Plánování zabezpečení prostředků informačních technologií je v každé organizaci velmi náročný proces, neboť musí obsáhnout nejen obrovskou škálu různých technologií od různých výrobců, ale také správně nastavit firemní procesy a definovat bezpečnostní politiky.Tento článek popisuje přístup “Defense in depth“, který nabízí vodítko pro každého bezpečnostního specialistu ke správnému plánování komplexní bezpečnosti celého IS/IT.
Co je Defense in depth?
Původ tohoto přístupu můžeme nalézt v oblasti vojenské strategie. Tímto termínem je zde označován přístup, ve kterém je místo jedné, silné obranné linie, budována celá soustava méně silných obranných linií. Cílem je zpomalit postup útočníka tak, aby bránící se strana měla dostatek času útok rozpoznat a zareagovat na něj efektivní obranou.
V dnešním světě se strategie Defense in depth používá běžně i mimo oblast vojenského plánování, a to také velmi často v souvislosti s bezpečností počítačových sítí. Od roku 2002 je Defense in depth také základním přístupem společnosti Microsoft v rámci iniciativy Trustworthy Computing.
Ve světě informačních technologií aplikace tohoto přístupu znamená současné použití mnoha bezpečnostních technik tak, aby bylo minimalizováno riziko v případě, že některá zabezpečující komponenta selže.
Příkladem může být implementace antivirového softwaru na koncových stanicích, i když je již antivirový program provozován na firewallech a serverech v tom samém prostředí. Někdy je tento přístup také označován jako bezpečnost ve vrstvách (layered approach).
Základním předpokladem je fakt, že každá vrstva může být prolomena a více vrstev jednoduše minimalizuje celkové riziko.
Defense in depth v počítačové síti
V oblasti počítačových sítí se řeší bezpečnost především na následujících vrstvách:
· Data – toto je samozřejmě nejcitlivější část z hlediska zabezpečení. Prakticky se jedná o poslední obrannou vrstvu před dosažením útočníkova konečného cíle – získání firemních dat. Data mohou být samozřejmě uložena v různých formách – databáze, sdílené soubory, data poštovního systému apod.
· Aplikace – aplikační software, který s daty manipuluje
· Počítače – koncové stanice a servery, na kterých běží aplikace
· Interní síť – část počítačové sítě, která je oddělena od DMZ firewallem a která zahrnuje interní počítače
· DMZ – část sítě, která spojuje interní síť a externí sítě např. Internet
· Fyzická bezpečnost – fyzický přístup k pevným diskům, zálohám, serverům, koncovým počítačům, síťovým prvkům apod.
· Politiky a procedury – definice základních bezpečnostních principů, postupů i procesů, které definují celkový přístup organizace k otázce bezpečnosti IS/IT
Obrázek 1 Defense in depth
Příklady řešení bezpečnosti vrstev v rámci MS technologií
Data
Bezpečnost na této vrstvě je již v celé řadě verzí MS Windows řešena kombinací autentizace a autorizace. Každý, kdo chce přistoupit k datům, musí být autentizován platnými přihlašovacími údaji a dále je provedena autorizace toho přístupu dle nastavených oprávnění.
Toto je velmi silná ochrana, která je ale zcela závislá na úrovni fyzické bezpečnosti. Ochrana dat, která není závislá na fyzické bezpečnosti, využívá běžně technologie šifrování. Ve Windows Vista a Windows Serveru 2008 máme nyní možnost kromě známého EFS (Encrypted File System) použít pro ochranu dat zcela nový nástroj Bitlocker, který dokáže zašifrovat celý obsah disku. Pokud by tak byla prolomena vrstva fyzické bezpečnosti např. krádeží disku s daty, je tu stále další vrstva, která chrání informace na úrovni přístupu k datům.
Aplikace
Reálné řešení bezpečnosti na této vrstvě je specifické pro každou jednotlivou konkrétní aplikaci, jejíž zabezpečení uvažujeme. Nicméně základním principem zabezpečení aplikace je vždy její konfigurace, která by měla zajistit pouze nutnou funkcionalitu a všechny komponenty, které nejsou využívány, odstranit. Snižujeme tím prostor pro případného útočníka.
Jako příklad můžeme uvést IIS 7.0 v novém Windows Serveru 2008, který umožňuje velmi jednoduše provést tento tzv. “application hardering”. IIS 7.0 je rozdělen do několika desítek jednotlivých modulů, které mohu v podstatě libovolně instalovat/odinstalovávat. Pro zabezpečení IIS 7.0 se doporučuje všechny nepoužívané moduly odebrat ze systému. Když se například používá v daném systému pouze základní ověření, je evidentně bezpečnější, pokud v systému ostatní moduly ověřování vůbec nebudou.
Obrázek 2 Windows Server 2008: IIS
Počítače
Každý počítač na síti, ať už se jedná o koncovou stanici nebo server, musí být samozřejmě také dobře zabezpečen. Mezi základní metody zabezpečení počítačů patří např. instalace bezpečnostních aktualizací, zesílení bezpečnostní konfigurace tzv. OS hardering, nastavení firewallu, instalace antivirového a antispywarového software.
Windows Server 2008 obsahuje zcela nový typ instalace – Server Core. Core je instalace s velmi omezeným grafickým rozhraním. Server Core zcela jistě zvyšuje bezpečnost serveru, neboť obsahuje jen základní části systému jako např.: podpora sítě, sdílení souborů a tiskáren, Active Directory, Windows Firewall apod. Naopak zcela odstraněny z operačního systému jsou: Windows Media Player, Internet Explorer atd. Odstraněním všech nadstavbových komponent je tak velmi omezen prostor pro potenciálního útočníka.
Interní síť
Zabezpečení vnitřní sítě je možné zajistit technologiemi typu IPsec nebo IDS (Intrusion Detection System). Windows Server 2008 přináší do způsobů zabezpečení této vrstvy zcela novou možnost kontroly zdraví počítačů připojujících se do vnitřní sítě: NAP (Network Access Protection). Každý počítač, který se chce do vnitřní sítě připojit např. pomocí VPN, bezdrátového přístupu, ale i standardním připojením do LAN přes 802.1x přepínač, je nejprve zkontrolován z pohledu jeho zabezpečení. Počítač, který projde touto kontrolou, je plnohodnotně připojen do sítě. “Nezdravý“ počítač je buď zcela odmítnut, nebo je umístěn do karantény s omezeným přístupem do sítě.
Obrázek 3 Windows Server 2008: NAP
DMZ
Demilitarizovaná zóna je v podstatě první obrannou linií každé počítačové sítě, proto je zabezpečení této vrstvy velmi kritické. Nejběžnější technologií, se kterou se zde můžeme setkat, je firewall. Moderní firewall by měl nejen blokovat definované porty, ale umět se i aktivně bránit nejběžnějším typům útoků a poskytovat kontrolu síťového provozu na aplikační vrstvě. Tyto kritéria zcela splňuje produkt MS ISA Server, kterým je tak vhodným nástrojem pro zabezpečení vrstvy DMZ
Fyzická bezpečnost
Bez dostatečného zabezpečení fyzické vrstvy je možné ochranu na ostatních vrstvách velmi snadno obejít. Z tohoto důvodu je třeba tomuto aspektu celkové bezpečnosti věnovat maximální pozornost. Pomoci zde pomohou dobře chráněná datová centra, zámky, kamerové systémy nebo HSM a TPM moduly.
Politiky a procedury
Bezpečnostní politika je vždy základním východiskem pro definici toho, co pro každou firmu pojem bezpečnost přesně znamená. Definuje bezpečnost na globální úrovni jakou součást informační politiky společnosti.
Na bezpečnostní politiku pak navazují konkrétní bezpečnostní procedury, které přesně definují, jak se jednotliví účastníci procesů mají chovat v souladu s bezpečnostní politikou. Konkrétním příkladem je třeba popis procedury, která přesně říká jakým způsobem je autorizován požadavek na změnu zapomenutého hesla uživatele. Společnost, která nemá toto stanoveno, se může stát jednoduchou obětí útočníka typu “sociální inženýr”, který vhodnou manipulací pracovníků technické podpory může získat přístup k libovolnému uživatelskému účtu, a tak snadno obejít všechny ostatní vrstvy bezpečnosti.
Závěr
Plánování bezpečnosti sítě je opravdu náročným úkolem pro každého. I drobná opomenutí mohou vést k velmi závažným dopadům na celou organizaci. Přístup Defense in depth nám dává návod ke správnému naplánování komplexního zabezpečení celé sítě tak, aby bylo minimalizováno riziko ztráty či úniku citlivých firemních dat.