Захищена платформа для Web-додатків, Відкриті системи

Міжмережеві екрани, системи виявлення атак, сканери для виявлення вразливостей вузлів мережі, операційних систем та СУБД, фільтри пакетів на маршрутизаторах — чи достатньо цього арсеналу для забезпечення інформаційної безпеки різних критично важливих систем, що працюють в Internet? Практика показує, що ні.

На відміну від корпоративних мереж, підключених до Internet, де звичайні засоби безпеки вирішують проблеми захисту внутрішніх сегментів мережі від зловмисників, системи електронної комерції та системи надання послуг користувачам Internet висувають підвищені вимоги щодо забезпечення інформаційної безпеки.

Захист внутрішніх інформаційних ресурсів

Використання Internet у комерційній діяльності пов'язане з чималим ризиком залишити без належного захисту програми та інформаційні ресурси: бази даних, файли, програмне забезпечення тощо. Атакам можуть піддаватися як програми, що запускаються Web-сервером, і сама ОС. Досвід показує недостатню здатність комерційних операційних систем UNIX і NT, що широко використовуються, протистояти атакам — описи різних інцидентів, пов'язаних із «зломом» OC і список виявлених уразливостей регулярно публікуються на сайті www.cert.org.

Як зазначено в доповіді експертної комісії SANS Institute (www.sans.org), одними з десяти найбільш критичних загроз безпеці в Інтернеті є уразливості CGI-програм та додатків, що виконуються Web-серверами. Там же наводяться поради та способи усунення цих уразливостей:

  • не запускати Web-сервер від імені користувача root;
  • видалити всі неперевірені та небезпечні CGI-скрипти;
  • ретельно перевіряти коди всіх робочих скриптів та писати їх увідповідно до вимог забезпечення інформаційної безпеки;
  • не розміщувати інтерпретатори скриптів у каталогах разом із самими скриптами;
  • видалити всі CGI-скрипти, що не використовуються;
  • конфігурувати Web-сервер і параметри ОС так (використовуючи chroot), щоб користувачеві були доступні каталоги, з відповідними правами доступу, тільки самого Web-сервера.

Якщо не дотримуватись цих правил, то зловмисник зможе, використовуючи вразливості ОС та Web-сервера, отримати доступ до файлів на сервері, віддалено виконувати команди на сервері або скористатися послугами інтерпретатора команд shell. Як приклад, у таблиці 1 наведено два простих CGI-скрипти мовою Perl, які реалізують ці можливості.

Для протидії потенційним атакам організації впроваджують багаторівневі комплексні системи забезпечення інформаційної безпеки. Наприклад, механізми автентифікації та криптографічні засоби дозволяють захистити інформацію, що передається по мережі Internet між клієнтом та сервером Internet. Однак ці кошти не дають повної гарантії цілісності серверного додатка та його оточення. Програми електронної комерції та оренди послуг зазвичай використовують засоби операційної системи та надають доступ до внутрішніх інформаційних ресурсів організації. Компрометація такої програми створює всі умови для доступу до внутрішніх критичних ресурсів. Останні приклади таких компрометацій і вразливостей додатків наведені в повідомленні SANS Institute (Alert: Large Criminal Hacker Attack on Windows NTE-Banking and E-Commerce Sites, Posted: 15:00 March 8, 2001www.sans.org/network/ alerts/NTE-bank.htm). У повідомленні зазначається, що внаслідок таких дій уже викрадено понад мільйон номерів кредитних карток.

Міжмережні екрани та фільтруючі маршрутизатори, які широко використовуються в багатьох організаціях для захисту внутрішніх мереж від атак з Мережі, не досить ефективні для програм, що забезпечують доступ до Internet-транзакцій та динамічно формують інформацію для браузера користувача. Міжмережні екрани надають досить надійний захист для стандартних Інтернет-служб: SMTP, FTP та HTTP. Однак вони призначені для контролю трафіку між сегментами внутрішньої мережі організації та вузлами зовнішніх глобальних мереж загального користування. Міжмережні екрани не призначені для запуску бізнес-додатків, що надають доступ до внутрішніх інформаційних ресурсів організації. Зазвичай такі Інтернет-програми виконуються на вузлі, розташованому в «демілітаризованій» зоні міжмережевого екрану та надають доступ до внутрішніх інформаційних ресурсів через стандартний Web-інтерфейс.

Збільшення ризику при застосуванні таких систем пов'язане з тим, що Web-сервер повинен взаємодіяти з внутрішніми інформаційними ресурсами організації для динамічного формування інформації, що надається браузеру клієнта. Для цього адміністратор безпеки повинен спеціальним чином налаштувати міжмережевий екран (відкрити відповідний порт і надати можливість Web-серверу з демілітаризованої зони звертатися до іншого внутрішнього сегменту, де знаходиться вузол, наприклад, з необхідної СУБД). У цьому випадку міжмережевий екран тільки забезпечує можливість доступу додатків, які запускаються Web-сервером до внутрішніх інформаційних ресурсів, але не захищає ці ресурси.

Таким чином, захист внутрішніх інформаційних ресурсів, що забезпечується міжмережевими екранами, не є ефективним і дієвим проти атак, що здійснюються від імені скомпрометованих.Web-серверів та/або «зламаних» операційних систем, під керуванням яких вони працюють.

Як зазначено в доповіді «Інвалідіативність феєрверку: The Flawed Assumption of Security in Modern Computing Environments (National Security Agency,http://www.cs.utah.edu/)

sds/inevitability.htm)», необхідність надійно захищеної операційної системи незаперечна. Якщо ОС, під керуванням якої працює Web-сервер, уразлива, то неминуча компрометація платформи для Web-додатків. Ряд компаній створюють на базі Linux захищені версії систем, призначених для використання у рішеннях електронної комерції та у провайдерських центрах при реалізації основних

Internet-служб. Проте захищена операційна система — це лише один із елементів захисту внутрішніх інформаційних ресурсів.

Захищена інформаційна система

Наш практичний досвід, накопичений під час виконання проектів зі створення автоматизованих інформаційних систем, що відповідають вимогам інформаційної безпеки, показує, що дуже часто захищеною вважають систему, до якої входить певний набір апаратно-програмних засобів. Насправді, ступінь захищеності інформаційної системи залежить від конкретних завдань, які вона вирішує і стану навколишнього середовища з усіма її загрозами. Система захисту повинна будуватися з урахуванням найімовірніших загроз, відповідно до розробленої політики забезпечення інформаційної безпеки і має бути багаторівневою: рівень організаційних заходів, мережевий рівень, рівень робочих станцій та серверів мережі. При цьому не можна обмежуватись продуктами захисту тільки від одного постачальника (Cisco Systems, Check Point, Internet Security Systems, Symantec або Hewlett-Packard), тому що одержуване рішення в цьому випадку неминучебуде обмеженим.

У деяких роботах з теорії інформаційної безпеки (наприклад, у Спеціалізованому центрі захисту інформації Санкт-Петербурзького державного технічного університету,www.ssl.stu.neva.ru) робляться спроби відповісти на запитання: що являє собою захищена інформаційна система ? Під захищеною системою обробки інформації пропонується розуміти систему, яка:

  • автоматизує процес обробки конфіденційної інформації з усіх його аспектів, пов'язаних із забезпеченням безпеки;
  • успішно протистоїть загрозам безпеці, що діють у певному середовищі;
  • відповідає вимогам та критеріям стандартів з інформаційної безпеки.

Захищена система обробки інформації для певних умов експлуатації забезпечує безпеку оброблюваної інформації та підтримує свою працездатність в умовах впливу на неї заданої множини загроз.

Сьогодні є досить великий спектр комерційних рішень та продуктів зі створення захищених інформаційних систем (у тому числі і захищених платформ для Web-додатків), які в тій чи іншій мірі задовольняють ці властивості. Ось лише кілька прикладів:

  • Cobalt Networks (захищені сервери для реалізації Інтернет-служб);
  • IBM (Комплексне рішення щодо захисту інформаційного середовища підприємства);
  • Hewlett-Packard (Praesidium VirtualVault – захищена платформа для Web-додатків);
  • Microsoft (рішення на базі Windows 2000 Advanced Server та Datacenter Server);
  • Symantec (Enterprise Security — комплексна стратегія інформаційного захисту підприємств; Axent Webthority — продукт для безпечного доступу до Web-додатків таінформаційному наповненню);
  • «Відкриті технології» (ІРБІС — «Інтегроване рішення щодо безпеки інформаційних систем»).

Для забезпечення інформаційної безпеки систем, що надають різні послуги користувачам Інтернету та забезпечують доступ до внутрішніх інформаційних ресурсів (наприклад, системи електронної комерції), необхідно звернути увагу на такі фактори. У таких системах потрібно використовувати надійно захищені і відповідним чином конфігуровані компоненти ОС, Web-сервера, програми розширення можливостей Web-сервера (скрипти CGI, програми ISAPI і NSAPI, аплети та програми Java) та внутрішніх СУБД, схем автентифікації та шифрування інформації, що передається. Також необхідно додати до таких систем додатковий компонент — сервер додатків, що виконує роль шлюзу (Trusted Gateway Proxy) між Web-сервером та внутрішніми інформаційними ресурсами організації. Сьогодні, на наш погляд, найповніше переліченим вимогам задовольняє рішення VirtualVault.

VirtualVault

HP VirtualVault є спеціально розробленою захищеною платформою для Internet-додатків, що надають доступ до внутрішніх інформаційних ресурсів підприємства. Захищене ядро ​​ОС VirtualVault надає таким програмам середовище виконання, рівень захисту якого значно вищий, ніж у стандартних клонів Unix та Windows NT/2000. Версія VirtualVault 4.0 базується на операційній системі HP-UX 11.0 і працює на серверах сімейства HP 9000 класів A, R, L та N. До складу VirtualVault входять:

  • Комерційна версія захищеної операційної системи HP-UX, яка відповідає класу безпеки B1.
  • Інтегрований із операційною системою Web-сервер Netscape Enterprise Server.
  • Розділене середовище виконання додатків з високим рівнем захисту, яке включає довірче проміжне програмне забезпечення для CGI-скриптів, аплетів та додатків JAVA, для клієнт-серверної взаємодії за технологією CORBA.
  • Модуль SafePassage Snap-in для організації безпечних з'єднань за протоколом HTTP з такими продуктами, як MS IIS, MS Exchange Server, MS Site Server, Solaris Web Server.

На рис. 2 наведено приклад проходження Internet-транзакцій у VirtualVault. Для всіх типів таких транзакцій (CGI-скрипти, аплети та сервлети Java, клієнт-серверні взаємодії за технологією CORBA) існують відповідні агенти-посередники (Trusted Gateway Agent, Trusted Gateway Proxy, Cross-boundary IPC).

Наприклад, зазвичай, коли браузер запитує виконання відповідного CGI-скрипту, Web-сервер його виконує і посилає сформовані дані браузеру. У випадку VirtualVault, Web-сервер та CGI-програми функціонують у різних сегментах системи та не можуть безпосередньо взаємодіяти один з одним. Web-сервер працює у зовнішньому сегменті і може безпосередньо виконувати внутрішню CGI-программу. Такий поділ є однією з важливих переваг щодо забезпечення інформаційної безпеки в системі VirtualVault у порівнянні з іншими перерахованими комерційними платформами для Web-додатків, а також з програмним забезпеченням, що вільно розповсюджується, на базі Linux і FreeBSD з Web-сервером Apache.

Програмний агент-посередник, який забезпечує механізм взаємодії між Web-сервером та програмами CGI називається в системі VirtualVault TGA - Trusted Gateway Agent і складається з двох програмних компонентів - клієнта (tga) та сервера (tgad), що працюють відповідно у зовнішньому та внутрішньому сегментісистеми. Коли Web-сервер у зовнішньому сегменті отримує запит виконання відповідного CGI-скрипта, він запускає клієнта tga, який встановлює з'єднання з сервером tgad. Сервер tgad, що працює у внутрішньому сегменті, виконує відповідну перевірену та зареєстровану програму CGI та встановлює необхідні змінні оточення. Клієнт tga передає інформацію від браузера серверу tgad. При цьому Web-сервер у зовнішньому сегменті системи вважає, що безпосередньо взаємодіє із CGI-програмою.

На сьогоднішній день, в порівнянні з альтернативними продуктами, VirtualVault забезпечує більш високий рівень інформаційної безпеки, оскільки використовує захищену ОС з розділеним середовищем виконання додатків та проміжним ПЗ для доступу до внутрішніх інформаційних ресурсів. Як недоліки даного продукту можна згадати складність установки, налаштування та супроводу.