Starý model zajištění bezpečnosti sítě – obrana perimetru – byl do značné míry stejný jako historický model fyzické bezpečnosti: umístěte své cennosti na bezpečné místo, postavte kolem hradbu a u brány kontrolujte, kdo vchází a vychází. Řada lidí dnes říká, že model perimetru je zastaralý; někteří dokonce tvrdí, že perimetr by vůbec měl být odstraněn. Jakkoliv je dnes důležité chápat nedostatky modelu „hrad a příkop“, každý šéf informatiky by se měl chránit toho, aby lehkovážně odvrhl své firewally.
Pro středověká města chráněná hradbami fungoval přístup obrany perimetru docela slušně; stejně tak docela slušně fungoval i pro počítačové sítě 90. let. V mnoha ohledech je tento přístup od základu zdravý. Je rozumnější zastavit útočníky zesílenou vnější obranou, než je vpustit dovnitř a nechat je, aby se v boji muže proti muži utkali s vašimi značně zranitelnými občany. Nikoho by ani ve snu nenapadlo dát úředníkovi do rukou protitankovou zbraň; je úkolem vojáků ve frontových liniích, aby udrželi tanky v dostatečné vzdálenosti od úředníků.
Žádná obrana perimetru samozřejmě není dokonalá. Trójané se o tom tvrdě poučili už před více než 3 tisíce let, když si do prostoru chráněného hradbami přitáhli onoho obrovského dřevěného koně, který se ukázal být plný řeckých vojáků. Jakmile padouši projdou branami, jsou hradby k ničemu.
Bezpečnostní poradci již řadu let varují, aby organizace nepodceňovaly nebezpečí zevnitř, ze strany vlastních lidí. Soustředění na obranu perimetru podle nich nutně vede k tomu, že poleví pozornost věnovaná vnitřní obraně. Organizace například z pochopitelných důvodů otálejí se záplatováním a upgradem počítačů ve svých sítích, když přece vynakládají takové peníze na firewall. Vnější hrozby se však dokáží protáhnout i tou nejlepší obranou perimetru – buď proto, že si někdo z exekutivy zapojí infikovaný notebook do vnitřní sítě, nebo proto, že padoušský přístupový bod 802.11 umožní těm zvenku, aby bezdrátově pronikli vašimi hradbami a připojili se.
I kdyby perimetry byly dokonalé, tento přístup předpokládá, že to, co je třeba chránit, zůstalo uvnitř ochranného prstence perimetru. Tento předpoklad však v dnešním světě laptopů, webových portálů, paměťových karet a BlackBerry ztratil platnost. Kvalitní informace neustále překračují fyzické i elektronické perimetry každé organizace. Spoléhat se výhradně na obranu perimetru je jako koupit si domácí alarm, abyste ochránili své děti před únosem, a pak je nechat jet do školy samotné newyorským metrem.
Bitva o Jericho
Jedna uživatelská organizace, Jericho Forum, tuto myšlenku posouvá ještě o něco dále, a to v rámci procesu, který toto fórum označuje jako „deperimetrizaci“. Základní idea deperimetrizace spočívá v tom, že organizace by se měly vyrovnat se skutečností, že perimetr je mrtvý, a vyvíjet zásadně nový bezpečnostní model založený na vzájemné autentizaci a silné kryptografii. Jericho Forum (k jehož členům patří velké společnosti jako Barclays, Boeing, HSBC a Rolls-Royce), argumentuje, že k této budoucnosti lze dospět prostřednictvím pečlivého koncipování nové bezpečnostní infrastruktury, která bude zaručovat interoperabilitu a otevřenost. Jericho vyzývá společnosti, aby strhly své vnější hradby a spoléhaly na obranu zabudovanou do hostitelů, aplikací a dat samotných.
Deperimetrizace se jistě jeví jako rozumná věc ve firmě, jako je Boeing; obrana perimetru je poněkud problematická, jestliže za firewallem máte 150 000 zaměstnanců. Jistě, můžete mít firewall uvnitř firewallu, abyste ochránili to nejlepší, co máte – oddělit například účtárnu od strojírny – ale kde se to zastaví? Jericho argumentuje, že je rozumné budovat firewally co nejmenší – například pro každý počítač jeden.
Takováto vize sítě je de facto prostředí, které jsem měl na MIT, což je „podnik“, který má desetitisíce počítačů, jež bezpečně spolupracují bez nějaké celkové obrany perimetru. Na MIT se předpokládá, že síť je z podstaty nepřátelská. Proto jsou tamní systémy „opevněny“ proti všem útočníkům, vnitřním i vnějším. Místo toho, aby síť MIT nutila všechny uživatele, aby se znovu autentizovali pokaždé, když se připojují k jiné službě, používá se jako jediný sign-on systém Kerberos; uživatelé jednotlivé pracovní stanice se musejí znovu autentizovat jen každých 10 hodin.
Nebezpeční insideři
Má ale deperimetrizace, nehledě na ten poutavý název a velké cíle, nějaký smysl, ať již z hlediska bezpečnostního, finančního nebo třeba historického?
Ano, přes všechny své výhody je dobrá obrana perimetru psychologicky nebezpečná. Ukolébává organizace falešným pocitem bezpečí. Podle Přehledu počítačové kriminality a bezpečnosti CSI/FBI z roku 2005 však útoky z vnějšku měly na svědomí jen méně než 7 procent finančních ztrát způsobených respondentům v důsledku počítačové kriminality. A co více, autoři průzkumu píší, že „získaná data naznačují, že respondenti odhalují akce spáchané insidery zhruba stejně často jako ty, kterých se dopouštějí pachatelé zvenčí, což vrhá jisté pochybnosti na často publikované tvrzení, že velkou většinu zločinů mají na svědomí lidé zevnitř.“
Jinými slovy, i kdyby silná obrana perimetru měla za následek to, že organizace poleví v bdělosti uvnitř svých hradeb, perimetr nadělá celkem vzato přece jen spíše víc užitku než škody. To, co dnešní organizace skutečně potřebují, je vyhodnocení efektivity jejich způsobů obrany perimetru, aby mohly dospět k racionálním rozhodnutím, kde jinde – kromě perimetru – by měly do bezpečnosti investovat. Velké díry v dnešních perimetrech pramení z obchodních rozhodnutí: když se dvě organizace rozhodnou navázat partnerství, jedna z prvních věcí, kterou udělají, je, že prorazí díry ve svých firewallech, aby jejich firemní systémy mohly těsněji spolupracovat. Tyto díry pak mohou přetrvat nejen původní partnerství, ale často i společnosti samotné. Po několika firemních akvizicích už sotva kdo bude vědět, které díry ve firewallu jsou pozůstatkem dávno mrtvých vztahů a které jsou stále důležité, neboť souvisejí s přetrvávajícími obchodními svazky. Totéž často platí i o aktivních VPN obvodech, a dokonce o pronajatých linkách. Lidé prostě dál platí účty, z obav, že zpřetrhání nějakého spojení by mohlo přerušit i něco důležitého.
Jedna z firem, která dokázala z tohoto zmatku vytěžit něco pro sebe, je Lumeta; vyvinula účinný systém, který pomocí síťových map experimentálně vyhodnocuje konektivitu mezi podnikovými sítěmi a v jejich rámci. Tyto mapy často odhalují skryté cesty mezi údajně dobře střeženými podnikovými sítěmi a zbytkem internetu.
Perimetr v praxi
Základní problém deperimetrizace navrhované organizací Jericho Forum spočívá v tom, že ignoruje bezpečnostní doktrínu obrany do hloubky. I kdyby všichni vaši hostitelé dokázali odolat útokům z otevřeného internetu, pořád ještě je určitá výhoda v tom, když přidáte tu jednu obrannou vrstvu navíc v podobě firewallu. Například je-li odhalen nový útok, je rozhodně rychlejší zablokovat tento útok novým pravidlem na firewallu než naprogramovat každý počítač, aby se aktualizoval. Upřímně řečeno, nedokážu si představit, jak by mohl kterýkoliv sebe dbalý CIO poslat firewall do starého železa, jestliže byl jednou instalován. Co když dojde k útoku, který by právě firewall mohl zastavit?
Dalším problém s představou Jericha představuje celá ta myšlenka o vytváření nové bezpečnostní architektury spíše než provádění postupných modifikací té, která je v současnosti používána. Internet byl úspěšný, protože ho bylo možno zavádět postupně. Vize Jericha se naopak zřejmě prosadí prostřednictvím firem, které budou zavádět VPN (Virtual Private Network) na aplikační úrovni s použitím SSL. Pokaždé, když obchodní partner bude potřebovat použít vzdálenou službu, jedna aplikace otevře spojení SSL ke vzdálenému serveru a zkontroluje certifikát. Dnes už existuje velice jednoduchá verze tohoto – kdy jedna firma vytvoří SSL-enabled website pro zaměstnance jiné firmy.
Další technologií, která pomůže realizovat vizi Jericha, je Digital Rights Management (DRM, správa digitálních práv). DRM systémy šifrují obsah citlivých dokumentů tak, aby mohl být dešifrován jen oprávněnými osobami. V tomto oboru existuje řada hráčů včetně Microsoftu, Liquid Machines, a dokonce Adobe. Systémy DRM mohou snížit naši závislost na firewallech, protože snižují potenciální škody, které mohou vzniknout v důsledku selhání firewallu.
Přesto upřednostňuji firewall: raději než pustit hackery na interní LAN a spoléhat se čistě na efektivitu VPN na aplikační úrovni chráněné SSL nebo na DRM. Pravda, Jozue zadul na trubku a hradby Jericha se zřítily, načež invazní jednotky zabily každého muže, ženu a dítě ve městě. Vnitřní obrana je skvělý nápad – ale stejně tak jsou to i hezké solidní hradby kolem vlastního perimetru.
PŘEDPLATNÉ
ČLÁNKY DO MAILU