Элвис-Плюс

Решения компании Элвис-Плюс

Системы управления безопасностью

Компания «ЭЛВИС-ПЛЮС» предлагает системы управления безопасностью как собственного производства, так и других производителей:

  • Центр управления ЗАСТАВА 3.3 (производство компании «ЭЛВИС-ПЛЮС»);

  • Система управления SmartCenter (производство компании Check Point);

  • Система управления Site Protector (производство компании Internet Security Systems);

  • Система управления CiscoWorks (производство компании Cisco).

Центр управления ЗАСТАВА 3.3

Широкие и гибкие возможности по централизованному, оперативному и целостному управлению безопасностью КИС являются главной отличительной особенностью комплекса программных продуктов VPN ЗАСТАВА 3.3, делающей данный комплекс уникальным предложением не только в России, но и в мире.

Концепция управления безопасностью

Управление безопасностью корпоративной информационной системы (КИС), реализуемое программным продуктом Центр управления ЗАСТАВА основано на следующих трех концептуальных положениях:

  1. Управление безопасностью КИС должно осуществляться на уровне глобальной политики безопасности (ГПБ) — наборе правил безопасности для сколь угодно сложного множества взаимодействий между разнообразными объектами КИС, а также между объектами КИС и внешними объектами;

  2. ГПБ должна максимальным образом соответствовать бизнес — процессам компании; для этого должен существовать способ описания свойств безопасности объектов и требуемых для их реализации сервисов безопасности, основанный на их бизнес-ролях в структуре компании;

  3. Формирование локальных политик безопасности (ЛПБ) для отдельных средств защиты и их трансляция должны осуществляться автоматически на основе анализа правил ГПБ и топологии защищаемой сети с обязательной автоматической проверкой их корректности, целостности и непротиворечивости ГПБ.

Концепция управления безопасностью

Глобальная политика безопасности

Глобальная политика безопасности КИС представляет собой некоторое конечное множество правил безопасности (security rules), которые описывают параметры взаимодействия объектов КИС в контексте информационной безопасности:

  • необходимый для соединения сервис безопасности: правила обработки, защиты и фильтрации трафика;

  • направление предоставления сервиса безопасности;

  • правила аутентификации объектов;

  • правила обмена ключами;

  • правила записи результатов событий безопасности в системный журнал;

  • правила сигнализации о тревожных событиях и др.

При этом объектами ГПБ могут быть как отдельные рабочие станции и подсети, так и группы объектов, которые могут включать в себя целые структурные подразделения компании (например, отдел маркетинга или финансовый департамент) или даже отдельные компании (входящие, например, в холдинг). При этом администратору не нужно заботиться о формировании политики безопасности для каждого объекта в группе — заданная политика автоматически реплицируется всем объектам группы.

Таким образом, концепция ГПБ, реализованная в Центре управления ЗАСТАВА, позволяет формировать целостную и непротиворечивую политику безопасности компании, независимую от форматов и содержания настроек отдельных средств защиты, реализующих данную политику. Для этого используется уникальная технология, которая позволяет интерпретировать правила безопасности ГПБ и ставить их в соответствие с топологией защищаемой сети, автоматически вычислять и предоставлять локальные политики безопасности (ЛПБ) всем узлам, где реализуется заданная политика безопасности КИС.

Глобальная политика безопасности

Локальная политика безопасности

Любое средство защиты, реализующее какой-либо сервис информационной безопасности, требует для своей работы локальной политики безопасности (ЛПБ) — точного описания настроек для корректной реализации правил аутентификации пользователей, управления доступом, защиты трафика и др. При традиционном подходе администратору приходится отдельно настраивать каждое средство защиты или реплицировать какие-то простейшие настройки на большое число узлов с последующей их корректировкой. Очевидно, что это неизбежно приводит к большому числу ошибок администрирования и, как следствие, существенному снижению уровня защищенности КИС.

Решение на базе VPN ЗАСТАВА 3.3 предлагает кардинально новый подход к проблеме обеспечения безопасности КИС: после формирования ГПБ администратором Центра управления на основе ее интерпретации автоматически вычисляет и, если это необходимо, корректирует отдельные ЛПБ для каждого средства защиты и автоматически загружает необходимые настройки в управляющие модули соответствующих средств защиты:

  • в автоматическом режиме по протоколу PMP (Policy Management Protocol), являющемуся стандартным расширением протокола IKE в виде сообщения в формате PKCS#7;

  • в ручном режиме путем выдачи ЛПБ на PKCS#11-совместимый идентификатор пользователя (смарт-карта, USB-токен, программный эмулятор токена на дискете или жестком диске) в формате PKCS#7.

Пример правил безопасности на консоли администратора Центра управления

Пример правил безопасности на консоли администратора Центра управления

Система управления SmartCenter

SmartCenter

SmartCenter — это мощное средство централизованного управления, конфигурирования и мониторинга различными VPN-1 и FireWall-1 решениями, которое использует технологию «Security Management Architecture (или SMART)». Данная технология позволяет осуществлять управление всеми элементами, включенных в политику безопасности информационной системы. Данное решение состоит: из консоли управления, которая позволяет администраторам быстро и легко определять политики безопасности для VPN-устройств, межсетевых экранов и QoS-устройств (устройства по повышению качества обслуживания), а также сервера управления, который хранит и распространяет эти политики безопасности

SmartCenter Pro

SmartCenter Pro, кроме функционального набора, предусмотренного в Smart Center, обладает следующими возможностями:

  • наглядное представление управления сетевой безопасностью;

  • многоуровневая иерархия управления;

  • мониторинг безопасности и состояния VPN-соединений в режиме реального времени;

  • мощная интеграция с LDAP-директориями;

  • отказоустойчивость всех операций управления.

Консоль управления (Smart Dashboard) Check Point предлагает простой графический пользовательский интерфейс для определения и управления множеством элементов Защищенной Виртуальной Сети (Secure Virtual Network, SVN): системы межсетевых экранов, VPN, адресной трансляции, QoS и защиты VPN-клиентов. Объектно-ориентированная архитектура продуктов CheckPoint подразумевает, что все «сетевые объекты» (пользователи, хосты, подсети, сервисы) являются едиными для всех приложений в сети, что позволяет создавать эффективную политику безопасности и управления системой защиты.

К SmartCenter подключаются следующие дополнительные модули:

  • SmartMap;

  • SmartView Monitor;

  • SmartView Reporter;

  • SmartUpdate;

  • Account Management Module;

  • Smart LSM.

SmartMap

SmartMap — средство визуализации политики безопасности, которое представляет собой подробную графическую карту информационной безопасности предприятия. SmartMap обеспечивает лучший контроль, улучшенную защиту и помогает наглядно проверить эффективность политики безопасности перед ее воплощением. SmartMap рисует полную картину структуры системы безопасности предприятия, включая межсетевые экраны, VPN-устройства, серверы, сети, маршрутизаторы, а также связи между данными объектами.

Отображаемая SmartMap структура — не просто какая-то статическая картина, а наглядное изображение, которое позволяет администраторам быстро и эффективно осуществлять поиск объектов и изменять их свойства. Например, поиск какого-либо объекта (подсети, межсетевого экрана или др.) высветит его в общей топологии корпоративной системы, что позволит проверить его местоположение и правильность подключения.

Одно из главных преимуществ SmartMap — это возможность наглядно показывать эффективность правил политики безопасности. Правила изображаются с помощью диаграммы, на которой присутствуют: источник (напр., подсеть), окрашенный в один цвет, получатель (напр., сервер), окрашенный в другой, и действие, характеризующее взаимодействие (а, соответственно, и правило политики) между ними. Ко всему прочему, стрелками указывается направление потока данных между объектами (источник/получатель), что позволяет увидеть правило в действии.

SmartUpdate

SmartUpdate — модуль для решений VPN-1/FireWall-1, который автоматически рассылает приложения и обновления для продуктов Check Point и OPSEC Certified, а также управляет лицензиями на продукты. SmartUpdate осуществляет централизованное распространение для модулей VPN-1, FireWall-1, FloodGate-1, а также другим OPSEC-сертифицированным продуктам третьих производителей. При помощи одной, центральной консоли администраторы безопасности могут производить установку, обновление и удаление программного обеспечения модулей защиты, что гарантирует непротиворечивость программного обеспечения модулей, а также их соответствие новейшим версиям.

SmartUpdate предоставляет администраторам средство всеобъемлющего просмотра информации о версиях установленных продуктов и лицензий на установленное ПО. Обеспечивая большую гибкость, лицензии на продукт связываются не с платформой, на которой установлен продукт, а с сервером управления, что позволяет администраторам безопасности выполнять ряд задач по администрированию с помощью SmartUpdate, а именно: хранение/удаление лицензий, просмотр лицензий, сортировка и поиск просроченных лицензий.

Account Management

Дополнительный модуль Account Management осуществляет интеграцию продуктов VPN-1/FireWall-1 с одним или более OPSEC- сертифицированных LDAP -серверов, и, таким образом, позволяет передавать соответствующую информацию о пользователях сети из каталогов LDAP в базу управления пользователями VPN-1/FireWall-1. Модуль Account Management упрощает процесс управления системой защиты, особенно в крупномасштабных конфигурациях.

Модуль Account Management обеспечивает:

  • доступ к информации о пользователях, хранящейся в распределенных LDAP — каталогах из CheckPoint FireWall;

  • единый интерфейс для управления информацией о пользователях ресурсами сети;

  • стандартизованные «шаблоны» атрибутов безопасности для пользователей и групп пользователей.

С помощью модуля Account Management решение VPN-1/FireWall-1 полностью «открыто» для работы с LDAP каталогами и поэтому может взаимодействовать с уже существующими LDAP серверами, в которых уже хранится информация о пользователях. Являясь LDAP клиентом, сервер VPN-1/FireWall-1, получает информацию об атрибутах безопасности, относящихся к конкретному пользователю/группе пользователей сети в распределенной структуре LDAP директорий и использует её при выполнении тех или иных правил политики безопасности.

Целостность и согласованность информации о пользователях является критичным фактором для надежности системы защиты. Без централизованного хранения данных, управление информацией о пользователях осуществляется через множество приложений и вручную — процесс, который потенциально может привести к ошибкам, результатом которых будут изменение и противоречия в информации о пользователях. Модуль Account Management позволяет VPN-1/FireWall-1 взаимодействовать с данными о пользователях, хранящимися в LDAP каталогах, что исключает риски, связанные с ручной настройкой и синхронизацией дополнительных хранилищ данных.

Компонента Check Point Account Management расширяет возможности LDAP протоколов, добавляя к данным о пользователях необходимые элементы, описывающие атрибуты безопасности для каждого пользователя. Эта информация доступна потом не только VPN-1/FireWall-1, но и любому приложению, работающему с LDAP каталогами, позволяя осуществлять централизованное управление информацией о пользователях во всей корпоративной сети.

Для упрощения процедур определения и обслуживания пользователей модуль Account Management предлагает «живые шаблоны», которые могут применяться для установки общих конфигурационных для множества пользователей. Изменения, сделанные в этом шаблоне, немедленно распространятся на всех пользователей, определенных этим шаблоном, что значительно облегчает стандартизацию и синхронизацию конфигураций пользователей. Использование шаблонов позволяет значительно снизить сложность, а значит и накладные расходы, связанные с управлением огромным количеством пользователей в сети и минимизировать риски, связанные с конфигурированием.

SmartView Reporter

SmartView Reporter, решение семейства SmartView, представляющее собой полнофункциональную систему создания отчетов, которая выбирает информацию из лог-файлов и преобразует ее в удобочитаемый вид. Как составляющая семейства SmartView, SmartView Reporter предоставляет удобный графический интерфейс, позволяющий как новичкам, так и экспертам создавать отчеты, которые позволяют администраторам на любом уровне просматривать информацию о корпоративной сети в целом. SmartView Reporter предлагает большое число предопределенных видов отчетов различных форматов, что исключает необходимость «ручного» создания отчетов, тем самым сокращая рабочее время администраторов.

Каждый отчет состоит из небольших отсеков, которые подробно описывают точный тип трафика или активность в сети. Отчеты могут быть «подогнаны» так, чтобы давать наглядную картину администраторам на каждом уровне (уровень сети, отдельного устройства и т. д.). В случае, если нет необходимости в использовании предопределенного отчета, администраторы могут легко создать отчет путем настройки фильтров отчетов, получая при этом только необходимые данные. Более 28 видов отчетов, каждый из которых состоит в среднем из 10 отсеков, предоставляют информацию о сетевом потоке данных и активности в сети. Критически важные события представляются в легко понимаемых отчетах, которые создаются на основе широкого набора лог-данных, которые представляются в виде блоксхем, графиков или текстовых таблиц.

В любом случае SmartView Reporter не изменяет содержимого лог-файла. Вместо этого он копирует необходимые данные во внутреннюю БД отчетов, используя набор пользовательских правил (LFCP — Log File Consolidation Policy). Эти правила фильтруют поток лог-данных, определяя при этом, что включать в БД, а что нет. Собрав необходимые данные, администраторы могут применить больше фильтров для создания отчетов, содержащих более узкую и необходимую информацию.

SmartView Reporter централизовано управляем, используя инфраструктуру SmartCenter. Для отчетов он использует информацию, хранимую на сервере управления. Определения сетевых объектов, служб, пользователей и администраторов извлекаются из сервера управления и могут быть использованы при создании отчетов.

SmartView Reporter предоставляет возможность по созданию отчетов по продуктам, сертифицированных OPSEC. Для этого OPSEC-продукты с помощью интерфейса Event Logging API могут быть настроены для генерации лог-фалов в приемлемом для SmartView Reporter формате, причем эти лог-файлы могут хранится на том же сервере, что и лог-файлы, поступающих с других продуктов Check Point.

SmartView Monitor

SmartView Monitor. Данное решение анализирует производительность VPN-соединений, выдает графическую информацию пользователю о таких параметрах производительности, как пропускная способность, время отклика, а также количество потерянных пакетов. Необходимую информацию SmartView Monitor выдает после определения и измерений производительности VPN-соединения между двумя сторонами. Характеристики трафика между двумя сторонами могут быть проанализированы независимо от действительного сетевого пути (маршрута) между ними.

SmartView Monitor работает в связке с такими продуктами Check Point, как FireWall-1, VPN-1, FloodGate-1. Данные о производительности полосы пропускания поступают с точек защиты системы безопасности на центральный сервер управления, где они обрабатываются и анализируются с помощью SmartView Monitor.

SmartView Monitor при помощи графического интерфейса помогает осуществлять анализ значений пропускной способности сетевого сегмента, непосредственно подключенного к порту VPN-шлюза (точка доступа в Интернет), что позволяет в то же время определить, какие пользователи или приложения используют трафик, в любое время. Используя статистики производительности VPN-соединений вместе с информацией об использовании полосы пропускания, администраторы могут определить, что является причиной снижения производительности: перезагрузка каналов корпоративной сети или же каналов самого Интернета. Если проблема местного характера, то для ее разрешения используется продукт FloodGate-1 (см. ниже).

Large Scale Manager (Smart LSM)

Large Scale Manager (Smart LSM). Используя это решение, администраторы могут быстро и эффективно обеспечивать безопасность шлюзов (VPN-1 Pro, VPN-1 Net, VPN-1/FireWall-1 SmallOffice) с помощью распространяемых шаблонов («профили»), в которых отражены настройки определенного шлюза в соответствии с политикой безопасности. Если будут изменена политика безопасности корпоративной сети, то, для выполнения ее требований, достаточно просто обновить профили в соответствии с новой политикой, после чего профили автоматически распространятся по шлюзам сетей отделений предприятия.

Smart LSM определяет, управляет и производит мониторинг шлюзов удаленных офисов. Администраторы могут просматривать состояние каждого из шлюзов отделений и профиль, используемый соответствующим шлюзом. Кроме того, критические сообщения о состоянии шлюзов извещают администраторов о принятии соответствующих действий.

Помимо функций управления, сервер инициализирует соединения с каждым из шлюзов индивидуально. С динамически распределяемыми IP-адресами шлюзы периодически забирают свои профили c сервера управления Smart LSM, причем, шлюзы могут настроены на то, чтобы забирать профили только с одного из нескольких серверов управления Smart LSM.

Кроме того, Smart LSM предлагает обширную инфраструктуру по управлению лог-файлами, генерируемых сотнями шлюзами. Лог-файлы могут собираться либо локально, либо отсылаться на центральный лог-сервер в корпоративной ЛВС. Лог-сервера могут быть размещены таким образом, что в случае выхода из строя главного лог-сервера, лог-файлы перенаправляются на дополнительный.

Система управления Real Secure Site Protector

Продукт RealSecure SiteProtector — это расширяемое и централизованное средство управления безопасностью системы RealSecure, которое собирает данные со всех устройств ISS. Данные после проведения оценки уязвимости корпоративной системы используются SiteProtector с целью последующих настроек компонент системы RealSecure для более эффективного противодействия атакам. Кроме того, продукт позволяет администратору производить присваивание приоритетов и соотношение событий в реальном масштабе времени, а, следовательно, и отслеживать атаки. Управление компонентами системы RealSecure осуществляется через удаленную консоль администратора, на интерфейс которой поступают события от различных устройств системы RealSecure. Таким образом, администратор располагает удобным средством просмотра событий, группировки ресурсов и сборки событий в единые группы для более эффективного контроля воздействия атак. В состав продукта входит модуль RealSecure Site Protector Security Fusion Module, который автоматически соотносит данные, поступающие от сенсоров, обнаруживающих атаки, и сканнеров, имитирующих эти атаки. Таким образом, данный модуль позволяет выявить, перед какими атаками какие ресурсы уязвимы, а какие достаточно защищены.

Система управления CiscoWorks

CiscoWorks VPN/VMS. Данное ПО содержит различные Web-средства для настройки, управления и устранения неполадок в корпоративных VPN-сетях, межсетевых экранах, маршрутизаторах, а также сетевых и хостовых системах обнаружения вторжений (СОВ), установленных в различных местах корпоративной сети; также является единым средством сбора информации, поступающей от различных функциональных узлов корпоративной сети, обеспечивая при этом гибкие возможности по представлению форм отчетов, правил обработки событий и оповещения.

CiscoWorks VMS состоит из следующих основных частей:

  • Resource Manager Essentials (RME) (Основные элементы управления ресурсами) - это мощный набор Web-ориентированных приложений, предлагающий различные решения управления маршрутизаторами, коммутаторами и серверами доступа Cisco. Интерфейс RME предоставляет легкий доступ к критически важной информации о состоянии сети, уменьшая при этом время на выполнения каких-либо задач администрирования. В Resource Manager Essentials имеется, в случае необходимости, возможность объединения с другими средствами управления Cisco.

  • Auto Update Server Software(Сервер Автообновлений) поддерживает гибкую модель настроек, которая в дальнейшем может быть использована для начальных настроек, обновлений настроек, обновлений операционных систем, а также периодической проверки настроек. Это очень удобное средство рассылки обновлений для удаленных межсетевых экранов (МЭ) PIX, а также для удаленных МЭ, которые распределены динамически в адресном пространстве (DHCP-адресация) или для сетей с неустойчивым соединением.

  • Management Center for IDS Sensors (Центр управления системами обнаружения вторжений) — это средство управления настроек сетевых систем обнаружения вторжений (СОВ) и СОВ коммутаторов. Данное ПО позволяет управлять различными СОВ одновременно, создавая группы СОВ, и таким образом, сокращая время администрирования. Центр управления для СОВ также предоставляет возможность создавать новые образцы для сопоставления, поэтому администраторы могут более точно определять атаки.

  • Management Center for PIX Firewall (Центр управления межсетевыми экранами PIX) - позволяет наращивать функции централизованного управления межсетевыми экранами вплоть до 1000 единиц. Центр управления для МЭ PIX обеспечивает полное управление правилами доступа, трансляцией сетевых адресов, системами обнаружения вторжений, установленных на МЭ, а также средствами построения VPN, входящих в функциональный состав МЭ. Центр управления, в случае управления защиты сквозного соединения, может выступать в качестве единой консоли вместе с другими центрами управления.

  • Management Center for VPN routers (Центр управления VPN-соединений) - предлагает расширяемую систему управления защиты по настройке и развертыванию VPN-соединений, это — мощное, гибкое и интуитивно-понятное средство по настройке и развертыванию как полномасштабных, так и VPN-соединений «от-сайта-к-сайту». Одной из особенностей данного приложения является гибкое и удобное распределение ролевых прав и обязанностей между администраторами и простыми пользователями внутри крупных корпоративных сетей.

  • Policy Manager (Управление политикой безопасности) - расширяемая и мощная система управления политикой безопасности для МЭ и VPN-шлюзов компании Cisco. С помощью данного продукта можно определять, распространять, приводить в исполнение, а также проводить отчетность любой политики безопасности из одного центра. Данный продукт помогает упростить задачи управления сложных элементов обеспечения безопасности сетей, таких как защита периметра, контроль доступа, NAT, а также VPN-шлюзов.


Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2003 г.

Toolbar | КПК-версия | Подписка на новости  | RSS