Бывшие инженеры Cisco готовят убийцу для традиционных сетевых экранов

Бывшие инженеры Cisco готовят убийцу для традиционных сетевых экранов

Весной 2006 г. компанию Cisco покинули 5 инженеров-разработчиков, которые решили организовать собственную компанию Rohati Systems и заняться созданием новой технологии защиты сети, позволяющей отказаться от традиционных экранов, защищающих сеть по периметру.

Как заявил исполнительный директор и президент Rohati Шейн Бакли (Shane Buckley), традиционный сетевой экран с его списками контроля доступа не способен выполнить все поставленные перед ним задачи, т.к. сейчас IP-адрес уже не является однозначным идентификатором устройства и его пользователя, а технологии подмены IP-адреса известны даже начинающим хакерам.

Rohati намерена решить проблему с помощью сетевого устройства управления доступом, которое ограничивает доступ к приложениям (например, к пакету для совместной работы Microsoft SharePoint) на основании результатов аутентификации пользователя. По замыслу разработчиков, устройство, получившее название Transaction Networking System (TNS), должно располагаться рядом с защищаемыми данными, т.е. в центре обработки данных. Оно проверяет, можно ли конкретному пользователю разрешить доступ к хранящимся в дата-центре данным приложения. Причем TNS делает это на основе верительных данных пользователя, которые могут включать протоколы аутентификации Kerberos, VPN SSL или Microsoft NTML.

Работа TNS на уровне приложения состоит в том, чтобы установить списки контроля доступа на уровне 7, т.е. на уровне приложения, чтобы определить круг лиц, имеющих доступ к данным. Использование TNS начинается с того, что устройство переводится в режим мониторинга событий, в котором оно следит за пользователями, получающими доступ к данным, и перехватывает все выполняемые ими транзакции, такие как открытие и закрытие файлов. Таким способом устройство изучает все транзакции в сети, что позволяет ему построить политику защиты (администраторы сети могут затем ее подкорректировать). Эта политика определяет, какие операции и каким пользователям следует разрешить или наоборот запретить выполнять. В том числе она определяет кому из пользователей разрешено чтение, запись или удаление данных. Для описания политик доступа к данным устройство использует язык разметки контроля доступа XACML (eXtensible Access Control Markup Language), утвержденный в качестве стандарта консорциумом OASIS. Причем для работы устройства не требуется вносить никаких изменений ни в существующие приложения, ни в новое клиентское ПО.

Система TNS проверяет авторизацию пользователя каждый раз, когда он обращается к приложению. Однако никаких проблем с быстродействием выполнения этих операций быть не должно, поскольку обе модели системы TNS - TNS-100 и TNS-500 - построены на базе технологии Infiniband, имеют пропускную способность, соответственно, 4 и 40 Гбит/с и поддерживают до 6 млн соединений.

Источник: iksmedia.ru
www.iksmedia.ru