1 / 25

Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture. Niko Dukić. Partneri. Medijski pokrovitelji. Sadržaj predavanja. Sigurnosni slojevi Mrežna sigurnost Sigurnost svjesna identiteta Nadzor i upravljanje Business case : OB Zabok Zaključak (nameće se sam!).

jill
Download Presentation

Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sigurnost u slojevima: problem dizajna zaštite IT infrastrukture Niko Dukić

  2. Partneri Medijski pokrovitelji

  3. Sadržaj predavanja • Sigurnosni slojevi • Mrežna sigurnost • Sigurnost svjesna identiteta • Nadzor i upravljanje • Businesscase: OB Zabok • Zaključak (nameće se sam!)

  4. Sigurnosni slojevi • Mrežna sigurnost • osnovni mehanizmi zaštite IT infrastrukture • Sigurnost na rubovima IT sustava • Sigurnost poslovnog sustava i internih IT servisa • Sigurnost svjesna identiteta • komplementarna sa mrežnom razinom. Mehanizam kontrole više nije IP adresa već identitet korisnika • Sigurnost klijentskih računala • Nadzor i upravljanje sustavom zaštite

  5. Mrežna sigurnost (1/3) • Osnovni mehanizmi zaštite • Firewall sustavi • IPS / IDS sustavi • VLAN odvajanje • Preporučene razine zaštite • Između produkcijske mreže i Interneta • Sustav kontrolira sav promet između korisničke mreže i Interneta • Odvajanje javnih servisa u posebne DMZ mreže • Zabrana direktnog pristupa prema resursima iz lokalne mreže, • Najčešće mjesto implementacije firewall-a i IPS sustava

  6. Mrežna sigurnost (2/3) • Između poslovnog sustava i korisnika • VLAN access liste na centralnim routerima • najosjetljivije sustave odvojiti posebnim firewall sustavom • Potrebna velika propusnost sustava • Preporučaju se fail-safe kartice i bridge mode ili redundancija • Odvajanje korisnika i poslovnog sustava / IT servisa u odvojene VLAN-ove

  7. Mrežna sigurnost (3/3) • VLAN dolazi sa svojim sigurnosnim propustima, ali više su oni posljedica loše konfiguracije • VLAN ranjivosti dolaze do izražaja povećanjem korištenja virtualizacijskih tehnologija • Prema istraživanjima 70 % organizacija će spojiti LAN sa cijelim ili dijelom DMZ-a radi boljeg iskorištavanja mrežne infrastrukture unutar virtualne okoline

  8. Sigurnost svjesna identiteta (1/4) • Prebacivanje kontrole pristupa sa mrežne razine na korisničku

  9. Sigurnost svjesna identiteta (2/4) • Pristup sustavu prema statistici: • Zaposlenici: 50 % • Gosti: 10 % • Partneri: 20 % • Privilegirani korisnici: 20 % • Korisnika prate prava bez obzira na način pristupa: LAN, wireless, VPN

  10. Sigurnost svjesna identiteta (3/4) • Zaključak • sigurnost sustava najviše mogu ugroziti zaposlenici i privilegirani korisnici koji prema mrežnoj sigurnosti imaju ista prava i ona ovise o IP adresama; promjenom radne stanice mogu imati veća prava

  11. Sigurnost svjesna identiteta (4/4) • Identitet za pristup koristi radnu stanicu • Uglavnom se koriste tradicionalni mehanizmi zaštite bez povezanosti sa identitetom: • Antivirus / antispyware • Patchdeployment • Napredniji mehanizmi zaštite / identityaware: • 802.1x • NAC

  12. 802.1x (1/3) • Autentifikacijski protokol za wired i wireless mreže • Svrha: • Kontrola pristupa na razini porta (on / off status) • praćenje pristupa mrežnim resursima • Sigurnost javnih mreža (fakulteti, škole, bolnice) • Moguće proširenje sa naprednim ekstenzijama

  13. 802.1x (2/3) • Problemi kod dizajna: • Jednostavna implementacija sa on / off funkcionalnošću. Napredne funkcionalnosti je potrebno dobro testirati • Kako kontrolirati uređaje koji ne podržavaju ili nisu konfigurirani za 802.1x (IP Telefoni, mrežni printeri, vanjski korisnici) • Odabir klijentskog softvera i RADIUS servera • Pristup mreži prije autorizacije korisnika (remote upravljanje, GPO, DHCP requesttimeout)

  14. 802.1x (3/3) • Zaključak: • Ograničeni protokol, ali lowcost rješenje koje znatno povećava sigurnost • Gartner podaci za 2008: • Radi složenosti implementacije samo 13 % organizacija ima implementirano 802.1x rješenje • Do 2011 broj će porasti na 50 % • U slučaju olakšanja implementacije taj bi broj mogao porasti na 70 %

  15. NAC (1/2) • Nadogradnja 802.1x rješenja • Pristup se ostvaruje na temelju identiteta i provjere stanja radne stanice bez obzira na lokaciju • Gartner podaci za 2008: • 37 % korisnika ima ili je u planu implementacija • 70 % sljedeće godine • Najčešća upotreba: • Guestisolation: 79 % • Endpointbaselining: 15 % • Identityawarenetwork: 5 % • Monitoringandcontainment: 1 %

  16. NAC (2/2) • omogućuje jednostavnu implementaciju drugih sigurnosnih mehanizama • Provjera stanja / automatsko ažuriranje • Izolacija za goste • Dinamičko dodjeljivanje VLAN-a i ACL • Integracija sa firewall sustavima radi kreiranja userbased access lista ili captive portala

  17. Nadzor i upravljanje • Ključna odluka kod nadzora sustavom zaštite IT infrastrukture • Singlevendor vs. Multivendor (best ofbreed) policy • Singlevendorpolicy • Jednostavan nadzor i upravljanje • Manji TCO • Jeftinije održavanje • Najbolji primjer: Check Point • Multivendorpolicy • Tehnički kvalitetnije rješenje, ali puno teže za implementirati i održavati • Puno skuplje održavanje • Puno teži nadzor i upravljanje • Trenutni trend je singlevendorpolicy

  18. Businesscase: OB Zabok (1/4) • Poslovna potreba: • zaštita podataka o pacijentima • Zaštita poslovnog sustava • Problemi • veliki broj IP uređaja (serveri, radne stanice, IP telefoni, medicinska oprema) • Veliki broj nekontroliranih posjetitelja • Veliki broj otvorenih prostora sa priključcima na lokalnu mrežu

  19. Businesscase: OB Zabok (2/4) • Zašto CS: • jednim projektom postavljena osnova za: • Ispunjenje obveza prema EU regulativi i politici bolnice vezano uz čuvanje informacija, zaštitu osobnih podataka, tajnost informacija • postavljeni tehnički preduvjeti za uvođenje vlastitog ISMS-a: mrežna sigurnost, pristupne kontrole, firewall, kontrola identiteta, vanjski korisnici, zaštita klijenata… • dizajn, implementacija i održavanje kroz jednu tvrtku (koja ima certifikat ISO27001:2005)

  20. Businesscase: OB Zabok (3/4) • Rješenje obuhvaća: • Cisco firewall, L2 / L3 preklopnike • Cisco ACS (RADIUS) server • 802.1x autorizacija koristeći Windows XP klijent i ActiveDirectory • Check Point Integrity klijent

  21. Businesscase: OB Zabok (4/4) • Implementacijom sustava omogućeno je • Zaštita pristupa sa Interneta • Zaštita poslovne mreže na razini VLAN-a • 802.1x autorizacija za svu mrežnu opremu na koju se spajaju radne stanice • Osobni firewall dodatno kontrolira pristup mrežnim resursima prema grupi u AD-u • Kontrola aplikacija koje se mogu pokrenuti • Provjera stanja antivirusnog softvera • Provjera instalacije dodatnih Microsoft zakrpa

  22. Pogled u sadašnjost / budućnost • Integrity je naslijedio Endpointsecurity suite uz dodane funkcionalnosti: • antivirusna / antispyware provjera, • ista pristupna prava kroz LAN i VPN sustav • enkripcija cijelog diska na radnim stanicama • granularna kontrolu USB uređaja i pokretnih medija • U H1 2010 izlazi novo Check Point NAC rješenje • Upravljanje pristupa gostima na višem nivou • Captive portal • Clientlesscompliancecheck za goste • Dissolvable / lightclientsolution za partnere

  23. Zaključci!!! • Sistematski pristup sigurnosti otpočetka – drugog pristupa nema! • Korištenje best practices/u skladu sa corebusinessom, uz korištenje partnera za IT sigurnost • Primjena “sigurnosti u slojevima”, centralni nadzor i administracija • Uspostaviti ISMS kao okvir unutar kojega će se sigurnost razvijati i održavati na kontrolirani način • Sigurnost projektno ne “završava”, traži pažnju i fokus!

  24. Nakon zaključka

  25. Hvala.

More Related