Белогривые лошадки по версии Zscaler Inc.
Кто, где, когда?
Планы менялись, и неоднократно: дата и время проведения, формат мероприятия… И это неудивительно! Ведь SAS IT Battles – это фестиваль, создающийся на глазах его участников, и подобная динамичность является неотъемлемым его свойством. Более того, еще и движущей силой. В чем, собственно, посетители семинара и имели возможность убедиться.
Впервые в Беларуси!.. Эти слова жгли организаторов изнутри волнением на протяжении нескольких месяцев. Шутка ли?! Калифорнийская компания Zscaler Inc., имеет представительства в Лондоне, Мюнхене, Париже, Токио, Сингапуре, Гонконге, Сиднее, Торонто, Мехико, Нью-Йорке, Чикаго и т.д. и может похвастаться многочисленными наградами за достижения в области информационных технологий. Представление организации такого уровня, да еще и впервые в стране – задача непростая, требующая не только ответственности в высшем ее проявлении, но и максимальной мобилизации.
Разумеется, Zscaler Inc., работающая в сфере информационной безопасности, и группа SASecurity gr., для которой это направление всегда было одним из основных, не могли не достичь договоренности. Общий язык с представителями Zscaler был найден без особых затруднений, что существенно упростило решение организационных вопросов.
За несколько недель до проведения семинара на досках объявлений г.Минска, а также бумажных, электронных и эфирных страницах наших информационных партнеров начала появляться реклама семинара «Облачная безопасность: тенденции, технологии, решения», провести который должен был Мирко Шнайдер, региональный менеджер Zscaler Inc.
Сюрприз устроила сама природа: за извержением вулкана в Исландии последовали многочисленные отмены авиарейсов из Европы. И, как назло, эти события пришлись на последнюю неделю перед семинаром. Как нетрудно догадаться, визит Мирко пришлось отменить, а вместо него знакомить слушателей с деятельностью Zscaler Inc. отправился российский представитель компании Николай Шадрин.
Местом проведения семинара снова стал Белорусский Государственный Университет.
Сто к одному
Одновременно с появлением информации о грядущем семинаре на официальном блоге фестиваля стала доступна форма регистрации участников. День за днем число ожидаемых участников возрастало. В основном, разумеется, заявляли о своем желании посетить мероприятие наиболее активные студенты ведущих IT-вузов страны. Были замечены в списках зарегистрированных участников и преподаватели, а также представители ряда IT-компаний.
Не буду рассказывать сказок о том, что явка зарегистрировавшихся участников была стопроцентной. Так просто не бывает, тем более в случае с мероприятиями, которые проводятся в рабочий день. Тем не менее, реальное количество посетителей семинара почти вдвое превысило число зарегистрировавшихся: ведь регистрация с самого начала получила статус настоятельно рекомендуемой, но необязательной.
Сработала и открытость фестиваля, заложенная в самую его основу. Сам фестиваль получил у молодежи не только краткое и удобное для повседневного общения название «бАтлы», но и репутацию по-настоящему молодежного, ни к чему не обязывающего, в какой-то степени даже неформального. Впрочем, на эту тему можно рассуждать часами и страницами, поэтому перейдем к сути.
А что за Zscaler Inc.?
Вопрос, кстати, абсолютно не праздный. К сожалению, сегодня, как показывает практика, далеко не каждый может назвать не задумываясь названия даже двух-трех компаний, работающих в сфере информационной безопасности. На это есть свои причины, из этого есть свои следствия, но, так или иначе, считаю своим долгом рассказать об этой компании чуть подробнее. Тем более что именно с этого вопроса начал свой рассказ Николай Шадрин.
Отсчет своей истории Zscaler Inc. начинает с 1999 года, когда компания-предшественница NetScaler оказалась не в состоянии продолжать самостоятельное существование и была поглощена Citrix. Как это часто бывает в таких случаях, далеко не все специалисты остались работать на старых местах. Среди тех, кто по разным причинам ушел из NetScaler, оказались Дж. Чодри (J. Chaudry) и К. Кайлаш (K. Kailash), и именно они в 2006 году создали новую компанию – Zscaler.
По словам Николая Шадрина, однажды между основателями компании состоялась беседа, по итогам которой в качестве цели для дальнейшего развития было поставлено повышение пропускной способности серверов до 10 Гбит/с на 1 узел. Было ли так на самом деле, знают, наверное, только сами основатели компании. Но за какие-то 4 года Zscaler Inc. действительно достигла высоких показателей.
Совершенно не случайно несколькими строками выше были упомянуты серверы с высокой пропускной способностью. И уж тем более не случайно было выбрано название для статьи. А дело все в том, что компания Zscaler наитеснейшим образом связана со сравнительно новым для Беларуси явлением – облачными технологиями. Еще точнее – в теме семинара: облачная безопасность.
Традиционно приложения, предназначенные для защиты компьютеров от различного рода угроз — вредоносного программного обеспечения, сетевых атак и т.п., – работали локально. Другими словами, скачивались один раз, и в дальнейшем соединение с Интернетом требовалось разве что для обновления их компонентов. Предлагаемое Zscaler решение вообще не требует от конечного пользователя установки какого-то ни было программного обеспечения. Все что нужно, чтобы начать пользоваться услугами Zscaler (а это, как мы узнаем чуть позже, именно услуги), – перенаправить сетевой трафик таким образом, чтобы он проходил через серверы компании.
Почему это нужно?
Идею применения облачных технологий для решения проблем информационной безопасности можно проследить на примере борьбы с компьютерными вирусами. В свое время антивирусные средства создавались с одной-единственной целью: защитить компьютер пользователя от одного или нескольких уже известных вирусов. Время шло, масштабы производства вредоносного ПО изменялись строго в большую сторону. В ответ на это были созданы антивирусы, которыми мы в большинстве своем пользуемся и сейчас. В них антивирусные базы уже не встроены жестко в саму программу, а могут обновляться независимо от модулей самого антивируса. Число самих модулей, кстати, тоже существенно выросло и во многих решениях уже перевалило за десяток.
Разумеется, на какое-то время гибкость обновляемых вирусных баз позволила упростить задачу предоставления пользователям своевременной защиты. Но вирусописатели тоже не сидят сложа руки. Сегодня любой более или менее грамотный пользователь (грамотный – в самом прямом смысле этого слова, то есть умеющий читать и выполнять простейшие манипуляции с клавиатурой и мышью) может без особых затруднений найти в Интернете генератор вирусов. Разумеется, простейший, не создающий монстроподобных, всепожирающих тварей, способных при случае вывести из строя миллиарды компьютеров, но все равно достаточно эффективный, чтобы помочь всем страждущим в воплощении коварных замыслов. Надо ли говорить, что возможности тех, кто владеет определенными навыками в области программирования, в разы шире.
Сегодня антивирусные компании чисто физически не могут работать в том же темпе, что и злоумышленники. Конечно, надо отдать им должное: наиболее опасные угрозы появляются в базах антивирусов в среднем уже через несколько часов после обнаружения. Но надо иметь в виду, что этот временной промежуток увеличивается ровно настолько, сколько требуется обновленным базам, чтобы попасть на компьютер конечного пользователя. А эта поправка у очень многих пользователей может порой достигать нескольких месяцев и даже лет.
Облачная безопасность позволяет устранить только что рассмотренную проблему последнего километра. Все очень просто: поскольку проверка на вирусы производится программой, работающей не на локальном компьютере, а на одном из многочисленных серверов, конечные пользователи фактически работают с обновленными базами с того момента, когда они обновятся на серверах. А тот факт, что серверы изначально предназначены для проверки данных на предмет их нежелательности, в достаточной степени гарантирует, что базы будут обновлены обслуживающим персоналом в кратчайшие сроки.
Еще одно несомненное преимущество облачной безопасности перед традиционными технологиями заключается в том, что здесь исключены пробелы в безопасности, связанные с пренебрежительным отношением конечного пользователя к данному вопросу. Ни для кого не секрет, что основной источник вирусов – веб-сайты. Решение, уже ставшее классическим: устанавливаем брандмауэр (он же файрволл, firewall), настраиваем списки доверенных и запрещенных адресов – и безопасность, кажется, обеспечена. Суровая реальность заключается в том, что источником заражения может стать даже доверенный сайт.
Николай Шадрин совершенно точно отметил специфику современного веб-пространства: стабильный и неуклонный рост процента сайтов, которые обеспечиваются контентом самими посетителями. Мы все прекрасно знаем, какие это сайты: социальные сети (хорошо знакомые всем ВКонтакте, Одноклассники и др.), форумы, гостевые книги, файлообменники и т.п. К сожалению, довольно часто контролировать контент своего интернет-ресурса администрация не может просто по причине огромного количества пользователей и высокой скорости изменения этого контента. Но именно эти ресурсы нередко оказываются в списке доверенных. Бомба заряжена, заражение – вопрос времени.
Облачная обработка поступающих данных предполагает, что проверяются все данные, независимо от их источника. Ну а чтобы еще полнее задействовать мощности серверов, можно им поручить также блокировку трафика по определенным адресам. В итоге получаем абстрактную модель облака компании Zscaler.
Как воспользоваться облаком?
Как уже было сказано выше, для пользования услугами облачной безопасности достаточно просто перенаправить трафик на серверы, относящиеся к облаку. Zscaler предлагает для этого великое множество способов, описание деталей которых заняло бы немало времени. Наиболее простое решение связано с использованием серверов компании в качестве прокси. Такая возможность уже давно поддерживается подавляющим большинством браузеров, а многие читатели, рискну предположить, уже применяли этот прием в том или ином виде, например, чтобы обходить ограничения файлообменников. И в нашем случае это тоже будет работать.
Но у этого простого и очевидного способа есть один неприятный недостаток – быстродействие. Во-первых, хотим мы этого или нет, но время, необходимое для передачи информации между узлами, находящимися в соседних комнатах, и узлами, расположенными в противоположных точках земного шара, резко отличается. Во-вторых, сервер, который мы используем для защиты от угроз, с большой долей вероятности обслуживает не одного и не десять пользователей, а значительно больше. Поэтому-то может получиться так, что более удаленный географически сервер сможет обработать передаваемую нами информацию намного быстрее, чем ближайший. Получается, что привязка к одному конкретному серверу не является наилучшим решением. Да и не похож одинокий сервер на «облако».
Для того чтобы устранить этот недочет, специалисты Zscaler предлагают нам воспользоваться PAC-файлами. «PAC» есть не что иное как аббревиатура, которая означает «Proxy Auto-Config». PAC-файлы определяют способ взаимодействия браузера с прокси-серверами. В нашем случае это означает, что в настройках браузера нужно указать расположение PAC-файла, содержащего информацию о наиболее подходящем для обработки очередного запроса сервере, входящем в облако. Ну а сгенерировать этот файл на лету в наш-то век информационных технологий – абсолютно не проблема. Тем более, размеры PAC- файла весьма скромны. Среди других способов, упомянутых Николаем Шадриным, можно выделить использование для перенаправления трафика DNS- серверов.
Что получим в итоге?
Подведем промежуточные итоги. Какие же возможности предоставляют технологии облачной безопасности в целом и предлагаемые Zscaler Inc. в частности?
Во-первых, это, конечно же, антивирусная защита. Следует заметить, что на серверах Zscaler работает сразу несколько антивирусных средств, что позволяет резко повысить вероятность обнаружения новых угроз в кратчайшие сроки.
Во-вторых, как уже было сказано, мощностей серверов вполне достаточно, чтобы не просто передавать данные, но еще и блокировать часть из них, опираясь на информацию о потенциально опасных ресурсах. В рамках этой возможности Zscaler удается, в частности, довольно успешно бороться с так называемыми фишинговыми сайтами, которые, как известно, довольно часто становятся причиной попадания паролей в распоряжение злоумышленников и просто людей с не очень добрыми намерениями.
Третья, не упомянутая нами ранее возможность – это управление полосой пропускания. Попросту говоря, пользователь может настроить облако так, чтобы скорость передачи информации или суммарный объем трафика были в той или иной степени ограничены, в том числе и в зависимости от времени суток и географического положения пользователей.
Приближаясь к решению от Zscaler, упомянем также возможность просмотра довольно подробной информации о передаваемых пользователями данных, что может быть полезно для компаний, не желающих разглашения какой-либо внутренней информации. И, конечно же, во многом благодаря тому, что серверы Zscaler находятся практически по всему миру, имеем возможность свободного перемещения между государствами и континентами без необходимости перенастройки облака.
И что, одно облако справляется?
И да и нет. На самом деле, по словам Николая, для 90% запросов на обработку уходит не более 90 мкс. Наибольшие затруднения вызывают данные, которые передаются с использованием SSL, поскольку для их анализа требуется наличие специального ключа, без которого данные представляют собой бесполезный поток байтов. Впрочем, эта проблема решается реализацией SSL-шифрования на аппаратном уровне, а также тем, что серверы Zscaler «вклиниваются» в процесс передачи прозрачно для обеих сторон, не используя благодаря этому подбора ключей и прочих незаконных трюков.
Тем не менее, облако действительно существует не в единственном числе. Помимо одинокого (вряд ли надолго) публичного облака существует также некоторое количество приватных облаков, а также используемое специалистами компании для тестирования нововведений бета-облако.
А что же семинар?
Итак, в общих чертах с кратким содержанием семинара вы смогли ознакомиться. Но помимо пересказанной мной информации, а также той, которую я (из вредности, а как же? :-) ) пропустил – о SEO-атаках, о 2 способах антивирусного сканирования в облаке и много о чем еще – посетители семинара смогли задать свои вопросы и получить на них ответы.
Так, например, по просьбе одного из участников семинара Николай объяснил детальнее, как удается решить проблему ложных срабатываний. Частично ее решает, конечно же, использование нескольких антивирусов различных производителей. Вторая часть решения приходится на 2 способа сканирования: inline и offline.
Были затронуты также вопросы о поддержке мобильных устройств, о том, как решается проблема часовых поясов при ограничении доступа пользователей по времени.
Прозвучал и особенно злободневный для многих граждан Беларуси вопрос: как быть с тем, что «кто-то посторонний будет читать передаваемую мной информацию». В контексте использования решений Zscaler ответ предельно прост и состоит из двух частей: во-первых, информация точно так же успешно анализируется в той или иной степени интернет-провайдерами, а во-вторых, речь идет не о какой-нибудь конторе класса «Рога и копыта», хотя, конечно, здесь возникает главный вопрос: вопрос доверия. Но наверняка иметь защиту от специализированной компании лучше, чем не иметь ее вовсе.
Что дальше?
Как уже говорилось в начале статьи, семинар проводился в рамках некоммерческого фестиваля информационных технологий SAS IT Battles и был абсолютно бесплатным, что, впрочем, было частью идеи, а стало хорошей традицией.
Фестиваль на этом не заканчивается. Наоборот, он продолжает развиваться в полном соответствии со своей характеристикой: «фестиваль, создающийся на твоих глазах».
Особое внимание на этот раз уделим конкурсной программе. А она, надо сказать, довольно всеобъемлющая. Оргкомитет фестиваля продлил сроки регистрации участников до 10 июня и продолжает прием заявок.
Вы любите программирование? Напишите свою утилиту сетевого мониторинга – к вашим услугам конкурс «Лучшая утилита сетевого мониторинга». Рамки этого конкурса для вас тесны? «Свободный кодинг» – пишите совершенно любую программу, по настроению, и, возможно, именно она будет признана посетителями форума лучшей.
Превратить свой компьютер в произведение искусства – запросто? Моддинг как стиль жизни? Присылайте фотографии вашего компьютера на конкурс «Моддинговые системы».
Ваш конек – уязвимости в программном обеспечении? «Bugs Expert» – определенно ваш выбор. Знаете, как надежно защитить информацию на компьютере от всевозможных неприятностей? А почему бы не поучаствовать в «Security Guru»? А может быть, у вас есть способности как раз в обратном – взломе? «Сквозь защиту» — продемонстрируйте свой талант законным путем!
Есть свой сайт или блог? Вы же не будете спорить с тем, что именно он имеет право считаться лучшим в своем роде? Специально для вас – «Blogs Cup».
Дизайнеры всех стран, объединяйтесь! Наши партнеры, CGTalk.by, ждут ваших заявок для участия в CG IT.
Нет талантов? Так не бывает! Просто не всегда и не все их могут в себе вовремя заметить. Общайтесь на нашем форуме, находите их в себе и получайте за это ценные подарки от организаторов.
И, конечно же, следите за обновлениями на блоге фестиваля: http://it-battles.org. Мы припасли для вас еще много интересных мероприятий.
Дмитрий Оношко SASecurity gr.
Компьютерная газета. Статья была опубликована в номере 22 за 2010 год в рубрике безопасность
