A közvélekedés szerint a wifi-hálózatok kevésbé biztonságosak, mint a vezetékesek,
holott a valóságban – megfelelő eszközökkel – jóval biztonságosabbá tehetők. Ezzel
együtt vannak olyan területek, ahol a hagyományos hálózatok nem teljesítenek olyan
jól: ez pedig a felhasználók kezelése – mondja Nemes Dániel, a Biztributor ügyvezetője. Egy jól tervezett hálózatban a felhasználó nem mozoghat
szabadon még az irodában sem: ha egy másik hálózati aljzatra akar csatlakozni,
akkor többféle konfigurációs feladatot is el kell végezni, mielőtt folytatni tudja
a munkát.
Az Aruba megoldást kínál erre a problémára. Az új kapcsolók nem pusztán hálózati
portként vagy ip-címként kezelik a felhasználót, hanem tényleges felhasználóként,
akinek különböző eszközei (noteszgép, táblagép, okostelefon) és alkalmazásai vannak,
és őket Etherneten és WLAN-on teljesen egységes módon kezeli.
A rendszer addig semmilyen hozzáférést nem ad a felhasználónak, amíg nem azonosította
őt és a csatlakozáshoz használt eszközt, de ezután minden porton ugyanolyan szintű
biztonságot kínál, a felhasználóra jellemző tűzfalszabályokkal ellátva. „Ez azt
is jelenti, hogy csak a felhasználók jogosultságait kell beállítani, az egyes
portokat már nem kell külön konfigurálni, mégis megoldható, hogy a dolgozók csak
a számukra engedélyezett erőforrásokhoz férjenek hozzá a hálózaton” – teszi hozzá
Nemes Dániel.
Virtuális környezet, valós biztonság
Számosak a virtualizált környezetek és a felhőszolgáltatások előnyei, de újszerűek
a veszélyei is. Fizikai szervert lopni nem könnyű: ha magát a szervert nem is,
de a merevlemezt mindenképpen ki lehet vinni az adatközpontból. „Virtuális környezetben
elég a pendrive-ra felmásolni a virtuális gépet jelentő egyetlen állományt” –
érzékelteti a különbséget Bán Tibor, a SafeSoft ügyvezetője.
Ezekkel a veszélyekkel ma még nemcsak a felhasználók, de a gyártók sem foglalkoznak.
Ezért is jelenthet különlegességet a SafeNet ProtectV Instance, amely virtualizált
és felhőszolgáltatásban működő rendszerek esetén is biztosítja azokat a védelmi
funkciókat, amelyeket fizikai környezetben adottnak veszünk. Ilyen lehet az adatok
izolációja: logikailag elkülöníthetők a virtuális tárhelyek annak érdekében, hogy
például a szolgáltató rendszergazdája ne tudjon visszaélni a superuser privilégiumával.
A visszaélések megakadályozását szolgálja a feladatok szétválasztása is: bizonyos
kritikus feladatok végrehajtása több rendszergazda együttes munkáját követeli
meg.
A jogosultságkezelés amúgy sem egyszerű dolog felhőkörnyezetben, teszi hozzá
Budai Péter, a Microsoft Magyarország termékmenedzsere. A legtöbb vállalat egyszerre több
felhőszolgáltatást is igénybe fog venni (miközben saját kezelésben is maradnak
informatikai rendszerei), így olyan központi jogosultságkezelő megoldásra lesz
szükség, amely egységesen szabályozza az adatok elérhetőségét, bármelyik rendszerhez
is férjenek hozzá a felhasználók.
A Microsoftnak régóta van ilyen központi címtára (az Active Directory), de azt
már kevesebben tudják, mondja Budai Péter, hogy a Microsoft felhőszolgáltatásaiban
(Azure, Office 365) elérhető ennek párja. Ez a felhő alapú címtár használható
kizárólagosan, de szinkronizálható is az Active Directoryval. Nincs persze mindig
szükség a szoros integrációra: ilyenkor lehet megoldás a címtárak federációja,
amely lazább kapcsolatot jelent a két rendszer között, a felhasználók mégis kölcsönösen
képesek a másik rendszerben is hitelesíteni magukat.
Felügyelet többféleképpen
Mindig időszerű téma a vállalati számítógépek felügyelete: a rendszerekkel kapcsolatos
elvárások persze jócskán megváltoztak az elmúlt években. „A felhasználók egyre
inkább igénylik azokat a megoldásokat, amelyek egységes keretbe foglalva kínálják
a hagyományos és az új funkciókat” – mondja Elek Norbert, az IBM Magyarország munkatársa.
Ilyennek számít a Tivoli Endpoint Manager is, amely hat, egymással szorosan integrálható
és közösen vezérelhető, mégis külön-külön beszerezhető modulból áll. A klasszikus
feladatokra való eszközök (szoftverterítés, patch management, távfelügyelet) mellett
„egzotikusabb” funkciók is elláthatók velük. A szoftverhasználatot elemző modul
például a ritkán vagy egyáltalán nem használt szoftverek feltérképezésével segíti
a licenckezelést is. Egy másik kiegészítő az energiamenedzsmentet szolgálja: a
használaton kívüli számítógépek automatikus lekapcsolásával meglepően nagy összegeket
lehet megtakarítani, mondja Elek Norbert.
Nem hiányzik a portfólióból a biztonságra figyelő eszköz sem, amely képes kikényszeríteni
a központi szabályok betartását: hiába rendelkezik esetleg rendszergazdai jogosultságokkal
a felhasználó, semmi olyat nem tud megtenni, ami ellenkezne a központilag beállított
biztonsági rendszabályokkal. Komoly feladatot jelent a vállalatoknak a sérülékenységek
kezelése is. Hiába van egy vállalatnak hibajavításokat menedzselő eszköze, ha
a szoftverek gyártója nem adja ki időben a megfelelő frissítést, vagy ha a sérülékenység
egy rossz konfiguráció következménye, sorolja a nehézségeket Szegő Vilmos, a Proyet Kft. ügyvezetője.
Ilyenkor tehet jó szolgálatot egy automatizált sérülékenységkezelő eszköz. A
cég által képviselt Qualys eszköze, a QualysGuard segítségével naprakészen követhető,
hogy milyen sérülékenységeknek van kitéve a teljes informatikai rendszer. Nem
csupán felfedezi az egyes rendszerekben megbúvó sérülékenységeket, hanem segít
például abban is, hogy melyeket kell azonnal kijavítani, melyekkel lehet egy kicsit
várni, és melyekkel nem kell egyáltalán foglalkozni. A termék nem helyettesíti
a patch management eszközöket, hangsúlyozza Szegő Vilmos, de jól kiegészíti azokat.
Szavak és tettek
Vannak olyan területei is az informatikai biztonságnak, amelyekről ugyan egyre
több szó esik, mégsem történik túl sok minden. Ilyennek tartja Egerszegi Krisztián, a CDSYS ügyvezető igazgatója az adatszivárgás elleni védelmet (dlp).
A helyzet jobb, mint egy-két éve, de továbbra is él az a képzet, hogy az adatszivárgás
elleni küzdelem pusztán szoftverkérdés: telepíteni kell egy alkalmazást, és minden
jó lesz. Ez viszont messze nem így van. Először is meg kell határozni a védendő
bizalmas adatok körét és kategóriáit; definiálni kell, hogy melyikre milyen jellegű
védelmet szükséges alkalmazni; és csak ezután lehet elgondolkodni azon, hogy pontosan
milyen megoldással lehet a védelmet biztosítani. Még ezek után sem biztos, hogy
az ügyfél problémáira pont egy dlp-rendszer a jó megoldás: lehet, hogy titkosításra,
végpontvédelemre, esetleg tartalomszűrésre van szükség. Ezekkel kapcsolatban a
CDSYS gyakorlati tapasztalatokat és visszajelzéseket fog megosztani az ITBN közönségével.
Hasonlóképpen, inkább a szavak, mint a tettek szintjén foglalkoznak a felhasználók
a mobileszközök biztonságával, amelynek kapcsán a Noreg tart majd egy workshopot,
elsősorban az Androidra kihegyezve. Sebők Nándor, a cég szakértője szerint számos módon veszélyeztetjük telefonjainkat és a rajtuk
tárolt adatokat. Elvesztés esetére biztosítani kell(ene) a tartalék másolatot,
az elveszett készülék zárolását, illetve az adatok törlését. Figyelmet igényelnek
a böngészők sérülékenységei, mert a kártevők nagyrészt azokat használják ki.
Az Android esetében külön kockázati tényezők az alkalmazások, illetve a feltört
telefonok. A telepítés során számos alkalmazás olyan jogosultságokat is kér, amelyek
nem feltétlenül szükségesek a működésükhöz; ezek engedélyezése felesleges veszélyforrást
jelent. Az Android Market megbízhatósága is kérdéses: már több alkalmazást kellett
onnan eltávolítani, mert kártevőket tartalmaztak. A feltöréssel (root-olással)
pedig valóban többletjogosultságokra tehet szert a felhasználó, és olyan alkalmazásokat
is használhat, amelyek többet és mást tudnak, mint a „hivatalos” app-ok – de ezek
az alkalmazások sokkal nagyobb károkat képesek okozni, figyelmeztet a szakértő.
(X)
