Защитена платформа за уеб приложения

Защитни стени, системи за откриване на проникване, скенери за откриване на уязвимости на мрежови възли, операционни системи и СУБД, пакетни филтри на рутери - достатъчно ли е този арсенал, за да осигури информационна сигурност на различни критични системи, работещи в Интернет? Практиката показва, че не.

За разлика от корпоративните мрежи, свързани с Интернет, където конвенционалните инструменти за сигурност решават проблема със защитата на вътрешните мрежови сегменти от нарушители, системите за електронна търговия и системите за предоставяне на услуги на потребителите на Интернет налагат повишени изисквания по отношение на гарантирането на информационната сигурност.

Защита на вътрешните информационни ресурси

Използването на Интернет в търговски дейности е свързано със значителен риск от оставяне на приложения и информационни ресурси без подходяща защита: бази данни, файлове, софтуер и др. Както приложенията, стартирани от уеб сървъра, така и самата операционна система могат да бъдат атакувани. Опитът показва недостатъчната способност на широко използваните търговски операционни системи UNIX и NT да се противопоставят на атаки - описания на различни инциденти, свързани с хакване на OC, и списък с открити уязвимости редовно се публикуват на уебсайта www.cert.org.

Както се посочва в доклада на експертната група на Института ДАНС (www.sans.org), една от десетте най-критични заплахи за сигурността в Интернет са уязвимостите в CGI програми и приложения, работещи на уеб сървъри. Има и съвети и начини за отстраняване на тези уязвимости:

  • не стартирайте уеб сървъра като root;
  • премахнете всички непроверени и опасни CGI скриптове;
  • внимателно проверете кодовете на всички работещи скриптове и ги напишете в съответствие с изискванията за осигуряване на информационна сигурност;
  • не поставяйте интерпретатори на скриптове в директории заедно със самите скриптове;
  • премахнете всички неизползвани CGI скриптове;
  • конфигуриране на параметрите на уеб сървъра и операционната система (с помощта на chroot), така че потребителят да има достъп до директории, с подходящи разрешения, само на самия уеб сървър.

Ако тези правила не бъдат спазени, нападателят ще може да използва уязвимостите на OS и уеб сървъра, за да получи достъп до файлове на сървъра, да изпълнява отдалечено команди на сървъра или да използва услугите на черупка. Като пример, Таблица 1 показва два прости скрипта на Perl CGI, които прилагат тези функции.

За да се противопоставят на потенциалните атаки, организациите прилагат многопластови сложни системи за информационна сигурност. Например, механизмите за удостоверяване и криптографските инструменти помагат да се защити информацията, предавана по интернет между клиент и интернет сървър. Тези инструменти обаче не осигуряват пълна гаранция за целостта на самото сървърно приложение и неговата среда. Приложенията за електронна търговия и услуги за отдаване под наем обикновено използват инструменти на операционната система и осигуряват достъп до вътрешните информационни ресурси на организацията. Компрометирането на такова приложение създава всички условия за достъп до вътрешни критични ресурси. За най-новите примери за такива компромиси и уязвимости на приложения, вижте SANS Institute (Предупреждение: Голяма атака на хакерски хакери на сайтове за банкиране и електронна търговия на Windows, публикувано: 15:00, 8 март 2001 г. www.sans.org/network/alerts/NTE-bank.htm). Съобщението показва, че в резултат на такива действия вече са откраднати повече от милион номера на кредитни карти.

Защитните стени и филтриращите рутери, които се използват широко в много организации за защита на вътрешните мрежи от мрежови атаки, не са достатъчно ефективни за приложения, които осигуряват достъп до интернет транзакции и динамично генерират информация за потребителския браузър. Защитните стени осигуряват достатъчна сигурност за стандартните интернет услуги: SMTP, FTP и HTTP. Те обаче са предназначени да контролират трафика между сегменти от вътрешната мрежа на организацията и възли на външни публични глобални мрежи. Защитните стени не са предназначени да изпълняват бизнес приложения, които осигуряват достъп до вътрешните информационни ресурси на организацията. Обикновено такива интернет приложения се изпълняват на сайт, разположен в "демилитаризираната" зона на защитната стена и осигуряват достъп до вътрешни информационни ресурси чрез стандартен уеб интерфейс.

Повишеният риск, свързан с използването на такива системи, се дължи на факта, че уеб сървърът трябва да взаимодейства с вътрешните информационни ресурси на организацията, за да формира динамично информацията, предоставена на клиентския браузър. За целта администраторът на защитата трябва специално да конфигурира защитната стена (отворете подходящия порт и позволете на уеб сървъра от DMZ да получи достъп до друг вътрешен сегмент, където се намира възелът, например с необходимата СУБД). В този случай защитната стена осигурява само възможността на приложенията, стартирани от уеб сървъра, да имат достъп до вътрешни информационни ресурси, но не защитава тези ресурси.

По този начин защитата на вътрешните информационни ресурси, осигурени от защитни стени, не е ефективна и ефикасна срещу атаки, които се извършват от името на компрометирани уеб сървъри и/или „компрометирани“ операционни системи, под които те работят.

Както е посочено в „Неизбежността на неуспеха: Порочното предположение за сигурност в съвременните изчислителни среди“ (Агенция за национална сигурност, http://www.cs.utah.edu/

sds/неизбежност.htm) ", Необходимостта от надеждно защитена операционна система е неоспорима. Ако операционната система, работеща с уеб сървъра, е уязвима, тогава платформата за уеб приложения неизбежно ще бъде компрометирана. Редица компании създават базирани на Linux защитени версии на системи, предназначени за използване в решения за електронна търговия и в центрове за доставчици при внедряване на основни

Интернет услуги. Защитената операционна система обаче е само един от елементите за защита на вътрешните информационни ресурси.

Защитена информационна система

Нашият практически опит, натрупан при изпълнението на проекти за създаване на автоматизирани информационни системи, отговарящи на изискванията на информационната сигурност, показва, че много често една система се счита за защитена, която включва определен набор от хардуер и софтуер. Всъщност степента на сигурност на информационната система силно зависи от конкретните задачи, които тя решава, и от състоянието на околната среда с всички нейни заплахи. Системата за защита трябва да бъде изградена, като отчита най-вероятните заплахи, в съответствие с разработената политика за информационна сигурност и трябва да бъде многопластова: нивото на организационни мерки, мрежовото ниво, нивото на работните станции и мрежовите сървъри. В същото време не може да се ограничава до продукти за защита само от един доставчик (Cisco Systems, Check Point, Internet Security Systems, Symantec или Hewlett-Packard), тъй като полученото решение в този случай неизбежно ще бъде ограничено.

В някои трудове по теория на информационната сигурност (например в Специализирания център за информационна сигурност на Санкт-Петербургския държавен технически университет, www.ssl.stu.neva.ru ) правят се опити да се отговори на въпроса: какво представлява защитената информационна система? Предлага се системата за обработка на защитена информация да се разбира като система, която:

  • автоматизира определен процес на обработка на поверителна информация във всичките й аспекти, свързани със сигурността;
  • успешно се противопоставя на заплахите за сигурността, работещи в определена среда;
  • отговаря на изискванията и критериите на стандартите за информационна сигурност.

Защитена система за обработка на информация за определени експлоатационни условия гарантира безопасността на обработваната информация и поддържа нейната ефективност при условия на излагане на даден набор от заплахи.

Днес има доста голям набор от търговски решения и продукти за създаване на защитени информационни системи (включително защитени платформи за уеб приложения), които в една или друга степен удовлетворяват изброените свойства. Ето само няколко примера:

  • Cobalt Networks (защитени сървъри за внедряване на интернет услуги);
  • IBM (Цялостно решение за защита на информационната среда на предприятието);
  • Hewlett-Packard (Praesidium VirtualVault - сигурна платформа за уеб приложения);
  • Microsoft (решения, базирани на Windows 2000 Advanced Server и Datacenter Server);
  • Symantec (Enterprise Security, цялостна корпоративна стратегия за киберсигурност; Axent Webthority, продукт за сигурен достъп до уеб приложения и съдържание);
  • „Отворени технологии“ (IRBIS - „Интегрирано решение за сигурност за информационни системи“).

За да се осигури информационна сигурност на системите, които предоставят различни услуги на потребителите на Интернет и осигуряват достъп до вътрешни информационни ресурси (например системи за електронна търговия), е необходимо да се обърне внимание на следните фактори. В такива системи трябва да използвате надеждно защитени и подходящо конфигурирани компоненти на операционната система, уеб сървър, програми за разширение на уеб сървър (CGI скриптове, ISAPI и NSAPI приложения, Java аплети и приложения) и вътрешни СУБД, схеми за удостоверяване и криптиране на предадената информация . Също така е необходимо да се добави допълнителен компонент към такива системи - сървър на приложения, който действа като шлюз (Trusted Gateway Proxy) между уеб сървъра и вътрешните информационни ресурси на организацията. Днес, според нас, решението VirtualVault отговаря най-пълно на изброените изисквания.

VirtualVault

HP VirtualVault е специално проектирана защитена платформа за интернет приложения, които осигуряват достъп до вътрешни информационни ресурси на предприятието. Защитеното ядро ​​на VirtualVault осигурява на тези приложения време за изпълнение, което е значително по-сигурно от стандартните клонове на Unix и Windows NT/2000. VirtualVault 4.0 е базиран на операционната система HP-UX 11.0 и работи на сървъри HP 9000 клас A, R, L и N. VirtualVault включва:

  • Търговска версия на защитената операционна система HP-UX, която отговаря на клас сигурност B1.
  • Вграден в операционна система уеб сървър Netscape Enterprise Server.
  • Силно защитено изпълнение на разделено приложение, което включва доверен междинен софтуер за CGI скриптове, аплети и JAVA приложения за комуникация CORBA клиент/сървър.
  • Модул SafePassage Snap-in за установяване на защитени HTTP връзки с продукти като MS IIS, MS Exchange Server, MS Site Server, Solaris Web Server.

На фиг. Фигура 2 показва пример за провеждане на интернет транзакции във VirtualVault. За всички видове такива транзакции (CGI скриптове, Java аплети и сървлети, взаимодействия клиент-сървър, използващи технологията CORBA) има съответни посреднически агенти (Trusted Gateway Agent, Trusted Gateway Proxy, Cross-border IPC).

Например, обикновено, когато браузър поиска изпълнение на съответния CGI скрипт, уеб сървърът го изпълнява и изпраща генерираните данни на браузъра. В случая на VirtualVault уеб сървърът и програмите CGI се изпълняват на различни сегменти на системата и не могат да комуникират директно помежду си. Уеб сървърът работи на външния сегмент и не може директно да изпълнява вътрешната програма CGI. Това разделяне е едно от важните предимства на сигурността на VirtualVault пред останалите изброени платформи за търговски уеб приложения, както и безплатния Linux и FreeBSD базиран софтуер с Apache Web сървър.

Софтуерният посреднически агент, който осигурява механизъм за взаимодействие между уеб сървъра и програмите CGI, се нарича в системата VirtualVault TGA - Trusted Gateway Agent и се състои от два софтуерни компонента - клиент (tga) и сървър (tgad), работещи, съответно, във външния и вътрешния сегмент на системата. Когато уеб сървърът на интерфейса получи заявка за изпълнение на подходящия CGI скрипт, той стартира tga клиента, който се свързва със сървъра tgad. Сървърът tgad, работещ във вътрешната група, изпълнява съответната проверена и регистрирана програма CGI и задава необходимите променливи на средата. Tga клиентът изпраща информация от браузъра до tgad сървъра. В този случай уеб сървърът във външния сегмент на системата приема, че той взаимодейства директно с програмата CGI.

Днес, в сравнение с алтернативните продукти, VirtualVault осигурява по-високо ниво на информационна сигурност, тъй като използва защитена операционна система с разделена среда за изпълнение на приложения и мидълуер за достъп до вътрешни информационни ресурси. Недостатъците на този продукт включват сложността на инсталирането, конфигурирането и поддръжката.