de Ana-Maria Vecernea
Odata cu aparitia si dezvoltarea retelei Internet si a disponibilitatii catre utilizator a conexiunilor de mare viteza, s-a schimbat modul de abordare asupra informarii, comunicarii, colaborarii si dezvoltarii unui business. Ca si reactie fireasca a aparut necesitatea de a fi, in cea mai mare parte a timpului, conectati la resursele interne ale companiei, schimbarea extinzand clasicul orar „nine-to-five”, cat si locatia, devenita acum variabila, a utilizatorului. Evident, ca aceasta dezvoltare a atras si efecte colaterale concretizate prin aparitia formelor de atac, furt de date, infestare, toate aducand in prim-plan problema securitatii informatice. Cu toate ca in fiecare zi beneficiem de avantajele pe care le aduce folosirea Internetului, securitatea nu a fost o prioritate la momentul proiectarii si mai tarziu in dezvoltarea sa. Incercand sa acopere bresele existente, cat si pe cele potentiale, ProVision ofera o gama larga de servicii de consultanta si solutii in domeniul securitatii IT, fiind un partener activ in procesul de educare a companiilor in acest sens. Cu ani in urma, atunci cand se vorbea despre securitate, discutiile se axau in jurul catorva programe de antivirus existente la vremea respectiva pe piata si a catorva vanzatori de firewall-uri, aflati in plin proces de justificare a utilitatii unui asemenea program. Continua dezvoltare a infrastructurii IT a unei companii a atras dupa sine si problema protejarii acesteia de actiunea factorilor externi si, de ce sa nu recunoastem, chiar si interni, pentru ca un procent important al incidentelor de securitate provine din interiorul companiei.
Securitatea perimetrului face parte din procesul de protectie a tot ceea ce inseamna resursa IT si este considerata de multi partea cea mai sensibila a intregului plan de securitate. Justificarea este lesne de inteles: perimetrul este in general punctul „nevralgic” atunci cand vorbim despre atacuri provenite din exterior, dar si din interior, asa cum am amintit si mai sus. In ultimii cativa ani, managementul oricarei companii s-a acomodat cu ideea ca perimetrul retelei nu se mai termina la usa corporatiei, ci, din contra, acesta se extinde pana in hoteluri, aeroporturi, cafenele sau chiar dormitorul angajatilor. Dar, evident ca orice avantaj are pretul sau. Cand aceasta facilitate de a accesa remote resurse interne a devenit disponibila si si-a dovedit utilitatea, au aparut inevitabil si primele riscuri, dar si masuri de diminuare a acestora.
O problema de securitate ce a ridicat multe semne de intrebare in privinta utilizarii tehnologiei VPN a fost expunerea efectiva a resurselor companiei (laptop, PDA, date) la actiunea externa. Dar, intre timp, vanzatorii au creat o adevarata concurenta pe piata in a oferi solutii de VPN care incorporau verificarea integritatii la nivel de endpoint, si amintim aici inspectia device-ului de la care se face conectarea impotriva virusilor si a altor forme de malware, inspectia semnaturilor antivirusilor si a patch-urilor sistemelor de operare si nu numai. Evident ca aceasta „intrecere” a venit in intampinarea cererii formulate din directia companiilor in privinta unei solutii cat mai performante in ceea ce priveste securitatea.
Am asistat, cel putin in ultimul an, la o concurenta pe piata, chiar in privinta tehnologiei utilizate in conjunctie cu notiunea de VPN. Termeni ca IPSec sau SSL sunt familiari mediului IT, numai prin faptul ca au fost pusi intr-o permanenta competitie pentru a da posibilitatea companiilor sa aleaga cea mai buna solutie. Vanzatorii au incurajat practic aceasta desfasurare a lucrurilor, pentru ca, oricum ar fi fost rezultatul final, se punea problema alegerii unei solutii stabile din punct de vedere al securitatii dintr-o oferta de doua, amandoua avand aceeasi tinta. Daca tehnologia IPSec era familiara multora, SSL a inceput de un an o campanie destul de agresiva pentru a-si ajunge din urma si depasi „rivalul”. Aerul fresh pe care SSL l-a adus cu sine a facut o impresie buna analistilor, in ceea ce priveste adaptarea cerintelor stricte de securitate venite din partea potentialilor clienti. Controlul granular al accesului la resursele din interiorul VPN-ului, inspectia la nivel de endpoint bazata pe multiple reguli stabilite de administrator, politicile de acces diferite catre resurse si aplicatii pentru o gama larga de utilizatori: angajati, oameni de vanzari, manageri etc., au atras aprecierea si interesul personalului de securitate din IT si, nu in ultimul rand managerilor de companii care nu considerau VPN o alternativa viabila lucrului „la birou”. Faptul ca SSL nu necesita instalarea unei aplicatii client, reprezinta un alt „plus” adus de aceasta tehnologie, intrucat nu intotdeauna un partener de business are posibilitatea si timpul necesar sa isi instaleze un astfel de „client” pentru a accesa date din interiorul companiei. Iar, de cele mai multe ori, daca acest partener se afla la distanta revine problema securitatii in contextul in care este necesara transmiterea prin Internet, printr-un canal nesecurizat, a aplicatiei client. Vom fi convinsi ca avem un VPN complet sigur daca insusi „clientul” de conectare catre resursele companiei mele a fost trimis printr-un canal nesigur?
Chiar daca o simpla cautare pe google de tipul „IPSec vs. SSL” returneaza destule raspunsuri astfel incat faciliteaza luarea unei decizii intr-un timp mai scurt, fiecare companie va avea propriile criterii interne de decizie, dar care vor merge pe aceeasi idee de securitate a resurselor. Analistii pietei au previzionat pentru 2006 o schimbare cel putin in evolutia tehnologiei SSL. Echipamentele de SSL VPN vor continua sa se apropie de rolul de punct de control al accesului si de definire si aplicare al politicilor de acces.
Va fi interesant de urmarit evolutia conceptului de securitate in acest context.