Практический эталон эшелонированности.
Многие читали про то, что защита сети и периметра должна быть эшелонирована, многие даже видели какие-то варианты дизайна этой самой эшелонированной защиты, при этом, похвастаться стройным и логичным дизайном могут далеко не все.
В статье я постараюсь изложить один из достаточно обоснованных дизайнов защиты периметра компании и внутренних ресурсов.
1. Интернет
Периметр должен как минимум изолирован Firewall + IPS\IDS. Можно порекомендовать комплекс из решений Cisco, типа ASA + IPS/IDS с обновляемыми сигнатурами. Компаниям, имеющим критичные активы на периметре рекомендуется так же защита от DDoS атак. Пользователи должны быть защищены от угроз, идущих из0за пределов периметра. Компания eSafe предлагает решения, которые можно порекомендовать. Например, HG-200. Другие компании так же предлагают массу похожих по функционалу решений.
2. ЛВС
Для закладки основы комплексной безопасности ЛВС необходимо решение класса NAC. Cisco предлагает достаточно цельное решение в этой области, при этом, приверженцы компании Microsoft могут ориентироваться на их решение, встроенное в ОС. Неавторизованные рабочие станции и мобильные устройства при подключении должны попадать в гостевую сеть. NAC должен быть плотно интегрирован с решением по борьбе с вредоносным кодом, для недопущения в сеть компьютеров без антивирусной защиты или с устаревшими базами сигнатур. Карантинная сеть должна иметь полную изоляцию в рамках ЛВС. Для завершения цепочки защитных мероприятий на уровнях Периметр и ЛВС желательно иметь систему агрегации и анализа логов, типа Cisco MARS. Визуализация и первичный анализ подозрительной активности позволит дать инструментарий для раннего обнаружения атаки.
3. Почта и антиспам
Антиспам защита просто необходима. Ее можно арендовать у компаний Message Labs или Postini или поставить свой. Я бы рекомендовал appliance от NAI или IronPort. Все сервера Exchange так же должны быть оснащены агентами почтового антивируса. В дополнение можно и нужно включать встроенный в Exchange 2007 антиспам фильтр.
4. Рабочие станции и сервера
Антивирус на каждой станции это необходимый минимум. Для ноутбуков желательно дополнить решение HIPS системой с централизованным управлением, хорошим примером таковой может стать McAfee HIPS по управлением сервера e-Policy Orchestrator. Пользователи должны быть ограничены со стороны прав на локальный компьютер. Доменная политика так же должна блокировать потенциально опасные действия.
Если в компании развернуто решение класса MS SMS или SCCM, необходимо создать отчеты по часто встречающимся вирусным именам файлов (например ntos.exe или getfile[1].pdf и т.п.)
5. Управление АВ
Комплекс АВ решений должен иметь централизованную консоль управления.
6. Патчи
Четкая работа по установке обновлений — жизненная необходимость и важное звено в комплексе защиты. Для продуктов MS нет ничего лучше сервера WSUS. Обновление остальных продуктов можно проводить через групповые политики или продуктами класса MS SMS или MS SCCM.
Рекомендуется регулярная обработка рабочих станций и серверов сканером уязвимостей, типа TM Vulnerability Asessement + XSpider (NetBeholdre)
7. Права локального пользователя
Виртуализация приложений сервисами Citrix или Trminal Server позволит частично решить проблему. Частные случаи можно поправить, доработав локальные права под определенный софт.
8. Периферийные устройства
Для управления доступом к USB, BlueTooth или WiFi рекомендуется использовать программные продукты аналогичные DeviceLock. Кроме усиления защиты от вредоносного кода, данные системы могут позволить минимизировать риски утечки конфиденциальной информации.
9. Нелегально установленное ПО
Для контроля за установкой запрещенного ПО желательно так же использовать системы по централизованному управлению парком рабочих станций, типа MS SCCM или SMS. Для определения списка запрещенного к установке ПО должна использоваться Библиотека Эталонного ПО (БЭПО), которая должна быть создана и поддерживаться в адекватном состоянии.
10. Поддержка
Для адекватной работы систем IDS\IPS и антивирусного комплекса должна быть приобретена поддержка. Как для обновления, так и для оперативных реакций на вирусный инцидент, желательно включать в договор на обслуживание санкции за ненадлежащее исполнение.
Реализуя данную схему на практике можно получить непротиворечивую, эшелонированную и достаточно гибкую защиту периметра и внутренних корпоративных ресурсов.
В рамках данной статьи не стояла задача создать «абсолютизированную» модель, поэтому некоторых видов ПО в рекомендациях нет. При этом, данный комплекс можно считать минимально достаточным.