иерархия защиты веб-серверов

Информация должна быть в безопасности — пожалуй, эта аксиома известна всем. И несомненно, большинство пользователей знают, что такое Firewall и троянские вирусы и какими средствами можно обеспечить защиту сети. Однако не все знают, как они работают и как оптимально настроить систему защиты компании. Тем не менее именно от этого зависит не только сохранность данных, но и существование предприятия в целом.

Действительно, многие чересчур уверены в своей компетенции, и в этом корень проблемы. Наглядный пример из жизни. Одна компания очень хочет обеспечить сохранность своих данных (ее локальная сеть имеет постоянный выход в Интернет). Для этого один из специалистов установил firewall, перекрыв (на его взгляд) угрозу прямым атакам из публичной сети. Затем озаботился проникновением троянов и установил антивирус. Далее обнаружилось, что многие программы хотят также взаимодействовать с сетью, но не все делают это на безопасном уровне. Пришлось перекрывать доступ и им. Постепенно число потенциальных угроз увеличивалось, и, подобно снежному кому, росло количество установленных средств защиты. И все они были разными. Заканчивалось все, как правило, "падением" системы и неизбежной переустановкой. В результате тратилось драгоценное рабочее время и ресурсы. А ведь куда разумнее выяснить теорию и подготовить защиту в соответствии с ней.

новое время — новые методы

Приведенный пример говорит о том, что прежний подход к безопасности безнадежно устарел. Угроз слишком много, и нужно что-то заложить в основу иерархии защиты. Интернет — это не просто сеть HTML-страниц. Это сложные приложения, скрипты, транспортная сеть, телеконференции, электронная почта и многое другое. Конечно, корпоративный firewall уже не решает всех проблем безопасности. Ведь равный и обобщенный подход к обеспечению безопасности данных каждого сотрудника компании неизбежно приводит к наличию брешей в защите. Из-за этого страдают нужды того или иного работника, когда оказываются закрыты критичные для выполнения работы ресурсы. Более того, многие системы безопасности отделяют от общего доступа только жизненно важные данные (например, бухгалтерский учет), в то время как остальные сведения, которые считаются менее важными, доступны всем. Конечно, это не означает, что сотрудники соседнего подразделения изучают данные своих коллег. Но такая открытость делает данные всех работников уязвимыми к атаке через одну-единственную лазейку в сети. Поэтому вместо порчи данных на 1-2 компьютерах страдают все.
Что и доказал червь Code Red. Эта одна из самых известных атак вскрыла множество проблем. Установлено: для того чтобы получить брешь в защите, необходимо сочетание трех факторов. Уязвимость программного обеспечения, протоколов или процессов, которыми может воспользоваться нападающий. Угроза со стороны враждебных инструментов, способных эту уязвимость использовать. Наконец, действие, а по сути, использование угрозы вашей уязвимости.
Еще в 1985 году Стив Беллоуин (Steve Bellovin), член Совета по архитектуре Интернета (Internet Architecture Board) опубликовал доклад об уязвимости TCP/IP-протокола. Хотя вплоть до 1996 года возникшая уязвимость оставалась призрачной, теоретической угрозой. Но угроза появилась, а привел ее в действие не кто иной, как Кевин Митник. Поэтому суть компьютерной безопасности не только в ее построении, но и в постоянном поиске уязвимости и устранении ее раньше, чем злоумышленники сумеют создать угрозу и привести ее в действие. Следовательно, безопасность — процесс динамический, а не статический. Анализ и устранение рисков — его основная составляющая, которой нельзя пренебрегать.

почему веб-серверы так уязвимы?

Вирус Code Red вывел из строя именно те серверы, которые были защищены от элементарных атак из Сети и не следили за своей растущей уязвимостью (ввиду отсутствия подобных прецедентов). Имела место уязвимость, но так как прежде подобные атаки не проводились, никто о ней не думал. В итоге такая беспечность стоила миллионов долларов. Обобщим основные причины уязвимости веб-серверов:
1. Большинство растущих предприятий регулярно меняет конфигурацию своих сетей, добавляя новые рабочие станции (иногда и серверы), забывая при этом тестировать ЛВС на безопасность. Разумеется, запретить подключать новых пользователей невозможно, но стоит задуматься о расширении сети заранее. Обозначить ее сегменты, которые способны к расширению, и проводить предварительное тестирование напредмет безопасности.
2. Большинство веб-мастеров имеют root’овый/администраторский доступ к серверу. Разумнее прописать каждому пользователю свою политику доступа, ограничивающую его права прямыми обязанностями. Например, сотрудник работает только с одним каталогом сервера, но имеет доступ на все остальные. Тем самым он ставит под угрозу не только свой сектор работ, но и все данные сервера. Конечно, статус веб-мастера имеет не каждый пользователь, хотя ограничить доступ из соображений безопасности следует и самым высоким профессионалам.
3. Программное обеспечение. Смесь из пиратских, лицензионных, shareware- и freeware-программ делает систему уязвимой. Самописные программы тоже не всегда проверяются напредмет безопасности кода. Самый безопасный подход — совместимое программное обеспечение от одного производителя. Скажете дорого? А не дороже ли потом восстанавливать данные после атаки?
Как видите, безопасность веб-серверов сводится к управлению рисками. Но не каждая компания нуждается в высшей степени защиты своей информации. Вопрос уровня безопасности — это вопрос использования ресурсов сети. Если веб-сервер существует, к примеру, только для нужд маркетинга, то особо сложной защиты устанавливать не стоит. А вот системы электронной коммерции, электронных платежей требуют больших мер безопасности. Поэтому принято разделять уровни защиты веб-серверов.

уровни защиты веб-серверов

Защиту сети можно разделить на шесть уровней сложности.
Первый— самый элементарный и обязательный. Здесь главный инструмент защиты — firewall. Firewall должен лимитировать использование сервисов, которые предоставляются пользователям. Также firewall должен следить за всеми соединениями, как с одной, так и с другой стороны. Кстати, многие версии firewall успешно отразили Code Red. Не стоит применять здесь программы непонятного происхождения, отдавайте предпочтение лицензионному ПО. Ведь это самый передовой бастион защиты ваших данных. Многие риски можно устранить уже на этом этапе.
Второйуровень безопасности подразумевает конфигурацию операционной системы, под чьим управлением работает веб-сервер. Каждая операционная система позволяет создавать контрольные листы безопасности (security checklist). О том, как это делается под отдельные операционные системы, можно прочитать здесь: Center for Internet Security —www.cisecurity.org; Microsoft —www.microsoft.com/technet/itsolutions/security/tools/tools.asp; Apache —http://httpd.apache.org/docs/misc/security_tips.html;  Sun —www.sun.com/security/blueprints/. Важно также, чтобы новое приложение своевременно вносилось в security cheklist, а не отключало его. Это должно быть правилом. И никакой аврал на работе не должен приводить к отключению данного уровня безопасности.
Третийуровень ориентирован уже на сеть. Необходимо оснастить датчиками атак сетевое оборудование и программное обеспечение провайдера, обеспечивающего хостинг. Главное, чтобы поступивший сигнал об опасности был правильно обработан, а атака — нейтрализована.
Четвертый уровень безопасности — установка программного обеспечения на уровне хостинга (замена ПО веб-сервера или ОС). Это значительно более сложная задача. Во-первых, здесь можно столкнуться с возражениями самой хостинг-компании. А во-вторых, такое программное обеспечение намного сложнее простых датчиков. По этой причине и уровень безопасности более высокий.
Уровень 5 имеет два подуровня — А и В.
Уровень 5А— это установка специального программного обеспечения, выполняющего роль прослойки между операционной системой веб-сервера и всеми приложениями. Такой буфер позволяет предотвратить атаку хакеров на уязвимые приложения, которые берут под контроль всю операционную систему во время своего выполнения. Это не самый дешевый вариант, потому что, как и на предыдущем уровне необходимо обеспечить поддержку программного обеспечения, которым оперируют веб-серверы.
Уровень 5Bпредставляет собой установку ориентированных на конкретные приложения firewall или прокси-серверов. Например ориентированые на HТTP-протокол прокси-серверы позволяют предотвратить атаки прежде, чем потенциальные злоумышленники сумеют добраться до запуска приложений, установленных на веб-сервере. Однако, прокси-сервер может в неумелых руках стать существенным ограничением в работе. Конфигурация и настройка прокси — тоже своего рода искусство.
Шестойуровень — своеобразная вершина безопасности. Здесь допускается использование только доверительных операционных систем и работающих под их управлением приложений. Иными словами, все функционирующие приложения и операционные системы должны быть либо максимально адаптированы, либо разработаны специально для специфических нужд компании. Это самый дорогой, но и самый эффективный способ защиты. К тому же требующий специальной подготовки от администратора сети, а зачастую и от пользователей, что также влечет дополнительные расходы. Да и обновление какого-либо приложения потребует предварительной интеграции в доверительную систему.

что выбрать?

Как и везде решающим фактором становится соотношение цена/качество. И тем не менее каждая компания должна иметь как минимум два первых уровня защиты. Любая компания, для которой порча информации является критической (и может серьезно повлиять на функционирование предприятия), должна оснастить свои веб-серверы третьим уровнем безопасности. Это касается предприятий, которые просто используют в своей работе сеть Интернет. Если ваши пользователи подключены к ней, то злоумышленники могут найти лазейки, чтобы проникнуть в ваши виртуальные владения и испортить ваши данные. Все компании, использующие удаленный доступ к сети для запуска приложений на веб-сервере, обязаны иметь уровни выше четвертого (4, 5A или 5B). Один из примеров — наличие важной базы данных на сервере, доступ к которой осуществляется через удаленный доступ или сеть Интернет. К этой категории можно отнести интернет-магазины и электронные торговые площадки. Если вы не можете полностью контролировать действие своих веб-мастеров, то достаточным будет уровень 4. Классический случай, когда несколько администраторов отвечают за различные участки сайта. Часто такие администраторы могут работать вне офиса или дома. При этом их права на доступ позволяют внести существенные коррективы в хранящиеся данные. А это не всегда желательно. Если же пользователи способны контролировать настройки сетевых приложений, то необходима защита пятого уровня (как А, так и В). Это справедливо для сложных систем, когда компьютеры, подключаются через сеть к серверу и имеют права не только запускать приложения, но и изменять настройки этих приложений. Шестой уровень — полная гарантия безопасности.
В жизни каждого предприятия важную роль играет прибыльность. Здесь приведен материал, ориентированные на менеджеров, которые желают оценить экономическую эффективность от внедрения системы компьютерной безопасности. Приблизительные оценки для крупных компаний указывают на то, что возврат средств ожидает компанию в объеме 145% за три года. Но это субъективные и теоретические оценки. Многие компании, занимающиеся безопасностью, сегодня предлагают специальную услугу — проверку вашего сервера на устойчивость к атакам хакеров. То есть установление наличия рисков. А при помощи простой онлайн-формы можно оценить ROI от внедрения системы безопасности для вашего собственного предприятия. Напомним, что ROI (Return Of Investment) — это количественная оценка прибыли на инвестированный капитал. Адрес для изучения выгодности этой инвестиции здесь. Заполняйте позиции с левой стороны, а справа в окне браузера вы получите результаты. Необходимо четко знать следующие данные: количество обращений в службу сервиса в месяц, число рабочих мест, требующих установки ПО. Стоимость таких действий как вызов, оборудование защитой различных уровней, уменьшение числа обращений в службу сервиса на каждом из уровней и ряд других. Впрочем, форма сама предлагает определенные цифры, которые считаются эталонными для предприятий. Оценка инвестиции приведена вполне дотошно. Здесь и Net Present Value (NPV) Savings, и Internal Rate of Return (IRR), и Return on Investment (ROI). И каждый уровень расписан в подробностях. Впрочем, российская специфика и здесь имеет место, поэтому стоит проверить, справедливы ли вводимые цены.

заключение

Безопасность — это люди, процессы, программы. Это непрерывный поиск уязвимых мест вашей системы, налаженная структура ликвидации угрозы и контроль над исполняемыми приложениями. Интернет прочно вошел в нашу жизнь и все методики должны совершенствоваться. Появляются новые подходы к безопасности, и игнорирование их было бы большой ошибкой. Ошибкой, осознание которой может прийти слишком поздно.

Арсений Ефремов



Сетевые решения. Статья была опубликована в номере 03 за 2004 год в рубрике save ass…

©1999-2024 Сетевые решения