Сейчас много пишут о том, что традиционные границы сетей размываются: появляется все больше мобильных сотрудников, самые разнообразные пользователи и устройства требуют доступа к ИТ-ресурсам организации. И пользователи, и владельцы компаний хотят, чтобы работа в сети была бесперебойной и не требовала особо сложных процедур — это должно повысить производительность. Эта и без того непростая ситуация дополняется все более суровыми требованиями законодательства, ширящейся армией сетевых угроз и рисками, связанными с децентрализацией данных.
При таком раскладе перед администраторами Windows® встает непростая задача из области безопасности: как обеспечить простоту доступа к ресурсам и при этом соблюсти все требования к безопасности сетей и информации?
Единого решения, разумеется, не существует, однако в распоряжении администратора Windows имеется целый ряд средств, позволяющих усилить контроль безопасности, например граничные брандмауэры. Большим шагом в сторону искомого равновесия будет переход от традиционной модели сетевого взаимодействия к модели новой, больше опирающейся на логику и политики.
Сетевой доступ на основе политик
Задача применения политик в управлении доступом к сети — устранить ограничения, возникающие тогда, когда доверие основывается в первую очередь на топологии сети. К примеру, можно ли с уверенностью сказать, что устройсву можно доверять (и разрешать подключаться к серверу, на котором работает CRM-приложение) лишь на том основании, что оно подключено к одному из портов коммутатора Ethernet, расположенного за корпоративным брандмауэром?
В новой модели решения, касающиеся предоставления или запрета доступа, опираются на результаты проверки как безопасности устройства, так и пользователя, запрашивающего доступ, вне зависимости от того, в какой точке сети он пытается подключиться. После проверки подлинности та же самая схема может использоваться для определения набора ресурсов, к которому может быть получен доступ.
Для перехода от такого «позиционного» подхода к подходу, больше ориентрированному на доступ, требуется ряд ключевых ингредиентов, в том числе механизмы, способные проверять подключающиеся узлы на предмет правильности удостоверений и соответствия политикам, выпускать доверенные удостоверения пользователей и динамически контролировать доступ к сети на основании упомянутых атрибутов. Важно также иметь централизованное хранилище политик — оно позволит упростить управление различными изменяющимися составляющими.
Подход на основе политик позволяет избавиться от целого ряда разрозненных средств управления узлами и доступом к сети, внедрив единое комплексное решение. А оно, в свою очередь, позволяет настроить правила доступа к сети на уровне логики, над уровнем подключений, и тем самым расширить традиционные методики глубокой защиты.
Например, при подключении портативного компьютера к беспроводной сети организации компьютер может проверяться на предмет соблюдения всех требований к настройке системы безопасности. После того как сеть определит, что на компьютере установлены все обновления антивирусного программного обеспечения и критические исправления системы безопасности, включены все элементы системы безопасности конечной точки — в частности брандмауэр узла — компьютер получает доступ к сети. Затем, если пользователь пытается подключиться к бизнес-приложению, система использует сочетание данных о текущей работоспособности портативного компьютера и сетевое удостоверение пользователя, чтобы определить, имеет он право пользоваться ресурсами приложения или нет. Политики, работающие на уровне логики (он расположен над уровнем физической инфраструктуры сети) могут применяться непрерывно, даже если пользователь закрывает беспроводное подключение и переходит на проводное или даже на удаленный доступ.
Сетевой доступ на основе политик упрощает работу пользователя в сети, не нарушая при этом безопасности процессов. Для администраторов нивелировка элементов управления сетевым доступом, от портов коммутаторов для шлюзов удаленного доступа, упрощает процедуры управления. В обоих случаях конечным результатом будет рост производительности и вообще повышение работоспособности сети организации, даже если в сетях размещаются участники с разными правами доступа, скажем гости (неважно, приглашены они или нет), поставщики, партнеры, сотрудники самой организации.
Как и в любом проекте системы безопасности, при реализации сетевого достура на основе политик первым шагом является разработка набора обобщенных политик. Обычно в них включаются рекомендации по следующим вопросам:
* Соблюдение требований к безопасности устройств: что такое работоспособное устройство?
* Логическое зонирование сети: как отделить неработоспособные устройства от устройств, прошедших проверку подлинности?
* Управление информационными рисками: как классифицировать конфиденциальную информацию и защитить ее от взлома?
После разработки политик доступа нужно выбрать технологии, позволяющие как распространить политики, так и гарантировать их соблюдение. Для этого вполне достаточно системы Windows Server® 2008: это не только самая безопасная серверная система на сегодняшний день, это еще и укрепленная платформа средств безопасности, способная стать краеугольным камнем решения по обеспечению доступа к сети на основе политик. В огромном списке новых функций, появившихся в Windows Server 2008, есть немало ингредиентов, необходимых для реализации безопасных средств обеспечения доступа к сети на основе политик, — они ползволяют обеспечить защиту конфиденциальной информации от взлома.
Сети нового поколения
В основе улучшений системы безопасности сети в Windows Server 2008 лежит новый стек TCP/IP — немаловажное обновление сетевых функций платформы и связанных с ними служб. Windows Server 2008 не только повышает производительность и стабильность сети, но и укрепляет систему безопасности за счет набора интегрированных сетевых функций, создающих мощнейшее основание, на котором можно создать решение по обеспечению доступа к сети на основе политик.
Безопасность IPsec — одна из функций, претерпевших значительные изменения в Windows Server 2008. Она может сыграть весьма важную роль в организации доступа к сети на основе политик. Теперь все вопросы сводятся не к использованию IPsec в качестве протокола туннелирования и шифрования, а к применению имеющихся у него функций проверки подлинности в сетях типа «узел–узел». Кроме того, поскольку IPsec работает в слое 3, его можно использовать для обеспечения применения политик доступа к сети в сетях различных типов.
В целях облегчения внедрения элементов управления доступом к сети на основе IPsec в Windows Server 2008 вводятся новые функции, целью которых является упрощение создания, внедрения и обслуживания политик. Например, увеличилось число методов проверки подлинности в IPsec. Этого добились путем внедрения компонента Authenticated IP (AuthIP) — расширения протокола IKE. AuthIP дает возможность самостоятельно создавать правила безопасности подключений (это еще одно название политик IPsec в Windows Server 2008), согласно которым партнеры по подключению должны пройти проверку подлинности, предоставив не только учетные данные компьютера, но и учетные данные пользователя или данные о работоспособности устройства. Это дает дополнительный запас гибкости, позволяющий разрабатывать двольно сложные логические сети без обновления инфраструктуры коммутаторов и маршрутизаторов.
Брандмауэр Windows в режиме повышенной безопасности
Режим повышенной безопасности, который появился у брандмауэра, строется на базе функций IPsec, описанных выше. Объединяя правила безопасности подключения IPsec и фильтры брандмауэра в одну политику, новый брандмауэр Windows создает новое измерение в сфере доступа к сети на основе политик: расширяются возможности интеллектуальной проверки подлинности.
Как показано на рис. 1, теперь есть три варианта реакции фильтра сходящих или исходящих подключений: позволить подключение, блокировать подключение и позволить подключение, только если оно безопасно. В последнем варианте брандмауэр Windows задействует функции проверки подлинности в сети типа «узел–узел», предоставляемые протоколом IPsec, и с их помощью определяет, разрешить запрашивающему узлу (пользователю) подключение или нет — на основе заданной политики. В правилах брандмауэра можно указать, какие пользователи, компьютеры и группы имеют право устанавливать подключение. Нужно отметить, что тем самым создается дополнительный уровень безопасности, дополняющий элементы управления доступом, работающие на уровне системы и на уровне приложений.
Рис. 1 Создание правил проверки подлинности брандмауэром
Уже сейчас должно быть видно, каким образом элементы управления системой безопасности сети можно объединить при помощи централизованной политики, создав тем самым более эффективное и масштабируемое средствано управления доступом к сети.
Возвращаясь к примеру с CRM: администратор может создать входящее правило для серверов, обслуживающих CRM-приложение в организации и установить флажок «Разрешить безопасное подключение». В той же самой политике администратор может указать, что подключаться к данному сетевому приложению могут только пользователи, входящие в группу «Пользователи приложения CRM», как показано на рис. 2. Если таким же образом настроить правила доступа для всех подключений между всеми управляемым компьютерами, входящими в сеть, получится уровень изоляции доменов и серверов — составляющая стратегии организации доступа к сети на основе политик.
Рис. 2 В политике администратор может определить набор участников, имеющих право подключения
Изоляция серверов и доменов
Сейчас все больше гостей и прочих неуправляемых устройств подключается к корпоративным сетям, и для компаний становится все более важным найти способ ограничить и защитить доверенные узлы. К счастью, существует много способов изолировать доверенные управляемые компьютеры от других устройств, входящих в сеть. Но следует помнить и о том, что многие из них требуют больших затрат (организация отдельных кабельных систем, например) и становятся сложными в обслуживании (скажем, сети VLAN на коммутаторах) при определенном размере сети.
Изоляция серверов и доменов может стать более экономичным и управляемым способом сегментации среды на логически изолированные, безопасные подсети. На рис. 3 показано, что при этом используются в основном те же правила безопасности подключений (то есть политики IPsec), что были упомянуты ранее, но сопоставляются они со всеми управляемыми компьютерами через групповую политику Active Directory®. В результате мы получаем политику доступа к сети, при использовании которой все участники должны успешно пройти проверку подлинности, прежде чем им будет разрешено начать обмен данными. Посольку изоляция происходит в слое 3, действие данных элементы управления доступом распространяется на шины, коммутаторы и маршрутизаторы независимо от их филического и географического положения.
Рис. 3 Определение требований к проверке подлинности в соответствии с потребностями в доступе
Чтобы можно было создать изолированную сеть, компьютеры в сети должны быть поделены по типу доступа. Можно задать политики, позволяющие компьютерам, находящимся в изолированной подсети, обмениваться данными со всеми компьютерами, подключенными к сети компании, в том числе и к неизолированному сегменту. Компьютеры же, не входящие в изолированную подсеть, не могут инициировать обмен данными с компьютерами, входящими в нее. Компьютеры изолированного сегмента будут просто игнорировать такие попытки.
Для внедрения сетевых политик используется домен Active Directory и членство в домене. Компьютеры, являющиеся членами домена, разрешают другим компьютерам подключаться, только есди те прошли проверку подлинности и обеспечили безопасность соединения. Дополнительно можно в обязательном порядке использовать шифрование при обмене данными в пределах изолированного домена.
Изоляция серверов и доменов очень выгодна с финансовой точки зрения, поскольку кардинально перестраивать сетевую инфраструктуру не приходится. Такое решение позволяет создать своеобразный барьер из политик, который не только позволяет защитиь от сетевых атак, порой оказывающихся весьма дорогостоящими, и несанкционированного доступа к доверенным ресурсам сети, но и не требует текущего обслуживания, связанного с изменениями топологии сети.
Защита доступа к сети
Как упоминалось ранее, изоляция серверов и доменов обеспечивает логическое разделение компьютеров и серверов, подключенных к сети. Она защищает от несанкционированного доступа, но не дает никаких гарантий, что компьютер, прошедший проверку подлинности, не станет угрозой системы безопасности.
Защита доступа к сети (NAP) — это платформа, встроенная в Windows Server 2008. Она позволяет гарантировать работоспособность (а именно безопасность и соблюдение политик) системы компьютера, подключающегося к сети или обменивающегося данными внутри нее.
Даже пользователи, прошедшие проверку подлинности, нередко становятся распространителями вирусов и шпионского программного обеспечения. Например, пока пользователь в отпуске, его компьютер может перестать соответствовать требованиям к безопаности, установленным администратором. Если не установить на компьютере обязательное исправление или подпись, выпущенную во время отсутсвия пользователя, это может привести к весьма неприятным последсвиям.
Администратор, разумеется, не способен отслеживать всех пользователей, подключенных к сети. Здесь необходимо автоматическое средство, которое бы проверяло работоспособность каждого компьютера и предлагало решения в случае несоответствия, опираясь при этом на централизованные политики. NAP как раз это и делает — в решении доступа к сети на основе политик появляется еще один уровень.
Агент NAP — либо встроенный в систему клиентского компьютера (как в случае с Windows Vista®), либо установленный отдельно (как в предыдущих версиях Windows и в системах сторонних разработчиков) — передает отчеты о соблюдении установленных требований серверу сетевых политик (NPS), который представляет собой механизм обработки политик, встроенный в Windows Server 2008. Именно в NPS задаются политики, которым должны соответствовать все устройства.
Подключения устройств, не прошедшие проверку на соответствие требованиям, конечно, нужно ограничивать, но не менне важно предоставить им возможность уйти на карантин и исправить те моменты, которые политикам не соответствуют. NAP позволяет в некоторых случаях автоматически исправить устройство (например когда отключен брандмауэр или антивирус) или предлагает перейти в режим карантина и исправить ошибки вручную. Во втором случае устройству дается доступ к серверу исправления, на котором хранятся все последние исправления, обновления и подписи. Как только пользователь вручную исправит компьютер, ему будет разрешен доступ к сети (проверка на соответствие проводится повторно).
При сегодняшней доступности информации доступ к сети стал значительно проще, но при этом появились дополнительные заботы по обеспечению работоспособности устройств независимо от используемого механизма доступа. Компьютеры могут подключаться к сети через стандартный коммутатор или беспроводную точку доступа (802.1X), а могут подключаться удаленно с использованием VPN или служб терминалов. NAP не только позволяет проверить соответствие компьютеров, подключающихся с применением различных механизмов доступа, всем установленным требованиям, но и обеспечивает соблюдение требований на серверах DHCP, коммутаторах 802.1X, шлюзах VPN и служб терминалов, беспроводных точек доступа стандарта 802.1X.
На рис. 4 приведена сеть, в которой используется изоляция серверов и доменов. Применение NAP в такой изолированной сети дает дополнительные преимущества: обеспечивается соответствие компьютеров, подключающихся к ней, всем установленным требованиям. При запуске клиент отправляет заявление о работоспособности (SoH) в центр регистрации работоспособности (HRA), представляющий собой сервер сертификатов. HRA передает SoH в NPS на проверку. Если SoH проверку проходит, центр HRA передает клиенту NAP сертификат работоспособности и клиент получает разрешение инициировать безопасное подключение к защищенным ресурсам на основе IPsec. Если SoH не проходит проверку, центр HRA сообщает клиенту NAP, какие изменения требуются для достижения работоспособного состояния, и сертификат не выдает. Клиент NAP не сможет инициировать обмен данными с другими компьютерами, если им требуется сертификат работоспособности для проверки подлинности по IPsec. Однако клиент NAP сможет подключиться к серверу исправлений и восстановить работоспособное состояние.
Рис. 4 Защита доступа к сети при помощи IPsec
Подводя итоги
Хотя новых функций Windows Server 2008 мы коснулись лишь поверхностно, нужно отметить, что каждый из новых компонентов построен на базе предыдущей версии. От традиционного подхода к защите информации новый подход отличает схема политик, лежащая в его основе: в Windows Server 2008 она реализуется, к примеру, на основе групповых политик Active Directory.
Благодаря интеграции всех средств созадется прочное основание, позволяющее сформировать и размернуть решение для доступа к сети на основе политик без потери уже существующих средств. Поскольку решение о предоставлении доступа выносится на логическом уровне, опирающемся на политики, вы можете создать баланс между простотой доступа и безопасностью сети, который ьудет работать вам на пользу.
Специалисты Майкрософт опубликовали немало руководств по технологиям, которые были упомянуты в данной статье. Мы рекомендуем для начала просмотреть предложенные материалы и пошаговые руководства, чтобы ознакомиться с различными функциями. (Ссылки в боковой панели «Материалы по сетям» помогут вам сделать первые шаги в их освоении.) Затем постарайтесь проводить работу поэтапно, чтобы кажды сделанный шаг становился надежным основанием для следующих действий.
Например, начните с создания набора правил проверки подлинности для бандмауэра, как описано в разделе «Брандмауэр Windows в режиме повышенной безопасности», — они будут применяться в случае доступа к приложениям, критическим для функционирования компании. Когда вы будете довольны результатом, переходите к изоляции сетевого домена и надстройке NAP. Стратегия доступа к сети на основе политик может иметь значительные преимущества, в частности она поможет вам уследить за постоянно меняющимся миром по имени корпоративная сеть.
Автор: Ян Хамеров (Ian Hameroff), Амитх Кришнан (Amith Krishnan)
Источник: мартовский выпуск Technet Magazine