Bezpečnost, aneb problém perimetru

Starý model zajištění bezpečnosti sítě – obrana perimetru – byl do značné míry stejný jako historický model fyzické bezpečnosti: umístěte své cennosti na bezpečné místo, postavte kolem hradbu a u brány kontrolujte, kdo vchází a vychází. Řada lidí dnes říká, že model perimetru je zastaralý; někteří dokonce tvrdí, že perimetr by vůbec měl být odstraněn. Jakkoliv je dnes důležité chápat nedostatky modelu „hrad a příkop“, každý šéf informatiky by se měl chránit toho, aby lehkovážně odvrhl své firewally.

Bezpečnost, aneb problém perimetru


Starý model zajištění bezpečnosti sítě – obrana perimetru – byl do značné míry stejný jako historický model fyzické bezpečnosti: umístěte své cennosti na bezpečné místo, postavte kolem hradbu a u brány kontrolujte, kdo vchází a vychází. Řada lidí dnes říká, že model perimetru je zastaralý; někteří dokonce tvrdí, že perimetr by vůbec měl být odstraněn. Jakkoliv je dnes důležité chápat nedostatky modelu „hrad a příkop“, každý šéf informatiky by se měl chránit toho, aby lehkovážně odvrhl své firewally.

Pro středověká města chráněná hradbami fungoval přístup obrany perimetru docela slušně; stejně tak docela slušně fungoval i pro počítačové sítě 90. let. V mnoha ohledech je tento přístup od základu zdravý. Je rozumnější zastavit útočníky zesílenou vnější obranou, než je vpustit dovnitř a nechat je, aby se v boji muže proti muži utkali s vašimi značně zranitelnými občany. Nikoho by ani ve snu nenapadlo dát úředníkovi do rukou protitankovou zbraň; je úkolem vojáků ve frontových liniích, aby udrželi tanky v dostatečné vzdálenosti od úředníků.

Žádná obrana perimetru samozřejmě není dokonalá. Trójané se o tom tvrdě poučili už před více než 3 tisíce let, když si do prostoru chráněného hradbami přitáhli onoho obrovského dřevěného koně, který se ukázal být plný řeckých vojáků. Jakmile padouši projdou branami, jsou hradby k ničemu.
Bezpečnostní poradci již řadu let varují, aby organizace nepodceňovaly nebezpečí zevnitř, ze strany vlastních lidí. Soustředění na obranu perimetru podle nich nutně vede k tomu, že poleví pozornost věnovaná vnitřní obraně. Organizace například z pochopitelných důvodů otálejí se záplatováním a upgradem počítačů ve svých sítích, když přece vynakládají takové peníze na firewall. Vnější hrozby se však dokáží protáhnout i tou nejlepší obranou perimetru – buď proto, že si někdo z exekutivy zapojí infikovaný notebook do vnitřní sítě, nebo proto, že padoušský přístupový bod 802.11 umožní těm zvenku, aby bezdrátově pronikli vašimi hradbami a připojili se.

I kdyby perimetry byly dokonalé, tento přístup předpokládá, že to, co je třeba chránit, zůstalo uvnitř ochranného prstence perimetru. Tento předpoklad však v dnešním světě laptopů, webových portálů, paměťových karet a BlackBerry ztratil platnost. Kvalitní informace neustále překračují fyzické i elektronické perimetry každé organizace. Spoléhat se výhradně na obranu perimetru je jako koupit si domácí alarm, abyste ochránili své děti před únosem, a pak je nechat jet do školy samotné newyorským metrem.

Bitva o Jericho
Jedna uživatelská organizace, Jericho Forum, tuto myšlenku posouvá ještě o něco dále, a to v rámci procesu, který toto fórum označuje jako „deperimetrizaci“. Základní idea deperimetrizace spočívá v tom, že organizace by se měly vyrovnat se skutečností, že perimetr je mrtvý, a vyvíjet zásadně nový bezpečnostní model založený na vzájemné autentizaci a silné kryptografii. Jericho Forum (k jehož členům patří velké společnosti jako Barclays, Boeing, HSBC a Rolls-Royce), argumentuje, že k této budoucnosti lze dospět prostřednictvím pečlivého koncipování nové bezpečnostní infrastruktury, která bude zaručovat interoperabilitu a otevřenost. Jericho vyzývá společnosti, aby strhly své vnější hradby a spoléhaly na obranu zabudovanou do hostitelů, aplikací a dat samotných.

Deperimetrizace se jistě jeví jako rozumná věc ve firmě, jako je Boeing; obrana perimetru je poněkud problematická, jestliže za firewallem máte 150 000 zaměstnanců. Jistě, můžete mít firewall uvnitř firewallu, abyste ochránili to nejlepší, co máte – oddělit například účtárnu od strojírny – ale kde se to zastaví? Jericho argumentuje, že je rozumné budovat firewally co nejmenší – například pro každý počítač jeden.
Takováto vize sítě je de facto prostředí, které jsem měl na MIT, což je „podnik“, který má desetitisíce počítačů, jež bezpečně spolupracují bez nějaké celkové obrany perimetru. Na MIT se předpokládá, že síť je z podstaty nepřátelská. Proto jsou tamní systémy „opevněny“ proti všem útočníkům, vnitřním i vnějším. Místo toho, aby síť MIT nutila všechny uživatele, aby se znovu autentizovali pokaždé, když se připojují k jiné službě, používá se jako jediný sign-on systém Kerberos; uživatelé jednotlivé pracovní stanice se musejí znovu autentizovat jen každých 10 hodin.








Komentáře