Identity 2.0 совершенствует контроль доступа

Аппаратно-программный брандмауэр Trusted Network закрывает основные бреши

Камерон Стардевант

Identity 2.0 производства Trusted Network Technologies представляет собой комбинированное аппаратно-программное решение, которое позволяет эффективно контролировать доступ к серверам и приложениям. Кроме того, оно дает клиентам возможность вести учет использования сети для последующего аудита.

В выпущенной в июле Identity 2.0 устранены многие слабые места, имевшиеся в первоначальной версии. Лаборатория eWeek Labs столкнулась с некоторыми трудностями в процессе интеграции информации Microsoft Active Directory с использованием административного веб-компонента I-Manager. Однако в целом комплекс Identity 2.0 работал хорошо. Мы рекомендуем ИТ-менеджерам обратить внимание на этот продукт, если им необходимо контролировать доступ к сегментам сети и проводить его аудит.

В состав Identity 2.0 входит вполне совершенный аппаратный брандмауэр под названием I-Gateway. Он располагается между пользователями и серверными ресурсами и работает в режиме реального времени. ПО Identity Driver устанавливается как на компьютерах пользователей, так и на серверах. Оно встраивает уникальную идентификационную информацию в пакеты данных, пересылаемые между защищенными системами в обоих направлениях. I-Manager служит интерфейсом управления. В ходе тестирования мы применяли его для инвентаризации пользователей и сетевых ресурсов, а также для создания политик безопасности.

Теоретически Identity 2.0 конкурирует с другими системами контроля безопасного доступа. Пользователи, успешно прошедшие аутентификацию с помощью I-Gateway, получают доступ к серверам и ресурсам в соответствии с правами, предоставленными им администратором сети. Хотя нам не известны другие продукты, в которых для модификации пакетов данных применялось бы именно такое сочетание устройства и ПО, мы не считаем, что менеджерам ИТ следует избегать данного подхода.

В новой версии Trusted Network устранила множество недостатков, первоначально имевшихся в Identity. Нам приятно было убедиться, что теперь устройство I-Gateway позволяет настраивать политику и получать сведения о ресурсах с помощью инструментов управления сетью на базе протокола SNMP. Кроме того, с версией 2.0 мы могли создавать политики для групп рабочих станций и серверов.

Возможности Identity в области составления отчетов всегда были впечатляющими. А версия 2.0 умеет формировать отчеты об активности I-Manager, в том числе о подключениях и применявшихся политиках.

Но даже несмотря на эти усовершенствования, менеджерам ИТ следует знать, что использование Identity 2.0 потребует большой работы по планированию, тестированию и сопровождению.

Изученное нами устройство Identity 2.0, работающее с гигабитной скоростью, стоит 15 тыс. долл. в расчете на 100 пользователей и 55 тыс. долл. для неограниченного числа клиентов. Это довольно высокие цены, учитывая, что в процессе установки и эксплуатации Identity 2.0 организациям придется прибегать к услугам фирмы-производителя. Интеграция каталога также добавит некоторую сумму - возможно, весьма значительную - к первоначальным расходам на приобретение Identity 2.0.

I-Gateway представляет собой монтируемое в стройку устройство высотой 2U (3,5 дюйма). Оно работает под управлением защищенной версии Linux. Расположение кнопок на передней панели - стандартное. Нам удалось установить и запустить его в течение нескольких минут.

Инженер из Trusted Network помог нам ознакомиться с процессом загрузки информации о сети, системе и пользователях. Мы рекомендуем средним и крупным организациям воспользоваться услугами Trusted Network при установке и запуске Identity 2.0.

При использовании Identity 2.0 необходимо выделить системные ресурсы для поддержания YADS (Yet Another Directory Synchronization; данный продукт работает с любой системой, совместимой с протоколом LDAP). Сначала мы столкнулись с трудностями, пытаясь заставить интерфейс I-Manager распознать информацию, хранящуюся у нас в Active Directory. Система легко и корректно импортировала сведения о пользователях из нашего контроллера домена Windows 2000, запущенного на сервере IBM eServer 325 с процессорами Xeon. Но неоднократные попытки войти в нее с правами, которые нам предоставила служба каталогов Active Directory, оказались безуспешными. Нам пришлось перезагрузить устройство Identity, прежде чем удалось воспользоваться импортированной информацией.

После перезагрузки мы смогли последовательно произвести несколько добавлений, изменений и удалений в списке пользователей в Active Directory без малейших проблем. Получение информации из каталога eTrust Directory корпорации Computer Associates International, построенного на базе LDAP, прошло без помех. Поэтому мы сочли, что наши трудности были вызваны какими-то особенностями применявшейся для тестирования инфраструктуры.