Trendek és megoldások

Változó követelmények

Mára közhellyé kopott a piaci elemzők két-három éve még meglepetésszámba menő megállapítása, miszerint a vállalatvezetők az informatikai biztonsági kockázatokat nemcsak hogy felismerték, de az üzletmenet szempontjából kiemelten fontos szempontként kezdték kezelni. A biztonsági problémák részint a miattuk bekövetkező leállásoktól és bevételkieséstől való félelem miatt, részint adatvédelmi aggályok miatt biztosan ott vannak a legtöbb menedzser negatív toplistáján. Gyakran az üzletet hagyományosan közvetlenül befolyásoló tényezőkhöz hasonló súllyal esnek latba, mint amilyen a termelési költség vagy a bevételek alakulása. Másként megfogalmazva: egy vállalat célkitűzései között éppolyan fontossá vált az informatikai infrastruktúra biztonságos és hibamentes működtetése, a személyes és üzleti adatokhoz való hozzáférés megfelelő szabályozása, mint például a nyereséges gazdálkodás.

Az infobiztonságot veszélyeztető tényezők közül kettőt érdemes kiragadni, melyek általános trendként jelentkeznek. Az első, hogy az internet és az üzleti folyamatok integrált kezelésére szolgáló rendszerek révén – leegyszerűsítve – megszűntek a fizikai határok egy vállalatnak a munkatársak, a partnerek és a nagyközönség számára a hálózaton keresztül biztosított szolgáltatásai között. A biztonsági házirendeket ebből kifolyólag az alkalmazott szoftverekben és azokon a hálózati eszközökön kell érvényre juttatni, melyeken mindhárom csoport adatai keresztülfolynak. A második trend a mobil munkatársak létszámának gyarapodása, különös tekintettel a vezeték nélküli hálózatokra kapcsolódókra. Míg sok esetben a kábel mint fizikai médium önmagában jelentősen csökkenti a rosszindulatú manipuláció veszélyét, addig a falakon túl terjedő rádióhullámok sokkal szigorúbb intézkedéseket követelnek.

Elhagyva a biztonság körét még egy meghatározó trendről kell szót ejtenünk, mely ma már korántsem csak a nagyvállalatok kiváltsága, sőt, költségcsökkentő szerepe sokszor húsbavágó a kis- és középvállalkozások számára is – ez az internetes telefónia. A VoIP-hívások és videokonferenciák médiafolyamai gyakran megkövetelik a rendelkezésre álló sávszélesség növelését, mégpedig nem csupán az internetszolgáltató, illetve a WAN-kapcsolatok irányába, hanem a helyi hálózat hozzáférési rétegében is, vagyis ott, ahol a felhasználók végberendezései csatlakoznak a hálóra.

A megfelelő sávszélesség önmagában még mindig kevés az üdvösséghez, hiszen hiába mennek át például a VoIP-csomagok nagy sebességgel egyik helyről a másikra, ha késve vagy nem egyenletes ütemben érkeznek meg – a késleltetéssel, az úgynevezett késleltetésingadozással (jitter) és a tolerálható csomagvesztéssel szemben maga az ember hangfeldolgozó képessége támaszt relatíve szigorú követelményeket. A gyakorlatban ezt a szolgáltatásminőséget (Quality of Service, QoS, illetve alacsonyabb szinten Class of Service, CoS) érintő szabályok kialakításával lehet kezelni, vagyis amikor tudatjuk a hálózati eszközökkel, hogy milyen típusú forgalmat részesítsenek előnyben más adatokkal szemben.

Nyilvánvaló, hogy minél közelebb kezdjük el érvényesíteni ezeket a szabályokat a forráshoz, annál jobb minőségű kommunikációt tudunk biztosítani. Különösen igaz nagy állomásszámú, nagy belső forgalmat lebonyolító LAN-okra, hogy mire eljut a VoIP-csomag a priorizálást biztosító eszközig (routerig vagy core switchig), összeszedhet annyi késleltetést, hogy hiába kerülne az expressz sávba útja hátralévő részére, a célállomás már kénytelen lenne eldobni. Az eredmény rossz minőségű hangcsatorna, ráadásként pedig a sávszélesség felesleges pazarlása – lenne, de szerencsére egyre több megoldás van a problémára.

A forgalom prioritásának megjelölésére nem minden végkészülék alkalmas; meg lehet bízni például bizonyos IP-telefonokban, de számítógépes szoftverekre (például PC-n futó szoftkliensekre) nem szívesen hagyatkoznánk az esetleges trükközésektől tartva. Emiatt elengedhetetlen némi plusz „intelligencia” kihelyezése a hozzáférést biztosító eszközökbe, tipikusan Layer 2–4-es, netán döntésükhöz magasabb rétegbeli információkat is felhasználó switchek alakjában; ez a folyamat jól szemmel követhető az iparágban.

A ProCurve megközelítése

A HP ProCurve stratégiáját, az Adaptive EDGE modellt egy korábbi cikkünkben már bemutattuk, most csak néhány fontos jellemző ismétlésére szorítkozunk. Az architektúra két fő elvre alapoz. Az első a peremig (innen az EDGE név), vagyis a hozzáférési rétegig terjeszti ki az ellenőrzést. Ez azt jelenti, hogy a hálózati hozzáférésről, illetve ennek feltételeiről (jogosultságok, csoportbesorolás, sávszélesség stb.) már a peremeszköznek, legtöbbször egy switchnek döntenie kell, persze olyan hagyományos eszközök felhasználásával, mint egy autentikációs szerver. A második fő elv a központi irányíthatóságra vonatkozik, mely nem pusztán a hálózati eszközök egységes megfigyelését és menedzselését foglalja magában. A (biztonsági) házirend lebontható switchekre, switchportokra, és lebontható személyekre is. A személyazonosság-alapú (identity driven) menedzsment előnye, hogy egy felhasználó bárhol és bármilyen médiumon csatlakozik is a hálózatra, bármelyik peremeszköz csak saját (egy központi adatbázisból beszerzett) jogosultságai szerint engedi őt forgalmazni. Ez egyúttal lehetőséget teremt olyan kivételek kezelésére is, mint a vendégek, vezeték nélküli hálózatok között módot ad a roamingra, és segít az illetéktelen behatolás elhárításában is.

[+]

Az intelligens peremeszközök miatt azt lehetne gondolni, hogy a ProCurve megoldása drágább a korábban megszokott hálózatoknál. Hogy a gyakorlatban ez nem így van, annak több okát lehet találni. Nagyobb telephelyek kiterjesztett csillag topológiájú hálózataiban ma már egyébként is egyre közelebb kerülnek a felhasználókhoz a menedzselt, gyakran több rétegben működő kapcsolók, a CoS/QoS-képesség is egyre általánosabb követelmény. Ezekhez plusz hozzáférés-vezérlési és más funkciókat adni nem jár akkora többletköltséggel, mint amennyit a hálózat egésze profitál belőle. Ez a nyereség adódik a biztonságból, a magasabb színvonalú szolgáltatásból, a terhelés szabályozásából és abból, hogy a core switch vagy router behelyettesíthető egy egyszerűbb szolgáltatásokat, de igen nagy sebességen megvalósító szerkezettel (a HP terminológiájában interconnect fabric switch), ami összességében költségmegtakarítást eredményezhet.

További megtakarítási tényező ragadható tetten migráció esetén. A HP szerencsére – akárcsak szervereinél – itt is a nyílt szabványokat favorizálja, vagyis egy meglévő vagy fokozatos átalakulásban levő hálózatba gond nélkül beilleszthetők a ProCurve eszközök. Az ár mérséklésének egy külsőleg láthatatlan eleme is van, ugyanis a ProCurve Labs maga fejleszti alkalmazásspecifikus integrált áramköreit (ASIC), melyek komplex feladatokat látnak el, így kevesebbe kerülnek, mintha több chip kerülne a készülékekbe. Ráadásul a ProCurve eszközöknek megvan az az előnyük, hogy programozhatóak, így a firmware (ingyenes!) frissítésével olyan új funkciók birtokába juthatnak a felhasználók, melyekért sok esetben új modelleket vagy kiegészítőket kellett volna vásárolniuk. Példaként említhető a tavaly megjelent Virus Throttling szolgáltatás, mely az abnormális hálózati forgalmat figyelve a vírustámadás áldozatául esett kliens izolálásában, s így a hálózat működőképességének fenntartásában segédkezik.

A cikk még nem ért véget, kérlek, lapozz!