Железная защита на границе сети

ТЕНДЕНЦИИ

Стала уже нормой ситуация, когда компании, специализирующиеся на информационной безопасности, отдают предпочтение не программным решениям, как раньше, а готовым программно-аппаратным комплексам, существенно облегчающим жизнь и заказчикам, и производителю.

Чем же прельщают "железные" решения заказчиков? Во-первых, их проще встроить в существующую технологию обработки информации. Поскольку такие устройства поставляются уже с предустановленным и настроенным ПО (операционной системой и защитными механизмами), то необходимо только подключить его к сети, что выполняется в течение нескольких минут. Например, устройство обнаружения и предотвращения атак Proventia начинает работать на полную мощность уже через 12 мин после того, как его распаковали. Не потребуется тратить время на установку и настройку ОС и системы защиты и можно не бояться, что вы забудете задать какой-то параметр, влияющий на защиту, - нужный набор функций уже предусмотрен производителем.

Во-вторых, такой комплекс более надежен, так как из ОС, на базе которой он функционирует, убирается все ненужное для выполнения главной задачи - обеспечения безопасности. Меньше запущенных программ - ниже вероятность отказа, меньше уязвимостей, а следовательно, и меньше прорех, желанных для злоумышленников, стремящихся нарушить работоспособность "железного друга", вывести его из строя, оставить ресурсы беззащитными.

В-третьих, удаление лишних сервисов и подсистем позволяет повысить производительность устройства. Обеспечение только сетевой безопасности исключает расход ресурсов на выполнение других функций, например маршрутизации и т. п. Обычно попытка создать универсальное устройство, решающее сразу много задач, ни к чему хорошему не приводит.

В-четвертых, такое решение клиенту проще поддерживать. По всем возникающим в процессе эксплуатации проблемам он обращается к одному производителю, а не к нескольким.

И наконец, самое главное: подобные устройства дешевле своих программных собратьев. И хотя на первый взгляд аппаратные реализации существенно дороже, это только на первый взгляд. Стоимость решения, основанного на применении только ПО, выполняющего аналогичные функции, будет существенно выше. И это несмотря на то, что само ПО стоит меньше. Этот парадокс объясняется просто. Вспомним такое понятие, как "совокупная стоимость владения", и все сразу встанет на свои места.

Общая, или совокупная, стоимость владения определяет плановые и внеплановые затраты, связанные с использованием какой-либо системы в течение всего срока ее службы. Вполне очевидно, что помимо непосредственных или прямых затрат на систему защиты существуют и скрытые расходы, которые возникают в процессе ее эксплуатации. И зачастую эти незапланированные расходы существенно превышают стоимость самой системы защиты. Например, по данным Gartner Group, прямые расходы составляют только 15-21% от общей суммы затрат на содержание ИС.

Совокупная стоимость владения делится на прямые и косвенные затраты. Прямые затраты включают в себя множество статей, в том числе:

- капитальные затраты на ПО системы защиты. Другими словами, это стоимость лицензии;

- если система защиты функционирует на отдельном узле (а для сетевых средств это именно так), то необходимо также учесть капитальные затраты и на аппаратное обеспечение защитного средства, т. е. заложить в бюджет стоимость одного или нескольких компьютеров, на которых будет развернуто все необходимое (в том числе и подсистема управления). Так как система защиты является одним из самых критических и важных элементов корпоративной сети, то для нее надо выбирать хорошо зарекомендовавшее себя оборудование (бренды). А учитывая стоимость техники от таких брендов, как HP или IBM, мы получаем практически двойной рост стоимости программно-аппаратного обеспечения для защитной системы;

- очень часто система защиты использует дополнительное программное и аппаратное обеспечение, стоимость которого также необходимо учитывать. К такому обеспечению можно отнести базы данных, браузеры, системы настройки оборудования, системы резервирования, сетевые кабели, тройники, системы бесперебойного питания и т. д.;

- к прямым затратам также относится стоимость поддержки и обучения (если она не включена в стоимость системы защиты). По данным Gartner Group, эта статья расходов может занимать от 17 до 27% совокупной стоимости владения. И это действительно так. Ведь помимо поддержки самой системы защиты вам потребуется оплачивать поддержку ОС и всего сопутствующего программно-аппаратного обеспечения.

Для программно-аппаратного решения этих "дополнительных" затрат не существует, так как они уже включены в стоимость "железа".

Производителю также удобнее поставлять уже готовый комплекс. И помимо финансовой составляющей немаловажный момент - техническая поддержка. В случае поставки security appliance производителю не надо заботиться о совместимости своего ПО с различными OEM-версиями операционной системы и различной аппаратной начинкой.

Учитывая все вышесказанное, становится понятно, почему во всем мире сейчас делается упор на "железные" решения, называемые security appliance. По данным IDC, к 2007 г. 80% всех решений по безопасности будут выпускаться в виде специализированных аппаратных устройств.

Что касается классов защитных средств, то, по данным Infonetics Research, европейский рынок аппаратных средств обнаружения и предотвращения атак вырастет в 6 раз - с 31 млн. долл. в 2002 г. до 197 млн. долл. к 2006-му. При этом рост продаж программных вариантов этих средств останется на прежнем уровне - 22 млн. долл. (за тот же период). Компания IDC также делает прогноз роста спроса на аппаратные решения к 2006 г. (общемировой рынок security appliance, по данным Yankee Group, составит к 2005 г. 2,6 млрд. долл.):

- 17% - на решения по обнаружению и предотвращению атак;

- 20% - на межсетевые экраны и VPN;

- 53% - на другие аппаратные средства защиты (антивирусы и контроль содержимого).

На российском рынке известно большое число аппаратно-программных устройств как отечественного, так и зарубежного производства. Например:

- межсетевые экраны Cisco Pix Firewall, системы обнаружения атак Cisco IDS 4200 Sensor и решения для построения VPN Cisco VPN 3000 от Cisco Systems (www.cisco.ru);

- системы обнаружения и предотвращения атак Proventia от Internet Security Systems (www.iss.net);

- аппаратная платформа сетевой безопасности Nokia IP Security Solutions от Nokia (www.nokia.com);

- межсетевой экран WatchGuard Firebox от Rainbow (www.rainbow.msk.ru);

- средство построения VPN "Континент" на платформе IP-Guardia от НИП "Информзащита" (www.infosec.ru);

- межсетевые экраны Z-2 и "Ангара" компании "Инфосистемы Джет" (www.jetinfosoft.ru) и т. п.

Однако помимо роста спроса на специализированные устройства, выполняющие одну или две функции безопасности, намечается тенденция к объединению в одном устройстве решения трех, четырех и даже пяти разных задач, например таких:

- фильтрация трафика;

- обнаружение атак;

- построение VPN;

- антивирусная защита;

- мониторинг электронной почты и Web-трафика (контроль содержимого).

О разработке подобных устройств, названных экспертами security switch, уже заявили компании Internet Security Systems и Symantec. И хотя это решение противоречит принципу эшелонированности обороны ("нельзя класть все яйца в одну корзину"), оно очень привлекательно для потребителя. Ведь заплатив всего за одно устройство, он получает сразу пять систем защиты. И разумеется, что стоимость такого решения будет гораздо ниже, чем сумма пяти разных средств защиты. По данным IDC, количество компаний, использующих устройства "все в одном", достигнет к 2006 г. 45%.

В заключение хочу порекомендовать всем руководителям отделов информационной безопасности и ИТ обратить свой взор на специализированные устройства. В их пользу говорит обеспечение такого же высокого уровня защиты, как и в программных решениях, но за меньшие деньги. И вторая причина - простота и легкость интеграции этих решений в корпоративную информационную систему.

С автором можно связаться по адресу: luka@infosec.ru.