Kombinované bezpečnostní zařízení pro malé a středně velké podniky

S tím, jak firmy a organizace stále více závisí na síťové infrastruktuře,

roste důraz na její spolehlivost a konzistentní podporu kvality

služeb. Již to není jen datové centrum nebo lokální síť v centrále podniku.

Útoky, šířící se v síti, nutí firmy rozprostřít a rozvrstvit ochranu

komunikační infrastruktury, koncových stanic a aplikací pomocí různých typů

bezpečnostních zařízení. Aby byla ochrana před útokem účinná, musí být

bezpečnostní systémy a procesy nasazeny na všech úrovních organizace a ve všech

lokalitách sítě homogenním způsobem.

Mezi základní prostředky ochrany patří šifrování dat přenášených ve virtuálních

privátních sítích, antivirová ochrana, ochrana hranice sítě, bezpečné rozdělení

funkčních domén podniku a systémy pro zneškodnění bezpečnostních průniků do

firemní sítě (Intrusion Protection Systems). Již jen dlouhý výčet technologií

nutných k obraně firemní sítě napovídá, že nasazení silných bezpečnostních

řešení má svá úskalí. Symptomem narůstající komplikovanosti bezpečnostních

řešení je, že se operační centra začínají podobat centrům řízení kosmických

letů. Problémem není jenom množství peněz, které musíme vynaložit na

implementaci jednotlivých dedikovaných bezpečnostních řešení. Ještě větším

problémem se stává cena, kterou platíme, abychom tyto „stohy“ řešení a systémů

udrželi v chodu. To je pro malé a středně velké podniky zásadní překážkou

rozvoje informačních technologií. Musí hledat nové způsoby, jak se s

komplikovaností bezpečnostních řešení vypořádat. Jednu z cest nabízí využití

integrovaných zařízení, a to jednak směrovačů s integrovanými bezpečnostními

službami, nebo kombinovaných bezpečnostních zařízení, která jsou připojena za

směrovačem, jenž je pod správou poskytovatele datové služby.

Rostoucí nebezpečí, které v poslední době přichází zejména od různých forem

škodlivých programů, vedlo k vytvoření nové bezpečnostní architektury. Její

vlastnosti definovala společnost META Group jako hloubkové členění sítí,

víceúrovňová aplikační ochrana a všudypřítomná integrace bezpečnostních funkcí.

Koncepce hloubkového členění sítě směřuje k integraci bezpečnostních funkcí do

síťových prvků a k vývoji multifunkčních bezpečnostních zařízení, která mohou

vykonávat několik obranných funkcí současně a ve vzájemné součinnosti.

Nový typ bezpečnostních zařízení v sobě kombinuje funkce firewallu,

IPS, síťové antivirové ochrany a koncentrátoru pro vzdálený přístup společně s

funkcemi pobočkového směrovače a VPN brány. Integrace funkcí na jedné platformě

umožňuje hledat odpověď na některé těžko řešitelné problémy. Jako příklad může

posloužit kombinace přístupu do sítě pomocí IPSec standardu a hloubková inspekce

paketů, která je nutná pro ochranu proti zneužití protokolů na aplikační úrovni.

Dedikovaný aplikační firewall na hranici sítě je slepý vůči šifrovaným datům,

přenášeným uvnitř VPN tunelu, který je zpravidla ukončen na zařízení

v demilitarizované zóně, za hraničním firewallem. Oproti tomu integrované

bezpečnostní zařízení může funkce VPN a hloubkové inspekce IP paketů

(popřípadě také další funkce) řetězit a vykonat kontrolu všech spojení po jejich

dešifrování, ale před vpuštěním do vnitřní sítě.

U směrovačů s integrovanými bezpečnostními službami jsme se donedávna potýkali s

tím, že současná konfigurace několika funkcí mnohdy zásadně degradovala jejich

výkon. Z hlediska přenosového výkonu byly směrovače nejvíce zatíženy šifrováním

dat a digitalizací hlasu. Přitom právě stále širší využití služeb VPN spolu s

nutností připojovat pobočky na vyšších rychlostech a široké využívání

technologie VoIP byly v posledních letech motorem rozvoje firemních WAN sítí.

Zákazníci dnes požadují, aby se šifrování dat pomocí silných algoritmů nijak neprojevilo

na přenosovém výkonu směrova-če. K tomu je nutné vybavit směrovač přídavným

urychlovacím modulem nebo integrovat šifrovací modul, osazený ASIC procesory nebo

FPGA, přímo na základní desku směrovače.

Zkušenosti ukazují, že integrace funkcí v jednom zařízení prodlužuje dobu jeho

života ve firemní síti na 4–6 let. Odstranění nutnosti obměňovat přístupový

směrovač nebo kombinované bezpečnostní zařízení snižuje celkovou cenu

vlastnictví TCO bezpečnostního řešení hned několika způsoby. Kromě evidentních

investičních úspor přináší také nižší náklady v souvislosti s konsolidací správy

a dohledu, se školením IT zaměstnanců a snížením četnosti a délky plánovaných

servisních zásahů.



Cisco ISR (Integrated Service

Routers) – směrovače s integrovanými

službami pro malé firmy.