Стандарты в области безопасности распределенных систем

Стандартов в области безопасности распределенных систем много. Мы выделим три основные группы:

• интерпретация "Оранжевой книги" для сетевых конфигураций [1] ;
• международные стандарты X.800 [2] и X.509 [3]
• рекомендации IETF.

Стандарты будут интересовать нас с конструктивной точки зрения, то есть как руководство к действию, способное помочь при разработке архитектуры и реализации современных информационных систем.

Интерпретация "Оранжевой книги" для сетевых конфигураций

"Оранжевая книга" и близкие ей по духу работы (такие, например, как первые Руководящие документы Гостехкомиссии России) сейчас представляют исключительно исторический интерес. Дело не в том, что устарели сформулированные в них идеи. Просто исчезли объекты и субъекты, на которые они были ориентированы, — изолированные компьютеры с надежным программным обеспечением и злоумышленные пользователи, располагающие только штатными средствами. Можно продолжать сертификацию по классическим образцам, но когда на выходе оказывается Windows NT без НГМД и сетевого интерфейса, становится понятно, что такая сертификация является формальной.

Существенно более интересной является интерпретация "Оранжевой книги" для сетевых конфигураций. В ней содержатся две основные группы идей:

• как получить сетевую надежную вычислительную базу;
• какие сервисы безопасности должны присутствовать в сетевой среде.

Согласно "Интерпретации ...", сетевая надежная вычислительная база формируется из всех частей всех компонентов сети, обеспечивающих информационную безопасность. Надежная сетевая система должна обеспечивать такое распределение защитных механизмов, чтобы общая политика безопасности проводилась в жизнь, несмотря на уязвимость коммуникационных путей и на параллельную, асинхронную работу компонентов.

Основное назначение надежной вычислительной базы — выполнять функции монитора обращений. В "Интерпретации..." формулируется следующее фундаментальное утверждение.

Пусть каждый субъект может осуществлять непосредственный доступ к объектам только в пределах одного компонента. Пусть, далее, каждый компонент содержит свой монитор обращений, отслеживающий все локальные попытки доступа, и все мониторы проводят в жизнь согласованную политику безопасности. Пусть, наконец, коммуникационные каналы, связывающие компоненты, сохраняют конфиденциальность и целостность передаваемой информации. Тогда совокупность всех мониторов образует единый монитор обращений для всей сетевой конфигурации.

Мы обратим внимание на два момента, содержащиеся в приведенном утверждении:

• необходимость выработки и проведения в жизнь единой политики безопасности;
• необходимость обеспечения конфиденциальности и целостности при сетевых взаимодействиях.

Подчеркнем, что нужно не просто один раз выработать единую политику безопасности. Требуется контролировать сохранение согласованности при всех административных действиях. Подобный контроль — одна из важнейших составляющих управления информационными системами.

Требование конфиденциальности и целостности коммуникаций впрямую обращается к такому понятию, как виртуальная частная сеть. Прочие меры безопасности (например, использование выделенных каналов, контролируемых организацией) представляются неэффективными.

"Интерпретация ...", благодаря компонентному подходу, сделала возможным анализ отдельных сервисов безопасности и их комплексирование для получения защищенных конфигураций. Кроме того, она, по сравнению с "Оранжевой книгой", принципиальным образом расширила спектр рассматриваемых сервисов безопасности. Помимо традиционных:

• идентификации/аутентификации;
• управления доступом;
• протоколирования/аудита

появились:

• проверка подлинности и корректности функционирования компонентов перед их включением в сеть;
• протокол оперативной взаимной проверки компонентами живучести и корректности функционирования друг друга;
• криптография как основа обеспечения конфиденциальности и контроля целостности.

Рассмотрение вопросов доступности — одно из важнейших досто"Интерпретации ...". Информационный сервис перестает быть доступным, когда пропускная способность коммуникационных каналов падает ниже минимально допустимого уровня или сервис не в состоянии обслуживать запросы. Удаленный ресурс может стать недоступным и вследствие нарушения равноправия в обслуживании пользователей. Надежная система должна быть в состоянии обнаруживать ситуации недоступности, уметь возвращаться к нормальной работе и противостоять атакам на доступность.

Для обеспечения доступности (непрерывности функционирования) могут применяться следующие защитные меры:

• Внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.). Это элемент архитектурной безопасности, рассматриваемой нами в следующем разделе.
• Наличие средств обнаружения отказов. Если требуется постоянная высокая готовность, необходим специализированный сервис. В остальных случаях достаточно протоколирования/аудита в квазиреальном времени.
• Наличие средств реконфигурирования для восстановления, изоляции и/или замены компонентов, отказавших или подвергшихся атаке на доступность. Это или специализированная функция, или одна из функций управления.
• Рассредоточенность сетевого управления, отсутствие единой точки отказа. Это, как и следующий пункт, — элементы архитектурной безопасности.
• Выделение подсетей и изоляция групп пользователей друг от друга. Данная мера ограничивает зону поражения при возможных нарушениях информационной безопасности.

Каждый компонент, вообще говоря, не обязан поддерживать все перечисленные выше сервисы безопасности. Важно, чтобы он обладал программными и/или протокольными интерфейсами для получения недостающих сервисов от других компонентов и чтобы не существовало возможности обхода основных и дополнительных защитных средств.

Интерпретация "Оранжевой книги" для сетевых конфигураций увидела свет в 1987 году. Нашла ли она отражение в отечественных нормативных документах по информационной безопасности? Во многих ли информационных системах реализованы изложенные в ней архитектурные принципы, задействованы описанные сервисы безопасности? Увы, на все эти вопросы приходится ответить отрицательно.

Международные стандарты X.800 и X.509

Стандарт X.800, появившийся приблизительно в то же время, "Интерпретация ...", описывает основы безопасности в привязке к эталонной семиуровневой модели. Это довольно обширный документ. Мы совсем коротко остановимся на предлагаемых в нем сервисах (функциях) безопасности и на администрировании средств безопасности.

Стандарт предусматривает следующие сервисы безопасности:

• Аутентификация. Имеются в виду две разные вещи: аутентификация партнеров по общению и аутентификация источника данных.
• Управление доступом. Оно обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.
• Конфиденциальность данных. В X.800 под этим названием объединены существенно разные вещи — от защиты отдельной порции данных до конфиденциальности трафика. На наш взгляд, подобное объединение носит формальный характер, от него нет ни теоретической, ни практической пользы.
• Целостность данных. Данный сервис подразделяется на подвиды в зависимости от того, что контролируется — целостность сообщений или потока данных, обеспечивается ли восстановление в случае нарушения целостности.
• Неотказуемость. Данный сервис относится к прикладному уровню, то есть имеется в виду невозможность отказаться от содержательных действий, таких, например, как отправка или прочтение письма. Трудно сказать, насколько целесообразно выделение этого сервиса, поскольку на практике его покрывают протоколирование и аутентификация источника данных с контролем целостности.

Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка прав доступа, анализ регистрационного журнала и т.п.

Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждый компонент системы должен располагать информацией, достаточной для проведения в жизнь избранной политики безопасности.

Отметим, что в условиях глобальной связности администрирование перестает быть внутренним делом организации. Во-первых, плохо защищенная система может стать плацдармом для подготовки и проведения злоумышленных действий. Во-вторых, прослеживание нарушителя эффективно лишь при согласованных действиях многих администраторов. К последнему замечанию мы вернемся в разделе "Протоколирование/аудит".

Стандарт X.509 описывает процедуру аутентификации с использованием службы каталогов. Впрочем, наиболее ценной в стандарте оказалась не сама процедура, а ее служебный элемент — структура сертификатов, хранящих имя пользователя, криптографические ключи и сопутствующую информацию. Подобные сертификаты — важнейший элемент современных схем аутентификации и контроля целостности.

Рекомендации IETF

Сообществом Интернет под эгидой Тематической группы по технологии Интернет (Internet Engineering Task Force, IETF) разработано много рекомендаций по отдельным аспектам сетевой безопасности. Тем не менее, какой-либо целостной концепции или архитектуры безопасности пока предложено не было ("Руководство по информационной безопасности предприятия", Site Security Handbook, RFC 2196 [4] , разумеется, не в счет).

Рекомендации периодически организуемых конференций по архитектуре безопасности Интернет (последняя из которых состоялась в марте 1997 года, см. [5] ) носят весьма общий, а порой и формальный характер. Основная идея состоит в том, чтобы средствами оконечных систем обеспечивать сквозную безопасность. От сетевой инфраструктуры в лучшем случае ожидается устойчивость по отношению к атакам на доступность. На наш взгляд, подход, при котором сеть трактуется как пассивная сущность, предназначенная исключительно для транспортировки данных, является устаревшим. Эту мысль подтверждают и многочисленные публикации об интеллектуальности Интернет нового поколения (Интернет-2).

В трудах конференции 1997 года выделены базовые протоколы, наиболее полезные с точки зрения безопасности. К ним относятся IPsec, DNSsec, S/MIME, X.509v3, TLS и ассоциированные с ними. Далее мы кратко остановимся на двух — IPsec и TLS. Здесь же заметим, что существование (и важнейшая роль) спецификаций DNSsec опровергают положение о том, что от сетевой инфраструктуры ожидается лишь высокая доступность.

Наиболее проработанными на сегодняшний день являются вопросы защиты на IP-уровне. Спецификации семейства IPsec (см., например, [6] ) регламентируют следующие аспекты:

• управление доступом;
• контроль целостности на уровне пакетов;
• аутентификация источника данных;
• защита от воспроизведения;
• конфиденциальность (включая частичную защиту от анализа трафика);
• администрирование (управление криптографическими ключами).

Протоколы обеспечения аутентичности и конфиденциальности могут использоваться в двух режимах: транспортном и туннельном. В первом случае защищается только содержимое пакетов и, быть может, некоторые поля заголовков. Как правило, транспортный режим используется хостами. В туннельном режиме защищается весь пакет — он инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах (в роли которых могут выступать маршрутизаторы или межсетевые экраны). Это обстоятельство будет рассмотрено детальнее в разделе "Туннелирование".

Следует отметить, что IP-уровень можно считать оптимальным для размещения защитных средств, поскольку при этом достигается удачный компромисс между защищенностью, эффективностью функционирования и прозрачностью для приложений. Стандартизованными механизмами IP-безопасности могут (и должны) пользоваться протоколы более высоких уровней и, в частности, управляющие протоколы, протоколы конфигурирования и маршрутизации.

На транспортном уровне аутентичность, конфиденциальность и целостность потоков данных обеспечивается протоколом TLS (Transport Layer Security, RFC 2246 [7] ). Подчеркнем, что здесь объектом защиты являются не отдельные сетевые пакеты, а именно потоки данных (последовательности пакетов). Злоумышленник не сможет переупорядочить пакеты, удалить некоторые из них или вставить свои.

На основе TLS могут строиться защищенные протоколы прикладного уровня. В частности, предложены спецификации для HTTP над TLS.

Особенности современных информационных систем, существенные с точки зрения безопасности	Содержание	Архитектурная безопасность