Программная защита сети, аппаратная защита сети

Источник: itspecial

Аппаратная защита сети

Алексей Лукацкий, консультант по безопасности Cisco Systems

Меня всегда удивляют попытки софтверных вендоров противопоставить свои решения аппаратным средствам защиты. Это, по меньшей мере, странно, так как программные решения в принципе не могут работать в "воздухе" - им нужна какая-то аппаратная составляющая - сервер, сетевое оборудование и т.п. Даже "чисто" программные продукты (такие как антивирусы, персональные межсетевые экраны и т.д.) тоже привязаны к железу, - начиная от типа архитектуры (SPARC или Intel) и заканчивая системными требованиями к памяти, жесткому диску и т.п. Поэтому помещение программных и аппаратных решений на разные чаши весов - лишь попытка производителей выпятить какие-то свои достоинства без мысли о потребителе.

Поэтому, если говорить о средствах сетевой безопасности, вопрос стоит немного иначе. Приобретать решение на универсальном компьютере или на специализированном? Сторонники и противники есть у обоих вариантов. Какие доводы приводят сторонники специализированных компьютеров? Во-первых, они отмечают простоту внедрения решения. И действительно, если смотреть с точки зрения производителя, то программные решения выгоднее, так как их можно поставлять через интернет и вообще не тратиться на логистику.

Зато с точки зрения потребителя ситуация выглядит с точностью наоборот. Получив CD с ПО или скачав его из интернета, мы встаем перед рядом непростых задач. Начнем с того, что необходимо найти подходящий компьютер. Затем на него мы должны инсталлировать лицензионную операционную систему. Потом все необходимые драйверы и дополнительное ПО. И только после настройки и тюнинга мы переходим к установке самой системы защиты, которая также может потребовать дополнительной конфигурации. Все это занимает время, и в случае с серьезной системой сетевой безопасности - не один день. А если мы умножим число этих дней на количество специалистов, участвующих во внедрении, и их зарплату, то цифра получится немаленькая (не считая стоимости сервера, лицензионной ОС и ПО). Разумеется, если у нас на складе скопилось много старого железа, "которое выбросить жалко", то его можно задействовать под задачи безопасности, но этот вариант далек от идеального - в случае выхода устаревшего сервера из строя или нехватки системных ресурсов винить останется только себя.

Второй довод, часто приводимый апологетами программной безопасности - простота обновления. Но ведь и программно-аппаратные системы защиты обновляются также эффективно и просто. Даже если речь идет о специализированных чипах, то при условии соблюдения определенной технологии (например, FPGA), они могут также легко модернизироваться, как и обычная ОС или ПО. Зато скорость работы таких микросхем несоизмеримо выше, чем у обычной программы, вынужденной "опираться" на универсальный процессор, который работает в условиях постоянной борьбы за свои ресурсы со стороны внешних программ и процессов.

Очень часто приходится слышать, что, мол, "наше ПО работает быстрее железа". Но это замалчивание истинного положения дел. Оптимизированное для решения определенной задачи специализированное устройство по определению лучше универсального компьютера, сопоставимого по характеристикам. Только вот последние три слова производители программных средств сетевой защиты обычно опускают в своих материалах. А на практике выходит, что программно-аппаратный межсетевой экран, в основе которого лежит один гигагерцевый процессор Celeron, сравнивается с "софтовым" МСЭ, работающим на сервере IBM 3650 на базе двух двуядерных трехгигагерцевых процессоров Xeon с 4 Гб памяти. Стоимость только "железной" части такого сервера превышает 5 тысяч долларов.

А как насчет поддержки? В случае с программно-аппаратным устройством вы получаете все из одних рук. В случае же с программными решениями поддержка приходит с разных сторон. На ОС своя поддержка, на систему защиты - своя, на сервер - своя, на дополнительное ПО - своя. А что делать, если возникнет конфликт между ПО и "чужим" сервером? Кто, а главное, как сможет быстро его разрешить? А если стандартом в вашей компании является русифицированная ОС? Не каждый производитель будет поддерживать решения на неаглийской версии, а значит, вы полностью лишаетесь поддержки на купленную систему защиты.

Но главное, с чем придется бороться владельцам программных систем защиты - с вопросом доверия. Если нельзя доверять операционной системе, установленной на сервере, то чего ждать от ПО, установленного поверх такой сомнительной ОС? И даже наличие сертификата на купленное ПО системы защиты не дает ничего, так как эта защита не может функционировать без ОС. Следовательно, чтобы быть уверенным, вам понадобится сертифицировать или приобретать сертифицированную операционную систему, что потребует времени и дополнительных денег. В случае с "аппаратной" защитой вы не имеете таких проблем, так как сертификация затрагивает сразу все компоненты - и софт, и аппаратную часть.

Все вышесказанное в первую очередь касается средств сетевой безопасности. Защита компьютеров "играет" немного по иным правилам. Хотя в последнее время и тут все не так очевидно. Например, появление на рынке межсетевых экранов, интегрированных в сетевые платы, электронные замки, технология Trusted Protected Module (TPM) или технология Intel AMT/vPro в материнских платах. Все это лишний раз доказывает, что доверие к программному обеспечению снижается, и производители, пытаясь предложить потребителям защищенное решение, опускаются все ниже - на аппаратный уровень.

Программная защита сети

Алексей Доля, руководитель аналитического центра InfoWatch

Если сравнивать программные решения по IT-безопасности с их аппаратными аналогами, то софтверные продукты обладают рядом достоинств. Более гибкая настройка, расширение функционала за счет plug-in и add-on, обновление основных компонентов, масштабируемость в корпоративной сети, а в некоторых случаях даже более высокая производительность. Остановимся на каждом из этих факторов.

Во-первых, программные средства IT-безопасности всегда могут настраиваться более гибко и точно, чем их аппаратные аналоги. В принципе, это продиктовано самой природой софтверных решений и типичными сценариями применения аппаратных продуктов. Например, при внедрении решений InfoWatch в крупных компаниях типичной ситуацией является использование программного решения в штаб-квартире и его точная настройка в соответствии со всеми политиками. После этого соответствующие правила и политики просто отсылаются по региональным представительствам и филиалам, где используется уже аппаратное решение InfoWatch Security Appliance. Этот продукт принимает настройки и руководствуется ими. При этом в региональных представительствах персонал просто физически не может изменить конфигурацию устройства. С одной стороны это плюс, но с другой - не будь софтверного решения в штаб-квартире, все точно настроить не удалось бы. Причем это справедливо для всех подобных решений IT-безопасности.

Во-вторых, возможно расширение функционала за счет внешних модулей. Здесь уместно обратиться к Microsoft ISA Server. Это программный продукт, в который многие другие поставщики могут встраивать plug-ins. Например, Лаборатория Касперского поставляет антивирус для ISA Server, а некоторые версии InfoWatch Web Monitor точно так же интегрируются в продукт Microsoft, чтобы фильтровать трафик. Очевидно, что взаимодействовать с аппаратным решением на таком же уровне интеграции было бы просто невозможно.

В-третьих, обновление основных компонентов. Конечно, нельзя утверждать, что "железные" продукты не обновляются. Ведь есть масса аппаратных антивирусов, фильтров спама, IDS и IPS. Однако обновляются в данном случае лишь сигнатуры, а точнее - базы сигнатур. Если же говорить о более серьезных обновлениях, например, отдельных компонентах продукта, ядра или системных модулей, то в аппаратном решении это невозможно. Легко иллюстрирует этот пример некоторое противостояние Microsoft ISA Server и аппаратных межсетевых экранов, работающих под Linux. Если Windows устаревает или появляются бреши в ней или ISA Server, то Microsoft выпускает обновление или исправление. Это не вызывает проблем. А если аппаратный продукт работает под управлением Linux, на котором используется межсетевой экран, то исправить ошибку в ядре или залатать там "дыру" практически невозможно.

В-четвертых, масштабируемость в корпоративной сети. Дело в том, что аппаратные решения обычно славятся своей производительностью. Однако на практике, когда речь идет о действительно высокой нагрузке, масштабировать железных продуктов практически нулевая. Если говорить о софтверных решениях, то их можно использовать на серверах, которые объединены в кластер. Таким способом, например, решения InfoWatch фильтруют более 20 Гб почтового трафика ежесуточно в ОАО "ВымпелКом". Естественно, аппаратные решения не справились бы с этой задачей с учетом требований к максимальной задержке одного сообщения при фильтрации.

Таким образом, софтверные решения действительно обладают целым рядом преимуществ по сравнению с аппаратными аналогами. Правда, многие указанные достоинства справедливы для крупного бизнеса, где требуется масштабируемость, производительность, настройка из центра в регионы. Тем не менее, это вовсе не умаляет принципиальные достоинства софтверных продуктов, а лишь подчеркивает их.

Ссылки по теме