На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Централизованно-распределенная архитектура системы защиты

Достоинства и недостатки
Реализация данной архитектуры призвана объединить в себе все досто­инства архитектурных решений, рассмотренных выше (соответственно,
устранить их недостатки).
Останавливаясь на рассмотрении достоинств и недостатков распределен­ной и централизованной архитектур системы защиты, естественно (ин­туитивно понятно) будет сделать предположение об оптимальности сле­дующего распределения функциональных задач между компонентами
централизованно-распределенной сетевой системы защиты:
полностью распределенно должны решаться задачи защиты рабочих станций и серверов ЛВС. Реализовываться это должно устанавливае­мой на них клиентской частью системы защиты; » централизованно должны решаться:
- администрирования клиентских частей системы защиты;
- обработка регистрационной информации, собираемой клиент­скими частями системы защиты;
- контроль за действиями пользователей на защищаемых объектах.
Все это должно производиться с серверной части системы защиты -
сервера безопасности. Обратим внимание, что при централизованно-распределенной системе
защиты, ее администрирование осуществляется полностью централизо­ванно. То есть выполняется то принципиальное условие, которое было
нами обосновано ранее. Описываемое далее распределение и масштаби­рование администрантивных функций означает лишь распределение ре­сурсов, призванное снизить вред от возможного выхода из строя сервера безопасности. При этом сам принцип централизованного администриро­вания сохраняется, так как вершиной системы защиты является не сер­вер безопасности, а администратор безопасности. То есть именно адми­нистратор безопасаности является централизующим звеном.
Итак для поддержания функционирования системы в случае отказа сер­вера безопасности функции администрирования клиентских частей дол­жны дублироваться распределенно. Кроме того сетевым агентам (кли­ентским частям системы защиты) должна отводится часть общей задачи контроля и управления. При этом настройка клиентских частей произ­водится самим администратором безопасности (в рамках централизован­ной схемы администрирования), а база данных администратора безопас­ности оказывается распределенной.
Режимы защиты, обеспечиваемые в рамках данной архитектуры, явля­ются более интеллектуальными, поскольку сетевой агент располагает информацией, необходимой для экстренного принятия решений без не­посредственного сигнала от менеджера. При этом потоки информации, передаваемые по сети, существенно сокращаются.
Структура сетевой системы защиты в рамках централизованно-распределенной архитектуры
Структура сетевой системы защиты определяется следующим набором компонент.
» Клиентская часть системы защиты — обеспечивает реализацию меха­низмов защиты на объекте. Используется для проведения контрольных
проверок и регистрации действий пользователей на локальных рабо­чих станциях и информационных серверах ЛВС. Обеспечивает фор­мирование системных журналов в соответствующем формате и ото­бражение их на локальной консоли при запуске соответствующего
интерфейсного модуля.
» Модуль управления локальной базы данных (ЛБД узла ЛВС — обеспе­чивает формирование ЛБД администратора безопасности на основе
сбора и предварительной обработки локальных системных журналов (собственных и базовых журналов используемой платформы и при­кладного ПО), сигналов синхронизации от центральной базы данных (ЦБД), а также сигналов администратора по настройке и обеспече­нию соответствующей политики безопасности в ЛВС.
* Сетевой агент - - программный модуль, обеспечивает маскирующее кодирование (шифрование) и передачу сигналов управления, сигна­лов синхронизации между локальными и удаленными модулями сис­темы защиты, а также обеспечивающий целостность соединений
агент—элемент—менеджер.
* Сетевой менеджер — обеспечивает в дополнение к агенту мультиплек­сирование/демультиплексирование сигналов, передаваемых между ЦБД
и ЛБД. Таким образом, им предоставляется связь точка-многоточка на прикладном уровне модели протоколов ISO/OSI. Кроме того, се­тевой менеджер реализует сеансовую авторизацию клиентских частей системы защиты при их соединении с серверной частью.
» Сетевая подсистема - - обеспечивает эмуляцию консоли удаленной
станции с передачей сигналов управления и обратной связи по сете­вому интерфейсу агент-элемент-менеджер.
♦ Модуль ЦБД - обеспечивает хранение и синхронизацию данных в ЛБД и ЦБД, а также инициализацию учетных данных пользователей ресурсов ЛВС.
♦ Интерфейсный модуль - - обеспечивает просмотр и редактирование
ЦБД в соответствии с принятой политикой обеспечения безопаснос­ти. Также он осуществляет инициализацию функций расширенного контроля удаленного узла (сканирование удаленной консоли) и вы­вод результатов на консоль администратора безопасности.
1 представлена диаграмма потоков управления и компонент­ный состав системы контроля на основе рассматриваемой архитектуры.
Сплошными стрелками на диаграмме выделен информационный поток, обеспечивающий запросы удаленного выполнения программных проце­дур, запускаемых из интерфейсного модуля администратора в специали­зированном формате, представляя собой по существу некоторое подобие сетевых программ удаленного доступа.
Пунктирными стрелками обозначен поток данных, обеспечивающий ав­томатическую передачу журналов регистрации, фрагментов системных структур ядра ОС, а также любых настроек программного обеспечения сетевого агента узла ЛВС.
Незакрашенными (полыми) стрелками обозначен поток данных, инкап­сулирующий в себе команды, данные и параметры конфигурации сете­вого агента, а также несущий в себе последовательность меток времен­ной синхронизации. Защищенность этого потока обеспечивается в режиме канального шифрования из конца в конец (то есть при непосредствен­ной передаче информации от агента к менеджеру через ЛВС).
Серыми стрелками на диаграмме выделяются данные, передаваемые через сты­ковочный шлюз сетевой подсистемы защиты при выполнении контроля в ре­жиме эмуляции удаленного узла. В данном случае имеется в виду, что вне­шний вид системы и интерфейс администратора сохраняются, однако система выбирает информацию для контроля не из структуры ядра и журнальных файлов, а из центральной базы данных (ЦБД) администратора безопасности.
Стрелками, состоящими из точек, выделяется взаимодействие интерфейсно­го модуля администратора и ЦБД, в рамках которого реализуются основные функции удаленного управления (смена паролей, установка таймеров прото­кола, настройка параметров бюджета пользователей и узлов ЛВС, и т.д.).
Волнистыми стрелками выделяются локальные взаимодействия обеспе­чивающие функции защиты на основе технических средств системы защиты, реализуемых клиентской частью.
Централизованно-распределенная архитектура характеризуется незначитель­ным усложнением клиентской части системы защиты по сравнению с рас­пределенной архитектурой, при существенном упрощении серверной ком­поненты системы защиты по сравнению с централизованной архитектурой.
Многоуровневая централизованно-распределенная система
В рамках реализации централизованно-распределенной архитектуры оче­видна возможность распределения функций удаленного управления сис­темой защиты, в частности, посредством реализации многоуровневой
схемы администрирования. В централизованно-распределенной одноуров­невой архитектуре, рассмотренной выше, использовался единственный узел концентрации управления безопасностью в ЛВС.
Рассмотрим вариант большей степени децентрализации, при котором про­исходит дальнейшее наращивание уровней контроля и управления безопас­ностью защищаемых объектов. Реализуется этот вариант с использованием промежуточных систем, которые будут концентрировать управляющую на­грузку различных ЛВС и далее транслировать ее уже непосредственно на
рабочее место администратора безопасности (сервер безопасности более
высокого уровня). Таким образом можно обеспечить масштабирование за­дач управления безопасностью распределенных корпоративных сетей боль­шой сложности. Структура информационных потоков, а также компонент­ный состав подобной архитектуры условно изображены 2.
На приведенной схеме (2) имеется три уровня иерархии объектов
сбора и обработки контролируемой информации.
» Первичный узел концентрации — непосредственно объекты защищае­мой ЛВС.
» Вторичный узел - - узел в составе сегмента корпоративной сети —
ЛВС (сервер администратора безопасности нижнего уровня
иерархии), отвечающий за управление потоками команд и сигналов «клиент-менеджер» между первичными узлами и сервером админист­ратора безопасности верхнего уровня. Каждый вторичный узел конт­ролирует объекты, принадлежащие адресно-функциональной группе, включенной в состав конкретной (конкретных) ЛВС.
• Третичный узел — рабочее место администратора безопасности верх­него уровня иерархии.
Таким образом, на основании всего сказанного выше очевидно, что в современных системах защиты ЛВС централизованно-распределенная архитектура может рассматриваться как основная (типовая) архитектура сетевой системы защиты ЛВС. Принципы распределения функций меж­ду компонентами рассмотрены выше.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика