Článek "Přepínače obsahu" byl uveřejněn v časopise IT Systems č.12/2005.

Pro dosažení vysoké úrovně zabezpečení svých sítí mají firmy bezpočet možností, pokud jde o šíři nabídky nejrůznějších bezpečnostních produktů. Výběr toho správného však zdaleka není jediným aspektem, s nímž je třeba se vyrovnat. Záplava obsahu zahlcuje bezpečnostní systémy ve firmě a ohrožuje tak probíhající procesy a operace nebo ovlivňuje produktivitu uživatelů.

Tuto situaci lze řešit využitím moderních produktů - přepínačů obsahu pracujících na sedmé vrstvě (content switch). Ačkoliv mnohé reprezentativní průzkumy hovoří o tom, že typicky přes 90 % dotázaných firem disponuje nástroji typu antivirových programů, nezřídka odhalí i to, že tak jako tak se 85 % subjektů stane obětí virové „nákazy“. Následky sice nemusejí být vždy zcela katastrofické, dodavatelé reagují na nové hrozby zpravidla rychle a v mnoha případech je nebezpečí vzápětí zažehnáno, ale přesto není nikdy od věci zamyslet se nad tím, jak bezpečnostní linie podniků ještě posílit. Zvláště proto, že aktivity tvůrců virů a škodlivých kódů rok od roku sílí.

Vyšší propustnost

Typickým problémem firem, jež využívají vysokorychlostní internetové připojení, je omezená propustnost bezpečnostních zařízení pro kontrolu obsahu - ta se většinou pohybuje kolem 3-5 Mb/s. Klíčovou otázkou tedy je, jak zaručit maximální bezpečnost bez degradace propustnosti sítě. Tento problém zahrnuje tři základní aspekty, jimiž jsou výkon (akcelerace výkonu při kontrole obsahu), škálovatelnost a vysoká dostupnost a konečně optimalizace. V rámci optimalizace bereme v potaz zejména možnost využívat pro kontrolu různých druhů obsahu nejvhodnější nástroje různých výrobců podle požadavků konkrétní organizace. Předpokládejme přitom, že převážnou část internetového provozu tvoří HTTP, FTP a elektronická pošta (SMTP, POP3) přenos.

Řešení, které si zde popíšeme, spočívá v nasazení speciálního content switche (přepínače obsahu) pracujícího na sedmé, tedy aplikační vrstvě. Jsou schopny zajistit jak vyrovnávání zátěže (load balancing), tak několik dalších unikátních funkcí, jako je předzpracování přenosu a jeho nasměrování na odpovídající bezpečnostní systémy, a to i s možností více násobného prověření (flow control).

Akcelerace výkonu

Maximalizace výkonu při kontrole obsahu ve vysokorychlostní podnikové síti lze dosáhnout typicky sdružením většího počtu bezpečnostních produktů do (méně či více rozsáhlé) farmy, v níž jsou úlohy rozdělovány prostřednictvím funkce load balancingu v příslušném přepínači. Přitom například zapojením pětice antivirových bran do jedné farmy se výkonnostní kapacita násobí pěti, takže nárůst výkonu je v této situaci snadno vyčíslitelný. Další akceleraci výkonu pak zajišťují speciální funkce zabudované v těchto typech přepínačů - jedná se o využití tzv. algoritmů pro předběžnou kontrolu obsahu (pre-screening), díky níž lze zpracování síťového provozu ještě dále podstatnou měrou urychlit.

V principu jde o to, že nemalou část dat, jež jsou přenášena na bázi protokolu HTTP, je možné apriori považovat za zcela bezpečnou - tedy důvěryhodnou, neboť v principu nemohou obsahovat žádný druh škodlivého obsahu. Jedná se typicky o obrazová data (GIF, JPG atd.) či audiovizuální soubory (MP3, MPEG, …). Většina HTTP elementů je přitom identifikovatelná pomocí MIME type, díky čemuž je možné důvěryhodný obsah snadno identifikovat.

V přepínané architektuře, jakou jsme si popsali, je pak možné důvěryhodný obsah předem identifikovat v příslušném přepínači a nasměrovat jej přímo do sítě, čímž odpadá část zátěže pro bezpečnostní systémy kontrolující již pouze „nedůvěryhodný“ obsah. Nejde přitom o nijak zanedbatelný problém, neboť taková data tvoří v průměru až 80 % internetového obsahu. V takovém případě se jedná o pětinásobnou akceleraci inspekce obsahu.

Optimální kontrola

Při budování farmy bezpečnostních systémů lze nejen zvyšovat výkonovou kapacitu výsledného řešení, ale také kombinovat několik typů produktů (navíc i od různých výrobců) za účelem optimalizace kontroly obsahu. To znamená, že pro různé typy obsahu lze využít odlišné produkty tak, aby byla zajištěna maximální úroveň zabezpečení a proces ověřování probíhal co nejefektivněji. Případně ověřit provoz současně pomocí produktů od různých výrobců. V principu jde o to, že se dá obsah rozlišit na základě typu (HTML, SMTP, FTP, ZIP atd.) nebo příslušné aplikace a poté zvolit vhodný kontrolní nástroj - obsah, který je nejcitlivější z hlediska zpoždění, je poslán primárnímu výkonnému antivirovému nástroji, zatímco méně citlivý obsah je postoupen jiným volným zdrojům.

Obvykle je v takovém scénáři například vhodné, aby existoval dedikovaný produkt (či několik produktů) pro ověřování HTML a XML obsahu, neboť jeho rychlé zpracování podstatnou měrou ovlivňuje rychlost HTTP přenosu. Stejně tak je vhodné zvlášť zpracovávat zpravidla objemné archivované soubory (identifikovatelné podle jejich MIME typů). Samozřejmě je třeba klást důraz na to, aby přepínač, který je jádrem takového řešení, spolupracoval s produkty všech klíčových dodavatelů bezpečnostních řešení (McAfee, eSafe apod.). Podobně lze také využívat zařízení pro filtrování webů. Jestliže přepínač obdrží požadavek uživatele ve firmě na určitou stránku, je přesměrován k takovému systému a zde porovnán s předdefinovanou databází nevhodných webových stránek. Přepínač, který tyto požadavky zpracovává, navíc může disponovat funkcí pro definování seznamu autorizovaných stránek, a pokud mu požadavek neodpovídá, teprve tehdy je přeposlán příslušnému filtru.

Další zajímavou funkcí přepínačů obsahu je správa datových toků, což představuje sekvenční vyrovnávání zátěže v rámci několika serverových farem, jež poskytují různé služby. Zde je možné definování odlišných politik pro různé skupiny uživatelů podle různých kritérií (podle adresy zdroje a cílové destinace, typu přenosu nebo fyzického portu). Například ve škole je provoz studentů zkontrolován antivirem i URL filtrem, provoz vyučujících jen antivirem.

Škálovatelnost a dostupnost

Dalším důležitým požadavkem je zajištění vysoké dostupnosti, tzn. aby nedošlo k výpadku v případě, kdy dojde k selhání konkrétního antivirového produktu zapojeného v rámci cesty datového přenosu. Tomu se lze vyvarovat zapojením několika systémů do společné farmy. Moderní přepínače obsahu jsou pro tento případ vybaveny speciálními mechanismy, jejichž prostřednictvím monitorují funkcionalitu bezpečnostních produktů (health monitoring) a obsah směrují pouze na ty, jež jsou plně funkční. Samozřejmostí by také mělo být, že rozšiřování farmy bude možné provést plynule za provozu.

e-mail: system@ccb.cz www.
SystemOnLine.cz
Autor Petr Lasek
autor článku pracuje na pozici product manager ve společnosti VUMS DataCom.