблему в комплексе, нужны средства безопасности, позволяющие заказчикам справиться со всеми указанными выше проблемами. Хотите пользоваться смартфоном? Пожалуйста. Хотите, чтобы подрядчик, приехав к вам в офис, получил доступ к корпоративным данным? Нет проблем. Для этого у нас есть политика и набор инструментальных средств, которые автоматически ограничивают доступ к информации, используя широкие возможностями сети. Нужно иметь средства, которые понимают, кто вы такой, какие приложения вы открываете и каковы особенности получаемого вами контента. Кроме того, эти средства должны распространять корпоративную политику не на одну, две или пять точек, а на десятки, сотни и тысячи точек, разбросанных по всему миру. Сделать это можно только через встроенные сетевые функции, любой другой подход окажется слишком громоздким и неуклюжим. Именно здесь проявляются преимущества Cisco.
Еще одна сфера, заставляющая полностью пересматривать системы безопасности - это виртуализация, то есть использование множества операционных систем на одном и том же компьютере. Виртуализация открывает перед заказчиками небывалые возможности, но при этом создает большие проблемы для информационной безопасности. Cisco занимает лидирующие позиции и в этой области и предпринимает серьезные усилия, чтобы адаптировать безопасность к реалиям виртуального мира.
Что еще делает Cisco уникальной компанией или, по крайней мере, непохожей на конкурентов в сфере безопасности? Необычайная широта нашего продуктового портфеля. Мы сделали все возможное, чтобы решать проблемы безопасности в комплексе. Мы не рассматриваем отдельно трафик электронной почты или веб-трафик, трафик IPS или трафик межсетевых экранов - все это мы рассматриваем как единое целое. Одновременный анализ всех перечисленных областей позволяет определять и пресекать угрозы гораздо быстрее и точнее, чем с помощью конкурирующих систем. Конкуренты работают хорошо, но анализируют что-то одно - например, электронную почту. Но e-mail и Web подобны Сцилле и Харибде. Глядя на e-mail, мы видим лишь половину общей картины угроз.
Мы блокируем вирусы в среднем за 14 часов до того, как будут получены их сигнатуры. Мы блокируем 90 процентов входящего спама, анализируя поведение почтового сервера. Комплексный подход позволил нам втрое повысить эффективность систем предотвращения вторжений. Cisco, по моему мнению, имеет самые сильные продукты в каждой из перечисленных областей, к тому же наша компания лидирует и по широте установленной базы. Это очень важно, так как функции Интернета развиваются и все шире включают в себя средства совместной работы, видеотехнологии, виртуализацию, мобильные услуги и учет пользовательских предпочтений. Сеть должна развиваться в том же направлении.
Наш базовый сетевой бизнес неразрывно связан со всеми рыночными новшествами (видео, совместная работа, виртуализация и т.д.). Это и есть проявления нового Интернета, которые должны поддерживаться сетями нового поколения. Cisco имеет наилучшие возможности для развертывания у заказчиков именно таких сетей, включающих широкий ассортимент средств безопасности, тесно интегрированных в общую сетевую инфраструктуру. Работая с Cisco, вы получаете Интернет нового поколения, включая основные функции, новаторские технологии и средства безопасности, пронизывающие все наши решения.
Cisco выдвинула идею "сетей без границ". Пять-десять лет назад между сотрудниками компании и остальным миром существовала четкая граница. Вы приходили на работу и работали на корпоративном настольном компьютере с проводным подключением к Ethernet-коммутатору, через который и получали доступ ко всем приложениям и информации. Сегодня эта граница отсутствует, и люди, находящиеся как в компании, так и за ее пределами, получают доступ к информации с помощью устройств, свободно перемещающихся по всей нашей планете. Безопасная сеть без границ - это сеть, позволяющая партнерам, подрядчикам, сотрудникам и другим заинтересованным лицам получать доступ к данным по надежным, хорошо защищенным каналам, независимо от своего местоположения и типа используемых устройств.
Cisco находится на переднем крае развития этой "безграничной" модели. С нами работают более 30.000 подрядчиков, партнеров и поставщиков, т.е. огромное сообщество нетрадиционных сотрудников, которым мы предоставляем доступ к корпоративной информации. В своей компании мы используем множество современных протоколов безопасности и активно внедряем решение для защиты мобильности Secure Mobility Solution. Мы также разрабатываем передовые политики для поддержки разнородных устройств. Мы поддерживаем компьютеры Mac и PC разных типов и размеров, а также постоянно растущий арсенал мобильных терминалов. Наша компания активно использует технологии Web 2.0. Мы разрешаем сотрудникам пользоваться сервисами Facebook и YouTube, потому что имеем собственные разработки для поддержки ответственного и безопасного пользования новыми сервисами и технологиями.
По моему убеждению, эпоха "Интернета на ладони" изменит методы использования компьютерных технологий во всех организациях. Важнейшим шагом в этом направлении стало распространение устройств iPhone. Это не просто модная штучка, о каких забывают через пару лет. Я полагаю, что лет через пять организации станут использовать гораздо более разнообразный набор операционных систем. У нас появятся различные устройства с более закрытыми и специализированными ОС. Как это отразится на безопасности? Устройства станут гораздо более "легкими" в том смысле, что вам не придется устанавливать на них традиционные защитные системы, включая антивирусные программы. К примеру, на смартфоне вряд ли стоит устанавливать большой антивирусный пакет.
Архитектура Cisco для безопасности работает следующим образом: на великом множестве вычислительных и коммуникационных устройств устанавливается очень компактный программный агент, гарантирующий, что любое входящее и исходящее соединение проходит через сканер безопасности, установленный в сетевом облаке. Сканеры с многоядерными процессорами отличаются небывало высокой скоростью, мощностью и точностью. Они способны обрабатывать пять антивирусных уровней, поддерживать сложные алгоритмы, использовать современные методы защиты и обеспечивать соблюдение принятых правил пользования. Мы можем запустить все эти системы в сети, поскольку вам вряд ли удалось бы заставить их одновременно работать на пользовательском устройстве. Думаю, мы еще увидим массовый переход от мощных оконечных устройств к "легким" устройствам, взаимодействующим с мощными сетевыми компонентами>.