Embed Size (px)
DESCRIPTION
Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture. Niko Dukić. Partneri. Medijski pokrovitelji. Sadržaj predavanja. Sigurnosni slojevi Mrežna sigurnost Sigurnost svjesna identiteta Nadzor i upravljanje Business case : OB Zabok Zaključak (nameće se sam!). - PowerPoint PPT Presentation
Citation preview
Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture
Niko Dukić
Partneri
Medijski pokrovitelji
Sadržaj predavanja
• Sigurnosni slojevi– Mrežna sigurnost– Sigurnost svjesna identiteta– Nadzor i upravljanje
• Business case: OB Zabok• Zaključak (nameće se sam!)
Sigurnosni slojevi• Mrežna sigurnost– osnovni mehanizmi zaštite IT infrastrukture– Sigurnost na rubovima IT sustava– Sigurnost poslovnog sustava i internih IT servisa
• Sigurnost svjesna identiteta– komplementarna sa mrežnom razinom. Mehanizam
kontrole više nije IP adresa već identitet korisnika– Sigurnost klijentskih računala
• Nadzor i upravljanje sustavom zaštite
Mrežna sigurnost (1/3)
• Osnovni mehanizmi zaštite– Firewall sustavi– IPS / IDS sustavi– VLAN odvajanje
• Preporučene razine zaštite– Između produkcijske mreže i Interneta
• Sustav kontrolira sav promet između korisničke mreže i Interneta• Odvajanje javnih servisa u posebne DMZ mreže• Zabrana direktnog pristupa prema resursima iz lokalne mreže, • Najčešće mjesto implementacije firewall-a i IPS sustava
Mrežna sigurnost (2/3)
– Između poslovnog sustava i korisnika• VLAN access liste na centralnim routerima• najosjetljivije sustave odvojiti posebnim firewall
sustavom– Potrebna velika propusnost sustava– Preporučaju se fail-safe kartice i bridge mode ili redundancija
• Odvajanje korisnika i poslovnog sustava / IT servisa u odvojene VLAN-ove
Mrežna sigurnost (3/3)
• VLAN dolazi sa svojim sigurnosnim propustima, ali više su oni posljedica loše konfiguracije
• VLAN ranjivosti dolaze do izražaja povećanjem korištenja virtualizacijskih tehnologija– Prema istraživanjima 70 % organizacija će spojiti LAN
sa cijelim ili dijelom DMZ-a radi boljeg iskorištavanja mrežne infrastrukture unutar virtualne okoline
Sigurnost svjesna identiteta (1/4)
• Prebacivanje kontrole pristupa sa mrežne razine na korisničku
Sigurnost svjesna identiteta (2/4)
• Pristup sustavu prema statistici:– Zaposlenici: 50 %– Gosti: 10 %– Partneri: 20 %– Privilegirani korisnici: 20 %
• Korisnika prate prava bez obzira na način pristupa: LAN, wireless, VPN
Sigurnost svjesna identiteta (3/4)
• Zaključak– sigurnost sustava najviše mogu ugroziti zaposlenici
i privilegirani korisnici koji prema mrežnoj sigurnosti imaju ista prava i ona ovise o IP adresama; promjenom radne stanice mogu imati veća prava
Sigurnost svjesna identiteta (4/4)
• Identitet za pristup koristi radnu stanicu– Uglavnom se koriste tradicionalni mehanizmi
zaštite bez povezanosti sa identitetom:• Antivirus / antispyware• Patch deployment
– Napredniji mehanizmi zaštite / identity aware:• 802.1x• NAC
802.1x (1/3)
• Autentifikacijski protokol za wired i wireless mreže
• Svrha:– Kontrola pristupa na razini porta (on / off status)– praćenje pristupa mrežnim resursima– Sigurnost javnih mreža (fakulteti, škole, bolnice)– Moguće proširenje sa naprednim ekstenzijama
802.1x (2/3)
• Problemi kod dizajna:– Jednostavna implementacija sa on / off
funkcionalnošću. Napredne funkcionalnosti je potrebno dobro testirati
– Kako kontrolirati uređaje koji ne podržavaju ili nisu konfigurirani za 802.1x (IP Telefoni, mrežni printeri, vanjski korisnici)
– Odabir klijentskog softvera i RADIUS servera– Pristup mreži prije autorizacije korisnika (remote
upravljanje, GPO, DHCP request timeout)
802.1x (3/3)
• Zaključak:– Ograničeni protokol, ali low cost rješenje koje
znatno povećava sigurnost– Gartner podaci za 2008:• Radi složenosti implementacije samo 13 % organizacija
ima implementirano 802.1x rješenje• Do 2011 broj će porasti na 50 %• U slučaju olakšanja implementacije taj bi broj mogao
porasti na 70 %
NAC (1/2)
• Nadogradnja 802.1x rješenja• Pristup se ostvaruje na temelju identiteta i provjere
stanja radne stanice bez obzira na lokaciju• Gartner podaci za 2008:
– 37 % korisnika ima ili je u planu implementacija– 70 % sljedeće godine– Najčešća upotreba:
• Guest isolation: 79 %• Endpoint baselining: 15 %• Identity aware network: 5 %• Monitoring and containment: 1 %
NAC (2/2)
• omogućuje jednostavnu implementaciju drugih sigurnosnih mehanizama– Provjera stanja / automatsko ažuriranje– Izolacija za goste– Dinamičko dodjeljivanje VLAN-a i ACL– Integracija sa firewall sustavima radi kreiranja user
based access lista ili captive portala
Nadzor i upravljanje• Ključna odluka kod nadzora sustavom zaštite IT infrastrukture
– Single vendor vs. Multi vendor (best of breed) policy• Single vendor policy
– Jednostavan nadzor i upravljanje– Manji TCO– Jeftinije održavanje– Najbolji primjer: Check Point
• Multi vendor policy– Tehnički kvalitetnije rješenje, ali puno teže za implementirati i održavati– Puno skuplje održavanje– Puno teži nadzor i upravljanje
• Trenutni trend je single vendor policy
Business case: OB Zabok (1/4)
• Poslovna potreba: – zaštita podataka o pacijentima– Zaštita poslovnog sustava
• Problemi– veliki broj IP uređaja (serveri, radne stanice, IP
telefoni, medicinska oprema)– Veliki broj nekontroliranih posjetitelja– Veliki broj otvorenih prostora sa priključcima na
lokalnu mrežu
Business case: OB Zabok (2/4)
• Zašto CS:– jednim projektom postavljena osnova za:• Ispunjenje obveza prema EU regulativi i politici bolnice
vezano uz čuvanje informacija, zaštitu osobnih podataka, tajnost informacija• postavljeni tehnički preduvjeti za uvođenje vlastitog
ISMS-a: mrežna sigurnost, pristupne kontrole, firewall, kontrola identiteta, vanjski korisnici, zaštita klijenata…• dizajn, implementacija i održavanje kroz jednu tvrtku
(koja ima certifikat ISO27001:2005)
Business case: OB Zabok (3/4)
• Rješenje obuhvaća:– Cisco firewall, L2 / L3 preklopnike– Cisco ACS (RADIUS) server– 802.1x autorizacija koristeći Windows XP klijent i
Active Directory– Check Point Integrity klijent
Business case: OB Zabok (4/4)
• Implementacijom sustava omogućeno je– Zaštita pristupa sa Interneta– Zaštita poslovne mreže na razini VLAN-a– 802.1x autorizacija za svu mrežnu opremu na koju se
spajaju radne stanice – Osobni firewall dodatno kontrolira pristup mrežnim
resursima prema grupi u AD-u– Kontrola aplikacija koje se mogu pokrenuti– Provjera stanja antivirusnog softvera– Provjera instalacije dodatnih Microsoft zakrpa
Pogled u sadašnjost / budućnost• Integrity je naslijedio Endpoint security suite uz dodane
funkcionalnosti:– antivirusna / antispyware provjera, – ista pristupna prava kroz LAN i VPN sustav– enkripcija cijelog diska na radnim stanicama– granularna kontrolu USB uređaja i pokretnih medija
• U H1 2010 izlazi novo Check Point NAC rješenje– Upravljanje pristupa gostima na višem nivou
• Captive portal• Clientless compliance check za goste• Dissolvable / light client solution za partnere
Zaključci!!!• Sistematski pristup sigurnosti otpočetka – drugog
pristupa nema!• Korištenje best practices/u skladu sa core businessom,
uz korištenje partnera za IT sigurnost• Primjena “sigurnosti u slojevima”, centralni nadzor i
administracija• Uspostaviti ISMS kao okvir unutar kojega će se
sigurnost razvijati i održavati na kontrolirani način• Sigurnost projektno ne “završava”, traži pažnju i fokus!
Nakon zaključka
Hvala.
