Выбрать язык


Выбрать язык | Show only


Русский | English


пятница, 12 февраля 2016 г.

Проектирование и внедрение инфраструктуры IDS/IPS. Этап 3. Выбор решения



На основании проведенных расчетов производится выбор решения, удовлетворяющего потребности данного участка сети.
После определения требований к производительности одним из первых возникает вопрос о том, использовать коммерческое решение или Open Source.
Для коммерческих продуктов, кроме соответствия функциональным требованиям, учитываются стоимость решения, а также уровень, условия и стоимость технической поддержки.
Также принимается решение о том, использовать программный продукт либо программно-аппаратную платформу. В случае использования программного решения необходимо учесть дополнительные расходы на оборудование и (опционально) операционную систему.
Для некоммерческих, основанных на открытом ПО:
- стоимость оборудования;
- наличие персонала;
- квалификация персонала.
Последние два пункта актуальны также при внедрении коммерческого решения. Даже если, согласно новым веяниям моды IT, внедрение и обслуживание систем обнаружения и предотвращения вторжений максимально передать подрядным организациям, то контролировать их действия, принимать решение о применимости тех или иных политик IDS/IPS, а также о необходимости инициации служебного расследования по факту срабатывания событий безопасности должны штатные сотрудники подразделения, контролирующего информационную безопасность предприятия. Соответственно, такие сотрудники должны присутствовать в штате компании, у них должно быть выделено время на работу с системами обнаружения и предотвращения вторжений, и уровень квалификации должен позволять безошибочно принимать необходимые решения. Поскольку внедрение ПО на базе открытого исходного кода, как правило, производится своими силами, без привлечения подрядных организаций, то сотрудники, работающие с подобными системами, также должны обладать навыками уверенного администрирования UNIX-систем.
В условиях дефицита бюджета вопрос стоимости решения зачастую будет играть наиболее существенную роль. Рассмотрим преимущества и недостатки использования бесплатного ПО и коммерческих программно-аппаратных комплексов.

Коммерческие продукты
Преимущества
Недостатки
- Гарантии производителя;
- Поддержка, обновления;
- SLA;
- «Родные», легко интегрируемые с сенсорами системы мониторинга и управления;
- Адаптация под основные требования заказчика;
- Отсутствие необходимости содержать собственный штат разработчитков ПО.
- Высокая стоимость;
- Невысокая гибкость при адаптации под нужды заказчика;
- Отсутствие гибкости при необходимости смены поставщика решения: проблемы миграции.
Табл. 1. Преимущества и недостатки коммерческих программно-аппаратных комплексов для заказчика.

Как описано в таблице 1, оплачивая стоимость коммерческого решения, потребитель получает гарантии производителя, возможность обновления программных компонентов, а также, в зависимости от условий договора с поставщиком, определенный уровень технического сопровождения и гарантированное время реагирования производителя либо интегратора в случае сбоя в работе системы. Отсутствие необходимости содержания своего штата разработчиков ПО является преимуществом с финансовой точки зрения, однако, коммерческие решения полностью адаптируются под нужды заказчика не всегда на 100%, либо полное удовлетворение всем требованиям увеличивает стоимость решения. Еще одной проблемой может быть необходимость смены поставщика, вызванная либо отсутствием возможности расширения текущего решения согласно темпам развития инфраструктуры заказчика, либо другими причинами. В случае необходимости расширения участка инфраструктуры, основанного на оборудовании и программном обеспечении одного производителя, посредством добавления нового участка, необходимо предусмотреть наличие стандартных открытых интерфейсов взаимодействия. Если необходим перенос данных, возникает необходимость их конвертации из формата одного поставщика в формат другого, что также влечет затраты времени и денег.

ПО с открытым исходным кодом
Преимущества
Недостатки
- Низкая стоимость;
- Отсутствие привязки к оборудованию производителя;
- Высокая гибкость при адаптации под свои потребности.
- Необходимость содержания своих разработчиков, квалифицированных инженеров, либо принятие рисков их отсутствия;
- Необходимость приобретения аппаратных средств;
- Гарантии, ответственность, SLA разграничиваются внутри компании.
Табл. 2. Преимущества и недостатки использования ПО с открытым исходным кодом.

В таблице 2 описаны преимущества и недостатки использования программного обеспечения с открытым исходным кодом. Несмотря на низкую стоимость, в случае его внедрения в инфраструктуру предприятия затраты на оборудование не исчезают, поскольку ПО используется на аппаратных платформах. Однако, таким образом заказчик избавляется от привязки к определенному оборудованию производителя, получая полную свободу выбора. Высокая гибкость, полная адаптация под бизнес-требования и поддержка работоспособности выполняется разработчиками и инженерами, на содержание которых также необходимы ресурсы. Все гарантии, ответственность и скорость реакции распределяются внутри компании между подразделениями. В случае отсутствия специалистов, ответственных за поддержание работоспособности решения, необходимо принять риск отсутствия гарантии работы ПО.
Итого, в корпоративной инфраструктуре предпочтительным вариантом является установка и использование сертифицированных коммерческих решений в случае, если от качества их работы зависит бизнес, либо компания предоставляет услуги на базе данного оборудования. ПО с открытым исходным кодом рациональнее использовать для вспомогательных не критичных для бизнеса компании систем в случае отсутствия штата разработчиков ПО. При этом необходимо принять риски возможного сбоя в работе и отсутствия ответственности разработчика за подобные последствия.
Применимо к инфраструктуре безопасности, в случае использования коммерческих систем обнаружения вторжений вполне логично то, что системы управления разрабатываются производителем специально для мониторинга событий, которые отрабатывают сетевые сенсоры, при этом обеспечивая гарантированную доставку пакетов и шифруя передаваемые данные. Однако, несмотря на подобный функционал, большинство сетевых сенсоров и систем управления ими ведущих производителей не в состоянии определить такие показатели функционирования агентов IDS, как корректность работы SPAN-сессии, наличие отклонений от нормы трафика. Для определения резких изменений сетевой активности, признаков несогласованной реорганизации участка сети, расформировании SPAN-сессий и т. п., как правило, необходимо вмешательство человека, поскольку ни системы обнаружения вторжений, ни системы управления ими не могут автоматически однозначно оповещать администратора о подобных происшествиях. 


Основные системы управления сетевыми сенсорами IDS должны обеспечивать гарантированное соединение и сбор информации по защищенным криптографическими средствами протоколам. Примером целесообразности внедрения приложений с открытым исходным кодом может служить использование дополнительных систем мониторинга некоторых параметров серверов и сетевого оборудования, таких как загрузка процессоров, памяти, сетевых интерфейсов, использования дискового пространства, температуры и т. п.





Комментариев нет:

Отправить комментарий