Защита сетей от любопытных глаз

БЕЗОПАСНОСТЬ

Программные пакеты управления доступом обеспечивают защиту узлов любого масштаба

Безопасность сетей вызывает сегодня все большую обеспокоенность, и рынок отвечает на нее: ряды производителей, предлагающих системы управления доступом, постоянно растут. Учитывая это, Тестовый центр eWeek Labs решил провести сравнительную оценку продуктов двух относительно молодых фирм и новых систем хорошо известных производителей.

Старую гвардию представляют SiteMinder 4.5 фирмы Netegrity и ClearTrust SecureControl 4.5 фирмы Securant Technologies (эти продукты соперничают между собой так долго, что даже номера версий у них совпадают). А в команде новичков выступают фирма Baltimore Technologies (хотя в области инфраструктур открытых ключей она уже стала ветераном) со своей системой SelectAccess 2.0 и корпорация Entegrity Solutions, выпустившая недавно AssureAccess 1.1.

Этот список, конечно, далеко не полный. Если вы собираетесь обезопасить свою сеть, стоит обратить внимание и на систему Webthority фирмы Axent Technologies, которая обеспечивает контроль доступа на базе прокси-сервера, и на GetAccess фирмы Entrust Technologies (первоначально эта система была разработана специалистами EnCommerce, но затем перешла в руки лидера по инфраструктурам открытых ключей, когда тот приобрел фирму-разработчика).

При оценке предлагаемых вашему вниманию продуктов мы учитывали все их функции и характеристики, начиная со способности интегрироваться с Web-серверами и серверами приложений и заканчивая возможностями аутентификации; особое внимание уделялось простоте создания и практического применения правил управления доступом.

Полученные нами результаты должны порадовать тех, кто стремится обезопасить доступ к своим Web-узлам, порталам и интрасетям, как обычным, так и расширенным. Во всех продуктах мы обнаружили надежные механизмы детального управления доступом, и при этом каждая из систем имела свою сильную сторону. Как оказалось, SiteMinder обеспечивает обширную поддержку серверов и приложений, SelectAccess снабжен превосходными функциями управления, AssureAccess предлагает отлично интегрированную аутентификацию, а ClearTrust SecureControl предельно прост в развертывании.

В целом же последние версии проверенных продуктов демонстрируют дальнейшее развитие технологии. Системы управления доступом работают по классической схеме, т. е. подключаются непосредственно к Web-серверу компании и каталогам аутентификации пользователей, что позволяет администраторам определять права обращения ко всем элементам своего узла. Они не просто решают, кому можно просматривать ту или иную Web-страницу, - при необходимости можно сделать так, что два пользователя, обратившиеся к одной и той же странице, увидят ее совершенно по-разному. Благодаря этому приложение управления доступом становится главным компонентом любой системы электронной коммерции с персональной настройкой содержимого.

По словам Дэвида Томпсона, старшего менеджера фирмы PricewaterhouseCoopers (Бостон, шт. Массачусетс), его клиенты оценивают контроль доступа очень высоко, поскольку такая система позволяет им обходиться минимальным набором пользовательских реквизитов. “Нам очень нравится управление доступом, ведь он позволил ввести единую регистрацию”, - отмечает он.

И все же у некоторых компаний возникает вопрос: а зачем нужны все эти приложения? В конце концов, контроль доступа предусмотрен в любом Web-сервере. Конечно, это так, но встроенные средства имеют весьма ограниченные возможности и к тому же их нельзя включить в надежные схемы аутентификации. А специализированные продукты управления доступом, наподобие описанных ниже, по своим характеристикам выходят далеко за рамки того, что могут предложить Web-серверы.

По словам Томпсона, применение средств управления доступом выгодно и администраторам, и пользователям, так как они упрощают процессы управления и аутентификации. “Это один из тех немногих продуктов, которые устраивают всех”, - уверен он.

SelectAccess фирмы Baltimore Technologies

Раньше разработчики инфраструктур открытых ключей ограничивались, как правило, партнерством с производителями средств управления доступом, предлагая своим клиентам их продукты. Однако сейчас такие фирмы все чаще начинают выпускать собственные системы контроля доступа, которые зачастую гораздо лучше интегрированы с инфраструктурами открытых ключей, чем подобные решения независимых производителей. Это в полной мере относится и к SelectAccess фирмы Baltimore, хотя ее продукт отлично справляется со своей задачей и при автономной работе.

SelectAccess очень прост в настройке - всю нужную информацию о пользователях система извлекает из каталога LDAP (Lightweight Directory Access Protocol - облегченный протокол доступа к каталогам) автоматически. Впечатляет и ее уникальная способность самостоятельно обнаруживать сетевые ресурсы. В тестовой сети SelectAccess без всякого вмешательства с нашей стороны нашел все серверы, после чего наладить контроль доступа к ним было очень просто.

Кроме того, SelectAccess предлагает один из лучших интерфейсов, с которыми мы имели дело в ходе нынешней экспертизы. Его перекрестная матрица существенно упрощает определение прав доступа к серверам тех пользователей, данные о которых хранятся в каталоге. Правда, мы нашли в интерфейсе несколько классических ошибок Java, но все они воспринимались лишь как досадные погрешности и особых проблем не создавали.

Начальная цена SelectAccess, выпуск которого начался в ноябре, составляет 20 долл. за каждого пользователя.

AssureAccess корпорации Entegrity Solutions

Entegrity накопила богатый опыт создания средств аутентификации, и это положительно сказалось на AssureAccess. По возможностям аутентификации эта система превосходит все, что когда-либо проходило через eWeek Labs, поэтому компании с обширной инфраструктурой безопасности должны отдать ей должное. AssureAccess отлично подойдет им, поскольку функциональность системы соответствует скорее приложениям аутентификации, чем средствам простого контроля доступа.

Браузерное управление новинкой Entegrity требует поддержки протокола JSP (Java Server Pages - серверные страницы Java), поэтому тем компаниям, где такая технология не поддерживается, придется восполнить пробел с помощью продуктов независимых производителей, например Jrun корпорации Allaire. Правда, это повысит стоимость развертывания системы и сделает ее более сложной. По такому пути пришлось пойти и нам, установив Jrun в своей тестовой сети.

Сразу же после завершения настройки AssureAccess легко подключился к серверу LDAP, после чего мы смогли задать правила доступа. В этом продукте предусмотрена встроенная поддержка цифровых сертификатов, благодаря ей мы легко создали собственный стандартный файл открытых ключей Public Key Cryptography Standard, хотя при желании его можно импортировать извне. Однако у нас возникли проблемы при работе с некоторыми серверами Web-приложений, заставившие изменить порядок вывода части содержимого в сеть.

Выпуск AssureAccess начался в декабре, его цена колеблется в широких пределах: обслуживание тысячи пользователей на одном сервере обойдется покупателю в 15 тыс. долл., а лицензия на один сервер без ограничения числа пользователей стоит 45 тыс. долл.

SiteMinder фирмы Netegrity

SiteMinder можно по праву назвать дедушкой средств управления Web-доступом. Детальный контроль доступа на уровне отдельных компонентов достигается здесь за счет применения серверных агентов. Конечно, такой подход чреват проблемами, так как для каждого типа сервера нужен свой агент, однако SiteMinder развивался очень долго и за это время успел обзавестись агентами практически для всех серверов. Новая версия, к примеру, способна работать даже с такими распространенными серверами приложений, как WebSphere и WebLogic.

Настройка SiteMinder проста, но отнимает много времени, особенно если нужно установить множество разнообразных агентов. Отметили мы и один потенциальный недостаток: агенты для WebSphere и WebLogic, как оказалось, несовместимы с Java Development Kit 1.2 и последующими его версиями, что может создать серьезные проблемы на узлах, где используются эти долгожданные варианты Java.

В дополнение к детальному контролю, которым издавна славится SiteMinder, в его версии 4.5 предусмотрены возможности обратного прокси (reverse-proxy capabilities) для Web-серверов Apache. Эта функция позволяет более гибко организовывать контроль доступа по всему узлу.

SiteMinder выпускается с ноября, начальная цена на него составляет 15 долл. за каждого пользователя.

ClearTrust SecureControl фирмы Securant Technologies

Версия 4.5 этого надежного средства управления доступом предлагает несколько удобных новых функций и содержит ряд улучшений. Администраторам теперь необязательно управлять доступом с помощью графического интерфейса ClearTrust SecureControl - администрирование продукта можно производить через Web-браузер. Новинка Securant по-прежнему превосходит своих соперников по поддержке протокола LDAP, обеспечивая практически полную интеграцию с имеющимися каталогами пользователей.

В тех компаниях, где уже используются базы данных Oracle или Sybase, необходимые для работы ClearTrust SecureControl, настройка этого продукта пройдет легко и просто. Там же, где таких СУБД нет, временные и финансовые затраты на развертывание системы окажутся чуть выше.

Определение правил управления доступом интуитивно понятно и производится очень просто. Примечательна новая уникальная функция, появившаяся в ClearTrust SecureControl: при подозрении на хакерскую атаку система теперь способна самостоятельно изменять политику доступа.

При работе с некоторыми Web-серверами у нас возникли проблемы с подключаемыми агентами, однако в большинстве случаев обойти их не составляло труда.

Выпуск ClearTrust SecureControl начат в декабре, стоит продукт 20 долл. в расчете на одного пользователя.

Табло результатов: приложения управления доступом

Расшифровка буквенной оценки по различным категориям приведена на узле www.eweek.com/links. (A - отл., В - хор., С - удовл.)