V minulosti měly organizace v podstatě dvě možnosti, pokud chtěly zvýšit ochranu před kyberútoky a implementovat systémy prevence proti průnikům do sítě (IPS). Buď si pořídit drahé dedikované IPS systémy nebo použít integrované řešení s firewallem, které ale dříve často postrádalo dostatečný výkon a odpovídající úroveň zabezpečení. Navíc většina IPS systémů z obou kategorií plně nevyužívala jejich skutečného potenciálu a zůstávala na úrovni dřívějších systémů pro detekci průniků (IDS), které stály bokem provozu a pouze vyhodnocovaly jeho kopii. Jenže IPS stojí v cestě provozu právě proto, aby se zlepšila schopnost útokům zabránit, nejen o nich informovat.

Vývoj IPS

První dedikované IPS systémy vyžadovaly dohled specializovaného týmu a později vyvinuté integrované IPS systémy začleněné do bezpečnostních bran zase mohly ovlivnit výkon firewallu. Správci sítí pak často vypínali integraci IPS s firewallem, aby zajistili dostatečnou konektivitu. Tím ale současně oslabovali zabezpečení.

Situace se ovšem dávno změnila. Jak v oblasti hrozeb, tak i co se týče IPS technologií a potřeb organizací. Sítě přechází z gigabitového ethernetu na podstatně vyšší rychlosti, což uvolňuje kapacitu pro běžné využití multimediálních aplikací, jako jsou VOIP a IP videokonference. Větší objem a rychlejší přenos paketů, ale výrazně zvyšují požadavky na bezpečnost v datových centrech i na perimetru sítě. Nezbytností je vysoká propustnost a nízká latence. A výzvou je i zabezpečení poboček nebo malých kanceláří, protože hrozba útoků roste i pro menší a dříve zdánlivě nezajímavé cíle.

Moderní útoky často využívají zranitelná místa v aplikační vrstvě, takže se dokáží vyhnout obvyklé obraně postavené na firewallu. Detekce hrozeb vyžaduje hloubkové prověřování paketů, aby prevence narušení sítě byla účinná. Ale pouhá, byť detailní, kontrola paketů nestačí. Je potřeba koordinovat a propojit IPS s firewallem.

Masivní nárůst počtu hrozeb i jejich rafinovanosti tak určil nový směr. Dnes je IPS strategie zcela jiná než v minulosti a směřuje k softwarovým vrstvám integrovaným do stávající infrastruktury a bezpečnostních bran. Správu potom dokáže zvládnout i obecný bezpečnostní tým a v současné době nasazení integrovaných IPS už nevyžaduje absolutně žádné bezpečnostní kompromisy.

Moderní IPS

Moderní IPS musí poskytovat komplexní ochranu sítě před škodlivým a nechtěným síťovým provozem, včetně malwarových útoků, Dos a DDoS útoků, serverových zranitelností a zranitelností v souvisejících s aplikacemi, vnitřních hrozeb a provozu souvisejícím s nežádoucími aplikacemi, včetně IM a P2P.

Obavy spojené s výkonem

V posledních několika letech se organizace sice zajímají o integrovanou IPS, přesto stále často volí dedikované IPS řešení. Důvodem je přetrvávající představa, že samostatná specializovaná zařízení jsou nejlepší a důvodem je i neopodstatněná představa, že začlenění IPS do firewallu by mohlo mít negativní vliv na výkon. Samozřejmě, že výkon je stále důležitým kritériem, které je nutné brát v úvahu a posuzovat. Nicméně integrovaná IPS řešení s multi-gigabitovým pokrytím hrozeb jsou již na trhu, takže výkon by neměl být překážkou pro výběr a zavádění integrovaného IPS.

Výhody integrovaného IPS

Naopak podle mnoha analytiků ukazují nejnovější trendy v oblasti nasazení IPS na prudký nárůst integrovaných IPS a jejich začlenění do bezpečnostních bran. Výhody jsou totiž nesporné a můžeme jmenovat například nižší náklady na pořízení, implementace více bezpečnostních zařízení je obvykle dražší než zavedení integrovaného řešení. Úspory jsou spojené i s nepřímými investicemi v podobě různých školení, vzdělávání a správy. Konsolidace také znamená dílčí úspory místa, kabeláže, chlazení a napájení. Integrované řešení na rozdíl od systému s mnoha produkty různých dodavatelů snižuje riziko chyby nebo přehlédnutí.

Dedikované IPS systémy jsou stále vhodné pro některé scénáře

Přesto jsou situace, kdy je dedikované IPS nezbytné. I když budou integrované IPS pravděpodobně stále populárnější, některé scénáře pro samostatné nasazení IPS zůstanou. Dedikované IPS se nejlépe hodí pro použití v části sítě, kde nejsou nasazeny firewally. Provoz mezi určitými částmi sítě nemusí nutně projít přes firewall, takže zavedení dedikovaného IPS zařízení v takovéto části může být rozumným a efektivním řešením. Z praktických důvodů může odůvodnit zavedení samostatného IPS například situace, kdy jsou IPS a funkce firewallu zařazeny do různých síťových bezpečnostních skupin. I když i zde se teoreticky zdá integrované řešení vhodnější.

David Řeháček Autor článku působí jako Field Marketing Manager pro Východní Evropu a Řecko ve společnosti Check Point Software Technologies.