VADEMECUM Var-ów i Integartorów

Page 1

ISSN 1640-9183

WYDANIE SPECJALNE

maj 2016

Ochrona firmowych sieci

To nie jest takie trudne str. 10

Systemy autentykacji

Bezpieczny dostęp na nowe czasy str. 38

Zasilanie i klimatyzacja

Bez IT biznes się nie kręci str. 54

Bezpieczeństwo

infrastruktury IT w firmach


http://www.kerio.pl

UTM Kerio®Control NG Series

Ochrona sieci, danych i użytkowników

- Kerio Control Next Generation 500, 300 i 100 - Licencja bez limitu użytkowników i bez terminu ważności - Polska konsola administracyjna - Wsparcie techniczne w języku polskim u dystrybutora - Try and buy (zanim kupisz, możesz bezpłatnie testować do 30 dni) Siedziba spółki - adres biura Sun Capital Sp. z o.o. ul. Ołtaszyńska 92c/6 53-034 Wrocław

1-1 CRN.indd 1

Dane kontaktowe tel.: +48 071 707-03-76 tel.: +48 071 360-81-00 fax: +48 071 794-93-76 e-mail: suncapital@suncapital.pl

4/18/16 1:36 PM


Edukacyjna porażka

Fot. Marek Zawadzki

G

dyby ludzie mieli większą świadomość konsekwencji działań podejmowanych w Internecie lub firmowej sieci, być może dzisiaj tak skrupulatna troska o bezpie� czeństwo infrastruktury IT nie byłaby oczkiem w głowie admi� nistratorów i zarządów przedsiębiorstw. Wszyscy eksperci z tej branży podkreślają, że edukacja użytkowników to ich najwięk� sze wyzwanie i jednocześnie największa porażka. Aby uzyskać poufne informacje, przestępcy czasami wcale nie muszą uciekać się do inżynierii społecznej. Wiele osób ochoczo z nimi „współ� pracuje”, i to bez dodatkowych zachęt. Klasycznym przykładem są publikowane tu i ówdzie zdjęcia z pokoju administratorów z różnego typu hasłami znajdującymi się na tablicy. Niedoskonałość haseł była wielokrotnie podkreślana. Bar� dzo łatwo jest je podejrzeć, podsłuchać, wykraść czy przekonać właściciela do ich ujawnienia. Wystarczy stworzyć jakiś atrak� cyjny serwis i nakłonić użytkownika, aby się tam zarejestrował – na 99 proc. użyje hasła, które już gdzieś kiedyś wykorzystał. Sprawę utrudnia też wymóg tworzenia skomplikowanych ha� seł – z wielkimi literami, cyframi czy znakami specjalnymi. Ko� nia z rzędem temu, kto zapamięta skonstruowane według tych zasad hasła – inne do każdego serwisu. Ale dla haseł na razie rozsądnej alternatywy nie ma. Zanim biometria się upowszech� ni, dużo wody w Wiśle upłynie. Wszelkiego typu wieloskładni� kowe uwierzytelnianie i tokeny są w wielu przypadkach zbyt niewygodne i drogie w implementacji. Hasło pozostanie więc z nami jeszcze długo i trzeba się z tym pogodzić. Dlatego w kwietniu br. użytkownicy oraz specjaliści z bran� ży bezpieczeństwa przecierali oczy ze zdumienia, gdy zoba� czyli, że PayPal prosi o… hasło do rachunku bankowego osoby,

które chciały dokonać doładowania konta. Pierwsza myśl – oczywiście phishing. Ale szybko okazało się, że nie ma tu mowy o skutkach przestępczego procederu. PayPal świado� mie zmienił dostawcęę usługi na firmę Trustly, której działa� nia – i tu dopiero pojawia się prawdziwy smaczek – są zgodnie z prawem i europejską dyrektywą Payment Services Directive 2 (a tę Polska będzie musiała przyjąć do końca 2017 r.). Nikomu logicznie myślącemu nie trzeba tłumaczyć z czym wiąże się przyjęcie i upowszechnienie takiego rozwiązania. Włamania łamania do systemów IT banków, których efektem jest kra� dzież haseł, zdarzają się od czasu do czasu. Wprowadzenie podmiotu pośredniczącego, którego zabezpieczenia – pozwo� lę sobie zaryzykować stwierdzenie – będą jednak raczej słabsze niż obwarowanych wieloma restrykcjami banków, zwiększy ry� zyko wycieku. Ten tok myślenia potwierdziły już pierwsze ban� ki, które zablokowały możliwość korzystania z serwisu Trustly. Sam PayPal obiecał oficjalnie odnieść się do zarzutów formuło� wanych przez użytkowników, media i branżowych ekspertów, ale w momencie oddawania tego wydania do druku stosowne� go oświadczenia się nie doczekaliśmy. Trzeba przyznać, że przykre jest to, iż tak popularny serwis jak PayPal jedną decyzją niweczy wiele lat starań włożonych w edukację użytkowników. Niestety, takich przykładów jest więcej – chociażby wyrażone w lutym oczekiwanie FBI, żeby Apple wprowadził backdoora do systemu iOS. Tylko czy na� prawdę będziemy dzięki temu bezpieczniejsi?

Krzysztof JaKubiK redaktor prowadzący

SPIS TREŚCI 4

Okrągły Stół CRN Polska Polityka bezpieczeństwa nie może trafić do firmowego archiwum

48

Zabezpieczanie środowisk wirtualnych Wirtualne maszyny też trzeba chronić

54

Zasilanie gwarantowane i klimatyzacja precyzyjna Bez IT biznes się nie kręci

10

Bezpieczeństwo firmowych sieci Skuteczne i łatwe w obsłudze zabezpieczenia

28

Ochrona przed złośliwym oprogramowaniem Antywirusy – światełko w tunelu

66

Monitoring wizyjny i fizyczna ochrona Fizyczne bezpieczeństwo systemów IT

38

Systemy autentykacji Bezpieczny dostęp na nowe czasy

74

Polityka bezpieczeństwa W trosce o biznesową ciągłość VADEMECUM CRN maj 2016

3


Polityka

bezpieczeństwa

nie może trafić do firmowego archiwum Uczestnicy debaty: Michał Ceklarz, Security Account Manager, Cisco, Michał Król, Security Group Manager, Veracomp, Sebastian Krystyniecki, inżynier systemowy, Fortinet, Michał Mizgalski, specjalista ds. bezpieczeństwa, Be-In, Franciszek Musiel, konsultant techniczny, Cloudware Polska i Jakub Sieńko, dyrektor handlowy, ed&r Polska.

4

VADEMECUM CRN maj 2016


Bezpieczeństwo priorytetem?

Stworzenie skutecznego systemu ochrony elektronicznych danych powinno rozpocząć się… na papierze. Inwestycję należy zacząć dopiero po przeprowadzeniu skrupulatnej oceny, które zasoby i w jaki sposób powinny być chronione. Jednak, jak dowodzi praktyka, właśnie z tym pierwszym etapem firmy mają największy problem. Uczestnicy debaty z cyklu Okrągły Stół CRN Polska zgodnie twierdzą, że konsultacje w tym zakresie to ogromna szansa dla resellerów i integratorów.

CRN Znakomita większość przedsiębiorstw podkreśla, że bezpieczeństwo związane z różnymi obszarami IT jest dla nich kwestią priorytetową. Czy w praktyce rzeczywiście polskie firmy traktują to zagadnienie bardzo poważnie? Michał Mizgalski, Be-in Niestety, jako przedstawiciel firmy, która w polskich przedsiębiorstwach i placówkach państwowych dokonuje wielu audytów rocznie, mogę powiedzieć, że w tym zakresie nie jest dobrze. Kwestie bezpieczeństwa poruszane są najczęściej tylko teoretycznie, a konkretne działania podejmowane są dopiero wtedy, gdy wydarzy się jakiś poważny incydent. To przykre, że budowanie świadomości w tym zakresie odbywa się najczęściej przez czynnik zewnętrzny. Dotyczy to nawet placówek, które objęte są rygorystycznymi zapisami prawnymi w zakresie bezpieczeństwa. Dowodem jest fakt, że tylko w sferze samorządowej w 2015 r. „ukradziono” przelewy warte ponad 10 mln zł. Gdyby istniały odpowiednie procedury, a pracownicy byli właściwie przeszkoleni, do czegoś takiego by nie doszło. Michał król, VeracoMp W pewnym stopniu ta świadomość istnieje, bo w przeciwnym razie firmy nie zorientowałyby się, że miał miejsce jakiś incydent. Natomiast, rzeczywiście, przedsiębiorstwa nie przejmują się zbytnio ochroną swych zasobów do chwili, gdy wydarzy się coś niedobrego. Z reguły nie mają też planów działania w takiej sytuacji, nie wspominając o dokumencie określającym politykę bezpieczeństwa. Franciszek Musiel, cloudware Zainteresowanie klientów kwestiami ochrony szybko rośnie, gdy ma miejsce jakieś medialne wydarzenie, np. spektakularne włamanie lub wyciek danych. Wówczas zaczynają się zastanawiać, czy posiadany przez nie antywirus to przypadkiem nie jest zbyt mało. Nawet mniejsze firmy, świadome, że nie stać ich na duże systemy ochronne, zaczynają rozważać, jak można w jakiś kompromisowy sposób poprawić poziom bezpieczeństwa. Niestety, to wszystko dzieje się zbyt wolno. Michał ceklarz, cisco Duży wpływ na tę, rzeczywiście niekorzystną sytuację ma też to, że firmy w Polsce nie są zobowiązane do ujawniania faktu włamania do ich infrastruktury, którego skutkiem jest wyciek danych klientów. Najlepszym przykładem może być ubiegłoroczne włamanie do Plus Banku, o którym praktycznie nie informowały ogólnopolskie media, a tematem zajmowali się wyłącznie dziennikarze branżowi. Tymczasem na Zachodzie, po incydencie o takiej skali, rzeczona placówka prawdopodobnie zakończyłaby działalność. Zamiatanie spraw pod dywan, połączone z brakiem wewnętrznej dyscypliny w firmach, powoduje, że przedsiębiorstwa kupują tylko to, co jest niezbędne do uzyskania akceptacji audytora oceniającego, czy dana placówka spełnia wymogi prawne. seBastian krystyniecki, Fortinet Dość wyraźnie widać, że w firmach poziom świadomości zagrożeń jest niejednokrotnie uzależniony od zasobności portfela klienta, ale rośnie też z upływem czasu. Należy przez to rozumieć, że inwestowanie w coraz bardziej zaawansowane rozwiązania (np. sandboxing, web application firewall itp.) ma miejsce dopiero po zaspokojeniu podstawowych potrzeb w zakresie bezpieczeństwa, takich jak VADEMECUM CRN maj 2016

5


zakup rozwiązań firewall, systemów antywirusowych lub antyspamowych. Uzyskanie wiedzy na temat bezpieczeństwa jest dość łatwe, więc w pewnym stopniu trafia ona do administratorów. Natomiast nie sposób się nie zgodzić, że rzeczywiście najczęściej akcja wywołuje reakcję, czyli inwestycje najczęściej są efektem skutecznego i dotkliwego ataku. A przecież o wiele lepiej zapobiegać niż leczyć. JakuB sieńko, ed&r Potwierdzam, że przedsiębiorcy są świadomi konieczności zabezpieczania się, a także częściowo sposobów ochrony. Natomiast brakuje konsekwencji w działaniu zarządów firm – mam na myśli działania skutecznie zaplanowane i zrealizowane – a także systematycznych audytów czy szkoleń ludzi odpowiedzialnych za ochronę zasobów.

Polityka bezpieczeństwa – zapomniany skarb CRN O konieczności posiadania przez firmy chociażby najprostszego dokumentu, opisującego ich politykę bezpieczeństwa i zasady reagowania na incydenty, mówi się od bardzo dawna. Czy można ocenić, w jakim stopniu ten wymóg jest spełniony w polskich przedsiębiorstwach? Michał król, VeracoMp W bardzo nikłym. Treść dokumentu określającego politykę bezpieczeństwa może być efektem dwóch zjawisk – wewnętrznej potrzeby zarządu przedsiębiorstwa bądź obostrzeń prawnych obowiązujących określony podmiot. I tu warto zauważyć, że istnieje akt prawny, który dotyczy znakomitej większości firm, czyli ustawa o ochronie danych osobowych, w której jest mowa o sposobie ich przechowywania, szyfrowaniu itd. Niestety, w praktyce wiele rządowych czy samorządowych

Franciszek Musiel, Cloudware Polska

6

VADEMECUM CRN maj 2016

Michał Król, Veracomp jednostek nie dba o to, aby działać w zgodzie z prawem, mieć opracowane procedury postępowania w przypadku zagrożenia i opisane sposoby ochrony przed nim. Przykład idzie z góry, więc przedsiębiorcy postępują tak samo. Efektem jest bardzo częsty brak jakiejkolwiek polityki bezpieczeństwa. Franciszek Musiel, cloudware Często też zdarza się, że w firmie przyjęto określoną politykę bezpieczeństwa, ale… nikt o tym nie wie. Istnieje jakiś dokument, opracowany kilka lat temu i nigdy od tamtej pory nieaktualizowany. Albo część zapisów, które można by potraktować jako zasady polityki bezpieczeństwa, znajduje się w regulaminie pracy. Wprawdzie zapoznanie się z nim potwierdza podpisem każdy pracownik, ale wszyscy wiemy, jak to jest ze znajomością treści takich zapisów. Zatem nawet jeśli polityka bezpieczeństwa lub coś, co ją przypomina, w danej firmie istnieje, i tak prawie nikt nie przywiązuje do niej wagi. Michał Mizgalski, Be-in W dojrzałym przedsiębiorstwie system zarządzania bezpieczeństwem informacji jest procesem, a nie aktem, czyli trwa non-stop. Dlatego „właściciel” dokumentu określającego politykę ochrony powinien dokładnie przeglądać go przynajmniej raz do roku albo po każdym wprowadzeniu zmian w prawie, żeby zobaczyć, czy któryś z zapisów nie wymaga aktualizacji, czy nie należy dokonać zmian w firmowych procesach bądź dokupić lub zmodernizować systemy ochronne. Natomiast najbardziej istotne podczas tworzenia polityki bezpieczeństwa są: inwentaryzacja aktywów, które chcemy chronić, ocena ryzyka wystąpienia zagrożenia oraz decyzje o tym, czy i w jaki sposób firma może to ryzyko zmniejszyć lub wyeliminować. Na przykład w normie ISO 27 001 opisanych jest siedem obszarów, w których powinno być szacowane ryzyko, ale oczywiście każda firma może to zrobić po swojemu. Najważniejsze, aby w ogóle taka ocena ryzyka powstała, i to nie tylko na dziś.


Powinna także uwzględniać możliwość zmian w przyszłości, czasem wręcz na przestrzeni wielu lat… CRN Ale jak w dzisiejszych czasach przewidzieć rozwój branży IT i trapiących ją zagrożeń? Michał Mizgalski, Be-in Oczywiście, to trudne, ale nie niemożliwe. Zarząd każdej firmy powinien mieć wizję stopnia i kierunku jej rozwoju, przewidywać, jakie systemy informatyczne będzie wprowadzać, w związku z tym, jakie może wystąpić ryzyko kradzieży ważnych danych czy utraty dostępu do nich. Tego typu zmiany mogą implikować ewolucję bądź rewolucję w polityce bezpieczeństwa. Natomiast naturalnie, pewnie zmiany mogą wystąpić nieoczekiwanie i dlatego konieczna jest regularna weryfikacja przyjętych założeń i ponowna ocena ryzyka. seBastian krystyniecki, Fortinet Dobrym przykładem jest Facebook. Nikt w Polsce kilka lat temu nie był w stanie przewidzieć, jak szybko stanie się popularny. A wiadomo, że niesie wiele zagrożeń, nie tylko związanych z wydajnością pracy. Zarządy i działy IT, dla których dokument polityki bezpieczeństwa ma największą wartość, powinny uświadamiać pracownikom, że to oni niejednokrotnie sprowadzają największe zagrożenie na firmowe dane. Nie zawsze zauważają, że ich działania w sieci mogą mieć przykre w skutkach konsekwencje dla przedsiębiorstwa.

Budzenie świadomości CRN Do właściwej oceny ryzyka potrzebna jest jego świadomość, a najłatwiej o nią w przedsiębiorstwach o wysokiej kulturze biznesowej. Na ile dojrzałe w tym zakresie są polskie firmy? Michał ceklarz, cisco Świadomość ludzi podejmujących decyzje jest bardzo ważna, bo od niej najczęściej zależy wielkość środków przeznaczonych na walkę z zagrożeniami. To właśnie niewystarczająca ilość tych środków lub moment – najczęściej dopiero po katastrofie – gdy są uwalniane, stanowi w Polsce największą bolączkę. Dowodzi tego fakt, że nasz kraj przez wiele lat był największym spamerem na świecie, tak słabo były zabezpieczone polskie komputery… JakuB sieńko, ed&r Bardzo ważna jest umiejętność wyważenia ilości informacji, które trafią do administratora odpowiedzialnego za bezpieczeństwo. Klientowi można zaoferować produkt lub usługę, w efekcie działania których uzyska on informacje o kilkuset elementach wymagających naprawy. Oczywiście, nie będzie wówczas w stanie ocenić wagi każdego z nich, a więc przyjąć odpowiedniej strategii działania. Tu pojawia się zadanie dla integratorów, którzy wspólnie z klientem mogą wybrać np. dziesięć obszarów wymagających pilnej interwencji, a następnie pomogą w rozwiązywaniu kolejnych problemów. Michał Mizgalski, Be-in Dla firm, z którymi rozpoczynamy współpracę w zakresie doradztwa dotyczącego bezpieczeństwa, mamy ankietę sprawdzającą aktualny stan ich zabezpieczeń. Niestety, czasami musimy pomagać im ją wypełniać… Wynika to trochę z faktu, że kiedyś informatyk był panem od wszystkie-

go – wdrażał oprogramowanie i wymieniał toner w drukarce. Dzisiaj od informatyków oczekuje się daleko idącej specjalizacji, natomiast zarządy firm nadal hołdują przestarzałemu podejściu do zatrudniania ekspertów IT. Często są wręcz zdziwieni, gdy mówimy, że błędem jest przyznawanie wszystkim informatykom dostępu do wszystkich zasobów. Podsumowując: gdyby 50 proc. polskich firm zdecydowało się teraz na poważnie podejść do tematu bezpieczeństwa danych, to nikt z nas nie miałby wolnej chwili przez długie lata. CRN Czy miałoby sens zaangażowanie zewnętrznej firmy do przeprowadzenia oceny ryzyka? Michał ceklarz, cisco Zdecydowanie tak. Miałaby ona szansę na bardziej obiektywne przyjrzenie się infrastrukturze i wskazanie jej najsłabszych elementów. Dokładnie na takiej samej zasadzie, jak policjant nie powinien być sędzią we własnej sprawie. To jest obszar, w którym świetnie mogą odnaleźć się resellerzy, czyli świadczyć usługi, nawet niekoniecznie pełnego audytu, ale swego rodzaju doradztwa w zakresie bezpieczeństwa informatycznego i wskazywania podatności na zagrożenie. Franciszek Musiel, cloudware Klienci coraz lepiej rozumieją korzyści płynące z outsourcingu w niektórych dziedzinach. Współpraca z firmami trzecimi w zakresie bezpieczeństwa to kwestia dość delikatna, ponieważ często musi dochodzić do przekazywania poufnych informacji. Ale administratorzy i zarządcy firm zdają sobie sprawę, że, po pierwsze, często nie stać ich na zatrudnienie grupy wykwalifikowanych ekspertów bądź wykształcenie własnych, a po drugie, wiedza i doświadczenie ekspertów z firm trzecich są jeszcze większe, jeśli obsługują wiele podmiotów jednocześnie. seBastian krystyniecki, Fortinet Outsourcing może być realizowany na różne sposoby. Firmy o statusie Managed

Michał Mizgalski, Be-In VADEMECUM CRN maj 2016

7


Jakub Sieńko, ed&r Security Service Provider część działań ochronnych mogą prowadzić z wykorzystaniem własnej infrastruktury albo, w wybranych sytuacjach, instalować pewne urządzenia u klientów i zdalnie nimi zarządzać. Klienci, którzy nie decydują się na rozwijanie własnej infrastruktury i budowanie kadry specjalizującej się w zapewnianiu bezpieczeństwa, z łatwością mogą skorzystać z outsourcingu, który jednocześnie będzie dla nich gwarancją ciągłości prowadzonego biznesu i optymalizacji kosztów. Michał król, VeracoMp Jeszcze niedawno integratorzy bardzo obawiali się chmury jako zjawiska, które odbierze im dochody. Dzisiaj wręcz cieszą się, że powstała, bo przedsiębiorstwa korzystające z cloudu jeszcze bardziej potrzebują profesjonalnej ochrony. Ale chmura zmusiła też wielu dostawców usług IT do przemodelowania sprzedaży, a obecnie podobny proces zachodzi w firmach, które już wcześniej dostarczały rozwiązania ochronne. Kiedyś sprzedawały sprzęt i oprogramowanie, dzisiaj muszą pełnić rolę konsultantów odpowiedzialnych nie tylko za wybrany wycinek działania przedsiębiorstwa, ale jego całość, czasami nawet niezwiązaną bezpośrednio z IT.

żyć klienta, będą cieszyć się bardzo długo trwającą jego lojalnością. Tym bardziej że mniejsze firmy mają niewielkie szanse na zatrudnienie dobrych ekspertów zajmujących się bezpieczeństwem, zresztą nie zawsze ich potrzebują. Często lepsze dla nich jest skorzystanie od czasu do czasu z usługi profesjonalnego doradcy. Michał ceklarz, cisco Jeżeli resellerzy i integratorzy będą w stanie przyjąć tych specjalistów i pokierować ich karierami tak, aby mogli świadczyć dodatkowe usługi, sytuacja stanie się bardzo ciekawa. W dziedzinie IT w kilku obszarach już teraz przegoniliśmy Europę Zachodnią, np. w bankowości czy telekomunikacji. Poza tym nagle pojawili się młodzi i zdolni ludzie, którzy wchodzili na rynek pracy już zaznajomieni z komputerami. Jednocześnie mamy też pokolenie starszych osób, wykluczonych cyfrowo, i problem polega na tym, że to one zasiadają dziś w zarządach wielu firm. Franciszek Musiel, cloudware To oczywiste, że ekspertów IT – nie tylko w dziedzinie bezpieczeństwa – będzie wkrótce brakowało. Dlatego należy zoptymalizować czas, którym dysponują, przez pełne wykorzystanie ich wiedzy i doświadczenia oraz automatyzację niektórych działań. Nie można dopuścić do sytuacji, gdy np. jeden z informatyków przez cały dzień śledzi logi. To całkowita strata czasu, gdyż mamy do dyspozycji dużo oprogramowania do ich analizy. CRN Czy trzeba to rozumieć jako sygnał, że resellerzy powinni obecnie rzucić wszystko i wziąć się za świadczenie usług związanych z bezpieczeństwem, bo tam są największe pieniądze? Michał król, VeracoMp My rekomendujemy taki model, w którym kilku ekspertów ds. bezpieczeństwa zakłada firmę i świadczy usługi doradztwa oraz wsparcia. Czasami słyszymy, że z małą firmą nie będą chciały współpracować duże instytucje,

Wiedza w cenie CRN Gdzie firmy powinny szukać ekspertów do spraw bezpieczeństwa? Jakub sieńko, ed&r W Polsce mamy bardzo dobrych informatyków i wielu zdolnych studentów. Ale ci ludzie są bardzo doceniani za granicą, więc w rodzimych firmach niestety pozostanie ich niewielu. Ten problem jest już widoczny i wiadomo, że będzie narastał. Dlatego integratorzy, którzy potrafią wielowątkowo obsłu-

8

VADEMECUM CRN maj 2016

Michał Ceklarz, Cisco


ale to nieprawda. Banki i towarzystwa ubezpieczeniowe potrzebują przede wszystkim specjalistycznej wiedzy, a wielkość podmiotu, od którego ją uzyskają, jest dla nich sprawą drugorzędną. Veracomp, jako duży dystrybutor, współpracuje z małymi podmiotami i jest to bardzo dobra, merytoryczna współpraca. JaKuB sieńKo, ed&r Potwierdzam, że z małymi firmami rzeczywiście bardzo dobrze się współpracuje. Ale jednocześnie muszę przyznać, że ed&r, jako mały dystrybutor, ma też klientów, którzy są bardzo dużymi integratorami i często prowadzi z nimi projekty zakrojone na szeroką skalę. Wszystko zależy od profesjonalizmu i podejścia firmy partnerskiej.

Co za dużo to niezdrowo...

CRN Czyli przedsiębiorcy, postępując zdroworozsądkowo, mogą zaoszczędzić? Michał MizgalsKi, Be-in Z naszego doświadczenia wynika, że połowę problemów związanych z bezpieczeństwem można zlikwidować za pomocą działań organizacyjnych i wcale nie wymaga to kosztów. Wystarczy przemodelować pewne procesy i, jeżeli ocena aktywów wymagających zabezpieczeń została dokonana prawidłowo, efekty będą bardzo wyraźne. JaKuB sieńKo, ed&r Ważne jest też to, aby ponoszone przez klienta wydatki na rozwiązania ochronne były mniejsze niż koszty ewentualnego odwrócenia skutków ataku. To klasyczny bilans tzw. korzyści utraconych, czyli działanie mające na celu minimalizację szkód. FranciszeK Musiel, cloudware Na tematy wykorzystania różnych rozwiązań ochronnych resellerzy i integratorzy oferujący usługi powinni rozmawiać z zarządami firm, bo czasami jest

Sebastian Krystyniecki, Fortinet to łatwiejsze i skuteczniejsze niż rozmowa z przedstawicielami działów IT. Zresztą zdarza się, że informatycy nawet proszą nas, abyśmy porozmawiali z zarządem i przedstawili problem. Po prostu czasem nie mają wystarczającej mocy, aby dotrzeć do managementu i przekonać decydentów o sensowności inwestowania w określone rozwiązanie, a czasami od takiej decyzji odwieść. Michał Król, VeracoMp Już od kilku lat firmy IT pełnią funkcję edukacyjną. Działom biznesowym tłumaczą, na czym polega zagrożenie, a działom IT wyjaśniają, jak można mu zapobiec. Dzięki temu mają gwarancję pełnienia roli zaufanych doradców i jeśli swoje zadanie wykonują dobrze, jeszcze długo będą zarabiać duże pieniądze. Michał MizgalsKi, Be-in Stanowczo jednak przestrzegam wszystkie firmy przed zbyt wczesnym ogłaszaniem sukcesu w walce z zagrożeniami. Mimo że dobrze się zabezpieczamy, cały czas jesteśmy w tyle za atakującymi. To jest wojna, która nie została wypowiedziana. W zasadzie nosi znamiona terroryzmu, bo nie toczy się przeciw konkretnej grupie osób. Mamy do czynienia z coraz większą liczbą incydentów, których nie widać i które bardzo trudno wykryć. A takie są najbardziej niebezpieczne. Resellerzy i integratorzy powinni przekonać klientów, żeby zawsze zastanawiali się, czy przypadkiem nagły spadek ich obrotów, pojawienie się bezpośredniej konkurencji czy niemal identycznego produktu nie jest skutkiem kradzieży własności intelektualnej. Takich przypadków było już wiele, a jeśli się ich odpowiednio szybko nie wykryje, trzeba się liczyć nawet z bankructwem. Pamiętajmy, że w dzisiejszych czasach nie mają sensu fizyczne włamania, bo elektroniczne zdecydowanie prościej przeprowadzić, trudniej wykryć i przynoszą więcej korzyści.

Rozmawiał

KRzysztof JaKubiK

VADEMECUM CRN maj 2016

9

Fot. Focus Images Tomasz Pisiński

CRN Wspominaliśmy już o niewystarczającym poziomie inwestycji w zakresie systemów ochronnych. A jak często zdarza się przeinwestowanie i czy jest to równie groźne zjawisko? Michał ceKlarz, cisco Owszem, zdarza się, że analiza ryzyka została źle przeprowadzona i systemy zabezpieczające są więcej warte niż chronione przez nie zasoby. A jeśli osoba podejmująca decyzje zakupowe jest klasycznym geekiem i lubi nowe gadżety, często po jakiejś konferencji kupuje kolejne urządzenie, które albo nie pasuje do już posiadanych, albo zostaje niepoprawnie wdrożone, co jest jeszcze groźniejsze od zwykłego nierozsądnego wydawania pieniędzy. seBastian KrystyniecKi, Fortinet Przeinwestowanie można też zaobserwować w dwóch innych aspektach. Pierwszy to problem rozsądnego planowania budżetów. Często pod koniec roku dział IT dysponuje pieniędzmi, które musi wydać, gdyż ich niewydanie wpłynie negatywnie na kolejny budżet. Ta presja może powodować psucie procesu decyzyjnego. Drugi aspekt związany jest ze środkami unijnymi, które, jak już zostaną przyznane, trzeba bardzo szybko wydać. Dlatego firmy najpierw kupują co popadnie, a dopiero potem zastanawiają się, jak to dopasować do własnej infrastruktury.


Fot. © frank peters – Fotolia.com

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Skuteczne i łatwe

w obsłudze zabezpieczenia Z jednej strony coraz większe wymagania biznesu, oczekującego elastycznego, łatwego w obsłudze i dającego zwrot z inwestycji systemu ochrony IT. Z drugiej rosnący „profesjonalizm” cyberprzestępców. Okazuje się, że takie bycie między młotem a kowadłem bardzo dobrze służy rozwojowi branży zabezpieczeń. Tomasz Janoś

P

roblem braku personelu technicznego z dużym doświadczeniem dotyka nie tylko mniejsze firmy, dlatego dostawcy starają się jak najbardziej uprościć obsługę swoich rozwiązań zapewniających bezpieczeństwo infrastrukturze IT, w znacznym stopniu automatyzując ich działanie. Jest to tym ważniejsze, że tylko kilka procent incydentów związanych z naruszeniem zabezpieczeń nie jest spowodowanych przez ludzki błąd. Administratorzy szukają produktów z intuicyjnym interfejsem zarządzania – jedną konsolą,

10

VADEMECUM CRN maj 2016

która integruje wiele funkcji i poziomów ochrony. Dlatego producenci z każdą kolejną wersją swoich platform bezpieczeństwa wprowadzają udoskonalone narzędzia do zarządzania. Problemem staje się to, że przedsiębiorstwa często korzystają z systemów zabezpieczeń pochodzących od różnych dostawców, które nie są najlepiej ze sobą zintegrowane. W rezultacie ich zasoby IT są bardziej podatne na ataki cyberprzestępców, którzy łatwo lokalizują luki w ochronie i przenikają do sieci. Istotne jest, by klienci decydowali się

na skonsolidowanie systemu zabezpieczeń i wprowadzenie starannie zaplanowanej strategii w tym zakresie. Jeśli się przekona klienta do takiego podejścia, można stworzyć kompleksowy system bezpieczeństwa obejmujący urządzenia końcowe i sieć, pozbawiony dziur, które mógłby wykorzystać cyberprzestępca. Aby zapewnić klientom skuteczną ochronę, należy namówić ich do wymiany starszych i mało skutecznych urządzeń zabezpieczających na nowe, zintegrowane rozwiązania, przeciwdziałające zaawansowanym atakom i dające


DO AKCJI WKRACZA MSSP Nie tylko w przypadku małych i średnich firm coraz bardziej popularną metodą radzenia sobie z brakiem dostatecznej liczby odpowiednio wykwalifikowanych pracowników jest outsourcing i wykorzystanie zewnętrznych usług ochronnych. Przedsiębiorstwa praktycznie każdej wielkości coraz częściej korzystają z konsultingu, audytów systemów zabezpieczeń oraz usług zapewniających właściwą reakcję na zdarzenia zagrażające bezpieczeństwu IT. Z badania Cisco 2016 Annual Security Report wynika, że odsetek firm korzystających z tego typu usług wzrósł globalnie z 14 proc. w 2014 r. do 23 proc. w 2015. Integrator, który zdecyduje się zostać dostawcą usług zarządzanych w obszarze

550

500 GB/S

ATAKI DDOS

500

NA ŚWIECIE

450 400 350 300 250 200 150

100 GB/S

100 50

8 GB/S

60 GB/S 20 15

20 14

20 13

20 12

20 11

9 0

20 10

8

20

07

5

6

0 20

20

0 20

0 20

0

GB/S

4

0

20

pełną kontrolę nad aplikacjami wykorzystywanymi w ich sieciach oraz wszystkimi urządzeniami końcowymi, także mobilnymi. Dużym zainteresowaniem powinny cieszyć się platformy SIEM (Security Information Event Management), co wynika z jednej strony z konieczności zapewnienia zgodności z regulacjami prawnymi, a z drugiej – poszukiwania skuteczniejszych metod wykrywania włamań do sieci. Mały i średni biznes stoi przed takimi samymi wyzwaniami w dziedzinie bezpieczeństwa jak duże przedsiębiorstwa. Dysponuje jednak jedynie skromnym ułamkiem tych środków, które na ochronę mogą przeznaczyć korporacje. W dodatku z powodu gorszych zabezpieczeń MŚP – w sytuacji, gdy cyberprzestępcy dysponują łatwo dostępnymi i zautomatyzowanymi narzędziami ataku – są postrzegane jako łatwy łup. Reseller wyrobi sobie wśród klientów z małych i średnich firm opinię zaufanego doradcy, gdy – znając ich wrażliwość na cenę – będzie potrafił zaoferować najlepszą jakość za rozsądne pieniądze. Jeśli stworzy dla nich pakiet skutecznej ochrony, łączący rozwiązania do lokalnego wdrożenia i zarządzane usługi świadczone zdalnie. Wtedy sieci jego klientów z sektora małych i średnich firm będą chronione równie skutecznie jak dużych przedsiębiorstw za bez porównania mniejsze pieniądze.

Źródło: Arbor Networks

bezpieczeństwa, czyli Managed Security Service Providerem, będzie zarządzał zdalnie rozwiązaniami zainstalowanymi u klientów (on-premise) albo wykorzystywał oparty na chmurze system przekierowujący ruch z sieci obsługiwanych firm. Musi przy tym dbać, by rozwiązania zabezpieczające były stale aktualne i zapewniały wymagany poziom bezpieczeństwa. Rodzajów usług zapewniających ochronę jest bardzo wiele. Obejmują podstawowe zabezpieczenia, takie jak: firewall, filtrowanie treści (spam, AV, WWW itp.), systemy zapobiegania włamaniom (IPS), ochrona poczty elektronicznej. Ale mogą także zaspokajać bardziej wyrafinowane potrzeby klientów, np.: uwierzytelnienie i zarządzanie tożsamością, wydzielone środowiska uruchamiania aplikacji (sandbox), przeciwdziałanie zaawansowanym i ukierunkowanym atakom APT i DDoS. Zarządzalne usługi bezpieczeństwa będą przynosić największe zyski, gdy

MSSP zadba o efekt skali i będzie obsługiwać wielu klientów – zarówno małych, jak i dużych – wykorzystując do tego jedną platformę. Ważne jest zatem, by integrator zadbał o elastyczność swojej usługi w zakresie licencjonowania i billingowania, ponieważ łatwiej dostosuje ją do oczekiwań kolejnych firm. Ponieważ MSSP odpowiada za bezpieczeństwo danych klienta, jeśli nie będzie ich dobrze chronił, straci reputację, co zdyskwalifikuje go na zawsze. Ryzyko więc nie jest małe, ale szansa na zyski większa. Przedsiębiorcy coraz lepiej rozumieją, jak ważne jest bezpieczeństwo dla ich biznesu, a ponieważ nie mają wiedzy czy możliwości, by zajmować się systemami ochronnymi, coraz częściej szukają kogoś, kto się tym zajmie. Tym bardziej, że rośnie wśród nich świadomość zagrożeń.

NAJWIĘKSZY STRACH WZBUDZA RANSOMWARE

Do listopada 2015 r. cyberprzestępcom udało się za pomocą złośliwego kodu CryptoWall 3.0 wymusić okup na ofiarach z całego świata na łączną sumę 325 mln dol.

W listopadzie 2015 r. organizacja Cyber Threat Alliance, w skład której wchodzą m.in.: Symantec, Fortinet, Intel Security i Palo Alto, szacowała, że cyberprzestępcom udało się przy użyciu złośliwego kodu CryptoWall 3.0, należącego do kategorii ransomware (wymuszanie okupu), ograbić ofiary z całego świata na łączną sumę 325 mln dol. Co ciekawe, wyniki ankiety przeprowadzonej wspólnie z zajmującą się bezpieczeństwem usług z chmury organizację Cloud Security pokazały, że blisko jedna czwarta potencjalnych VADEMECUM CRN maj 2016

11


BEZPIECZEŃSTWO FIRMOWYCH SIECI ofiar ransomware (24,6 proc.) jest skłonna zapłacić cyberprzestępcom okup. Z badania wynika, że 14 proc. badanych przeznaczyłoby na ten cel nawet ponad 1 mln dol. Trudno, by takich informacji cyberprzestępcy nie uznali za zachętę do działania, więc w najbliższej przyszłości możemy się spodziewać dalszego rozwoju tej formy złośliwego kodu. Firmy chcą płacić, bo koszt przerwy w funkcjonowaniu biznesu jest najczęściej wielokrotnie wyższy niż okup. Przestój oznacza wydatki na odtworzenie systemów, straty sprzedażowe, kary wynikłe z niedotrzymania terminów, utratę reputacji itp. Z raportu Crypto-Ransomware 2016, opublikowanego przez Intermedia, wynika, że skuteczny atak ransomware paraliżuje firmę średnio na trzy dni. Można zrozumieć, że zdesperowani właściciele przedsiębiorstw są skłonni do płacenia okupu, ale powinni zdawać sobie sprawę, że w ten sposób nakręcają biznes cyberprzestępców, którzy zaatakują znowu. W dodatku z innego raportu wynika, że z tych, którzy zapłacili okup, jedynie 71 proc. za pomocą kupionych od cyberprzestępców kluczy odszyfrowało i odzyskało swoje dane. Pozostałym się to nie udało albo w wyniku błędów w złośliwym kodzie, albo z powodu niewywiązania się z warunków „transakcji” przez cyberprzestępców. Dlatego tak ważne jest stosowanie odpowiednich zabezpieczeń. W przypadku małych i średnich firm, które są najczęstszym obiektem ataku z uwagi słabszą ochronę, sprawdzi się urządzenie typu UTM, wyposażone w mechanizmy obrony przed tego typu zagrożeniami.

OKUP TAKŻE W PRZYPADKU DDOS Arbor Networks w dorocznym raporcie o zagrożeniach sieciowych ujawnił, że w 2015 r. największy atak DDoS na świecie osiągnął wolumen 500 Gb/s, natomiast w 2014 r. – 400 Gb/s. Dziesięć lat wcześniej, gdy pojawił się pierwszy raport Arbor Networks, największy atak miał nie więcej niż 8 Gb/s. O tym, że ataki DDoS z roku na rok stają się większe, świadczy też fakt, że dwa lata temu 20 proc. dostawców Internetu zmagało się z atakami powyżej 50 Gb/s, a w ubiegłym roku już prawie jedna czwarta doświadczała ataków ponad 100 Gb/s. W najnowszym badaniu, w którym opisano kluczowe trendy DDoS, odnotowuje się zmianę motywów agresorów. Głównym motorem działania nie jest już haktywizm lub wandalizm, ale chęć zademonstrowania siły, by doprowadzić do wymuszenia np. okupu. Zwiększa się także stopień komplikacji ataków. Arbor odkrył, że 56 proc. respondentów (o 44 proc. więcej niż rok wcześniej) odnotowało wielokierunkowe ataki jednocześnie wymierzone w infrastrukturę, aplikacje i usługi. Co więcej, 93 proc. badanych zmagało się z atakami DDoS w warstwie aplikacyjnej, wśród nich najpopularniejszy był skierowany przeciwko DNS (a nie jak poprzednio HTTP). Wiedzę potrzebną do przeprowadzenia ataku blokującego serwery przedsiębiorstwa, instytucji finansowej czy rządowej nietrudno zdobyć. W sieci nie brakuje poradników, a nawet prezentacji wideo, tłumaczących krok po kroku metodę przeprowadzenia ataku typu DDoS. Ci, którzy nie chcą się uczyć, mogą za-

Michał Jarski Regional Director CEE, Trend Micro

Aby skutecznie chronić klientów przed zagrożeniami ransomware, należy przede wszystkim zapewnić niezawodny backup ich danych. To zabezpieczy ich w sytuacji, gdy wszystkie inne formy ochrony zawiodą. Niestety, konieczność tworzenia kopii zapasowych jest wciąż bagatelizowana w wielu przedsiębiorstwach. Kolejną ważną kwestią jest postępowanie zarządu firmy po ataku. Pod żadnym pozorem nie powinno się płacić okupu, to tylko napędza przemysł ransomware i zachęca przestępców do kolejnych działań. Oczywiście, najlepszą metodą uchronienia się przed zagrożeniami jest stosowanie rozwiązań, które rozpoznają i blokują działanie ransomware bez stosowania sygnatur – we wszelkich formach i mutacjach.

12

VADEMECUM CRN maj 2016

Ireneusz Wiśniewski Country Manager, F5 Networks

Są dwa modele sprzedaży rozwiązań anty-DDoS przez naszych partnerów. Pierwszy – „on premise” – zakłada wdrożenie przez integratora u klienta rozwiązania anty-DDoS, przy czym sprzęt oraz licencje pozostają własnością klienta końcowego. Drugi model to sprzedaż usługi ochrony DDoS z chmury, z wykorzystaniem ośrodków scrubbing center czy Security Operation Center. Klient końcowy, za pośrednictwem partnera, kupuje tę usługę na określony czas (subskrypcja).

płacić. Wcale niedużo – dział badawczy Trend Micro donosi, że cena trwającego tydzień i wymierzonego w zlecony cel ataku DDoS wynosi zaledwie 150 dol. W opinii polskich małych i średnich przedsiębiorstw, pytanych przez Integrated Solutions, największe straty finansowe po atakach malware powodują właśnie DDoS (38 proc. odpowiedzi). Dlatego firmy będą szukać sposobów ochrony przed takim zagrożeniem i znalezienie swojego miejsca w procesie dostarczania specjalistycznych rozwiązań anty-DDoS może być szansą na biznes dla resellera.

NOWE ZASADY ZABEZPIECZEŃ Jeszcze niedawno procedury bezpieczeństwa były z jednej strony restrykcyjne i uciążliwe w stosowaniu, z drugiej – na tyle mało elastyczne i zamknięte, że utrudniały neutralizowanie skutków włamania do sieci. Przedsiębiorstwa dostosowywały swoją działalność do tego, na co pozwalał system ochrony, tłumiąc innowacyjność i doprowadzając pracowników do frustracji. Ograniczenia miały wpływ na interakcje z klientami i kooperantami. Nic dziwnego, że zabezpieczenia były uważane w zestawieniach finansowych przede wszystkim za wydatek i hamulec rozwoju biznesu. W ostatnim czasie ta opinia się zmienia. Rozwiązania zapewniające bezpieczeństwo przestają być kosztowną polisą


ubezpieczeniową, a zaczynają pełnić rolę czynnika napędzającego rozwój biznesu. Mobilność, BYOD, e-commerce itp. sprawiły, że użytkownicy oczekują bezproblemowej interakcji z siecią, bez względu na lokalizację i urządzenie, z jakiego się łączą. Zespół bezpieczeństwa IT musi aktywnie reagować na potrzeby biznesu i dbać, by środowisko było elastyczne i łatwo dostępne, a przy tym dobrze zabezpieczone. Co spowodowało ową zmianę? Wpis na blogu Avnet Technology Solutions EMEA wyjaśnia, że system bezpieczeństwa daje obraz sieci i wgląd w wykorzystanie zasobów. A dzięki lepszemu zrozumieniu, w jaki sposób aplikacje są wykorzystywane, przez kogo i w jakim czasie, dział IT zyskuje bardzo solidną podstawę do planowania rozwoju systemu informatycznego firmy. Co więcej, dokładnie wiedząc, co dzieje się w sieci, administratorzy mogą identyfikować i usuwać niepotrzebne już elementy infrastruktury, zmniejszając koszty i złożoność środowiska IT. A optymalizacja zasobów ułatwia ich ochronę i umożliwia przyspieszenie procesów biznesowych. Zdaniem ekspertów Avnet, dzięki temu rozwiązania zabezpieczające przestają stanowić barierę w rozwoju firm i zaczynają napędzać procesy powszechnie nazywane cyfrową transformacją.

Unia rozrUsza biznes secUrity Celem nowego unijnego rozporządzenia – General Data Protection Regulation – jest wzmocnienie systemu ochrony danych osobowych w Unii Europejskiej oraz ujednolicenie przepisów we wszystkich

Źródło: PwC

państwach członkowskich. Na przygotowanie się do wprowadzenia nowych przepisów firmy mają niecałe dwa lata. Od 2018 r. podmiot, u którego dojdzie do naruszenia bezpieczeństwa danych, może zostać ukarany grzywną w wysokości nawet 4 proc. rocznego dochodu i będzie musiał poinformować o tym fakcie krajowy organ nadzorczy. Tworzone przepisy obligują firmy do stosowania ściśle określonych zasad przetwarzania danych osobowych. Zmierzają np. do tego, by przedsiębiorstwo, które wykorzystuje dane na różnych urządzeniach i w różnych miejscach, dokładnie wiedziało, co się z nimi stanie w przypadku naruszenia bezpieczeństwa. Przy rozstrzygnięciach o karze i jej wysokości okolicznością łagodzącą ma być bowiem

Zabezpieczać się, by zniechęcić napastnika Z badania Ponemon Institute wynika, że hakerzy preferują łatwiejsze cele (co nie powinno być zaskoczeniem) i przerywają atak, gdy trwa on zbyt długo. Z danych ujawnionych w raporcie wynika, że 13 proc. robi to po pięciu godzinach. Po następnych pięciu cel porzuca 24 proc., 20 godzin zmagań z zabezpieczeniami zniechęca 36 proc. napastników, a większość (60 proc.) rezygnuje, gdy atak przeciąga się do 40 godzin. Według badania, 72 proc. napastników przyznaje, że nie marnowałoby czasu na atak, który nie daje nadziei na szybkie zdobycie cennych danych. – Jeśli powstrzymasz atakujących przez dwa dni, większość z nich zniechęcisz. Im jest trudniej, im więcej zabiera im to czasu, tym więcej ich to kosztuje – podkreśla Scott Simkin, Senior Manager z Palo Alto Networks, firmy sponsorującej badanie.

przedstawienie dowodów, że utracone dane były zaszyfrowane bądź nie dawały się wykorzystać z powodu skutecznego zablokowania skradzionego urządzenia. Przedsiębiorstwa będą też miały obowiązek usuwania informacji na żądanie lub wtedy, gdy ich przetrzymywanie nie będzie dłużej konieczne. Bardziej restrykcyjne przepisy i dotkliwe kary za ich nieprzestrzeganie powinny spowodować większe zainteresowanie rozwiązaniami ochronnymi (zwłaszcza w obszarze szyfrowania, bezpiecznego przechowywania i niszczenia danych). Analitycy przewidują nawet, że znacząco większe. IDC szacuje, że dzięki GDPR europejscy resellerzy z dwóch branż – security i storage – zwiększą sprzedaż o łączną kwotę 3,2 mld euro. – GDPR zmienia reguły gry dla wszystkich firm mających do czynienia z danymi osobowymi obywateli EU. Będzie im bardzo trudno dostosować się w ciągu dwóch lat do nowych regulacji bez pomocy techniki. Dlatego przewidujemy duży wzrost popytu na system zabezpieczeń i przechowywania danych – twierdzi Duncan Brown, Research Director w IDC. Jaka będzie rola VAR-a? Klienci przede wszystkim będą chcieli, by pomógł im w wyborze i wdrożeniu najlepszych dla nich rozwiązań programowych i sprzętowych, które – najogólniej mówiąc – zminimalizują ryzyko kradzieży danych. VADEMECUM CRN maj 2016

13


BEZPIECZEŃSTWO FIRMOWYCH SIECI

ABC Data:

zaawansowane rozwiązania w dziale Value+ Już ponad trzy lata w strukturach ABC Data funkcjonuje Dział Rozwiązań Zaawansowanych Value+. Jest to zespół profesjonalistów zapewniający partnerom fachowe wsparcie w zakresie pełnej oferty produktów, m.in. dla centrów danych.

C

echą wyróżniającą departament Value+ na tle konkurencji jest rozbudowany Dział Wsparcia Technicznego. Zatrudnieni w nim eksperci świadczą usługi doradcze w zakresie rozwiązań do budowy sieci lokalnych (przewodowych oraz bezprzewodowych) i rozległych, infrastruktury centrum danych (serwery, pamięci masowe, zasilanie awaryjne), oprogramowania (systemy operacyjne, wirtualizacja, bazy danych, oprogramowanie narzędziowe, backup i archiwizacja), rozwiązań ochronnych, monitoringu wideo oraz zunifikowanej komunikacji. W dziale pracują doświadczeni i wysoko wykwalifikowani inżynierowie, których umiejętności poświadczone są licznymi certyfikatami wiodących producentów (Cisco, Dell, EMC, HP, Symantec, Veeam, VMware i innych). Zespół działu Value+ pomaga partnerom handlowym w ich pracy nad zaawansowanymi projektami – od początkowego etapu, jakim jest analiza potrzeb klienta, przez wdrożenie, aż do jego zakończenia i momentu odbioru przez zlecające-

PREZENTACJA PODCZAS ABC DATA TECHNOLOGY TRENDS 2016

go. Wsparcie realizowane jest także przez regularne szkolenia techniczne (również indywidualne dla poszczególnych partnerów i klientów), seminaria i spotkania typu roadshow oraz konferencje. W ramach współpracy przedsprzedażowej z partnerami dział ABC Data Value+ proponuje: – regularne webinaria, seminaria oraz warsztaty techniczne; – dobór optymalnego rozwiązania do profilu działalności klienta oraz jego wymagań (pozycjonowanie i skala) na początku realizacji projektu;

Paweł Ryniewicz dyrektor sprzedaży i marketingu ABC Data Value+

W sytuacji, gdy partnerzy mają szansę na przeprowadzenie interesujących projektów, ale nie dysponują wystarczającymi kompetencjami inżynierskimi czy też potrzebują wsparcia podczas prowadzenia zaawansowanych wdrożeń, prowadzony w strukturach ABC Data dział Value+ oferuje rozbudowane portfolio usług posprzedażowych i wdrożeniowych, zapewniając resellerom i integratorom dodatkowe kompetencje w każdej dziedzinie związanej z IT. W ramach współpracy proponujemy również pomoc w utrzymaniu danego rozwiązania.

14

VADEMECUM CRN maj 2016

– wypożyczenie sprzętu bądź oprogramowania dla celów testowych (Proof-of-Concept) lub do przeprowadzenia demonstracji proponowanego rozwiązania; – zdalną formę prezentacji rozwiązania w formie webinarium przeprowadzonego wyłącznie dla danego klienta.

BEZPIECZEŃSTWO SIECI LAN Charakter zagrożeń, z którymi spotykają się dziś firmy, nakazuje szczególną dbałość o infrastrukturę sieci lokalnej. Czasy, w których haker chciał być znany i rozpoznawalny w swoim środowisku, odeszły w zapomnienie. Teraz cyberprzestępcy schowani w cieniu, już jako zorganizowana grupa, tworzą zagrożenia i ukierunkowane ataki wyłącznie w celach uzyskania korzyści finansowej. – Każda firma powinna mieć świadomość nie tylko zagrożeń, ale też faktu, że nieustannie one ewoluują – podkreśla Damian Przygodzki, Security Systems Engineer w dziale ABC Data Value+. – Malware, który atakuje komputery w danym momencie, już nigdy może się nie pojawić w tej wer-


OchrOna sieci bezprzewOdOwych

Badania trendów związanych z rozwojem sieci WLAN mówią, że już wkrótce liczba hostów bezprzewodowych będzie większa od przewodowych, pracujących w sieci lokalnej. Pojawienie się smartfonów, tabletów, trendu BYOD oraz koncepcji Internetu Rzeczy zwiększyło zapotrzebowa-

Kompetencje inżynierskie ABC Data Value+ w zakresie wdrażania i utrzymania rozwiązań Wewnętrzny dział IT ABC Data 1. Active Directory 2. Microsoft Exchange 3. Office 365 4. Microsoft Sharepoint 5. Rozwiązania wspomagające pracę przedsiębiorstwa na bazie narzędzi dostępnych w Windows Server 6. Technologie bazodanowe (MS SQL) 7. Wirtualizacja na bazie Microsoft Hyper-V 8. Infrastruktura serwerowa (HP, IBM, Dell, systemy serwerowe Microsoft) Dział Wsparcia Technicznego Value+ 1. Infrastruktura sieciowa LAN/WAN/ /WLAN 2. Zunifikowana komunikacja i współpraca 3. Bezpieczeństwo 4. Serwery i pamięci masowe 5. Wirtualizacja (VMware, KVM, Xen i inne) 6. Oprogramowanie 7. Szkolenia i warsztaty techniczne

nie na wydajność i jakość transmisji, a co za tym idzie – powoduje nieustający rozwój standardów sieci bezprzewodowych. – Kilkanaście lat temu, gdy popularność sieci bezprzewodowych była jeszcze niewielka, znikome były problemy związane z jej bezpieczeństwem – mówi Wojciech Kotkiewicz, Systems Engineer Manager ABC Data Value+. – Przez lata ewolucji standardów 802.11 zmieniały się metody uwierzytelniania klientów i szyfrowania ruchu, ale niestety również i zagrożenia. Oprócz tych znanych z sieci przewodowej, istnieje cała gama typów ataków specyficznych dla sieci bezprzewodowych. Coraz częściej możemy się spotkać z istotnym za-

grożeniem, jakim są ataki powodujące destabilizację sieci bezprzewodowej (DoS). Do tego dochodzi największy problem, jakim bywa nieświadomość użytkownika odnośnie bezpiecznego korzystania z zasobów sieci firmowej oraz z oprogramowania, jakie posiada na swoim mobilnym urządzeniu. Wraz z nowymi zagrożeniami ewoluują także systemy bezpieczeństwa, które w odpowiedzi na nowe typy ataków zapewniają nowe sposoby ochrony przed nimi. W zależności od wymagań oraz skali wdrożenia, należy wziąć pod uwagę przede wszystkim podstawowe metody podniesienia bezpieczeństwa w sieci WLAN, takie jak odpowiednio dobrane uwierzytelnianie, szyfrowanie, izolacja ruchu, QoS, zastosowanie właściwego firewalla czy UTM-a na brzegu lub w rdzeniu sieci, a nawet zaawansowanych platform zarządzania polityką bezpieczeństwa i kontroli w sieciach firmowych. W ofercie ABC Data dostępnych jest wiele urządzeń wykorzystujących zaawansowane metody uwierzytelniania (m.in. klucze prywatne), które już na wstępie znacznie podnoszą bezpieczeństwo w firmowej sieci bezprzewodowej, np. uniemożliwiając instalację fałszywego punktu dostępowego. Dodatkowo, aby bezpiecznie realizować dostęp gościnny do sieci publicznej, dostępne są rozwiązania dające możliwość stworzenia w pełni odizolowanej sieci bezprzewodowej, do której uwierzytelnianie jest prowadzone np. przez specjalny serwis WWW (captive portal) z ograniczeniem czasowym oraz nałożonymi odpowiednimi politykami QoS i bezpieczeństwa dla gości. Dla firm chcących zmaksymalizować bezpieczeństwo w swoich środowiskach bezprzewodowych specjaliści Value+ proponują dodatkowo zastosowanie np. sensorów na punktach dostępowych czy analizę pasma radiowego, a to wszystko wspólnie zarządzane oraz kontrolowane przez specjalistyczne oprogramowanie i sprzęt.

Dodatkowe informacje: ABC DAtA VAlue+, ul. Daniszewska 14, 03-230 warszawa tel. +48 22 676 09 00, sekretariat@abcData.eu VADEMECUM CRN maj 2016

15

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ ABC DATA.

sji w kolejnej próbie ataku. Szacuje się, że w każdej minucie powstaje 68 próbek nowego złośliwego oprogramowania. Oczywiście nie można zapominać o atakach socjotechnicznych, dlatego stosując zabezpieczenia sieci, należy również edukować pracowników korzystających z dostępu do służbowych danych za pośrednictwem nie tylko firmowej sieci, ale także prywatnej czy też hot spotów. Oferta ABC Data obejmuje wszystkie rodzaje rozwiązań ochronnych (firewalle – tradycyjne i następnej generacji, IPS-y/ /IDS-y, UTM-y, systemy SIEM korelujące informacje z urządzeń sieciowych i bezpieczeństwa), które mogą zostać zaimplementowane w odpowiednich obszarach sieci. Specjaliści dystrybutora wspierają partnerów w zabezpieczaniu nie tylko sieci, ale także stacji roboczych i serwerów oraz – co równie ważne – w razie potrzeby pomagają dobrać i wdrożyć odpowiednie oprogramowanie, które chroni bezpośrednio systemy operacyjne i dane. Ich działania obejmują również pomoc w tworzeniu reguł polityki bezpieczeństwa dotyczących prywatnych urządzeń, z których pracownicy firmy obsługiwanej przez integratora korzystają do celów prywatnych i służbowych oraz w dobraniu odpowiednich produktów służących do ich ochrony. Ważną pozycję w ofercie ABC Data stanowią systemy UTM, które integrują w jednym produkcie kilka współpracujących ze sobą modułów bezpieczeństwa, takich jak: firewall, IPS, antywirus, antyspyware, rozwiązanie do kontroli aplikacji, narzędzie do filtrowania treści i adresów URL. Zainteresowaniem cieszą się także rozwiązania wyposażone w moduł sandboxingu, gwarantujący odizolowanie od strefy produkcyjnej podejrzanego pliku i uruchomienie go w bezpiecznym środowisku w celu analizy.


BEZPIECZEŃSTWO FIRMOWYCH SIECI

SnoopWall: skuteczna ochrona przed ransomware i spear phishing Ochrona przed cyberprzestępcami staje się coraz trudniejsza. Firmy doświadczają nowych rodzajów ataków, takich jak podszywanie się pod pracowników w poczcie elektronicznej (spear phishing), wymuszenia okupu za odzyskanie dostępu do danych (ransomware) i infekcja złośliwym kodem, na który jeszcze nie ma szczepionki (zero-day malware).

K

PRACOWNICY NAJSŁABSZYM OGNIWEM

Aby ochronić przedsiębiorstwo przed tego typu zagrożeniami, konieczne jest skorzystanie z wielowarstwowych za-

16

VADEMECUM CRN maj 2016

zarówno najnowocześniejsze dostępne na rynku rozwiązania ochronne, jak i wypracowane przez lata najlepsze praktyki.

ZABLOKOWAĆ NA CZAS

bezpieczeń. Naturalnie, trzeba zacząć od szkolenia pracowników, aby pokazać im mechanizmy ataków typu phishing i uświadomić, że wysyłane przez przestępców wiadomości wyglądają coraz bardziej wiarygodnie. Administratorzy powinni też zadbać o stworzenie polityki wykonywania kopii zapasowych plików przechowywanych przez pracowników na ich komputerach – gdy sieć zostanie zainfekowana oprogramowaniem ransomware, zaszyfrowaniu mogą też ulec dane na serwerach. Warto też robić kopie obrazu systemu stacji roboczych, aby w przypadku infekcji móc szybko przywrócić poprzednią, bezpieczną wersję. Wiadomo jednak, że pracownicy firm przyswajają wiedzę w różny sposób i wielu z nich stanowi najsłabsze ogniwo w procesie zapewniania bezpieczeństwa. Z drugiej strony nie można nakładać na użytkowników i ich komputery zbyt wielu ograniczeń, bo znacznie wpłynie to na efektywność pracy w firmie. Dlatego konieczny jest kompromis, w ramach którego bezpieczeństwo sieci nie zostanie wystawione na szwank. Kompromis, do wypracowania którego mogą posłużyć

Niestety, trzeba przyjąć założenie, że infekcji nie uda się uniknąć. Należy więc przygotować infrastrukturę na jak najszybsze odizolowanie zarażonych urządzeń, by zapobiec rozprzestrzenianiu się złośliwego kodu lub przesyłaniu wrażliwych danych do cyberprzestępców. Po odizolowaniu zaatakowanego urządzenia można podjąć kroki mające na celu przywrócenie go do bezpiecznego stanu. Aby skutecznie odizolować zainfekowane urządzenie, konieczne jest skorzystanie z dwóch rodzajów rozwiązań – systemu zapewniającego kontrolę nad dostępem do sieci (Network Access Control) połączonego z systemem wykrywania zagrożeń i złośliwego kodu na bazie analizy jego zachowania. Firma SnoopWall opracowała rozwiązanie NetSHIELD, które analizuje działania użytkowników w sieci i gdy tylko wystąpi ryzyko zakażenia, dane urządzenie jest natychmiast blokowane i izolowane od innych. Wyłącznym dystrybutorem rozwiązań SnoopWall w Polsce jest AKBIT.

Dodatkowe informacje: KRZYSZTOF MELLER, CEO, AKBIT, SALES@AKBIT.PL

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI SNOOPWALL I AKBIT.

ażdego dnia pracownicy otrzymują dziesiątki e-maili, których nadawcy podszyli się pod inne osoby lub firmy. Co gorsza wizualna i językowa jakość wiadomości w ostatnim czasie uległa znacznej poprawie. W związku z tym nawet w przedsiębiorstwach, które dbają o szkolenie zespołu i próbują wzbudzić jego czujność, często dochodzi do zarażenia złośliwym kodem. Według autorów dokumentu „Verizon 2015 Data Breach Report”, wystarczy, że pracownicy otrzymają tylko dziesięć profesjonalnie opracowanych e-maili z kategorii phishing, aby gwarantowało to skuteczną infekcję. Kolejny problem sprawia fakt, że złośliwemu oprogramowaniu wystarczą tylko trzy sekundy, aby dokonać infiltracji sieci i rozpocząć szkodliwe działania. Akcja informacyjna podejmowana przez firmowych administratorów, żeby pracownicy nie otwierali otrzymanych masowo wiadomości pocztowych, może okazać się spóźniona. A zagrożenie jest poważne, bo rozpowszechniany ostatnio ransomware jest w stanie zaszyfrować dane nie tylko na komputerze ofiary, ale także na serwerach, do których jest on podłączony. Jeden nieostrożny ruch może sparaliżować działanie całej firmy.


F5: bezpieczne aplikacje kluczem do innowacji i sukcesu Przeprowadzone przez F5 Networks badanie „State of the Application Delivery” (SOAD) wskazuje jednoznacznie, że aplikacje stają się coraz bezpieczniejsze, wydajniejsze i dostępniejsze.

FIRMY SKUPIONE NA CHMURZE 65 proc. przedsiębiorstw przewiduje, że do końca 2016 r. do 50 proc. używanych przez nie aplikacji będzie działało w chmurze. Natomiast 39 proc. oprogramowania związanego z produktywnością i współpracą oraz 20 proc. rozwiązań słu-

żących udostępnianiu narzędzi IT już teraz znajduje się w chmurze lub znajdzie się w niej w 2016 r. Ogółem 25 proc. przebadanych przedsiębiorstw przyjęło strategię „cloud first” i podczas podejmowania decyzji o nowej inwestycji często rozważają rozwiązania IT bazujące na chmurze. Natomiast 27 proc. wskazuje brak niezależnych analiz dotyczących tych rozwiązań jako największą przeszkodę w korzystaniu z chmury hybrydowej.

WYDATKI NA BEZPIECZEŃSTWO BĘDĄ ROSNĄĆ

Badanie dowodzi, że 52 proc. firm nie jest pewnych, czy są w stanie odeprzeć atak na poziomie aplikacyjnym. Szyfrowanie danych nieulegających zmianom (76 proc.) oraz szyfrowanie danych w czasie rzeczywistym (49 proc.) zostały określone jako najważniejszy czynnik wykorzystania usług chmurowych. 24 proc. respondentów twierdzi, że brak zrozumienia stopnia skomplikowania sytuacji związanej z bezpieczeństwem przez pracowników będzie największym wyzwaniem w tym obszarze w 2016 r., podczas gdy 19 proc. wskazuje na rosnące wyrafinowanie ataków. W związku z tym firewalle sieciowe (84 proc.) oraz rozwiązania antywirusowe (86 proc.) są najczęściej wykorzystywanymi metodami ochrony aplikacji. Zaskakująco mało firm uczestniczących w badaniu (52 proc.) wdrożyło systemy do ochrony przed atakami typu DDoS. Jednak z uwagi na świadomość ataków, takich jak POODLE i Heartbleed, 31 proc. przedsiębiorstw wdrożyło strategię „SSL everywhere”, a kolejne 25 proc. planuje wdrożenie tej strategii w bieżącym roku.

Ireneusz Wiśniewski Poland Country Manager, F5 Networks

W całej Polsce obserwujemy znaczącą zmianę w sposobie planowania i prowadzenia biznesu. To aplikacje oraz dostarczanie ich jako usługi stają się kluczową częścią firmowego krajobrazu. Usługi aplikacyjne pozostaną łącznikiem, który pozwoli dostawcom IT sprostać najistotniejszym wymaganiom biznesowym. Wydajność, bezpieczeństwo i dostępność usług zwiększają wydajność pracowników, prowadzą do wzrostu zaangażowania klientów firm, a co za tym idzie – wzrostu ich przychodów.

Chmura prywatna, konsolidacja fizycznych centrów danych oraz aplikacje mobilne to trzy elementy, które będą najbardziej napędzały wydatki IT w ciągu najbliższego roku. Badanie wskazuje też, że 31 proc. firm planuje w ciągu najbliższych dwóch lat przekazać ochronę przed atakami DDoS podmiotom zewnętrznym. Pełny raport można pobrać ze strony www.f5.com/SOAD.

Dodatkowe informacje: MICHAŁ KRÓL, SECURITY GROUP MANAGER, VERACOMP, MICHAL.KROL@VERACOMP.PL VADEMECUM CRN maj 2016

17

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI F5 NETWORKS I VERACOMP.

R

aport, w którym uwzględniono informacje zebrane również od polskich firm i instytucji, podkreśla, jak stosowane przez przedsiębiorstwa aplikacje wpływają na prowadzenie biznesu. Autorzy opracowania wskazują, że wpływają one na wzrost znaczenia mobilności, ale także zwiększają zagrożenie dla przetwarzanych przez firmy informacji. W raporcie SOAD czytamy, że aż 48 proc. firm w Polsce codziennie używa ponad 200 aplikacji (średnia w regionie EMEA wynosi 44 proc.). Liczby te wzrosną wraz ze stopniem wykorzystania technologii mobilnych, których rozwój ujęło w swoich budżetach IT w 2016 r. 33 proc. uczestników badania F5. – Poziom inwestycji w zakresie aplikacji mobilnych również sugeruje, że osoby decyzyjne w firmach w pełni zaakceptowały trend BYOD, przyzwalając na korzystanie z prywatnych urządzeń, na których zainstalowano aplikacje biznesowe. To jasne, że wolno działające, nieresponsywne i niezabezpieczone aplikacje mogą mieć negatywny wpływ na bieżącą działalność i zyski przedsiębiorstw. Dlatego, w związku z korzystnym trendem rozwoju usług aplikacyjnych, ważne jest, by posiadać plan uwzględniający zagadnienia ochrony danych, ich dostępności i sposobów wykorzystania – wyjaśnia Ireneusz Wiśniewski, Poland Country Manager w F5 Networks.


BEZPIECZEŃSTWO FIRMOWYCH SIECI

Sandbox następnej generacji Sophos Sandstorm to rozwiązanie typu sandbox do ochrony przed atakami APT oraz szkodliwym oprogramowaniem zero-day. Umożliwia szybkie i dokładne wykrywanie i blokowanie ataków oraz skuteczne reagowanie na zagrożenia, których nie rozpoznają inne systemy ochronne.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ SOPHOS.

O

programowanie Sophos Sandstorm uzupełnia całą rodzinę produktów Sophos, których wspólnym celem jest pomoc w walce z zagrożeniami będącymi przyczyną naruszeń bezpieczeństwa firmowych danych. Kluczowym elementem jest tu technika Sophos Advanced Threat Sandbox, która ułatwia wykrywanie i przechwytywanie plików podejrzanych o szkodliwe, złośliwe działanie. Zebrane pliki – w celu poznania ich zachowania i określenia rodzaju zagrożenia – są uruchamiane w bezpiecznym, izolowanym środowisku. Jeśli plik zostanie uznany za potencjalnie złośliwy, rozwiązanie Sandstorm przeprowadza dodatkową analizę, jednocześnie blokując możliwość uruchomienia danego pliku w środowisku produkcyjnym. Tworzy też rozbudowany raport, dzięki któremu administratorzy mogą przeprowadzić szczegółową analizę, np. źródeł występującego zagrożenia. Jednym z podstawowych zadań realizowanych przez Sophos Sandstorm jest zaawansowana ochrona przed ukierunkowanymi atakami. Wykrywa w sieci nieznane złośliwe oprogramowanie wykradające dane i je blokuje. Wykorzystuje w tym celu własne rozwiązania w chmurze obliczeniowej. Dzięki temu skutecznie reaguje na ataki typu APT i zagrożenia zero-day. Wiedza o zagrożeniach i wykrytych anomaliach czerpana jest z monitoringu sieci oraz analizy zaobserwowanych incydentów w module sandbox. Na podstawie tych informacji wykonywane są odpowiednie czynności, ale także redukowane fałszywe alarmy. Sophos Sandstorm jest w stanie blokować zagrożenia, których nie wykrywają inne rozwiązania (część ataków projektowanych jest specjalnie tak, aby omijały zabezpieczenia w urządzeniach sandbox

18

VADEMECUM CRN maj 2016

pierwszej generacji). Zastosowanie przez Sophos emulacji pełnego systemu umożliwia szczegółowy podgląd zachowania nieznanego złośliwego oprogramowania i zapewnia wykrycie złośliwych ataków, nierozpoznawanych przez inne produkty. Sophos Sandstorm ocenia potencjalne zachowanie złośliwego kodu we wszystkich rodzajach urządzeń – w komputerach z systemami operacyjnymi Windows, Mac OS X oraz Android, serwerach fizycznych i wirtualnych, urządzeniach infrastruktury sieciowej, a także serwerach usług internetowych (web, e-mail, aplikacji). Rozwiązanie Sophos Active Sandbox wstępnie precyzyjnie filtruje ruch, dzięki czemu tylko podejrzane pliki są przekazywane do modułu sandbox. W ich uruchamianiu występują więc minimalne opóźnienia, które mają znikomy wpływ na wydajność pracy użytkowników. Oprogramowanie Sophos Sandstorm dostępne jest jako moduł, który w pełni integruje się z innymi, obecnymi już wcześniej w ofercie producenta rozwiązaniami ochronnymi. Zabezpieczenie przed ukierunkowanymi atakami zaczyna działać

natychmiast po uaktualnieniu subskrypcji i implementacji Sandstorm. Najważniejszym produktem zawierającym moduł Sophos Sandstorm jest urządzenie Sophos Web Appliance. Jako że 80 proc. zagrożeń pochodzi z Internetu, sprzęt ten zapewnia skuteczną, silną ochronę przed pochodzącymi z globalnej sieci zaawansowanymi atakami, zaprojektowanymi tak, aby omijały konwencjonalne rozwiązania ochronne. Moduł Sophos Sandstorm jest oferowany zarówno nowym użytkownikom Sophos Web Appliance, jak i dotychczasowym klientom posiadającym aktywną subskrypcję (w formie uaktualnienia). Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są: AB, Akbit i Konsorcjum FEN.

Dodatkowe informacje: SEBASTIAN ZAMORA, CHANNEL ACCOUNT EXECUTIVE, SOPHOS, SEBASTIAN.ZAMORA@SOPHOS.COM


IBM XGS – w poszukiwaniu optymalnego zabezpieczenia Rozwiązanie IBM Security Network Protection jest jednym z wielu oferowanych przez producenta elementów ochrony przed zagrożeniami w sieci. Może zostać ściśle zintegrowane z innymi systemami zabezpieczeń tej firmy, w tym ze światowej klasy rozwiązaniem QRadar Security Intelligence Platform. Rafał Owczarek Business Development Manager – IBM Security, Avnet

Szybki rozwój infrastruktury IT w firmach wpływa na pojawianie się nowych, nieznanych administratorom zagrożeń. Zmianie ulegają też sposoby prowadzenia ataków na wykorzystywane w przedsiębiorstwach rozwiązania oraz próby ominięcia chroniących je systemów. Dlatego resellerom, których klienci szukają skutecznego sposobu zabezpieczenia kluczowych elementów infrastruktury oraz przechowywanych i przetwarzanych danych, proponujemy takie rozwiązania ochronne firmy IBM, jak Intrusion Prevention System.

awansowanymi zagrożeniami oraz szczegółową kontrolę we wszystkich warstwach sieci. Flagowym modelem XGS jest 7100, który umożliwia zabezpieczenie przepływów sieciowych sięgających 25 Gb/s, a także ochronę przed zaawansowanymi atakami na infrastrukturę. Licencjonowanie urządzeń XGS jest zależne od ich wydajności (licencje FPL – Flexible Performance License). Gwarantuje to dostosowanie rozwiązania do aktualnych potrzeb firmy, dzięki czemu może być ono stosowane zarówno w najmniej-

Główne zalety IBM Security Network Protection • Zabezpieczanie przed zagrożeniami 0-day, czyli podatnością, która jest wykorzystywana przez przestępców zanim producent oprogramowania opublikuje jego aktualizację. Dla przykładu, systemy klientów chronionych przez IBM IPS były zabezpieczone aż 5 lat przed wykryciem podatności Shellshock (CVE 2014-6271). • Pełny monitoring oraz kontrola ruchu sieciowego, w tym stron odwiedzanych przez użytkowników, wraz z możliwością wykrywania zakażeń i złośliwego oprogramowania generującego ruch w sieci. • Mniejsze koszty i złożoność rozwiązania dzięki integracji z innymi produktami IBM, a także systemami ochronnymi firm trzecich, elastyczne licencjonowanie bazujące na wydajności (FLS) oraz zintegrowane funkcje sprzętowe, takie jak inspekcja ruchu zabezpieczonego SSL.

szych, jak i największych, najbardziej wymagających centrach danych. Rozwiązanie to można bezpłatnie testować przez 30 dni – pod adresem www.ibm.com/ developerworks/library/se-xgs-techies znajduje się szczegółowa dokumentacja oraz obraz wirtualnej maszyny zawierającej oprogramowanie XGS. Skuteczność działania IBM Security Network Protection jest efektem pracy zespołu specjalistów IBM X-Force. Nieustannie monitorują oni i analizują dane dotyczące bezpieczeństwa IT z publicznie dostępnych oraz wewnętrznych źródeł. Efektem tych działań jest globalna baza adresów URL, kolektorów spamu oraz zbieranych codziennie próbek złośliwych programów. Kwartalnie i raz do roku przygotowywany jest również raport podsumowujący trendy w zakresie bezpieczeństwa systemów oraz aplikacji.

Dodatkowe informacje: RAFAŁ OWCZAREK, BUSINESS DEVELOPMENT MANAGER – IBM SECURITY, AVNET, RAFAL.OWCZAREK@AVNET.COM VADEMECUM CRN maj 2016

19

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI IBM I AVNET.

R

ozwiązanie IBM Security Network Protection (urządzenia z serii XGS) daje pełny wgląd w informacje o tym, w jakim stopniu obciążona jest sieć, z jakich aplikacji korzystają użytkownicy, jakie serwisy internetowe odwiedzają i jakie wykonują tam czynności. Oferuje możliwość sprawowania precyzyjnej kontroli nad aplikacjami WWW, m.in. chroni je przed takimi zagrożeniami jak wstrzyknięcie SQL i osadzenie spreparowanych skryptów (cross-site scripting). Dzięki modułowi wirtualnych łatek (IBM Virtual Patch), urządzenia XGS zapewniają też zabezpieczenie systemów jeszcze zanim zostaną opublikowane oficjalne poprawki likwidujące daną lukę w oprogramowaniu, która czyni je podatnymi na zagrożenia. Rozwiązanie jest oferowane w kilku wersjach sprzętowych (XGS 3100, 4100, 5100 lub 7100) oraz programowej, przeznaczonej do zabezpieczenia środowisk zwirtualizowanych. Wybór wersji sprzętowej zależy od przepustowości sieci oraz architektury środowiska. Niezależnie od modelu zapewniają one ochronę przed za-


BEZPIECZEŃSTWO FIRMOWYCH SIECI

Huawei

ułatwia walkę z DDoS Dziś ataki Distributed Denial of Service mają zdecydowanie inną formę i skalę niż w roku 2007, kiedy zaobserwowano je po raz pierwszy. Stały się odrębną dziedziną w cyberprzestępczym świecie i codziennie przynoszą firmom wielomilionowe straty. Skuteczne rozwiązanie do walki z nimi udało się opracować firmie Huawei.

O

becnie dokonywanych jest 20 razy więcej ataków DDoS niż w 2007 r. Do Internetu podłączonych jest ponad 30 mln komputerów zombie, które tylko czekają na rozkaz unieruchomienia danej witryny czy internetowego łącza przedsiębiorcy, a skala pojedynczego ataku może sięgać nawet 200 Gb/s. Niestety, zdecydowanie łatwiejszy – nawet dla zwykłego Kowalskiego – stał się też dostęp do takiej „usługi”. Wystarczy pobrać odpowiednie narzędzie, wykupić dostęp do właściwej liczby komputerów zombie i zainicjować atak. Pierwotnie celami ataków DDoS były sieci operatorskie lub infrastruktura IT dużych centrów danych, natomiast dzisiaj zaatakowane mogą być każdego rodzaju usługi – portale aplikacyjne, witryny e-handlu, poczta elektroniczna, serwisy z filmami czy grami lub serwery DNS. W czasie ataku z reguły blokowana jest cała przepustowość internetowego łącza przedsiębiorstwa, przez co niemożliwe staje się normalne wykonywanie zadań przez pracowników oraz świadczenie usług klientom. Finalnie prowadzi to do utraty zysków, a także – co chyba najważniejsze – do utraty reputacji i zaufania klientów.

stującym zarówno protokół IPv4, jak i IPv6) oraz ochronę przed ponad 200 rodzajami złośliwych kodów, zawierających konie trojańskie, robaki czy aplikacje do tworzenia komputerów zombie. Zapewnia ono bezpieczeństwo sieci i ciągłość pracy centrów danych przedsiębiorstw oraz usług świadczonych przez operatorów telekomunikacyjnych i przez dostawców e-commerce. Stworzone przez Huawei urządzenia z rodziny Anti-DDoS skanują każdy pakiet przechodzący przez sieć. Obrona uruchamiana jest natychmiast, gdy tylko zostanie zaobserwowany atak (średni czas reakcji – ok. 2 sekund). Przepustowość systemu skanującego, w zależności od modelu, wynosi od 2 Gb/s do aż 1,44 Tb/s. W rozwiązaniach tych stosowanych jest wiele technik, m.in. filtrowanie we wszystkich siedmiu warstwach sieci, analiza behawioralna pakietów oraz

koMunikacja dot. reguł

20

VADEMECUM CRN maj 2016

KonstruKcja rozwiązania W ofercie Huawei są dwie rodziny urządzeń AntiDDoS1000 (modele AntiDDoS1650 i AntiDDoS1680) oraz AntiDDoS8000 (modele AntiDDoS8030, AntiDDoS8080

Moduł zarządzający

koMunikacja dot. zasad

polityki ochrony

nadzoru

zarządzanie urządzeniaMi zarządzanie polityką ochrony prezentacja raportów

sKuteczna walKa z ataKami Huawei stworzył rozwiązanie umożliwiające przeciwdziałanie skutkom ataków DDoS, które mają na celu blokowanie warstwy aplikacyjnej (wykorzy-

monitorowanie sesji. Producent zapewnia także dodatkowy moduł DNS cache, który udrażnia cały system w momencie długotrwałego i intensywnego ataku na serwery DNS. W urządzeniach zabezpieczających marki Huawei wykorzystany został system analizy reputacyjnej V-ISA. Zapewnia on nie tylko ochronę przeciwko znanym rodzajom ataków typu DDoS, ale także jest w stanie identyfikować ruch sieciowy z różnego typu urządzeń (set-top-box, terminali, nietypowych systemów klienckich) w celu wyeliminowania ewentualnych fałszywych informacji o ataku.

Moduł wykrywający

Moduł oczyszczający przekazywanie danych z ruchu sieciowego


ANTI-DDOS NA WYNAJEM

Oferowane przez Huawei rozwiązanie Anti-DDoS zostało skonstruowane tak, aby jego właściciel mógł wynajmować jego zasoby swoim klientom w razie potrzeby. Korzystają z tego najczęściej operatorzy internetowych centrów danych, którzy zyskują zarówno gwarancję dostępu klientów do ich usług, jak i dodat-

Wybrani użytkownicy rozwiązań Huawei Anti-DDoS Equinix to globalny dostawca usług kolokacji, które realizuje w swoich ponad 100 centrach danych. W Holandii, gdzie dostawca świadczy także usługi zarządzanego hostingu i zarządzanych sieci, konieczne okazało się zapewnienie skutecznej i automatycznie działającej ochrony przed atakami DDoS. Wcześniej, gdy atak na jednego z klientów, unieruchamiał całą sieć dostawcy, jednocześnie uniemożliwiał świadczenie usług innym klientom. Administratorzy „odłączali” wówczas danego klienta od infrastruktury sieciowej, aby działalność pozostałych nie była zakłócona. Nie rozwiązywało to jednak problemu, ponieważ zasoby zaatakowanego klienta nadal nie były aktywne. Po przeprowadzeniu testów Proof-of-Concept Equinix wybrał rozwiązania Anti-DDoS firmy Huawei jako najszybsze w działaniu i najłatwiejsze w zarządzaniu. Nexusguard z San Francisco specjalizuje się w dostarczaniu bazujących na chmurze usług przeciwdziałania skutkom ataków DDoS. W lutym 2016 r. ogłosiła, że łączy w hybrydę swoje autorskie rozwiązanie z urządzeniami Anti-DDoS firmy Huawei. W ramach hybrydowego rozwiązania Nexusguard w siedzibie klienta będą instalowane urządzenia Huawei w celu odpierania mniejszych ataków, a w przypadku większego ataku ruch przekierowywany będzie do znacznie większej infrastruktury, stworzonej na bazie urządzeń tego producenta w centrach danych Nexusguard. Szczególne uznanie przedstawicieli firmy Nexusguard zyskała bardzo mała liczba fałszywych alarmów generowanych przez urządzenia Huawei oraz możliwość ochrony przed bardzo wieloma rodzajami ataków DDoS. Serverius, holenderski dostawca usług internetowych, od ponad roku wykorzystuje rozwiązania Anti-DDoS firmy Huawei do zagwarantowania dostępności danych ponad tysiąca klientów. Jak podkreślają przedstawiciele firmy, przez ten czas odparto dziesiątki tysięcy ataków, wśród których wolumen najbardziej rozległego sięgał 200 Gb/s. Serverius prowadzi także placówkę demonstracyjną, w której prezentuje systemy Huawei Anti-DDoS zarówno swoim klientom, jak i innym przedsiębiorstwom oraz dostawcom usług z całej Europy Zachodniej.

kowe przychody ze świadczenia usług anty-DDoS. W ramach wynajmowania zasobów z urządzeń Huawei mogą korzystać równolegle nawet dziesiątki tysięcy użytkowników. Każdy z nich może samodzielnie konfigurować reguły polityki bezpieczeństwa oraz otrzymywać indywidualnie generowane raporty opisujące przebieg ataku i sposób, w jaki mu przeciwdziałano. Ponadto Huawei oferuje rozwiązanie Anti-DDoS do wynajęcia działające w całości w chmurze. Jest to jedyne rozwiązanie zabezpieczające użytkowników przed atakami o bardzo dużej skali, które przekraczają wydajność wykupionego od

operatora łącza. Rozwiązanie Anti-DDoS może również działać w sposób hybrydowy – mniejsze ataki filtrować lokalnie na dostarczonym sprzęcie producenta, a większe w centrum danych dostawcy usługi.

Dodatkowe informacje: PAWEŁ WACHELKA, IP PRODUCT MANAGER ENTERPRISE NETWORKING SOLUTIONS, HUAWEI ENTERPRISE, TEL. 605 174 269, PAWEL.WACHELKA@HUAWEI.COM VADEMECUM CRN maj 2016

21

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ HUAWEI ENTERPRISE.

i AntiDDoS8160). Urządzenia z rodziny 8000 są modularne – wersja 8030 może składać się z dwóch modułów Service Processing Unit, 8080 – z siedmiu, a 8160 – z czternastu. Poszczególne urządzenia różnią się wydajnością: systemy z rodziny 1000 są w stanie przetworzyć do 10 mln pakietów na sekundę (Mp/s) i od 5 do 10 Gb/s ruchu sieciowego, a każdy moduł SPU urządzeń z rodziny 8000 – do 60 mln pakietów na sekundę (maks. odpowiednio: 90, 420 i 840 Mp/s) oraz 160 Gb/s ruchu sieciowego (maks. odpowiednio: 120, 720 i 1440 Gb/s). Rozwiązanie Huawei Anti-DDoS składa się z trzech głównych komponentów: modułu wykrywającego, oczyszczającego i zarządzającego. Nieustannie współpracują one ze sobą, wymieniając się informacjami, i są objęte spójnymi regułami polityki bezpieczeństwa. Moduł zarządzający (ATIC Management Center) to mózg całego rozwiązania Anti-DDoS. Umożliwia użytkownikowi dostosowywanie do własnych potrzeb reguł polityki wykrywania i czyszczenia ruchu w sieci, a następnie przekazuje wszystkie parametry konfiguracyjne do modułów wykrywającego i oczyszczającego. Zapewnia też pełne raporty z wykonanej pracy. Moduł wykrywający (Detecting Center) pełni rolę „anteny” całego rozwiązania. Analizuje wszystkie pakiety na podstawie reguł polityki bezpieczeństwa dostarczanych przez moduł zarządzający, identyfikuje i wykrywa ruch typu DDoS, a następnie przekazuje informacje o tym fakcie do modułu zarządzającego. Natomiast zadaniem modułu oczyszczającego (Cleaning Center) jest „przesiewanie” całego ruchu zgodnie z algorytmami, w które wyposażone jest rozwiązanie Anti-DDoS.


BEZPIECZEŃSTWO FIRMOWYCH SIECI

Pełna kontrola

nad oprogramowaniem Oprogramowanie GFI LanGuard umożliwia skanowanie podłączonych do sieci urządzeń w celu wykrywania, oceniania oraz usuwania luk w zabezpieczeniach. Ułatwia także zarządzanie aktualizacjami oprogramowania.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI GFI I ED&R POLSKA.

Z

doświadczenia partnerów GFI w Polsce wynika, że wielu klientów zwraca szczególną uwagę na zapewnienie możliwie szybkiej i kompleksowej aktualizacji systemów operacyjnych (Windows, Mac OS, Linux) oraz aplikacji na stacjach końcowych. Istotna jest także kontrola stanu posiadania właściwych wersji firmware’u w urządzeniach sieciowych (HPE, Cisco, Juniper i innych producentów) oraz jego modyfikacja niezwłocznie po wprowadzeniu zmian przez vendorów. Kolejną ważną dla klientów sprawą jest informowanie ich o zagrożeniach i lukach w zabezpieczeniach wynikających z posiadania nieaktualnej wersji oprogramowania, czy też z ustawienia nieprawidłowych reguł w polityce bezpieczeństwa dotyczącej firmowej sieci. Kolejnym ważnym aspektem rozwiązania ochronnego jest jego interfejs graficzny, który w przejrzysty sposób informuje administratora o najważniejszych zdarzeniach i zagrożeniach w sieci firmowej. Osoba odpowiedzialna za bezpieczeństwo oprogramowania może wówczas podjąć odpowiednie kroki w celu uniknięcia skutków zagrożeń, zaklasyfikować zdarzenie jako normalne lub wstrzymać jakieś działanie na pewien zadany okres czasu. Po sprawdzeniu sieci pod kątem podatności na zagrożenia oraz zainstalowaniu poprawek można skorzystać z funkcji audytu, aby uzyskać szczegółowe informacje na temat stanu bezpieczeństwa infrastruktury. Audyt może obejmować sprawdzenie podłączonych urządzeń USB, smartfonów i tabletów, rodzajów i wersji oprogramowania, liczby udostępnionych zasobów, otwartych portów, słabych haseł, nieaktywnych użytkowników

22

VADEMECUM CRN maj 2016

Nowa wersja GFI LanGuard W kwietniu 2016 r. do oferty trafiła nowa wersja oprogramowania GFI LanGuard 12. Producent wprowadził w niej przede wszystkim nowy, dodatkowy interfejs raportujący, bazujący na sieci web (oprócz klasycznego interfejsu desktopowego). Dzięki niemu użytkownicy za pomocą przeglądarki, przez bezpieczne połączenie HTTPS, mają wgląd do panelu nawigacyjnego (bez możliwości wprowadzania zmian), statusów, raportów itd. Nowa wersja charakteryzuje się też znacznie większą skalowalnością. Do tej pory mechanizm lokalnego interfejsu raportującego obsługiwał 1–2 tys. węzłów, jego nowa wersja została przystosowana do monitorowania 65 tys. węzłów. Wprowadzono także centralne raportowanie, administratorzy dużych sieci mogą więc instalować wiele instancji GFI LanGuard i jedną konsolę web, dzięki której zyskają wgląd w ustawienia wszystkich serwerów. Nowa wersja konsoli web integruje się z Active Directory w celu uwierzytelniania użytkowników infrastruktury IT, dzięki czemu administratorzy mogą konfigurować zakres ich dostępu w każdej lokalizacji (tylko do odczytu lub pełne prawa). Z jednej konsoli w danym momencie może korzystać wielu administratorów.

lub grup oraz stanu bezpieczeństwa systemów linuksowych w sieci.

ZARZĄDZANIE POPRAWKAMI GFI LanGuard umożliwia kompleksowe zarządzanie aktualizacjami zabezpieczeń i poprawkami niezwiązanymi z zabezpieczeniami, przeznaczonymi dla systemów operacyjnych Windows i Mac OS X, głównych dystrybucji Linuksa oraz aplikacji firm trzecich (m.in. Apple QuickTime, Adobe Acrobat, Adobe Flash Player, Adobe Reader, Shockwave Player, Mozilla Firefox, Mozilla Thunderbird oraz Java Runtime). Zapewnia także automatyzację instalacji poprawek dla wszystkich głównych przeglądarek internetowych. Użytkownik aplikacji GFI LanGuard ma do dyspozycji zaawansowany panel nawigacyjny, który przedstawia pełne informacje o stanie sieci. Są one zbiera-

ne z ponad 4 tys. aplikacji o krytycznym dla bezpieczeństwa infrastruktury IT znaczeniu. Oprogramowanie umożliwia także tworzenie szczegółowych raportów, np. technicznych, zarządczych oraz dotyczących zgodności rozwiązań IT z konkretnymi normami (m.in. PCI-DSS, HIPAA, CIPA oraz SOX). Wszystkie szablony raportów mogą być dowolnie edytowane na potrzeby konkretnych zadań i osób oraz przesyłane automatycznie jako załącznik w e-mailu po skonfigurowaniu odpowiednich zadań w harmonogramie.

Dodatkowe informacje: JAKUB SIEŃKO, DYREKTOR HANDLOWY, ED&R POLSKA, JSIENKO@EDR.PL


Extreme Networks

– przełączniki sprawdzone w działaniu Dzięki przełącznikom Extreme Networks naukowcy z Uniwersytetu Jagiellońskiego mają zagwarantowany ciągły, wydajny dostęp do sieci przy rosnącym obciążeniu.

Maciej Stawiarski Product Manager, Veracomp

Rozwiązania Extreme Networks to platforma, która pozwala optymalizować i personalizować połączenia sieciowe, budować kompleksową, bezpieczną infrastrukturę oraz usprawniać działanie aplikacji. Wysoka niezawodność rozwiązań jest gwarancją stabilności infrastruktury, dzięki czemu dostawcy sieci mogą oferować konkurencyjne, wielofunkcyjne i sprofilowane usługi.

cję połączeń podstawowych i zapasowych w topologii ring, które umożliwiają transfer z prędkością 40 Gb/s i 10 Gb/s. W tym celu zastosowano zaawansowany przełącznik Extreme Black Diamond X8, 21 przełączników Black Diamond 8810, jeden Summit x670V-48x, 15 Summit x460–24p oraz 13 Summit x460–48 t. Do zarządzania infrastrukturą wykorzystano oprogramowanie Extreme Networks Ridgeline, które daje wgląd w całą strukturę sieci. Zapewnione przez nie funkcje kontroli i monitoringu są proste w obsłudze i gwarantują pełne wykorzystanie możliwości zaawansowanych przełączników. Dostarczone urządzenia pozwalają na obsługę 60 portów 40 Gb/s, 130 portów 10 Gb/s i 5592 portów 10/100/1000 Gb/s (w tym 1752 portów Power over Ethernet). W ramach wdrożenia skonfigurowano ok. 40 sieci VLAN oraz zbudowano infrastrukturę ring Ethernet Automatic Protection Switching (EAPS). Jest to stworzone przez Extreme Networks unikatowe rozwiązanie, które służy do zwiększenia niezawodności i wydajności przełączników. EAPS jest alternatywą rozwiązań STP (druga warstwa przełączania), które nie spełniają wymogów współczesnych, szybkich sieci. Dzięki EAPS możliwe jest osiągnięcie niezawodności, która dotąd zarezerwowana była wyłącznie dla połączeń klasy operatorskiej.

Według niezależnych testów przełącznik Black Diamond X8 jest nawet 10 razy szybszy od konkurencyjnych rozwiązań z podobnego przedziału cenowego. Charakteryzuje się też najmniejszymi opóźnieniami i najlepszym współczynnikiem efektywności energetycznej na port, a więc kluczowymi czynnikami w centrach danych (fizycznych i w chmurze), systemach operatorskich i klastrach obliczeniowych. Przełącznik Black Diamond X8 zapewnia największą w porównaniu z konkurencją liczbę portów 10 GbE i 40 GbE – w jednej szafie serwerowej można ich zmieścić nawet 2304. Średnie opóźnienie transferu danych sięga 2,3 mikrosekundy dla ruchu w warstwie drugiej, przy niskim zużyciu energii. Parametr WattsATIS w przypadku wykorzystania 33 proc. zasobów przełącznika wynosi 8,1 i może być jeszcze niższy przy pełnym wykorzystaniu portów przełącznika. Rozwiązanie gwarantuje też bezstratną przepustowość na wszystkich portach.

Dodatkowe informacje: MACIEJ STAWIARSKI, PRODUCT MANAGER, VERACOMP, MACIEJ.STAWIARSKI@VERACOMP.PL VADEMECUM CRN maj 2016

23

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI EXTREME NETWORKS I VERACOMP.

R

osnące natężenie ruchu sieciowego na Wydziale Fizyki, Astronomii i Informatyki Stosowanej Uniwersytetu Jagiellońskiego zmusiło placówkę do rozbudowy systemu teleinformatycznego. Sieć akademicka wymagała zastosowania nowych urządzeń umożliwiających przesyłanie dużych ilości danych z minimalnymi opóźnieniami. Pod uwagę brano rozwiązania zapewniające przełączanie ruchu z prędkością do 40 Gb/s. W ramach sieci zbudowanej w topologii ring miało zostać uruchomionych kilkadziesiąt podsieci VLAN. Po przeprowadzeniu testów dostępnych na rynku rozwiązań zdecydowano o zastosowaniu urządzeń Extreme Networks, które gwarantują przełączanie z wymaganymi prędkościami oraz bezproblemową łączność. Dzięki nim infrastruktura sieciowa wydziału została przygotowana na największe nawet wyzwania, a także prostą do przeprowadzenia rozbudowę. Wdrożenie na uniwersytecie obejmowało 21 punktów dystrybucyjnych i konfigura-


BEZPIECZEŃSTWO FIRMOWYCH SIECI

D-Link CentralWiFi Manager – zarządzanie siecią bez kompromisów Bezpłatna aplikacja serwerowa D-Linka usprawnia zarządzanie punktami dostępowymi i zwiększa bezpieczeństwo rozproszonych sieci bezprzewodowych.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ D-LINK.

O

programowanie D-Link CentralWiFi Manager umożliwia zarządzanie wszystkimi punktami dostępowymi tego producenta i całą siecią bezprzewodową z jednego miejsca, nawet jeśli urządzenia są zainstalowane w różnych lokalizacjach czy wręcz w wielu miastach. To bezpłatne narzędzie (oferowane z wybranymi bezprzewod owymi punktami dostępowymi producenta) pozwala kontrolować nawet 500 punktów dostępowych, a także upraszcza proces ich konfiguracji. Zapewnia automatyczne sterowanie pasmem, kontrolę przepustowości oraz kanałów WiFi, dzięki czemu ułatwia optymalizację działania sieci. Zastosowanie CentralWiFi Managera istotnie zwiększa poziom bezpieczeństwa i gwarantuje utrzymanie spójności konfiguracji wszystkich urządzeń (ustawienia są przesyłane na punkty dostępowe przez szyfrowany tunel). Administrator nie musi więc poświęcać czasu na ręczne wprowadzanie ustawień do każdego punktu dostępowego osobno – są one automatycznie kopiowane do wszystkich urządzeń. Takie rozwiązanie minimalizuje ryzyko popełnienia błędów podczas osobnej konfiguracji każdego punktu dostępowego, które mogą przełożyć się na wadliwe działanie całej sieci lub zagrożenie jej bezpieczeństwa. Warto dodać, że zdalna kontrola jest możliwa także wówczas, gdy punkty dostępowe znajdują się za routerem lub zaporą sieciową i zarządzanie nimi odbywa się z użyciem szyfrowanego pro-

24

VADEMECUM CRN maj 2016

tokołu HTTPS. Dodatkowo zarządzanie punktami dostępowymi za pomocą CentralWiFi Managera wymusza bezpieczniejszy tryb ich pracy. Użytkownikowi można zapewnić wyłącznie podgląd pewnych parametrów konfiguracyjnych bez uprawnień do ich zmiany.

NA STAŁE I TYMCZASOWO Wśród narzędzi zapewniających bezpieczeństwo sieci zarządzanej przez CentralWiFi Managera jest autoryzacja użytkownika przez zewnętrzne serwery: LDAP, RADIUS oraz przy wykorzystaniu lokalnych baz. Istnieje też możliwość tworzenia kont tymczasowych, autoryzowanych kodami ważnymi w ustalonym przedziale czasu. Wtedy dane logowania użytkownika są szyfrowane z wykorzystaniem protokołu WPA lub WPA2. Administrator może również skorzystać z funkcji filtrowania autoryzowanych użytkowników według adresów MAC, a także z opcji ukrywania rozgłaszania identyfikatora SSID. D-Link CentralWiFi Manager zapewnia stabilne i szybkie działanie sieci oraz gotowość do bezprzewodowych połączeń dzięki funkcji automatycznego zarządza-

nia częstotliwością fal radiowych, optymalizacji przepustowości oraz priorytetyzacji przesyłania multimediów. Niezwykle przydatną cechą tego narzędzia są funkcje raportowania, dzięki którym administrator uzyskuje informacje o działaniu sieci i każdego punktu dostępowego osobno. Nie musi więc bezpośrednio logować się do każdego urządzenia (w rozbudowanych instalacjach mogą być ich setki), a w przypadku awarii może zdalnie je naprawić. Szczegółowe raporty o stanie sieci, zawierające rozbudowane prezentacje danych w formie graficznej, są generowane z poziomu interfejsu zarządzania. Funkcja tworzenia kont przeznaczonych dla użytkowników pozwala na komercyjne wykorzystanie infrastruktury bezprzewodowej. Portal użytkownika można sprofilować do konkretnych, tymczasowych zastosowań, np. udostępniać sieć przy okazji imprez masowych, a uprawnienia do logowania przydzielać na podstawie kodów, voucherów lub opłat wnoszonych za pośrednictwem serwisów internetowych. Także w przypadku instalacji czasowych możliwe jest przyznawanie zróżnicowanych uprawnień użytkownikom, zgodnie z przyjętymi zasadami. Autoryzowanymi dystrybutorami firmy D-Link są: ABC Data, Action i Veracomp.

Dodatkowe informacje: GRZEGORZ CAŁUN, PRE-SALES ENGINEER, D-LINK, GRZEGORZ.CALUN@DLINK.COM


Zintegrowanie przełączników Extreme Networks z firewallami FortiGate firmy Fortinet zapewnia przedsiębiorstwom niespotykany dotychczas poziom ochrony na brzegu sieci.

S

kuteczność pracy firewalla zależy od dokładnego wdrożenia reguł polityki bezpieczeństwa. Jednak w logach firewalla bardzo często nie są odnotowywane informacje o tym, kiedy użytkownik odłączył urządzenie od sieci lub czy połączenie wykonano z publicznej bądź prywatnej sieci. Dodatkowe zagrożenie bezpieczeństwa stwarzają portale gościnnego dostępu do sieci (captive portal), które korzystają z lokalnego uwierzytelniania, ale pozostają niewidoczne w katalogu firewalla. Umożliwia to dostęp do sieci bez odpowiedniej weryfikacji. Występujące niedokładności mogą spowodować, że wobec użytkownika zostaną zastosowane niewłaściwe reguły polityki bezpieczeństwa lub czas ich wykorzystania będzie zły. Zagrożeniom tym można zapobiec dzięki integracji rozwiązań Extreme Networks z firewallami FortiGate firmy Fortinet. Zapewni to dokładniejsze wdrażanie polityki bezpieczeństwa. W powstałym w ten sposób rozwiązaniu działa aplikacja zarządzająca Extreme Networks NetSight Advanced, która dostarcza do FortiGate dokładne informacje dotyczące mapowania wejść i wyjść użytkownika z sieci. W efekcie zapewniona jest nieprzerwana kontrola realizacji polityki ochrony w sieciach przewodowych i bezprzewodowych oraz w punktach dostępu zdalnego.

kompleksoWa ochrona sieci Wykorzystanie rozwiązania NetSight jako centralnego punktu usług dostępu, uwierzytelniania i autoryzacji (Authentication Authorization Access – AAA)

upraszcza wdrożenie reguł polityki bezpieczeństwa i automatyzuje wykonywanie zadań administracyjnych. Umożliwia to administratorom szybsze i skuteczniejsze rozwiązywanie problemów z siecią. Gdy użytkownik łączy się z siecią lub się rozłącza, znacznik stanu połączenia jest wysyłany z NetSight do tablic mapowania FortiGate i następuje nadpisanie rekordów, co gwarantuje stosowanie odpowiednich reguł polityki bezpieczeństwa. Jeśli upoważniony użytkownik jest prawidłowo uwierzytelniony przez NetSight, FortiGate wysyła znacznik RADIUS do UTM-a FortiGate. Dzięki te-

Korzyści z połączenia przełączników Extreme Networks z firewallami Fortinet • Dokładniejsze wdrażanie polityki bezpieczeństwa dzięki mapowaniu User-to-IP w czasie rzeczywistym. • Zapobieganie wewnętrznym zagrożeniom dzięki kontroli bezpieczeństwa na poziomie warstwy dostępowej. • Dostarczanie danych o systemach użytkowników do firewalli Fortinet w czasie rzeczywistym, umożliwiających śledzenie lokalizacji użytkowników oraz monitorowanie używanych przez nich aplikacji.

Widoczność aplikacji na brzegu sieci

Aby zapewnić ochronę na brzegu sieci bezprzewodowej i przewodowej, NetSight wymienia z przełącznikami brzegowymi informacje na temat aplikacji wykorzystywanych przez użytkownika. Zapewnia to rozszerzony wgląd w aktualny status sieci i kontrolę nad nim, a tym samym umożliwia blokowanie niepożądanych lub złośliwych aplikacji, które mogłyby mieć negatywny wpływ na działanie sieci. Ułatwia to śledzenie użytkowników narażonych na przestoje lub potrzebujących aktualizacji usług. Umożliwia też identyfikację użytkowników modyfikujących lub nadużywających wybranych aplikacji. Jeśli firewall FortiGate wykryje zagrożenia lub złośliwe pakiety pochodzące od użytkownika wewnątrz sieci, powiadamia NetSight i podaje jego adres IP. NetSight lokalizuje port warstwy dostępowej przypisany do tego adresu IP, a następnie blokuje ruch, uruchamia procedurę kwarantanny i wpisuje użytkownika na czarną listę. Jeżeli ten połączy się z innymi portami, także one automatycznie zostaną poddane kwarantannie. Jeżeli zaś łączy się przez sieć bezprzewodową, zostanie poddany kwarantannie w swoim punkcie dostępowym i wpisany na czarną listę.

Dodatkowe informacje: Maciej StawiarSki, Product Manager, VeracoMP, Maciej.stawiarski@VeracoMP.Pl VADEMECUM CRN maj 2016

25

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI EXTREME NETWORKS I VERACOMP.

Extreme i Fortinet – ochrona w czasie rzeczywistym

mu firewall mapuje nazwy użytkownika i grupy oraz stosuje reguły polityki bezpieczeństwa odpowiednie dla tego procesu. NetSight zwiększa skuteczność mapowania użytkownika do IP przez współużytkowanie z firewallem FortiGate informacji o adresie IP, nazwie użytkownika, lokalizacji i informacji o regułach polityki bezpieczeństwa. Aby uruchomić uwierzytelniany lokalnie dostęp gościnny, NetSight wysyła do firewalla FortiGate mapowanie użytkownika-gościa. Proces mapowania w czasie rzeczywistym przez NetSight jest zarządzany dzięki współpracy z rozwiązaniem RADIUS Accounting.


BEZPIECZEŃSTWO FIRMOWYCH SIECI

Bezprzewodowa

infrastruktura Fortinet dla przedsiębiorstw

Fortinet znany jest jako dostawca zaawansowanych systemów cyberbezpieczeństwa, ale w ofercie ma także inne ciekawe produkty. Wśród nich są m.in. rozwiązania Wi-Fi klasy enterprise – Fortinet Infrastructure Wireless – umożliwiające firmom budowanie profesjonalnych i wydajnych sieci WLAN.

K

orporacje, szpitale, centra wystawiennicze i sportowe, hotele, banki, szkoły – niezależnie czy mówimy o małym, czy dużym biznesie, sektorze publicznym czy o prywatnej firmie, dziś praktycznie każdy podmiot poszukuje zunifikowanych sieci, które są w stanie przesyłać jednocześnie głos i dane lub już wykorzystuje ich zalety. Bezprzewodowe urządzenia mobilne szybko zyskują na popularności jako sposób na podniesienie produktywności przez dostęp do zasobów firmy z dowolnego miejsca. Bezpieczne korzystanie z infrastruktury bezprzewodowej jest dziś priorytetem i podstawowym wymogiem użytkowników z każdego segmentu rynkowego. Rozwiązania z rodziny Fortinet Infrastructure Wireless ułatwiają zbudowanie sieci WLAN, która będzie bezpieczna i jednocześnie bardzo wydajna. W XXI w. praca przy biurku została zastąpiona pracą mobilną. Dzięki roz-

wojowi technicznemu oraz globalnym trendom narzędziem dostępu do firmowych zasobów nie jest już tylko komputer stacjonarny, a służą do tego celu także różnego typu urządzenia przenośne. Dzięki temu pracownicy zyskują zdalny dostęp do wcześniej nieosiągalnych bezprzewodowo zasobów. W związku z tym niezawodność sieci i swoboda korzystania z niej stały się czynnikiem krytycznym dla firm z każdego segmentu rynkowego. Działy IT mierzą się obecnie z coraz to nowszymi wyzwaniami, sprostanie którym jest konieczne, aby spełniać ciągle rosnące oczekiwania ze strony rynku. Należą do nich m.in. integracja usług z chmurą oraz wydajny transfer danych i obrazu, konieczny w wielu nowych aplikacjach. W zmaganiu się z tymi wyzwaniami bardzo ważne jest utrzymanie wysokiego poziomu bezpieczeństwa sieci WLAN.

Bezprzewodowa sieć klasy enterprise powinna charakteryzować się przede wszystkim uniwersalnością – musi zapewniać np. przesyłanie zarówno głosu i obrazu pochodzącego z wideokonferencji, jak też tradycyjnych danych informatycznych. Ma być też skalowalna, dzięki czemu łatwa będzie jej rozbudowa w przypadku nagłego zwiększenia ilości przesyłanych danych lub zatrudnienia w firmie. Nie bez znaczenia jest też prostota instalacji i możliwość zintegrowania sieci z już posiadanymi przez firmę rozwiązaniami. Natomiast najważniejsze są oczywiście kwestie bezpieczeństwa danych i zapewnienia ciągłości dostępu do nich.

ZALETY ROZWIĄZAŃ FORTINET INFRASTRUCTURE WIRELESS Bezprzewodowe systemy WLAN firmy Fortinet dzięki scentralizowanemu zarządzaniu i zaawansowanym funkcjom

W 2016 R. FORTINET WPROWADZIŁ DO OFERTY NOWĄ SERIĘ KONTROLERÓW FORTIWLC: FWLC-50D, FWLC-200D ORAZ FWLC-500D (NA ZDJĘCIU). WSZYSTKIE ZOSTAŁY WYPOSAŻONE W FUNKCJĘ WIRTUALNEJ KOMÓRKI I GWARANTUJĄ WIELOPOZIOMOWE ZABEZPIECZENIE PRZESYŁANYCH DANYCH. W ZALEŻNOŚCI OD MODELU, OBSŁUGUJĄ OD 50 DO 500 PUNKTÓW DOSTĘPOWYCH.

26

VADEMECUM CRN maj 2016


Bezpieczne korzystanie z infrastruktury bezprzewodowej jest dziś priorytetem i wymogiem użytkowników. Zaimplementowane w Fortinet Infrastructure Wireless rozwiązanie Virtual Cell pozwala wszystkim punktom dostępowym na pracę w tym samym kanale radiowym oraz na rozgłaszanie jednego BSSID. W ten sposób możliwe staje się pokrycie zasięgiem sieci bezprzewodowej całego obszaru w jednolity sposób. Stanowi to przeciwieństwo pojedynczych mikrokomórek występujących w standardowych sieciach Wi-Fi i zapewnia uniknięcie wielu występujących w nich problemów. System WLAN

Korzyści ze stosowania systemu Fortinet Infrastructure Wireless • Szybkie i łatwe wdrożenie, bez wstępnego planowania kanałów częstotliwości radiowej. • Duża pojemność i przepustowość sieci do prowadzenia transmisji danych, głosu i wideo. • Skalowalność nawet w największych rozwiązaniach biznesowych, atrakcyjna również dla małych szkół lub biur. • Niskie koszty eksploatacji dzięki możliwości zastosowania do 30 proc. mniejszej niż w tradycyjnych rozwiązaniach liczby prostych w instalacji punktów dostępowych. • Wysokiej jakości połączenia głosowe, niezakłócone nawet w przypadku przemieszczania się i jednoczesnego przesyłania dużych ilości danych. • Proste i wydajne zastosowanie standardu 802.11n oraz 802.11ac. • Najłatwiejszy sposób na dostosowanie infrastruktury bezprzewodowej do standardu 802.11ac. • Pełna kompatybilność ze standardami Wi-Fi; nie wymaga stosowania specjalnych kart i sterowników w urządzeniach klienckich.

firmy Fortinet zarządza nie tylko punktami dostępowymi, ale także dostępem do kanału radiowego dla poszczególnych klientów sieci bezprzewodowej. Umożliwia to balansowanie pasmem, zmniejszenie obciążenia w krytycznych punktach sieci, a także szybkie reagowanie na wszelkiego typu awarie. Do ważnych zalet rozwiązania należy również to, że nie trzeba dokładnie planować rozmieszczenia kanałów radiowych w danym otoczeniu oraz zwiększona elastyczność rozwiązania (np. przeniesienie, dodanie punktu dostępowego lub inne zmiany nie wymagają ponownego planowania kanałów) i szybki roaming. Działanie na jednym kanale nie zakłóca pracy punktów dostępowych sieci Wi-Fi, co nie wymusza zmniejszenia mocy nadawania wbudowanego radia. Przekłada się to bezpośrednio na możliwość zmniejszenia kosztów inwestycji dzięki precyzyjnie rozplanowanej infrastrukturze.

kazują placówki handlowe (wielkopowierzchniowe centra handlowe, sieci z rozproszoną strukturą punktów sprzedaży, centra logistyczne, magazyny itp.), których pracownicy korzystający z bezprzewodowych urządzeń potrzebują bezpiecznego dostępu do przechowywanych centralnie danych. Kolejną ważną grupę potencjalnych klientów stanowi branża hotelarska i rozrywkowa (hotele, centra sportowe, stadiony, multipleksy, centra wystawiennicze, muzea itp.), w których istnieje potrzeba przede wszystkim zapewnienia bezprzewodowego dostępu dla gości. Podobne wymagania mają placówki ochrony zdrowia, przy czym tam powinny funkcjonować sieci dwóch kategorii – dla pacjentów i ich gości oraz dla personelu medycznego, do przesyłania poufnych danych medycznych. Ważnym klientem są też placówki z sektora edukacyjnego – szkoły podstawowe, szkoły średnie, uczelnie wyższe, inkubatory przedsiębiorczości itp.

Uniwersalne rozwiązanie dla wielU klientów

Rozwiązanie Fortinet Infrastructure Wireless powinno zaspokoić potrzeby klientów z licznych segmentów rynkowych. Na świecie i w Polsce zostało zrealizowanych wiele wdrożeń infrastruktury bazującej na tych systemach. Szczególne zainteresowanie nimi wy-

Dodatkowe informacje: AgnieszkA szArek, Channel Manager, Fortinet, aszarek@Fortinet.CoM lub Fortinet@veraCoMp.pl JAkub krAlkA, produCt Manager, veraCoMp, jakub.kralka@veraCoMp.pl VADEMECUM CRN maj 2016

27

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI FORTINET I VERACOMP.

bezpieczeństwa zapewniają niezawodne działanie sieci bezprzewodowej w przedsiębiorstwie. Architektura Fortinet Infrastructure Wireless jest unikalna ze względu na wykorzystane w niej rozwiązania usprawniające działanie sieci Wi-Fi, takie jak: Virtual Cell, Airtime Fairness czy Channel Layering. Zapewniają one koordynację i synchronizację pracy systemu, co daje pełną kontrolę nad siecią bezprzewodową w całym obszarze, który obejmuje swoim zasięgiem. Dzięki temu kontrolery i punkty dostępowe Fortinet stale zapewniają optymalną wydajność całej sieci, a nie tylko pracy pojedynczego użytkownika czy punktu dostępowego. Taki model umożliwia systemowi efektywnie zarządzanie całą infrastrukturą zbudowaną na bazie rozwiązań Infrastructure Wireless – poczynając od nadawania priorytetów wrażliwym na opóźnienia aplikacjom (rozwiązania głosowe oraz wideokonferencyjne), aż po natychmiastowe przełączanie klientów pomiędzy punktami dostępowymi, eleminujące zrywanie transmisji danych.


Fot. © ra2 studio – Fotolia.com

OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM

Antywirusy

– światełko w tunelu Sprzedaż oprogramowania do ochrony urządzeń końcowych od lat cechuje się niewielkim, kilkuprocentowym rocznym wzrostem. Niektórzy analitycy oceniają jednak, że w najbliższych latach będzie rosła w tempie prawie dwucyfrowym. Dynamicznego wzrostu można spodziewać się zwłaszcza w segmencie ochrony urządzeń mobilnych. Rafał Janus

28

VADEMECUM CRN maj 2016


J

eden z wiceprezesów Symanteca dwa lata temu wieszczył „śmierć” oprogramowania antywirusowego. Ta opinia odbiła się szerokim echem i wzbudziła ożywioną dyskusję o rzeczywistej skuteczności antywirusów w świecie stale zmieniających się zagrożeń. Problem ze wspomnianą deklaracją polega na tym, że została źle rozumiana. Jej autorowi nie chodziło bowiem o koniec przydatności pakietów antywirusowych, które obejmują wiele mechanizmów zabezpieczeń, m.in. wykrywanie spamu, stron wyłudzających hasła czy ochronę przed ransomware. Celem było wskazanie na coraz mniejszą przydatność rozwiązań, które wykrywają szkodliwe oprogramowanie na bazie sygnatur. Krótko mówiąc tych, które potrafią wykrywać tylko poznane już zagrożenia. Takie podejście nie sprawdza się w zabezpieczaniu przed atakami zero-day czy szyfrującymi swój kod, a przecież należą do głównych zagrożeń, zarówno dla sprzętu użytkowników prywatnych, jak i biznesowych. Mimo to ochrona bazująca na sygnaturach jest nadal powszechnie uważana za fundament bezpieczeństwa, a niektórzy producenci oferują oprogramowanie antywirusowe bezpłatnie lub nawet dołączają do systemów operacyjnych. O wciąż silnej pozycji systemów antywirusowych świadczą badania rynkowe. Agencja badawcza Research and Markets w opublikowanym w marcu 2016 r. raporcie przewiduje, że w okresie 2015−2020 światowa sprzedaż pakietów antywirusowych będzie rosła średnio o 9 proc. rocznie. W efekcie przychody zwiększą się ze 106 do 170 mld dol. Jako głównych graczy na tym rynku autorzy raportu wskazują: Avast, AVG, Intel Security (McAfee), Microsoft oraz Symantec. Badanie nie objęło pakietów antywirusów przeznaczonych do ochrony urządzeń mobilnych (smartfonów i tabletów). Wzrost popytu na ochronę antywirusową w skali globalnej wynika z kilku czynników. Według analityków najistotniejszym jest coraz większe wykorzystanie Internetu. Eksperci Gartnera podkreślają, że użytkownicy są coraz bardziej świadomi konieczności zabezpieczania urządzeń mobilnych w taki sam sposób jak kompu-

LICZBA NOWYCH ZAGROŻEŃ (W TYS.) 1800

1583,1

1600 1400 1200

1048,1

1000 800 600 400 200 0

323,3

291,9

147,8 103,1 I KW. 2015

II KW. 2015

III KW. 2015

NOWE ZAGROŻENIA

NOWE ZAGROŻENIA INFEKUJĄCE

ŁĄCZNIE

SMARTFONY I TABLETY

Źródło: Kaspersky Lab

Najgroźniejsze szkodniki w Polsce Zespół CERT Polska, działający przy NASK, donosi, że botnety Tinba oraz Conficker to rodzaje złośliwego oprogramowania, które w 2015 r. zainfekowały najwięcej urządzeń należących do polskich użytkowników. Eksperci podają, że w ubiegłym roku pod kontrolą cyberprzestępców mogło być ponad 150 tys. komputerów. Poza tym wśród dziesięciu największych zagrożeń rozpowszechnionych w Polsce aż trzy dotyczyły klientów bankowości elektronicznej. Statystyki zostały przygotowane na podstawie danych zgromadzonych na platformie n6 – zbudowanej w całości przez zespół CERT Polska – która przetwarza dziennie informacje o ponad 100 tys. przypadków zainfekowania komputerów w Polsce.

terów. Segment rynku rozwiązań ochronnych do smartfonów i tabletów ma więc szansę na szybki rozwój. Kolejny istotny czynnik to zmiana modelu dystrybucji sygnatur antywirusowych. Zamiast stosować mechanizm pobierania tych informacji przez użytkowników, coraz większa liczba producentów przechowuje je w chmurze. Informacje o zagrożeniach zbierane są do centralnej bazy z różnych źródeł (m.in. laboratoriów bezpieczeństwa i raportów użytkowników) i są w czasie rzeczywistym dostępne dla silnika antywirusowego. Warto też zauważyć, że sygnatury dla nowych zagrożeń powstają stosunkowo szybko. Dlatego testy pokazują, że antywirusy wciąż wykrywają wysoki odsetek zagrożeń. Jednak żaden nie jest doskonały.

WIĘCEJ CHMURY W ANTYWIRUSIE

Producenci coraz częściej chwalą się chmurowymi możliwościami swoich produktów, np. ochroną w czasie rzeczywistym. Wspólną cechą tej kategorii rozwiązań jest korzystanie z „lekkiego” agenta instalowanego w urządzeniu końcowym, podczas gdy większość funkcji, np. analiza zagrożeń lub przechowywanie sygnatur, jest realizowana w chmurze producenta. Dzięki temu wyraźnie spada obciążenie urządzenia końcowego w porównaniu z tym, jakie powoduje pakiet antywirusowy instalowany w całości lokalnie. Tradycyjne oprogramowanie zabezpieczające w różnych miejscach przechwytuje pliki i obiekty do skanowania (w systemie plików albo w momencie wykonywania). W każdym VADEMECUM CRN maj 2016

29


OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM z tych miejsc są używane różne techniki skanujące, m.in. sygnatury antywirusowe czy analiza heurystyczna. Redundancja mechanizmów skanujących powoduje widoczny spadek wydajności urządzeń końcowych. Zastosowanie odpowiedniego algorytmu ogranicza te procesy, np. pobrane pliki, które nie są od razu otwierane, mogą być przeskanowane później, kiedy komputer nie jest wykorzystywany przez użytkownika. Aby jeszcze bardziej zmniejszyć obciążenie, agenta wyposaża się w algorytmy, które inteligentnie wytypują pliki do skanowania. Zaletą używania uproszczonego oprogramowania w urządzeniu klienckim jest również zmniejszenie płaszczyzny ataku i ograniczenie ryzyka wykorzystania ewentualnych luk w antywirusie. Wśród korzyści ze stosowania chmurowych antywirusów są m.in.: niższe koszty niż w przypadku tradycyjnego oprogramowania zabezpieczającego, automatyczne aktualizacje dostarczane przez producenta i możliwość integracji z lokalnie działającym oprogramowaniem antywirusowym. Dlatego oferowanie antywirusa w formie usługi chmurowej ma wiele zalet. Z punktu widzenia klienta odchodzi konieczność wdrożenia tego oprogramowania i zarządzania nim, atrakcyjne mogą również okazać się koszty używania programu. Są to dobre argumenty, aby przekonać małe i średnie firmy, które często stosują bezpłatne oprogramowanie antywirusowe, do przejścia na rozwiązania płatne. Jednakże eksperci podkreślają, aby rozwiązań chmurowych nie traktować jak zamienników programów instalowanych w urządzeniach końcowych. Rekomendowanym rozwiązaniem jest

PRODUCENCI ZABEZPIECZEŃ DLA URZĄDZEŃ KOŃCOWYCH Z SYSTEMEM WINDOWS 15,9%

MICROSOFT

15,0%

AVAST

11,6%

MALWAREBYTES

7,1%

ESET

6,1%

SYMANTEC

5,0%

AVG AVIRA

4,3%

KASPERSKY LAB

4,2%

SAFER-NETWORKING

3,6%

PANDA SECURITY

3,6%

BITDEFENDER MCAFEE

3,2% 2,5%

stosowanie obu systemów, co zapewnia najlepszą ochronę. Ograniczona przepustowość łączy internetowych nie pozwala na przesyłanie całych plików do sprawdzenia w chmurze. Przesyłane są dane opisujące plik, np. unikalny identyfikator (obliczany przez specjalny algorytm), oraz informacje, jak dany plik trafił do urządzenia i jakie operacje były na nim wykonywane. W ten sposób można zidentyfikować cechy pliku w chmurze bez przesyłania go w całości. Identyfikatorem pliku może być suma kontrolna MD5. Z uwagi na polimorficzne zagrożenia, które same potrafią zmieniać własny kod, nie jest to wystarczająco skuteczna metoda. Dlatego agent musi generować hasze również tzw. metodą fuzzy (umożliwia generowanie jednego identyfikatora dla plików o pewnych wspólnych cechach) oraz zbierać dodatkowe informacje zapewniające identyfikację sprawdzanego obiektu.

Bartosz Prauzner-Bechcicki dyrektor ds. sprzedaży, Kaspersky Lab

Zagrożenia wycelowane w urządzenia mobilne, szczególnie te z systemem Android, czyli większość, stają się równie niebezpieczne jak wirusy ze środowiska Windows. Dlatego ochrona urządzeń mobilnych musi obecnie spełniać najwyższe standardy i praktycznie nie powinna ustępować technicznie zabezpieczeniom stosowanym w komputerach. Oczywiście w przypadku smartfonów i tabletów ważne są również funkcje zabezpieczające w przypadku kradzieży, np. umożliwiające zdalne usunięcie danych, zablokowanie dostępu urządzenia, a nawet jego zlokalizowanie.

30

VADEMECUM CRN maj 2016

Źrodło: Opswat, listopad 2015

Dane zebrane przez agenta są analizowane przez oprogramowanie antywirusowe działające w chmurze. Jeśli zostanie wykryte zagrożenie powiązane z plikami, które wcześniej uważano za bezpieczne, zostaną one odpowiednio oznaczone. Jedną z zalet analizowania zagrożeń w modelu cloud jest to, że silnik antywirusowy i jego logika nie są bezpośrednio dostępne dla autorów szkodliwego oprogramowania. To utrudnia im ocenę skuteczności zabezpieczenia. Wśród tradycyjnych narzędzi ochronnych są już rozwiązania, które korzystają, np. z dwóch silników antywirusowych. To samo można by zrobić w chmurze, jednak wtedy konieczne byłoby przesyłanie całych plików, co jest niepraktyczne. Chmurowe antywirusy mają też wady i ograniczenia. Jeśli urządzenie końcowe nie jest podłączone do Internetu, zapewniana przez nie ochrona jest ograniczona, ponieważ nie mogą się komunikować z chmurą. Ten problem częściowo rozwiązuje przechowywanie najważniejszych informacji o zagrożeniach lokalnie. Pamięć podręczna zawiera informacje o wynikach wcześniejszej komunikacji z chmurą. Dzięki temu pliki, które zostały już sprawdzone, nie będą zakwalifikowane do ponownego skanowania. Cache daje jednak mniejsze możliwości wykrywania zagrożeń niż chmura, ale w czasie, kiedy komputer nie jest podłączony do Internetu, również zagrożenie jest mniejsze.


SKĄD CZERPAĆ DOCHODY? Pakiety typu Internet Security, składające się z antywirusa, antyspamu, zapory sieciowej oraz szeregu innych zabezpieczeń, to ciągle jedno z najpopularniejszych rozwiązań ochronnych. Jednak ten rynek jest już bardzo dojrzały, a konkurencja na nim silna. W efekcie spadają marże, ale to wciąż dobry biznes, a sprzedawcy mogą znaleźć okazję do uzyskania przyzwoitych dochodów. Dostarczając klientowi zabezpieczenia dla jego stacji roboczych, można zbudować z nim relację, która zapewni sprzedaż innych produktów, np. do ochrony baz danych czy aplikacji. Wyzwaniem są nie tylko niskie marże, lecz również wzrost zainteresowania firm kompleksowymi usługami bezpieczeństwa oferowanymi przez operatorów telekomunikacyjnych. Szansą dla resellerów jest coraz większa skłonność klientów do stosowania bardziej rozbudowanych pakietów, które poza kompletną ochroną oferują także menedżera haseł, system do tworzenia kopii zapasowych, szyfrowanie oraz niszczenie danych. Warto zwrócić uwagę na fakt, że te pakiety ciągle ewoluują – wraz z rozwojem zagrożeń i technik tworzonych przez cyberprzestępców. Coraz większe znaczenie ma ochrona przed nieznanymi, skomplikowanymi zagrożeniami, które nie mogą być wykrywane jedynie przy użyciu sygnatur i wymagają zastosowania zaawansowanych technik. Warto zatem uświadamiać klientom, że lepsza jest właściwa ochrona przed infekcjami, ponieważ usuwanie ich skutków jest trudniejsze i bardziej kosztowne niż zabezpieczenie przed nimi. Można posłużyć się oprogramowaniem ransomware jako przykładem. Szyfruje ono wszystkie dane znajdujące się na komputerze lub na serwerze, a trzeba pamiętać, że po infekcji w wielu przypadkach ich odzyskanie jest niemożliwe.

AUTOMATYZACJA I SYNCHRONIZACJA Każde nowe urządzenie, fizyczne i wirtualne, musi być natychmiast zabezpieczone. Aby do minimum skrócić czas poświęcany na ochronę nowego obiektu, to zadanie nie powinno angażować administratorów IT. To jeden z powodów,

aby zainteresować klientów automatyzacją procesów ochrony. Dzięki niej każde nowe urządzenie będzie zabezpieczane w czasie rzeczywistym. Instalacja i konfiguracja mechanizmów ochronnych powinny być realizowane programowo, np. przez narzędzia skryptowe. Zdaniem niektórych ekspertów automatyzacja to dzisiaj najważniejszy trend w sferze bezpieczeństwa. Kolejną ważną kwestią jest spójna ochrona środowisk IT, w których część zasobów jest zwirtualizowana lub nawet trafiła do chmury, a część pozostaje w formie fizycznej. Chodzi o kompleksowe, zsynchronizowane zabezpieczenia, obejmujące wszystkie rodzaje systemów w centrum danych oraz urządzenia końcowe. Zaletą takiego rozwiązania jest lepszy wgląd w to, co dzieje się w środowisku IT oraz sposobność analizowania informacji pochodzących z różnych źródeł w celu wykrywania zagrożeń. Otwiera to drogę do automatycznego reagowania na zagrożenia wykryte w różnych zasobach IT. Możliwość zapanowania nad różnorodnością systemów fizycznych, wirtualizacyjnych i chmurowych w ramach jednego centrum danych będzie na pewno w najbliższych latach niezwykle istotna dla bezpieczeństwa IT. Warto zachęcać klientów, aby w taki sposób wdrażali zabezpieczenia w swoich środowiskach IT.

TABLETY I SMARTFONY IDC przewiduje, że pod koniec 2016 r. aż 2 mld osób będzie łączyć się z Internetem za pomocą smartfonów i tabletów. Analitycy prognozują, że w ciągu najbliższych pięciu lat liczba internautów korzystających z tego typu urządzeń będzie się zwiększać w tempie 25 proc. rocznie. Może na tym skorzystać również branża zabezpieczeń. Według MarketsandMarkets światowe przychody ze sprzedaży aplikacji chroniących urządzenia mobilne zwiększą się z 808 mln dol. w 2015 r. do 2,5 mld dol. w 2020. To oznacza 25,7 proc. średniego rocznego tempa wzrostu. W ostatnich latach widać szybkie zwiększenie liczby ataków na platformy Android i iOS. W związku z tym wymagają one podobnej ochrony jak notebooki

Chester Wisniewski Senior Security Advisor, Sophos

Wciąż mamy ograniczone możliwości bezpośredniego koordynowania zabezpieczeń elementów fizycznych i wirtualnych środowiska IT. W efekcie firmy nie są w stanie dotrzeć do informacji, które mogłyby pomóc w zapobieżeniu atakom lub wykryciu zagrożeń. Problemem są również opóźnienia w reagowaniu na wykryte zagrożenia lub łagodzeniu ich skutków, duża liczba alertów, których znaczenie trudno ocenić, a także skomplikowane i czasochłonne analizy alertów, które często prowadzą donikąd. Sposobem na rozwiązanie tych problemów są zsynchronizowane systemy bezpieczeństwa, które umożliwiają wymianę informacji między elementami zabezpieczającymi sieci i urządzeniami końcowymi.

i komputery PC: oprogramowania antywirusowego, szyfrowania komunikacji, kontroli dostępu, centralnego zarządzania i innych. Resellerzy mają okazję oferować rozwiązania, które zapewnią taką ochronę urządzeniom mobilnym. Wydaje się, że największa szansa wiąże się ze sprzedażą dużym klientom, którym można dostarczyć kompleksowe rozwiązania zabezpieczające urządzenia końcowe z systemami Android oraz iOS i Windows Phone oraz ułatwiające zarządzanie nimi. Warto pamiętać, że wiele urządzeń mobilnych wykorzystywanych w firmach nie jest własnością pracodawcy, lecz pracowników (BYOD). Dla przedsiębiorstw oznacza to konieczność stosowania zabezpieczeń, które są na tyle elastyczne, aby poradzić sobie z ochroną dużej liczby różnego rodzaju urządzeń. Klientowi zawsze należy zadać pytanie, czy oprogramowanie antywirusowe zostało już zainstalowane na smartfonach pracowników oraz czy oprogramowanie zabezpieczające na komputerach przenośnych działa poprawnie bez konieczności dostępu do serwera aktualizacyjnego znajdującego wewnątrz sieci firmowej. VADEMECUM CRN maj 2016

31


OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM

G DATA:

w trosce o dane Obecnie większość firm nie stosuje właściwych narzędzi zabezpieczających ich dane przed dostępem nieuprawnionych osób. Nie dość, że zarządy nie przykładają do tego należytej wagi, to jeszcze często za ich kradzież winią nieprzeszkolonych i nieświadomych zagrożeń pracowników. G DATA proponuje rozwiązania, które ułatwią użytkownikom komfortowe korzystanie z urządzeń bez obaw o bezpieczeństwo informacji.

O

soby odpowiedzialne za wybór rozwiązań do ochrony komputerów i danych powinny zwracać szczególną uwagę, by odpowiednio zabezpieczać zarówno stacje robocze, jak i urządzenia mobilne. Do kompleksowej ochrony resellerzy mogą rekomendować produkty marki G DATA, które gwarantują właściwe zabezpieczenie punktów końcowych nie tylko przed szkodliwym oprogramowaniem, ale także przed działaniami hakerów. Oprogramowanie G DATA oprócz ochrony antywirusowej zapewnia również wiele dodatkowych funkcji (np. weryfikację aktualności użytkowanych aplikacji). Może też wymuszać stosowanie firmowych reguł polityki bezpieczeństwa sieciowego, m.in. uniemożliwiać używanie zewnętrznych nośników pamięci, instalację niezatwierdzonych przez administratora aplikacji czy też kontrolować i w razie potrzeby ograniczać odwiedzanie stron internetowych w czasie pracy.

OchrOna firmy przed hakerami i… pracOwnikami Według „2015 Data Breach Investigations Report” w ubiegłym roku aż 2122 firmy z 61 krajów, także i z Polski, padły ofiarą łącznie niemal 80 tys. cyberataków i kra-

32

VADEMECUM CRN maj 2016

dzieży firmowych danych. Najczęściej atakowano przedsiębiorstwa i instytucje z sektora publicznego, banki i parabanki, firmy trudniące się handlem tradycyjnym i sprzedażą internetową oraz działające w sektorze IT. W opisanych cyberatakach hakerom udało się uzyskać dostęp do nazwisk, adresów e-mail klientów biznesowych i indywidualnych oraz informacje o kartach płatniczych. Spowodowało to łącznie straty w wysokości 700 mln dol.

Z reguły za naruszenie zasad bezpieczeństwa odpowiadają hakerzy i złośliwe oprogramowanie. Ale dla firm każdej wielkości największym problemem są jednak niedokształceni pracownicy, którzy stanowią najsłabsze ogniwo w łańcuchu bezpieczeństwa. Dlatego zarządy przedsiębiorstw powinny zwracać szczególną uwagę na efektywnie działającą politykę bezpieczeństwa. Coraz większym wyzwaniem dla użytkowników komputerów stają się dwa zjawiska – phishing i malvertising. Z podrobioną korespondencją e-mailową, w której cyberprzestępcy podszywają się pod instytucje użyteczności publicznej, wiele osób jest już zaznajomionych, ale problem zaczynają stanowić fałszywe reklamy osadzane jako aktywna treść na znanych i popularnych witrynach internetowych, prowadzące do stron zawierających złośliwy kod. W tym przypadku bardzo łatwo się

Oprogramowanie G DATA Business 14 • G DATA AntiVirus Business – umożliwia centralne zarządzanie ochroną sieci firmowej dowolnej wielkości, zabezpiecza wszystkie serwery, stacje robocze, laptopy oraz smartfony z systemem Android i iOS, nie wpływając na ich wydajność. • G DATA Client Security Business – zapewnia ochronę wykorzystującą najbardziej aktualne bazy sygnatur oraz kombinacje metod proaktywnych. Zawiera firewall i moduł antyspamowy. • G DATA Endpoint Protection Business – zabezpiecza systemy informatyczne na wiele sposobów w tym samym czasie. Active Hybrid Protection broni przed wszelkimi niebezpieczeństwami z sieci i reaguje na najnowsze zagrożenia w ciągu kilku sekund. Oprogramowanie wyposażone jest też w firewall, moduł antyspamowy, zintegrowany moduł Exploit Protection oraz Policy Manager. Administratorzy mogą wykorzystać ten ostatni moduł do określenia zasad korzystania ze stron internetowych, urządzeń zewnętrznych i oprogramowania. • G DATA Managed Endpoint Security – łatwy w obsłudze moduł zdalnej administracji, umożliwiający dostawcom usług IT zarządzanie ochroną sieci klientów z dowolnego miejsca.


ZabeZpiecZenie prZed atakami typu

0-day

W reakcji na wyzwania związane z postępowaniem pracowników w firmach G DATA wprowadzi do oferty rozwiązanie G DATA Business 14, ze zintegrowanym narzędziem Exploit Protection. Służy ono do ochrony użytkowników korporacyjnych sieci przed wykorzystaniem luk w zainstalowanym oprogramowaniu, co jest dziś jedną z najbardziej efektywnych metod stosowanych przez cyberprzestępców infekujących komputery i sieci za pomocą złośliwego kodu. Nie wszystkie luki są natychmiast wykrywane i eliminowane, co sprawia, że napastnicy mają mnóstwo czasu na przeprowadzenie ataku. Dzięki Exploit Protection wszystkie aktualnie oferowane rozwiązania biznesowe G DATA zyskują systematyczną i niezawodną ochronę przed niebezpiecznymi ukierunkowanymi atakami. Moduł zamyka lukę w oprogramowaniu do czasu dostarczenia przez producenta odpowiedniej aktualizacji, którą można przeprowadzić

Najważniejsze funkcje oprogramowania G DATA Business 14 • Kompleksowa, niewymagająca dużej mocy obliczeniowej ochrona przed zagrożeniami on-line (moduł Close Gap). • Zabezpieczenie wszystkich urządzeń z systemem Android i iOS (moduł Mobile Device Management). • Ochrona klientów przed skutkami występowania luk bezpieczeństwa w zainstalowanym oprogramowaniu (moduł Exploit Protection). • Zabezpieczenie przed infekcjami z wykorzystaniem nośników USB (moduł USB Keyboard Guard). • Ochrona transakcji bankowych on-line (moduł Bank Guard). • Praca poza siecią i zagwarantowanie dostępności wszystkich funkcji, np. dla pracowników sprzedaży wyposażonych w laptopy czy mobilne urządzenia. • Przejrzysta konsola wyświetlająca wszystkie istotne informacje w sposób przyjazny dla użytkownika. • Zdalne administrowanie środowiskiem IT z każdego miejsca, w tym za pomocą przeglądarki internetowej. • Filtr blokujący strony internetowe niezwiązane z codzienną pracą. • Opcjonalnie: centralna ochrona poczty elektronicznej, niezależna od rodzaju serwera, zawierająca filtry antywirusowe i antyspamowe (moduł Mail Security). • Opcjonalnie: monitoring usług i całej infrastruktury, od drukarek po serwery (moduł Network Monitoring). • Opcjonalnie: łatanie luk w zabezpieczeniach (moduł Patch Management).

z wykorzystaniem dostępnego już wcześniej modułu G DATA Patch Management. W nowej wersji G DATA Business 14 znalazł się także opcjonalny moduł Network Monitoring. Administratorzy mogą za jego pomocą monitorować szeroką gamę urządzeń i usług, od drukarek po serwery. Ułatwia to ich konfigurowanie zgodnie z przyjętymi w firmie wymogami, a w rezultacie zapobieganie potencjalnym zagrożeniom.

Moduł Administrator w wersji 14 rozwiązania G DATA został rozszerzony i może służyć także do centralnego zarządzania komputerami Mac w sieci

korporacyjnej. Co więcej, nowy system ochronny producenta jest zgodny z większą liczbą dystrybucji Linuksa niż wcześniejsze wersje. Z kolei Mail Security to moduł opcjonalnie dołączany do poszczególnych rozwiązań G DATA Business 14. Oferuje scentralizowaną ochronę wiadomości e-mail wraz z filtrem antywirusowym oraz antyspamowym dla serwerów pocztowych, a także wtyczki dla MS Exchange, oraz obsługę Postfix i Sendmail na serwerach Linux. Wykorzystując moduł Web Security Gateway, przedsiębiorstwa mogą też zapewnić sobie kompleksową ochronę przed wirusami oraz phishingiem.

Dodatkowe informacje: Dział hanDlowy G DaTa SofTware, tel. 94 372 96 69, sales@gdata.pl VADEMECUM CRN maj 2016

33

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ G DATA.

nabrać i – bez skutecznego antywirusa – paść ofiarą ataku. W instytucjach, w których przetwarzane są szczególnie wrażliwe informacje, w dobrej polityce bezpieczeństwa należy uwzględniać blokowanie niektórych działań. Pracownikom niższego szczebla powinno się zabronić korzystania z portów USB oraz instalowania nieautoryzowanego przez administratorów oprogramowania. Konieczna jest też dbałość o aktualizacje użytkowanych na stacjach końcowych aplikacji oraz odinstalowywanie niewykorzystywanych. Natomiast newralgiczne stacje robocze (np. zarządu, kierownictwa czy działu księgowości) powinny zostać należycie zabezpieczone przed wirusami szyfrującymi pliki, keyloggerami, szpiegowskim oprogramowaniem, a w szczególności trojanami bankowymi. Osobie odpowiedzialnej za przelewy internetowe należy dodatkowo zapewnić szkolenie w kwestii odpowiedzialności, jaka na niej spoczywa, i uświadomić zagrożenia, z jakimi będzie mieć do czynienia każdego dnia.


OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM

Check Point SandBlast:

wielopoziomowa ochrona danych Rozwiązania ochronne, wyposażone w moduł SandBlast, skutecznie wykrywają i blokują złośliwy kod oraz zapewniają zunifikowaną konsolę do monitorowania stanu bezpieczeństwa przedsiębiorstwa.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI CHECK POINT SOFTWARE TECHNOLOGIES I RRC POLAND.

U

nikalnym atutem rozwiązania Check Point SandBlast jest innowacyjne podejście do wykrywania próbek złośliwego kodu omijających klasyczne środowisko typu sandbox. Dzięki śledzeniu pracy procesora i adresacji pamięci (CPU-Level Threat Detection) możliwe staje się wykrycie złośliwego kodu jeszcze przed zarażeniem systemu. Moduł SandBlast uzyskał rewelacyjne wyniki w teście „Breach Detection Systems” przeprowadzonym przez niezależną organizację NSS Labs, która przyznała mu rekomendację za bardzo wysoką skuteczność wykrywania zagrożeń przy najniższym całkowitym koszcie utrzymania rozwiązania (TCO). Rozwiązanie SandBlast Agent ma moduł antybotowy, blokujący komunikację z serwerami command & control zarządzanymi przez cyberprzestępców, oraz moduł do reagowania na incydenty przełamania zabezpieczeń, pozwalający przeprowadzić pełną analizę śledczą danego przypadku. Dynamicznie budowane grafy odwzorowują sposób infekcji i pokazują zainfekowane pliki oraz dane, które zostały wykradzione z firmy. Rozwiązanie to zostało również wyposażone w narzędzie do usuwania skutków ataku oraz przywracania stanu systemu sprzed ataku. W przypadku użytkowników korzy-stających z korporacyjnych (wewnętrznych) sieci rozwiązanie chroniące przed złośliwym oprogramowaniem działa zazwyczaj na styku firma – Internet. Zabezpieczenie to jednak przestaje być skuteczne, gdy pracownik korzysta z Internetu poza przedsiębiorstwem. Rozwiązanie Check Point SandBlast Agent zainstalowane na urządzeniach

34

VADEMECUM CRN maj 2016

Bartosz Kamiński Business Development Manager, Check Point

Producenci oprogramowania zwalczającego złośliwy kod zalewają nas informacjami o astronomicznym przyroście liczby możliwych do wykrycia próbek oraz nowych form ataku. Wskazują też swoje rozwiązanie jako środek zaradczy, który uchroni przed cyberatakami bazującymi na złośliwym kodzie. Jednak często brakuje w nim funkcji skutecznego blokowania ataków typu 0-day. Wówczas konieczna staje się integracja z innym produktem lub dokupienie osobnego komponentu, przez co brakuje jednej wspólnej konsoli do zarządzania. Dlatego, przy coraz bardziej skomplikowanych zagrożeniach oraz olbrzymiej liczbie ataków, powinno się unikać takich hybrydowych rozwiązań i inwestować w spójne systemy.

końcowych zapewnia ich ochronę także w takiej sytuacji. Do skutecznego zabezpieczania przed złośliwym oprogramowaniem konieczne jest wdrożenie rozwiązań ochronnych działających na wielu poziomach. Jako przykład może posłużyć scenariusz, w którym użytkownik pobiera plik z Internetu. Pierwszą linią obrony jest weryfikacja, czy domena adresu URL może być w jakiś sposób podejrzana. Jeśli nie, ściągany plik weryfikowany jest statycznymi mechanizmami typowymi dla silników antywirusowych. W przypadku, gdy hash pliku nie istnieje w bazie, uruchamia

się trzecia linia obrony, czyli dynamiczna analiza kodu, a pobierany plik emulowany jest w wirtualnym środowisku, w kilku systemach operacyjnych jednocześnie. Kiedy mamy do czynienia z ekstremalnie trudnym przypadkiem, gdy złośliwy kod przedostanie się do komputera ofiary i rozpocznie pracę, konieczne staje się uruchomienie kolejnej warstwy obrony, w postaci systemu wykrywającego i blokującego ruch do C&C. Tylko tego typu podejście zapewnia efektywną ochronę przed atakami cyberprzestępców. Konsolidacja różnych metod działania musi jednocześnie wiązać się z możliwością zarządzania bezpieczeństwem z poziomu zunifikowanej konsoli. A gdy w przyszłości pojawi się nowa forma zagrożeń, wymagająca specjalnego środka zapobiegawczego, rozwiązanie musi zapewniać włączenie dodatkowej ochrony bez znacznych zmian w infrastrukturze. Strategia bazująca na wymienionych założeniach zapewnia najwyższy poziom bezpieczeństwa firmy przy optymalnym koszcie utrzymania systemu. Rozwiązania ochronne oferowane przez Check Point spełniają wszystkie wyszczególnione kryteria, a ich produkcyjne zastosowanie chroni firmy przed najbardziej zaawansowanymi atakami z wykorzystaniem złośliwego oprogramowania.

Dodatkowe informacje: FILIP DEMIANIUK, CHANNEL MANAGER, CHECK POINT SOFTWARE TECHNOLOGIES, FILIPD@CHECKPOINT.COM


Panda stawia na wykrywanie i reagowanie

P

anda Security to hiszpański producent rozwiązań antywirusowych, który już od ponad 25 lat koncentruje się na wprowadzaniu na rynek nowatorskich metod walki ze szkodliwym oprogramowaniem. Rozwiązania klasy EDR, oferowane przez tego dostawcę, skupiają się na rozpoznaniu podejrzanych aktywności na stacjach roboczych i zapewniają dużo szerszy wgląd w akcje, jakie potencjalnie złośliwy kod próbował przeprowadzić lub już przeprowadził na stacji końcowej. Panda Security pokazuje, że nie trzeba inwestować dużych środków w infrastrukturę zabezpieczającą i wyspecjalizowany personel, aby skutecznie wdrożyć tę nową technikę ochrony.

PEŁNA AUTOMATYZACJA Panda oferuje rozwiązania bazujące na publicznej chmurze obliczeniowej i analizie Big Data, dzięki czemu zapewniona jest automatyczna klasyfikacja każdego pliku wykonywalnego, a jednocześnie firmy nie muszą inwestować we własną infrastrukturę zarządzającą systemami antywirusowymi. Przejście z modelu sygnaturowego na ochronę chmurową zapewnia stuprocentową identyfikację szkodliwych i nieszkodliwych aplikacji, bez okienka czasowego spowodowanego koniecznością opracowania nowych sygnatur i ich dystrybucji. Rozwiązania Pandy oferują prosty i intuicyjny interfejs zarządzania. Nauka korzystania z tego nowego narzędzia nie wymaga od administratora dużo czasu. Sam proces wdrożenia jest zautomatyzowany – agenty są prekonfigurowane i nie

wymagają podawania dodatkowych parametrów podczas instalacji, a jednocześnie oferują możliwość automatycznej deinstalacji innych rozwiązań antywirusowych. Taka ochrona jest zapewniana bez konieczności ręcznego rekonfigurowania polityki bezpieczeństwa.

KONTROLA PROCESÓW ZAMIAST BIAŁEJ LISTY

Oprogramowanie ochronne firmy Panda Security wykorzystuje rozwiązanie Adaptive Defense. Sposób jego działania polega na monitorowaniu procesów uruchomionych w środowisku Windows i porównywaniu ich z katalogiem bezpiecznych oraz szkodliwych procesów, Przemysław Halczuk Sales and Marketing Manager, Panda Security

Chmura obliczeniowa stała się bardzo ciekawym narzędziem do rozwiązywania konkretnych problemów biznesowych, dając jednocześnie możliwość zbudowania kompletnego środowiska IT. Działania Pandy w tym zakresie docenili m.in. analitycy Gartnera, którzy już drugi rok z rzędu uplasowali naszą firmę w kwadracie wizjonerów. Rozwiązania Panda Security cieszą się też dużym zainteresowaniem firm partnerskich. Zapewniamy im bardzo dobre, przejrzyste zasady współpracy oraz satysfakcjonujące marże od sprzedaży produktów.

zawierającym obecnie ponad 1,2 mld pozycji. Rozwiązanie to idealnie nadaje się do ochrony przed wszystkimi rodzajami szkodliwego oprogramowania, a także atakami ukierunkowanymi i zero-day. Panda Adaptive Defense eliminuje zagrożenia, wobec których antywirusy sygnaturowe bywają bezradne ze względu na opóźnienie w dystrybucji sygnatur. Praktyka pokazuje, że monitorowanie środowiska produkcyjnego jest skuteczniejsze niż analiza bazująca na regułach tworzonych w laboratoriach R&D. Chroniący stację roboczą agent Panda Adaptive Defense nie obciąża zasobów komputera, nie prowadzi też skanowania plików ani uaktualniania sygnatur. Inaczej niż w rozwiązania typu whitelist, Panda Adaptive Defense nie wymaga ręcznego zarządzania listą bezpiecznych aplikacji. Ocena bezpieczeństwa procesów została bowiem w znacznej mierze zautomatyzowana, a odpowiedzialność spoczywa na specjalistach z Panda Labs. Dostawca gwarantuje, że czas oceny bezpieczeństwa nieskatalogowanego procesu nie przekroczy 24 godzin. Autoryzowanymi dystrybutorami Panda Security w Polsce są: Action (produkty konsumenckie) i Veracomp (produkty biznesowe).

Dodatkowe informacje: PRZEMYSŁAW HALCZUK, SALES AND MARKETING MANAGER, PANDA SECURITY, PRZEMYSLAW.HALCZUK@PL.PANDASECURITY.COM VADEMECUM CRN maj 2016

35

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ PANDA SECURITY.

Endpoint Detection and Response to kategoria narzędzi do przeciwdziałania atakom na sieci korporacyjne, która jest rozwinięciem tradycyjnej ochrony antywirusowej. Panda Security, jako jeden z niewielu dostawców na rynku, oferuje rozwiązania typu EDR, opracowane m.in. w związku z nową falą zagrożeń typu ransomware.


OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM

Skuteczna ochrona przed atakami APT

APT to ataki przeprowadzane przez doskonale zorganizowane, zmotywowane i posiadające duże możliwości grupy. Przestępcy są w stanie uzyskać praktycznie nieograniczony dostęp do systemów informatycznych ofiary i mogą modyfikować znajdujące się w nich informacje w celu kradzieży cennych danych, np. niezbędnych do autoryzacji przelewów.

C

zy istnieją narzędzia, które mogą wziąć pod uwagę przedsiębiorstwa podczas tworzenia strategii ochrony przed atakami APT? Tak, chociaż nie istnieje jedna, uniwersalna i idealna metoda poradzenia sobie z tym problemem. Można natomiast skorzystać z kilku rozwiązań, dzięki którym – bez względu na to, w jaki sposób taki atak jest przeprowadzany – istnieje duże prawdopodobieństwo wykrycia poszczególnych jego faz. Można także utrudnić wykorzystanie przejętych informacji (np. hasła administratora) do uzyskania dostępu do najważniejszych aktywów firmy. Świetnie nadają się do tego rozwiązania Dell Software. Każdy atak APT ma kilka faz. Jedną z najważniejszych jest targeting, czyli proces, w trakcie którego atakujący zbiera informacje o celu ataku. Do jego prze-

prowadzenia często wykorzystywane są kampanie phishingowe i zainfekowane wiadomości pocztowe. Przykładem rozwiązań, które zapewniają ochronę poczty korporacyjnej przed tego typu działaniami, są systemy z rodziny SonicWALL Email Security. Dzięki nim firmy mają możliwość blokowania poczty zawierającej szkodliwe załączniki czy łącza URL. Rozbudowana sieć GRID (Global Response Intelligent Defense), składająca się z ponad 4 mln węzłów i milionów punktów oceny reputacji, chroni przed infekcją, której źródłem jest wiadomość pocztowa. Oczywiście samo rozwiązanie do monitorowania poczty nie może być wystarczającym zabezpieczeniem, natomiast stanowi ważny element systemu ochrony, ograniczający i utrudniający pierwszą fazę przeprowadzenia ataku APT.

Gdy przestępcy zdobędą już informacje o celu ataku, przechodzą do fazy, w której wybierane są najkorzystniejsze i najefektywniejsze metody infekowania, a następnie przeprowadzają rekonesans. W trakcie tego etapu ataku APT może nastąpić zainstalowanie i uruchomienie oprogramowania mającego na celu zaciemnienie całego obrazu ataku, przejmowanie kont z szerokimi uprawnieniami, a także zacieranie śladów polegające na wyłączeniu mechanizmów audytu wbudowanych w systemy. Aby zapobiec tej fazie ataku agresji, Dell Software proponuje przede wszystkim oprogramowanie Change Auditor. Chroni ono sieci bazujące na systemie Windows oraz zapewnia monitorowanie zdarzeń w czasie rzeczywistym, raportowanie i powiadamianie o istotnych zmianach – bez wykorzystywania modułu audytu wbudowanego w system operacyjny. Dzięki

APT to skrót charakteryzujący precyzyjnie sprawców ataku oraz sposób, w jaki jest on przeprowadzany. • Advanced (zaawansowany) – w tym przypadku oznacza to perfekcyjną znajomość metod umożliwiających przeprowadzanie ataku cybernetycznego, ale również szeroką wiedzę na temat technik administrowania całą gamą różnych systemów IT oraz umiejętności tworzenia nowych narzędzi i exploitów wykorzystywanych do wywołania zagrożenia. • Persistent (rozciągnięty w czasie, trwający) – atakujący przez długi czas przygotowuje się do swojego zadania, a fakt śledzenia, badania, penetrowania środowiska ofiary pozostaje niewykryty przez miesiące lub lata. • Threat (zagrożenie) – sprawca jest bardzo dobrze zorganizowany, posiada odpowiednie środki do opracowania i przeprowadzenia ataku, jego motywacja i możliwości są bardzo silne.

36

VADEMECUM CRN maj 2016

Ilustracja|: © profit_image – Fotolia.com

Czym jest atak APT?


Trzy pytania do… MARIUSZA PRZYBYŁY, IAM SOLUTIONS ARCHITECT, QUEST DYSTRYBUCJA CRN Jak dużą krzywdę są w stanie wyrządzić atakujący w modelu APT? MARIUSZ PRZYBYŁA Przykładów skutecznie przeprowadzonych ataków APT jest wiele, w tym dużo spektakularnych. Jedynie przypadek zdecydował, że nie powiodła się kradzież prawie miliarda dolarów z konta Banku Centralnego Bangladeszu, utrzymywanego w nowojorskim Banku Rezerwy Federalnej. Tylko dzięki literówce w nazwie odbiorcy i podejrzanie dużej kwocie przelewu udało się zablokować przelanie całej sumy na konta kontrolowane przez przestępców. Pomimo tego ponad 80 milionów dolarów zostało skradzionych, a przelewy były poprawnie zautoryzowane w systemie transakcyjnym Banku Rezerwy Federalnej USA. Prawdopodobnie skradzionych pieniędzy nie uda się odzyskać, a szanse na znalezienie sprawców są znikome. Dlatego tak ważna jest wielopoziomowa ochrona przed zagrożeniami typu APT. CRN Czy możliwe jest pełne zabezpieczenie? MARIUSZ PRZYBYŁA Przed atakami typu APT nie ma stuprocentowej ochrony, zresztą modele ich prowadzenia cały czas są modyfikowane przez cyberprzestępców. Natomiast wszystkie wymienione rozwiązania mogą stanowić składnik wielopoziomowej strategii ochrony, utrudniającej atak na firmę oraz umożliwiającej wcześniejsze – niż bez ich użycia – jego wykrycie, również w sytuacji, gdy jego źródła znajdują się wewnątrz przedsiębiorstwa. Rozwiązania Dell Software wyróżnia szybkość wdrożenia i zwrotu poniesionych kosztów zakupu. Dzięki niewielkim nakładom firmy zyskują znacznie lepsze możliwości monitorowania i wykrywania podejrzanych działań, które bywają symptomami poważnych zagrożeń. CRN Co stanowi największe wyzwanie podczas ataku APT? MARIUSZ PRZYBYŁA Jedną z najgorszych cech ataku typu APT jest rozciągnięcie w czasie. Cyberprzestępcy starają się zarządzać dostępem do zdobytej sieci w celu kontynuacji ataku. W tej fazie używane są pozyskane wcześniej dane logowania oraz narzędzia niezbędne do kontrolowania dostępu. Również i w tym przypadku rozwiązania takie jak TPAM i Defender stanowią dodatkową barierę, a możliwość śledzenia zdarzeń w czasie rzeczywistym przez oprogramowanie Change Auditor zapewnia wykrycie podejrzanych działań.

dystrybutora z wartością dodaną (Value Added Distributor) oraz partnera wsparcia technicznego (Support Providing Partner). Oferuje asystę techniczną w realizacji projektów, usługi wdrożeniowe i konsultacyjne, szkolenia oraz sprzedaż licencji oprogramowania Dell Software i odnowy asysty technicznej na terenie Polski. Do dyspozycji partnerów i ich klientów jest też prowadzone przez Quest centrum kompetencyjne w Warszawie.

Dodatkowe informacje: MARIUSZ PRZYBYŁA, IAM SOLUTIONS ARCHITECT, QUEST DYSTRYBUCJA, M.PRZYBYLA@QUEST-POL.COM.PL, WWW.QUEST-POL.COM.PL VADEMECUM CRN maj 2016

37

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI DELL SOFTWARE I QUEST DYSTRYBUCJA.

centralnej konsoli administrator zyskuje pełny wgląd w to, które systemy są monitorowane, a wszystkie informacje dotyczące zdarzeń związanych z bezpieczeństwem gromadzone są w centralnej bazie audytowej. Rozwiązanie Change Auditor sprawia, że atakujący nie będzie wiedział, iż jego działania rejestrowane są w innym, niż wbudowany moduł audytu Microsoftu, systemie. Change Auditor jest w stanie szybko poinformować administratorów o zwiększonej liczbie podejrzanych zdarzeń, a tym samym wykryć działania intruza w sieci. Zapewnia proaktywną kontrolę – gromadzi w czasie rzeczywistym wszystkie informacje i prezentuje pełną historię zdarzeń (kto, co, kiedy, gdzie itd.). Tworzy także raporty o aktywności użytkowników – od zalogowania do wylogowania. Udostępnia gotowe raporty, zgodne z takimi regulacjami jak SOX czy PCI DSS. Większość atakujących dąży do przechwycenia kont z szerokimi uprawnieniami (tzw. superużytkowników), z których planuje korzystać przez długi czas. Zatem objęcie tych kont kontrolą, która polega na zarządzaniu hasłami do nich oraz okresowej weryfikacji tych haseł, sprawia, że możliwe jest bardzo szybkie (w porównaniu z długością trwania ataku) wykrycie symptomów nieautoryzowanego wykorzystania uprzywilejowanych kont (np. zmiany haseł poza systemem lub tworzenia nowych kont z dużymi uprawnieniami). Taką funkcjonalność zapewnia oprogramowanie z rodziny TPAM – jego proaktywne działanie polega na ochronie dostępu do haseł do tego typu kont. Jest to działanie unikalne i warto zwrócić uwagę klientów na ten właśnie sposób ochrony. Zazwyczaj przedsiębiorstwa wybierają drogę na skróty i wdrażają rozwiązania do nagrywania sesji, ale bez zarządzania hasłami kont uprzywilejowanych. Dla administratorów oraz pracowników korzystających ze zdalnego dostępu do firmowej sieci Dell proponuje rozwiązanie Defender. Jest to serwer dwuskładnikowego uwierzytelniania, dzięki któremu atakującym utrudnia się dostęp do poufnych informacji. Dystrybutorem oprogramowania Dell Software w Polsce jest wrocławska firma Quest Dystrybucja. Ma oficjalny status


Fot. © Nmedia – Fotolia.com

SYSTEMY AUTENTYKACJI

Bezpieczny dostęp na nowe czasy

W sytuacji coraz większego zagrożenia cyberatakami i rosnącej popularności rozwiązań mobilnych zarówno przedsiębiorstwa, jak i instytucje publiczne będą łaskawszym okiem patrzeć na szyfrowanie danych, wieloskładnikowe uwierzytelnianie oraz biometrię. Tomasz Janoś

R

ozwiązania informatyczne coraz częściej wykorzystują szybki mobilny dostęp do aplikacji i chmury, a w przedsiębiorstwach rośnie liczba użytkowników uprzywilejowanych, o prawach wcześniej zarezerwowanych wyłącznie dla administratorów. Takie trendy jak

38

VADEMECUM CRN maj 2016

Bring Your Own Device czy Internet rzeczy, a także rozmywanie się brzegu sieci (i coraz mniejsze znaczenie „zasieków na granicy”) sprawiają, że rośnie ranga zarządzania tożsamością, technik uwierzytelniania i szyfrowania obejmującego niemal każdy aspekt środowiska IT.

Informacje na temat lekkomyślnego postępowania użytkowników z hasłami są alarmujące (patrz: ramka na str. 40). Dlatego nie dziwi fakt, że zdecydowanej większości włamań do sieci dokonuje się za pomocą wykradzionych danych uwierzytelniających. Aby zapewnić


większe bezpieczeństwo firmowych zasobów, można doradzać klientom stosowanie uwierzytelnienia wieloskładnikowego (Multi-Factor Authentication). Wybrane rozwiązanie powinno chronić dostęp do danych i aplikacji, a przy tym gwarantować prostotę logowania. Wprowadzenie dwuskładnikowego uwierzytelniania (2FA) zwiększy bezpieczeństwo logowania i będzie chronić poufne dane nawet wtedy, gdy dane uwierzytelniające zostaną wykradzione (np. w wyniku zainfekowania złośliwym kodem) albo w inny sposób „wyciekną” z systemu informatycznego. Jeśli 2FA zostanie zastosowane do połączeń z firmowym VPN-em, systemem CRM czy udostępnianymi na zewnątrz usługami webowymi, będzie nie tylko chronić pracowników klienta, ale także użytkowników zewnętrznych, np. partnerów firmy (zwiększając tym samym zaufanie do niej). W procesie dwuskładnikowego uwierzytelniania zwykle wykorzystywane jest coś, co osoba logująca się do sieci posiada. Często są to rozwiązania oparte na technice haseł jednorazowych (One-Time Password), ważnych wyłącznie podczas jednej sesji logowania i używanych wraz z podstawowym, statycznym hasłem. W powszechnym użyciu jest technika OTP bazująca na generowaniu SMS-ów z jednorazowym hasłem. Stosują ją np. banki i operatorzy różnych usług, w tym chmury obliczeniowej. Na rynku jest wiele rozwiązań sprzętowych do tworzenia jednorazowych kodów – systemów z tokenami. Wygenerowanie kodu może być automatyczne, np. przy próbie logowania się do danej platformy, lub mechaniczne – użytkownik naciska specjalny przycisk lub wprowadza komendę w odpowiednim urządzeniu (tokeny USB). Oferowane są także urządzenia wyposażone w klawiaturę – tzw. kalkulatorki – wykorzystujące mechanizm challenge-response. Zarówno tokeny bez klawiatury, jak i challenge-response mogą mieć format karty płatniczej. Istnieją również rozwiązania z tokenami wirtualnymi, czyli programowymi. Instalowane najczęściej na urządzeniach mobilnych, mają podobne funkcje jak ich sprzętowe odpowiedniki, np. generują hasła jednorazowe.

Porównanie różnych metod uwierzytelniania biometrycznego Dokładność

Koszt

Rozmiar wzorca

Stabilność wzorca w czasie

Poziom ochrony

Niska

Wysoki

Duży

Niska

Niski

Skanowanie tęczówki oka

Wysoka

Wysoki

Mały

Średnia

Średni

Odcisk palca

Średnia

Niski

Mały

Niska

Niski

Naczynia krwionośne palca

Wysoka

Średni

Średni

Wysoka

Wysoki

Niska

Średni

Mały

Niska

Niski

Średnia

Średni

Mały

Średnia

Wysoki

Metoda Rozpoznawanie twarzy

Rozpoznawanie głosu Rozpoznawanie ust

Źródło: International Journal of Advances in Science and Technology (IJAST)

Rozwiązania OTP pomagają pokonać największą słabość haseł statycznych, czyli możliwość powtórnego ich wykorzystania do ataku. Przestępca, który w jakiś sposób wejdzie w posiadanie jednorazowego hasła, nie zdoła wykorzystać go do ponownego zalogowania się do systemu. Niestety, nie jest to rozwiązanie doskonałe. Wykazano, że bywa podatne na ataki typu „man-in-the-middle”. Klientom, którzy wykorzystują OTP

Uwierzytelnianie za pomocą kodu z SMS-a przestaje należycie pełnić swoją rolę. i muszą się zabezpieczyć przed zaawansowanymi technicznie atakami (dotyczy to np. banków), dostawcy oferują nowe generacje rozwiązań, zwiększające ochronę jednorazowych haseł przez analizę behawioralną, dodatkową weryfikację transakcji i „odcisk palca” (fingerprinting) urządzeń klienckich. Banki i firmy, których systemy wymagają najsilniejszych zabezpieczeń, muszą szukać nowych sposobów ochrony klientów także z powodu zmiany ich zachowań, do jakiej doszło w ostatnich latach. Dawniej telefony były drugim narzędziem typu out-of-band (niezależnym od podstawowej formy komunikacji), bo logowanie do usług on-line odbywało się zwykle na komputerze.

Obecnie dodatkowe uwierzytelnianie za pomocą kodu z SMS-a, wysyłanego na numer telefonu, przestaje należycie pełnić swoją rolę, gdyż to samo urządzenie jest wykorzystywane zarówno do pełnego uwierzytelniania, jak i do korzystania z usług. Szybki wzrost ilości złośliwego kodu tworzonego do urządzeń mobilnych i stosowanie coraz bardziej wyrafinowanych technik ataków sprawiają, że bezpieczeństwo takiego uwierzytelniania maleje.

biometria coraz PoPularniejsza

Skutecznym zabezpieczeniem przed niepowołanym dostępem mogą być rozwiązania biometryczne, które od chwili powstania wydawały się najlepszym sposobem na kłopoty z hasłami. Ich zastosowanie rozwiązuje problem zarządzania danymi uwierzytelniającymi, które jest zarówno kosztowne, jak i czasochłonne. Zwalniają użytkowników z konieczności pamiętania wielu haseł, które – jeśli mają skutecznie chronić – powinny być przecież skomplikowane. Dostęp do danych może zabezpieczać wygodny w użyciu biometryczny system pojedynczego logowania (Single Sign-On). Przez lata jednak rozwiązania biometryczne, np. czytniki linii papilarnych, systemy rozpoznające geometrię dłoni, brzmienie głosu czy tęczówkę oka, nie zyskiwały popularności z powodu wysokiej ceny oraz niedoskonałości technicznej. Wygląda na to, że czasy biometrii w końcu nastały, gdyż coraz większe zainteresowanie tego typu rozwiązaniami wyraża zarówno sektor prywatny, jak VADEMECUM CRN maj 2016

39


SYSTEMY AUTENTYKACJI

Nieodpowiedzialni pracownicy Jeśli chodzi o posługiwanie się hasłami, pracownicy potrafią się wykazać wyjątkową nieodpowiedzialnością. Beztrosko udostępniają je współpracownikom, używają tego samego hasła do wielu zastosowań, a nawet deklarują chęć ich sprzedaży (!), gdyby była taka okazja. Oto zatrważające wnioski z ankiety „SailPoint Market Pulse Survey 2016” przeprowadzonej wśród tysiąca pracowników firm z Australii, Francji, Niemiec, Holandii, Wielkiej Brytanii i USA. Większość badanych (65 proc.) przyznała się do wykorzystywania tego samego hasła do wielu aplikacji, a jedna trzecia do współużytkowania ich z kolegami. Pracodawców może napawać przerażeniem informacja, że co piąty pracownik jest skłonny sprzedać swoje hasła (w ubiegłorocznym badaniu co siódmy). Wśród chętnych do takiej „transakcji” 44 proc. zrobiłoby to za mniej niż 1 tys. dol. Bardzo niepokojące jest także to, że ponad 40 proc. respondentów ankiety przyznało się do posiadania dostępu do firmowych kont po rozstaniu się z pracodawcą. Do problemów z hasłami dochodzi sprawa tzw. Shadow IT. Jeden na trzech pracowników mówi, że wykupił aplikację w modelu SaaS bez wiedzy działu IT (wzrost o 55 proc. w stosunku do wyników z ubiegłorocznego badania). Z kolei ponad jedna czwarta (26 proc.) przesyła poufne dane do chmury z zamiarem korzystania z nich poza firmową siecią.

i publiczny. Najwięksi producenci branży IT, wśród nich Apple, Intel i Microsoft, stosują rozwiązania biometryczne w swoich urządzeniach. Szybki postęp w tej dziedzinie powoduje, że powstaje także wiele start-upów chcących dostarczać bezpieczne i wygodne w użyciu – a przede wszystkim nowatorskie – zabezpieczenia oparte na rozpoznawaniu cech biometrycznych. VAR, który stworzy własne oprogramowanie lub wykorzysta gotowe, może je oferować klientom wraz ze specjalizowanym sprzętem biometrycznym. Wartość dodana dotyczyć będzie usług, które mogą objąć: dostosowywanie rozwiązania do specyficznych potrzeb klienta, integrowanie, wdrożenie, szkolenie oraz doradztwo dotyczące rozwijania systemu. Do obserwowanego obecnie upowszechniania się tego typu zabezpieczeń w dużej mierze przyczyniają się urządzenia przenośne, za pomocą których uwierzytelnienia można dokonać w dowolnym miejscu. Służy do tego czytnik wbudowany w urządzenie bądź dołączany przez USB albo bezprzewodowo. Zastosowanie czytników z rozwiązaniem biometrycznym w urządzeniach mobilnych przyczynia się do szerszego wykorzystania tej metody w autoryzacji

40

VADEMECUM CRN maj 2016

dostępu do chmury obliczeniowej. Przechowywanie danych biometrycznych w chmurze, a nie w konkretnym urządzeniu, przyspiesza proces uwierzytelniania i stanowi dodatkowe zabezpieczenie. Nie brakuje jednak sceptyków wątpiących w skuteczność uwierzytelniania opartego wyłącznie na jednej metodzie rozpoznawania unikalnych cech człowieka. Uzasadniają swą opinię, wskazując ograniczenia: brak efektywnego odsiewania zakłóceń oraz 100-proc. dokładności rozpoznania i uniwersalności, co zwiększa niebezpieczeństwo podszycia się pod osobę uprawnioną. Rozwią-

zaniem tego problemu jest zastosowanie uwierzytelniania opartego na kilku cechach jednocześnie.

SZYFROWANIE PRZESTAJE BYĆ LUKSUSEM

Narastające problemy z zapewnieniem bezpieczeństwa poufnym informacjom sprawiły, że szyfrowanie zasobów stało się koniecznością. Chronione w ten sposób dane są niedostępne dla osób nieposiadających klucza/hasła. Szyfrowanie może obejmować zapisane dane i dotyczyć całych dysków (zarówno wewnętrznych pamięci masowych, jak i nośników zewnętrznych) lub tylko folderów czy plików. Można je zastosować do baz danych, zarówno strukturalnych, jak i nieustrukturalizowanych. Za pomocą szyfrowania chroni się także przesyłane dane. Mogą służyć do tego sieci VPN w zdalnej komunikacji, protokół SSL (Secured Sockets Layer) w wykorzystujących przeglądarkę połączeniach z serwerami webowymi, SSH (Secure Shell) w zastosowaniach terminalowych i przesyłaniu plików czy WPA/WPA2 w komunikacji bezprzewodowej. Przedmiotem szyfrowania może być cała komunikacja sieciowa lub wybrane aplikacje, takie jak np. poczta elektroniczna. Zaletą tego ostatniego zastosowania jest to, że nawet jeśli e-mail z wrażliwymi danymi zostanie przez pomyłkę wysłany do niewłaściwej osoby, nie będzie ona w stanie odczytać chronionych treści. Dane mogą być zabezpieczane przez szyfrowanie oparte na układach sprzę-

Jacek Starościc prezes zarządu, Perceptus

Dwuskładnikowe uwierzytelnianie 2FA to znacznie pewniejszy sposób weryfikowania tożsamości użytkownika i ochrony jego danych niż pojedyncze hasło. Powinny z niego korzystać nie tylko duże firmy, ale także mniejsze. Często nie mają one bowiem polityki bezpieczeństwa i w związku z tym są bardziej narażone na ataki. Badania dowodzą, że przyczyną ponad trzech czwartych naruszeń bezpieczeństwa sieci są słabe hasła lub skradzione dane logowania. Dobrą ochroną jest w tym przypadku dwuskładnikowa autoryzacja, łącząca pewność zabezpieczeń, niską cenę oraz prostotę użycia tokenu sprzętowego lub aplikacyjnego.


towych lub wykorzystujące oprogramowanie. W tym pierwszym przypadku procesy enkrypcji i dekrypcji są dokonywane przez specjalny, przeznaczony do tych zadań procesor w urządzeniu szyfrującym. W przypadku programowego szyfrowania do zabezpieczania angażowane są współużytkowane zasoby sprzętowe. To oczywiście sprawia, że szyfrowanie sprzętowe jest procesem szybszym, a przechowywanie kluczy szyfrujących w wydzielonej i niedostępnej pamięci, czyni je także bezpieczniejszym. Wdrożenie szyfrowania na urządzeniach mobilnych, firmowych serwerach, komputerach znacząco ogranicza możliwość utraty wrażliwych danych w wyniku ataku z wykorzystaniem malware, utraty sprzętu czy nieautoryzowanego dostępu. Ponieważ ta metoda zabezpieczania informacji staje się wszechobecna ( jest wbudowywana w aplikacje i elementy infrastruktury), to powstaje problem mnożenia się kluczy szyfrujących, którymi trzeba zarządzać. Posługiwanie się oddzielnymi kluczami szyfrowania do każdej aplikacji czy zasobu z pewnością nie jest rozwiązaniem optymalnym. Znacznie rozsądniejsze będzie zaproponowanie klientowi wdrożenia wspólnej platformy zarządzania nimi. Tworzy ona programową infrastrukturę ochrony danych, służącą do wydawania cyfrowych certyfikatów i kluczy szyfrujących przeznaczonych dla osób, oprogramowania, sprzętu (takiego jak serwery czy urządzenia mobilne) oraz systemów. Pozwala także zarządzać nimi w całym cyklu życia. Platforma taka powinna być kompatybilna z powszechnie dziś wykorzystywanymi różnymi rodzajami urządzeń końcowych oraz być łatwa w obsłudze. Do obsługi szyfrowania w systemach bezpiecznego obiegu informacji można wykorzystać sprzętowe moduły kryptograficzne (Hardware Security Module) – w formie zewnętrznych urządzeń sieciowych lub specjalnych kart PCI. Urządzenia HSM zapewniają sprzętową ochronę poufnych danych (w tym certyfikatów, kluczy podpisu, kluczy szyfrujących). Umożliwiają tworzenie i zarządzanie tysiącami kluczy kryptograficznych, używanych do zabezpieczania wielu aplikacji

Mariusz Stawowski dyrektor Działu Technicznego, Clico

Stosowanie w firmie kryptograficznych zabezpieczeń danych, oprócz niewątpliwych korzyści, niesie także zagrożenia. Na przykład klucze szyfrowania mogą zostać zgubione lub świadomie zniszczone przez pracowników albo dostać się w niepowołane ręce, a niekompatybilność różnych narzędzi szyfrowania spowodować utratę dostępu do danych. By uniknąć tych problemów, trzeba wprowadzić jeden standard kryptograficznej ochrony danych oraz wdrożyć adekwatne do potrzeb przedsiębiorstwa spójne i całościowe rozwiązanie szyfrujące.

i serwerów baz danych. Służą do szyfrowania danych w procesach i transakcjach biznesowych, zabezpieczania dokumentów elektronicznych w urzędach i instytucjach, zarządzania kluczami dostępu itp. Przy użyciu HSM można tworzyć „strefę bezpieczeństwa” także w środowiskach, do których nie ma się bezpośredniego dostępu, takich jak zewnętrzne centra danych. Takie rozwiązanie zapewni klientowi spokój, bo wszystkie operacje przeprowadzane przez użytkowników i administratorów urządzenia są zapisywane w logach audytowych, a próby nieautoryzowanej manipulacji w modułach HSM kończą się zniszczeniem poufnych danych.

WŁAŚCIWA OCHRONA INTERNETU RZECZY Im więcej połączonych rozmaitych urządzeń, tym więcej wektorów ataku. I nie trzeba nawet przywoływać obrazu samochodu, nad którym w czasie jazdy napastnik przejmie kontrolę, czy „zhakowanych” pomp insulinowych lub urzą-

dzeń wspomagających pracę serca, by stwierdzić, że sprawa jest bardzo poważna. W ostatnim raporcie CERT Orange pojawiły się informacje o wzroście liczby ataków związanych z Internetem rzeczy. Choć urządzenia połączone z siecią to potencjalne cele ataku, niestety podczas ich projektowania kwestiom bezpieczeństwa nie poświęca się należytej uwagi. „Jeśli nawet lodówce, pralce czy inteligentnej żarówce nie da się zrobić wielkiej krzywdy, to zawsze mogą służyć jako urządzenia zombie, wzmacniające siłę ataku botnetu” – czytamy w raporcie operatora. W miarę przybywania urządzeń połączonych ze sobą przez Internet of Things ich uwierzytelnianie i szyfrowana komunikacja będą miały coraz większe znaczenie. Kompetencje i rozwiązania w zakresie ochrony instalacji IoT staną się częścią bardzo perspektywicznego biznesu na rynku bezpieczeństwa w najbliższych latach. Integrator, który zadba o swój rozwój w tym obszarze, będzie mógł liczyć na satysfakcjonujący zwrot z poczynionych inwestycji.

DO OBSERWOWANEGO OBECNIE UPOWSZECHNIANIA SIĘ ZABEZPIECZEŃ BIOMETRYCZNYCH W DUŻEJ MIERZE PRZYCZYNIAJĄ SIĘ URZĄDZENIA PRZENOŚNE. (FOTO HUAWEI)

VADEMECUM CRN maj 2016

41


SYSTEMY AUTENTYKACJI

Uwierzytelnianie wieloskładnikowe sposobem na bezpieczny dostęp do danych

Zalecaną przez amerykańską agencję standaryzacyjną NIST procedurą zabezpieczania dostępu do zasobów firmowych jest uwierzytelnianie wieloskładnikowe (Multi-Factor Authentication). Na rynku pojawia się coraz więcej służących do tego systemów. Wartym uwagi jest hybryda produktu firmy ESET, znanej w Polsce za sprawą rozwiązań zabezpieczających, połączona z nowoczesną kartą tokenową NIDS.

W

ieloskładnikowe uwierzytelnianie to połączenie standardowego zabezpieczenia w postaci loginu i hasła z dodatkowym, jakim jest jednorazowy kod, generowany i przesyłany bezpośrednio na urządzenie danego użytkownika. Jednym z dostępnych na rynku rozwiązań tego typu jest ESET Secure Authentication – narzędzie zarządzania dwuskładnikowym uwierzytelnianiem, które w prosty sposób można wdrożyć na serwerach rodziny Windows. Rozwiązanie dostarcza jednorazowe kody zabezpieczające za pomocą specjalnej aplikacji (dostępnej dla wszystkich systemów mobilnych), poprzez wiadomości e-mail, SMS lub tokeny sprzętowe. Wśród tych ostatnich znajdują się karty ze zintegrowanym wyświetlaczem, dostarczające dynamicznie zmieniane hasła jednorazowe (One Time Password). Karty oferowane są w wersji z jednym przyciskiem lub z wieloprzyciskową klawiaturą dotykową, umożliwiającą wprowadzenie na karcie PIN-u stanowiącego dodatkowy element zabezpieczający. Wykorzystująca karty OTP platforma bazuje na wielu rodzajach algorytmów, w tym opartych na zdarzeniach (HOTP), czasie (TOTP) lub rozwiązaniach typu challenge/response (OCRA). Wspomniane rozwiązania stają się coraz popularniejsze. Nawet działania UE idą w tym kierunku, aby zachowując racjonalny poziom bezpieczeństwa, upowszechnić innowacyjne narzędzia

42

VADEMECUM CRN maj 2016

autoryzacji. Dyrektywa z Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23 lipca 2014 r. otwiera drogę do używania OTP jako zaawansowanych narzędzi autoryzacji. Ich stosowanie w zakresie podpisu elektronicznego i „usług zaufania” zacznie być obligatoryjne już od 1 lipca 2016 r. Jak wiadomo, kody OTP występują również w innych powszechnie stosowanych postaciach – popularnych kodów SMS – lub są dostarczane przez aplikacje mobilne. Jednak kody SMS nie są optymalnym narzędziem do zastosowania w bankowości mobilnej (zarówno w wersji przeglądarkowej, jak i aplikacyjnej), ponieważ to samo urządzenie służy do pozyskania informacji umożliwiającej autoryzację, jak i do późniejszego wprowadzenia tej informacji (kradzież takiego urządzenia ułatwia dostęp do zabezpieczanych usług). Mogą być także przechwycone przez przestępców, którzy wcale nie mu-

szą wejść w posiadanie telefonu, i wykorzystane w celu uzyskania dostępu do rachunku klienta i jego środków. Poza tym obsługa takich kodów stanowi duże obciążenie dla budżetu danej instytucji lub firmy, bo średni koszt pojedynczego SMS-a wynosi 4–9 gr netto.

KARTY NIDS DISPLAY Alternatywnym wobec kodów SMS sposobem na wieloskładnikowe uwierzytelnianie są karty NIDS Display. Zapewniają maksymalny komfort użytkowania i wiele funkcji (np. obsługę płatności, uwierzytelnianie on-line, kontrolę dostępu oraz identyfikowanie na podstawie takich cech jak wydrukowane na karcie imię i nazwisko, zdjęcie czy logo). Wyglądają jak karty płatnicze i mogą być przechowywane razem z nimi (nie trzeba nosić ze sobą tokenu pokaźnych rozmiarów). Karta NIDS Display z wbudowanym

Przemysław Sobczyk opiekun laboratorium bezpieczeństwa, Perceptus

Dwuskładnikową autoryzację za pomocą tokenów SMS na szeroką skalę pierwsze wprowadziły banki. Inne firmy powinny podążać ich śladem, ale jednocześnie ulepszyć to rozwiązanie za pomocą fizycznej karty, która pracuje offline. W ten sposób zapewniona zostanie największa ochrona w zakresie dostępu do firmowych zasobów. Tokeny to najlepsze rozwiązanie, jeżeli chodzi o wygodę stosowania przez użytkownika. Połączenie OTP i ESET Security Authenticator daję gwarancję najwyższego poziomu bezpieczeństwa, a dodatkowo wdrożenie tego rozwiązania jest bardzo proste.


Zbyt jawne loginy i hasła

NIDS I ESET Oczywiście rozwiązanie uwierzytelniania bazujące na kodach OTP wymaga po stronie weryfikującej serwera autoryzacji. Platforma kart NIDS Display jest kompatybilna z większością algorytmów bezpieczeństwa. Istnieją karty prekonfigurowane z rozwiązaniami MasterCard CAP lub OATH (Open Authentication), co oznacza, że administratorzy mają dość dużą swobodę wyboru. Inżynierowie firmy Perceptus, w ramach testów przeprowadzonych we własnym laboratorium, przygotowali dla partnerów i klientów kilka różnych konfiguracji wspomnianej karty z niezależnymi serwerami autoryzacji. Ich zdaniem na szczególną uwagę zasługuje rozwiązanie

ESET Secure Authentication (ESA), które integruje się z Active Directory. Co bardzo ważne, nie wymaga instalacji żadnego oprogramowania w systemach operacyjnych na stanowiskach klienckich. Rozwiązanie może być wykorzystywane m.in. do uwierzytelniania w procesie logowania się użytkownika do stacji roboczej. Po jednorazowej czynności zarejestrowania i przypisaniu karty tokenowej do użytkownika można dowolnie korzystać z bezpiecznego dwuskładnikowego uwierzytelnienia. Kompletne rozwiązanie zostało pomyślane w taki sposób, aby token i jego jednorazowy kod był generowany na urządzeniu posiadanym przez użytkownika (coś, co masz), a hasło stanowiło czynnik bazujący na wiedzy (coś, co wiesz). Należy przy tym zwrócić uwagę, że samo hasło w przypadku używania tokenu nie musi być już objęte rygorystyczną polityką ochronną, bo nawet jego pozyskanie przez przestępców nie naraża użytkownika na utratę poufności. Wieloskładnikowe uwierzytelnianie w przypadku pracy zdalnej jest zapewniane dzięki integracji ESET Secure Authentication z klientem VPN, bazującej na protokole RADIUS. Analogiczne zabezpieczenie może być stosowane również wobec aplikacji internetowych – kolejnego wrażliwego kanału komunikacji, w którym stosowana uprzednio infrastruktura klucza publicznego (PKI) nie pasowała najlepiej. W tym przypadku, po klasycznym uwierzytelnieniu w aplikacji, użytkownik prze-

kierowywany jest na stronę autoryzacji ESET Secure Authentication, gdzie wymagane jest podanie do weryfikacji kodu OTP z tokenu. W zakresie integracji z aplikacjami sieciowymi rozwiązanie ESA nadzwyczaj dobrze współpracuje z produktami Microsoft, takimi jak Exchange, SharePoint czy Dynamics CRM. Uzupełnieniem zabezpieczeń połączeń zdalnych jest też autoryzacja sesji zdalnych RDP (Remote Desktop Protocol) oraz RWA (Remote Web Access), podczas których oczywiście, poza hasłem do konta użytkownika, wymuszana jest autoryzacja za pomocą kodu OTP z karty. Jedną z wielu ciekawych cech ESET Secure Authentication jest możliwość autoryzacji użytkowników domenowych w procesie logowania do lokalnego konta na stacji roboczej przy użyciu dwuskładnikowego uwierzytelniania. Przydatna jest też opcja logowania się offline za pomocą tokenu, co nie jest często spotykane w tej klasy rozwiązaniach autoryzacyjnych.

Dodatkowe informacje: PRZEMYSŁAW SOBCZYK, OPIEKUN LABORATORIUM BEZPIECZEŃSTWA, PERCEPTUS, P.SOBCZYK@PERCEPTUS.PL VADEMECUM CRN maj 2016

43

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ PERCEPTUS.

wyświetlaczem jako jedyna na rynku jest wyposażona w innowacyjną klawiaturę dotykową TOUCH. W odróżnieniu od SMS-owego systemu dostarczania haseł, do korzystania z karty NIDS Display nie jest potrzebna sieć, więc można jej używać wszędzie i o każdej porze. Użytkownikowi narzędzia nie grozi zatem sytuacja, że nie uzyska dostępu do konta, gdyż wyjechał za granicę albo znajduje się w części budynku, gdzie sieć komórkowa nie działa. Co ważne, korzystanie z takich kart jest bardzo ekonomiczne, nie wiąże się bowiem z opłatami roamingowymi. Karty NIDS Display z wyświetlaczem zostały dostosowane do warunków typowych dla codziennego użytkowania, cechują się odpornością i trwałością standardowych kart kredytowych. Mają certyfikat EMV, przeszły wymagające testy certyfikacyjne MasterCard Card Structure and Integrity potwierdzające wysoką odporność tworzywa, z którego są wytwarzane.

Według badania przeprowadzonego przez firmę Ping Identity wciąż najbardziej popularną metodą uwierzytelniania użytkowników korzystających zdalnie z zasobów firmowych (konto firmowe w laptopie, VPN, sieciowe portale firmowe) jest stosowanie loginu i hasła. Oto najciekawsze wnioski płynące z tego badania:  78 proc. pracowników firm uważa, że ryzykowne jest współużytkowanie hasła z członkami rodziny, ale 37 proc. i tak to robi.  54 proc. pracowników umożliwia członkom rodziny korzystanie z ich służbowych laptopów i smartfonów.  74 proc. użytkowników zapewnia, że nigdy nie podzieliło się swoimi danymi do laptopa, ale równocześnie 20 proc. twierdzi, że oddałoby swoje hasła za równowartość rocznej spłaty hipoteki lub rocznego wynajmu mieszkania.  59 proc. pracowników jest zdania, że wyłącznie dział IT jest odpowiedzialny za odpowiednie zabezpieczenie komputerów.


SYSTEMY AUTENTYKACJI

Szyfrowanie danych to dzisiaj konieczność

O

becnie oferowanych jest wiele rozwiązań wbudowanych we wspomniane elementy infrastruktury, ale tylko kompleksowe systemy, zawierające również platformę do przechowywania i zarządzania kluczami kryptograficznymi, są w stanie sprostać wymaganiom ochrony danych. Skuteczne zabezpieczenie informacji przed ujawnieniem zapewniają rozwiązania szyfrujące firmy Gemalto. Wbudowane rozwiązania szyfrujące dane – w szczególności całe bazy danych (Transparent Database Encryption, TDE) – przechowują zwykle klucz szyfrujący na serwerze baz danych, co w przypadku udanego ataku mającego na celu zdobycie owego klucza stwarza ryzyko uzyskania dostępu do danych przez niepowołane osoby. Co prawda, jeśli stosuje się TDE, można wykorzystać sprzętowy moduł kryptograficzny HSM (Hardware Security Module), co zwiększa bezpieczeństwo kluczy szyfrujących, ale i tak nie zapewnia rozdzielenia odpowiedzialności pomiędzy administratorów baz danych a administratorów dbających o bezpieczeństwo przechowywanych danych. W rozwiązaniu szyfrującym Gemalto ProtectDB klucze kryptograficzne są generowane i przechowywane wewnątrz specjalistycznego sprzętu certyfikowanego na zgodność ze standardem FIPS 140–2 (poziom 3). Nigdy też go nie opuszczają, co znacznie upraszcza zarządzenie backupem, odzyskiwaniem oraz rotacją informacji. Rozwiązania tego typu zapewniają tworzenie i zarządzanie tysiącami kluczy kryptograficznych,

44

VADEMECUM CRN maj 2016

które mogą być wykorzystane w wielu aplikacjach i serwerach baz danych. Co więcej, pojedynczy szyfrator może integrować się z silnikami baz danych pochodzącymi od wielu dostawców. Daje to dużą elastyczność i gwarancję wdrożenia rozwiązania w dowolnie złożonym środowisku. ProtectDB pozwala na stworzenie wielopoziomowej polityki dostępu do danych i przekazywania uprawnień administracyjnych. W dodatku przeprowadzanie istotnych czynności w bazie

Dojrzałe rozwiązania szyfrujące uwzględniają fakt, że krytycznym elemetem kryptografii jest klucz.

danych może, zgodnie z konfiguracją, wymagać uwierzytelnienia więcej niż jednego administratora, a do najważniejszych z nich konieczne bywa zebranie się określonej liczby (kworum) administratorów czy oficerów bezpieczeństwa. Wszystkie operacje przeprowadzone przez użytkowników oraz administratorów urządzenia są zapisywane w logach audytowych. Bazy danych powinny być szyfrowane według ściśle określonych zasad. Idealnym rozwiązaniem jest zaszyfrowanie określonych kolumn lub tabel, w zależności od tego jak bardzo wrażliwe są przechowywane w nich informacje. Dostęp do tych danych, po zaimplementowaniu rozwiązania, mają – po uwierzytelnieniu – wyłącznie użytkownicy posiadający odpowiednie klucze. W przypadku dostępu z aplikacji do danych zaszyfrowanych w bazie dane logowania użytkownika, zgodnie z jego uprawnieniami dostępu, zwykle są przechowywane w pliku konfiguracyjnym. Zdarza się, i wynika to wyłącznie ze sposobu zaprojektowania danej aplikacji, że hasło użytkownika w owym pliku jest przechowywane w sposób jawny, co umożliwia autoryzowany dostęp do danych zaszyfrowanych w bazie każdemu użytkownikowi, który ma dostęp do systemu plików na serwerze aplikacyjnym. Zabezpieczenie plików konfiguracyjnych jest zatem kolejnym, bardzo ważnym elementem koncepcji wielowarstwowej ochrony danych. Rozwiązanie ProtectFile firmy Gemalto zapewnia szyfrowanie plików realizowane przez oprogramo-

Ilustracja: © Pekchar – Fotolia.com

Ciągły wzrost liczby oraz siły incydentów kradzieży i ujawniania krytycznych danych wskazuje jednoznacznie, że najskuteczniejszą metodą ochrony tych danych powinno być ich przechowywanie w zaszyfrowanej postaci jak najbliżej źródła ich przetwarzania: bazy danych, aplikacji lub systemu operacyjnego.


MASZYNA WIRTUALNA – ŁATWY CEL KRADZIEŻY Coraz częściej serwery działają w środowiskach wirtualnych, co przynosi wiele korzyści, ale też powoduje dodatkowe wyzwania w zakresie bezpieczeństwa samych systemów, jak również przetwarzanych przez nie danych. Jednym z istotnych elementów, podnoszących ryzyko nieuprawnionego dostępu do systemów w zwirtualizowanym centrum przetwarzania danych, jest możliwość przeprowadzania niekontrolowanych czynności w tym środowisku, takich jak zatrzymywanie, uruchamianie, przenoszenie lub modyfikowanie systemów wirtualnych. Jest to szczególnie istotne w środowiskach heterogenicznych o dużym nasyceniu rozwiązań IT, w dodatku rozproszonych geograficznie, zarządzanych przez wielu administratorów. Często są one utrzymywane i serwisowane przez zewnętrzne podmioty, czyli dostęp do nich mają ich pracownicy, dostawcy usług lub niezależni konsultanci. Do zabezpieczania wirtualnych maszyn – jako kolejny element strategii wielowarstwowej ochrony danych – Gemalto proponuje rozwiązanie ProtectV. Służy ono do szyfrowania wirtualnych maszyn, które przeprowadzane jest przez oprogramowanie agenta zainstalowane w każdym chronionym systemie wirtualnym. Centralne zarządzanie ochroną odbywa

Trzy pytania do… PIOTRA WRÓBLA, REGIONAL SALES MANAGERA W GEMALTO CRN Na jakiego typu wyzwania odpowiada oferta firmy Gemalto? PIOTR WRÓBEL Doświadczenia ostatnich lat i miesięcy pokazują jednoznacznie, że stosowanie bastionowych systemów zabezpieczeń zmniejsza ryzyko naruszeń bezpieczeństwa, ale ich nie eliminuje. Dane jak były, tak będą w coraz większym stopniu wykradane, ponieważ są bardzo cenne. Nas wyróżnia – powiem dość przewrotnie – akceptacja tego faktu i koncentracja na tym, aby wykradzione dane były bezużyteczne. Można tego dokonać przez ich zaszyfrowanie. Wtedy dane, nawet skradzione, mają nikłe szanse ujawnienia. CRN Czy takie podejście wiąże się z ryzykiem? PIOTR WRÓBEL Najbardziej krytycznym elementem kryptografii jest klucz. Innymi słowy, szyfrogram jest tak bezpieczny, jak bezpieczny jest klucz, którego używamy. Często podaję przykład pancernych drzwi z atestowanymi zamkami, do których klucze właściciel mieszkania przechowuje „pod wycieraczką” – wnioski nasuwają się same. Dojrzałe rozwiązania kryptograficzne nie mogą bagatelizować lub pomijać tego aspektu. CRN O jakiego typu rozwiązania firmy powinny uzupełnić swoją infrastrukturę? PIOTR WRÓBEL Według Gemalto strategia ochrony informacji powinna uwzględniać także ich szyfrowanie oraz pełną kontrolę nad kluczami kryptograficznymi. Zabezpieczenie informacji przed ujawnieniem zapewniają nasze produkty: ProtectDB, ProtectFile oraz ProtectV. Mogą być wdrażane osobno bądź stosowane łącznie. Rozwiązania te, aby skutecznie spełniały swoje zadania, muszą być wsparte przez system zarządzania kluczami (SafeNet KeySecure) oraz system ich przechowywania (SafeNet HSM). Tylko taka architektura gwarantuje bezpieczeństwo kluczy, dzięki którym zabezpieczamy informacje.

się z poziomu systemu (Managera), a do zarządzania kluczami kryptograficznymi służą specjalne urządzenia, takie same jak do szyfrowania baz danych i plików. Najważniejszą funkcją tego rozwiązania jest szyfrowanie wirtualnych dysków oraz obligatoryjne uwierzytelnianie w fazie rozruchowej, jeszcze przed uruchomieniem chronionej maszyny wirtualnej. System zarządzania zapewnia zaszyfrowanie zabezpieczanych dysków z dokładnością do partycji. Zapobiega to uzyskaniu nieautoryzowanego dostępu do znajdujących się na nich danych i to w wielu sytuacjach, np. uniemożliwia

skopiowanie wirtualnego systemu i próbę jego uruchomienia czy skopiowanie plików wybranych dysków maszyny wirtualnej do innej lokalizacji. Autoryzowanym dystrybutorem firmy Gemalto w Polsce jest Clico.

Dodatkowe informacje: PIOTR WRÓBEL, REGIONAL SALES MANAGER, GEMALTO, PIOTR.WROBEL@GEMALTO.COM VADEMECUM CRN maj 2016

45

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI GEMALTO I CLICO.

wanie agenta instalowane na każdym chronionym serwerze. Dzięki jego niskopoziomowej integracji z systemem operacyjnym możliwe jest prowadzenie weryfikacji, czy dana osoba lub proces uruchomiony zgodnie z prawami tej osoby, mogą uzyskać dostęp do zawartości zaszyfrowanego pliku. ProtectFile zapewnia objęcie ochroną całych folderów lub pojedynczych plików. Jest ona realizowana na bazie ustalonych reguł pozwalających na tworzenie wielu kluczy szyfrujących, przypisanie przywilejów dostępowych indywidualnym użytkownikom bądź ich grupom, a następnie przypisanie kluczy szyfrujących do chronionych zasobów – pojedynczych plików lub całych folderów.


SYSTEMY AUTENTYKACJI

Zarządzanie

urządzeniami mobilnymi z jednego miejsca Rozwiązanie ClearPass Policy Manager umożliwia działowi IT proste zbudowanie platformy ułatwiającej stworzenie reguł ochronnych i wdrażanie silnych zabezpieczeń.

O

programowanie ClearPass zapewnia ujednoliconą platformę do zarządzania regułami polityki bezpieczeństwa oraz uwierzytelniania, autoryzacji i kontroli dostępu (czyli procesów AAA – authentication, authorization, accounting). Dane kontekstowe (dotyczące m.in. ról użytkowników, typów urządzeń, praw do automatycznego logowania, lokalizacji, godziny i dnia tygodnia) mogą pochodzić z innych źródeł, a są gromadzone w ClearPassie. To gwarantuje, że użytkownikom korzystającym z określonego urządzenia zawsze przydzielane są właściwe prawa dostępu.

Dział IT może centralnie zarządzać regułami polityki dostępu do sieci, automatycznie akceptować dostęp do niej użytkowników-gości, a także konfigurować urządzenia i oceniać ich stan oraz dystrybuować certyfikaty bezpieczeństwa. Służy do tego jedna konsola, której można używać w sieci każdego typu, bez wprowadzania zmian w dotychczas wykorzystywanej infrastrukturze. Zapewnia ona także użytkowanie zebranych informacji w rozwiązaniach innych firm. Kolejną znaczącą korzyścią ze stosowania rozwiązania ClearPass jest automatyzacja wielu czasochłon-

Trzy pytania do… MICHAŁA KOŁODZIEJA, ARCHITEKTA ROZWIĄZAŃ SIECIOWYCH, HEWLETT PACKARD ENTERPRISE CRN Minęły już czasy, kiedy dział IT sprawował pełną kontrolę nad urządzeniami podłączanymi do sieci komputerowej. Czy sytuacja, w której środowisko informatyczne nie ma wyraźnie określonych granic, stanowi dla firm duże wyzwanie? MICHAŁ KOŁODZIEJ Oczywiście, działy informatyczne przedsiębiorstw mają coraz większe trudności z utrzymaniem

46

VADEMECUM CRN maj 2016

nych zadań, które dział IT musiał wcześniej wykonywać ręcznie. Stworzony przez firmę Aruba system ma jeszcze jedną ważną zaletę – możliwość stopniowego wprowadzania potrzebnych firmie funkcji. Na początku, po stworzeniu bazy zarządzania regułami i procesami AAA, można go wykorzystać np. do wyeliminowania złożonych procesów związanych z integracją zróżnicowanych produktów. Następnie można go zintegrować z systemem MDM, zapewniającym bezpieczne korzystanie z prywatnych urządzeń do celów służbowych (BYOD) a także udostępnić gościom por-

kontroli nad siecią. Obecnie na świecie z sieciami bezprzewodowymi przedsiębiorstw łączą się miliardy smartfonów i tabletów. Średnio na każdego użytkownika przypadają ponad trzy urządzenia, a na każdym z nich zainstalowanych jest wiele aplikacji firmowych i osobistych. Użytkownicy oczekują dziś, że w biurze będą mogli korzystać z prywatnych urządzeń mobilnych równie łatwo jak w domu. CRN Jakie nowe zadania przynosi to działom IT? MICHAŁ KOŁODZIEJ Dziś środowisko informatyczne przedsiębiorstw wykracza poza fizyczną infrastrukturę, a pracownikom trzeba zapewnić niezawodny dostęp do sieci, z zachowaniem odpowiedniego poziomu bezpieczeństwa i kontroli. Dlatego działy IT muszą przede wszystkim stawić czoła poważnym wyzwaniom dotyczącym konfigurowania sprzętu. Zarządy firm nie mogą już liczyć na to, że


BEZPIECZEŃSTWO

Ilustracja: © hurca.com – Fotolia.com

URZĄDZEŃ MOBILNYCH

Aplikacja ClearPass Onboard umożliwia pracownikom samodzielne konfigurowanie dostępu urządzeń mobilnych do sieci i zabezpieczanie ich. Nieznane urządzenia są automatycznie przekierowywane do prostego narzędzia konfiguracyjnego, które z łatwością może obsłużyć nawet najmniej doświadczony użytkownik. Wystarczy, że pracownik wprowadzi swoje dane uwierzytelniające, a wszystkie ustawienia zabezpieczeń i unikatowy certyfikat zostaną wysłane na jego urządzenie bez udziału administratora sieci. Od tej chwili autoryzacja bazuje na tym unikatowym certyfikacie, dzięki czemu nie trzeba ponownie wpisywać danych logowania na małym zazwyczaj wyświetlaczu urządzenia mobilnego. Dzięki modułowi Onboard dział informatyczny otrzymuje natomiast wartościowe dane, które pomagają w definiowaniu reguł bezpieczeństwa związanych z dostępem urządzeń mobilnych do sieci i usuwaniu wynikających z tego problemów.

Atuty rozwiązania ClearPass Policy Manager • Reguły i usługi AAA działają w całym przedsiębiorstwie, w każdym środowisku złożonym z produktów różnych dostawców. • Prawa dostępu do sieci i aplikacji są automatycznie przydzielane pracownikom na podstawie danych kontekstowych, takich jak role użytkowników, typy urządzeń, lokalizacja i pora dnia. • Użytkownicy sami rejestrują swoje urządzenia, np. sprzęt mobilny, wypełniając formularz online, a następnie konfigurują je, wprowadzając właściwe ustawienia bezpieczeństwa i uwierzytelniania, bez wsparcia działu pomocy IT. • Wbudowana funkcja profilowania urządzeń identyfikuje te z nich, które są podłączone do sieci, i kontroluje ich dostęp na podstawie typu sprzętu oraz danych właściciela. • Narzędzia do rozwiązywania problemów w czasie rzeczywistym eliminują konieczność przeglądania obszernych dzienników baz danych.

Za pomocą ClearPass dział IT określa, kto ma prawo połączyć się z firmową siecią za pomocą określonego typu sprzętu oraz z ilu urządzeń może w tym celu korzystać dany pracownik. Dzięki wbudowanej funkcji uwierzytelniania za pomocą certyfikatu obsługa prywatnych urządzeń zajmuje administratorom mniej czasu i nie wymaga wewnętrznej infrastruktury klucza publicznego ani związanych z nią zasobów informatycznych. Łatwe w obsłudze funkcje wyszukiwania urządzeń i konfiguracji dostępu umożliwiają szybkie odwołanie lub usunięcie certyfikatu w przypadku zagubienia lub kradzieży sprzętu bądź odejścia pracownika z firmy.

i tak przeciążone osoby na stanowiskach pomocy technicznej będą ręcznie konfigurować ustawienia bezpieczeństwa i dostępu na każdym urządzeniu mobilnym, które ma korzystać z firmowej sieci. CRN Za pomocą jakiego typu narzędzi można rozwiązań ten problem? MICHAŁ KOŁODZIEJ Działy IT potrzebują narzędzi zintegrowanych, dzięki którym skuteczniej można zabezpieczać urządzenia przenośne, a przede wszystkim proces ten powinien być w jak największym stopniu automatyczny. Do tej pory informatycy korzystali z wielu odrębnych rozwiązań, które nie wymieniały między sobą danych, odpowiedzialnych m.in. za kontrolę dostępu do sieci, agregowanie informacji ułatwiających zarządzanie sprzętem mobilnym i dostępem gości do sieci. Niestety, kombinacja luźno powiązanych rozwiązań punktowych prowadzi do wzrostu kosztów i stopnia złożoności procesów oraz utrudnia kontrolę bezpieczeństwa. Podejście takie uniemożliwia też uproszczenie i automatyzację czasochłonnych zadań związanych z konfiguracją i pomocą techniczną.

WIĘCEJ KORZYŚCI Z ROZWIĄZAŃ INNYCH FIRM

Dzięki mechanizmowi Exchange możliwa jest wymiana informacji pomiędzy różnymi systemami. Dane dotyczące użytkowników i urządzeń można agregować, aby uzyskać informacje o ich wzajemnych zależnościach (kontekst) i, tym samym, jeszcze bardziej zwiększyć poziom bezpieczeństwa infrastruktury. Pozwala to administratorom na korzystanie z narzędzi do zarządzania zdarzeniami dotyczącymi bezpieczeństwa (SIEM), aby w przypadku ataku móc uzyskać dostęp do informacji o użytkownikach, urządzeniach i ich lokalizacji. Możliwa jest też integracja z narzędziami działu wsparcia technicznego, która zapewnia automatyczne tworzenie i wypełnianie zgłoszeń serwisowych zawierających informacje o użytkownikach, ich urządzeniach i lokalizacji w przypadku problemów z uwierzytelnianiem.

Dodatkowe informacje: MICHAŁ KOŁODZIEJ, ARCHITEKT ROZWIĄZAŃ SIECIOWYCH, HEWLETT PACKARD ENTERPRISE, MICHAL.KOLODZIEJ@HPE.COM VADEMECUM CRN maj 2016

47

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI HEWLETT PACKARD ENTERPRISE I VERACOMP.

tal umożliwiający zalogowanie się do Internetu. Funkcje analizy i raportowania dają administratorom ciągły wgląd w działanie firmowej sieci – mogą zawsze sprawdzić, kto i z jakich urządzeń się z nią łączy. Zapewnia to stosowanie zabezpieczeń z uwzględnieniem zwyczajów użytkowników mobilnych.


Wirtualne maszyny też trzeba chronić

Firmy chętnie korzystają z wirtualizacji. Jednak źle dobrane zabezpieczenia nie tylko zwiększają ryzyko udanego ataku, ale wręcz mogą podważyć korzyści biznesowe płynące ze stosowania tej techniki. Rafał Janus

S

kuteczne zabezpieczenie środowiska wirtualnego ma jeszcze większe znaczenie niż fizycznego. Ze światowego badania przeprowadzonego przez Kaspersky Lab w połowie 2015 r. wynika, że duże firmy wydają średnio ponad 800 tys. dol. na usuwanie szkód powstałych na skutek cyberataku na ich zwirtualizowane środowiska. To dwa razy więcej niż w przypadku incydentów obejmujących jedynie infrastrukturę fizyczną. Co istotne, autorzy raportu wskazują, że w podobnej sytuacji są małe i średnie firmy.

48

VADEMECUM CRN maj 2016

Statystyczną wartość szkody w tej grupie w wyniku ataku na infrastrukturę fizyczną szacuje się na ponad 26 tys. dol. Jeśli natomiast incydent naruszenia bezpieczeństwa dotyczył infrastruktury wirtualnej, koszty wzrastają do blisko 60 tys. dol. Tak duża różnica w wysokości strat to efekt coraz częstszego wykorzystywania środowisk wirtualnych do najważniejszych firmowych operacji. Aż 62 proc. ankietowanych przedsiębiorstw jest skłonnych przenieść do maszyn wirtualnych najbardziej istotne procesy biznesowe.

Udany atak na firmową infrastrukturę wirtualną, z większym prawdopodobieństwem niż ten dotyczący tylko fizycznej, będzie skutkował chwilową utratą ważnych danych, przerwą w działaniu kluczowych usług czy też uszczerbkiem na reputacji. Poza tym, jak twierdzą analitycy Kaspersky Lab, firmy usuwające skutki takich ataków wydają znacznie więcej na konsultantów IT (a także na prawników). Ten fakt może wskazywać, że informacje o przypadkach ataków na infrastrukturę wirtualną częściej przedostają się do ich

Fot. © quka – Fotolia.com

ZABEZPIECZANIE ŚRODOWISK WIRTUALNYCH


klientów i partnerów czy też do publicznej wiadomości. Opisane czynniki pokazują, jak ważna jest ochrona środowisk wirtualnych. Tymczasem firmom brakuje odpowiedniej wiedzy, aby dokonać świadomego wyboru zabezpieczeń optymalnie dostosowanych do ich potrzeb. Zaledwie 53 proc. przedsiębiorstw ankietowanych przez Kaspersky Lab odpowiedziało, że obawia się o bezpieczeństwo swoich środowisk wirtualnych, a połowa deklaruje dobre zrozumienie zagrożeń związanych z hypervisorami, których używają. Jednocześnie 56 proc. pytanych uważa, że są w pełni przygotowani do zwalczania tych zagrożeń. Jednak może to być mylne przekonanie. Okazuje się, że zaledwie 27 proc. firm stosuje zabezpieczenia zaprojektowane specjalnie z myślą o środowiskach wirtualnych. Dlatego rolą integratora jest więc również doradztwo w wyborze właściwych rozwiązań.

trzy spoJrzenia na zabezpieczenia

Niewiele firm jest świadomych, czym różnią się oferowane obecnie rozwiązania ochronne przeznaczone dla infrastruktury wirtualnej. Przede wszystkim większość nie zdaje sobie sprawy, że można się spotkać z trzema różnymi koncepcjami jej zabezpieczania. Produkty do ochrony maszyn wirtualnych (serwerów i desktopów) funkcjonują według jednego z następujących schematów działania: użycie kompletnego agenta, wykorzystanie tzw. lekkiego agenta lub wersja bezagentowa. Do pierwszej kategorii zaliczają się rozwiązania wykorzystujące oprogramowanie instalowane w każdej maszynie wirtualnej, która ma być objęta ochroną. Takie podejście wiąże się ze znacznym obciążeniem fizycznych serwerów, ale daje użytkownikowi pełny zestaw funkcji (antywirus, zapora sieciowa, host HIPS itd.). Jednak wykorzystywanie przez agentów znacznych zasobów obliczeniowych i pamięci operacyjnej powoduje, że spada liczba maszyn wirtualnych, które można uruchomić na jednym serwerze fizycznym, a to negatywnie wpływa na zwrot z inwestycji w zakresie wirtualizacji. Wpływ ten jest tak duży, że większość

Jak użytkownicy zabezpieczaJą systemy wirtualne 27% 39%

Ogólnie

34% 28% 40%

Wirtualne serWery

32% 22% 34%

Wirtualne desktOpy

44% kOrzystają z OprOgramOWania antyWirusOWegO zaprOgramOWanegO dO uźyWania W śrOdOWisku Wirtualnym

nie kOrzystają z rOzWiązań bezpieczeństWa specjalizOWanych pOd kątem śrOdOWisk Wirtualnych, ale są śWiadOmi różnicy nie kOrzystają z rOzWiązań bezpieczeństWa specjalizOWanych pOd kątem śrOdOWisk Wirtualnych i nie są śWiadOmi różnicy

Źródło: Kaspersky Lab, 2015

firm go nie zaakceptuje, choć tego typu rozwiązania ochronne zapewniają solidne zabezpieczenie maszyn wirtualnych. Integrator może jednak polecać zastosowanie systemów z kompletnym agentem. Sprawdzą się, gdy firma przeniosła przestarzałe systemy z serwerów fizycznych do wirtualnych, korzysta z niewielkiej liczby maszyn wirtualnych i nie ma planów wdrażania nowych lub chce zabezpieczać jednym rozwiązaniem całą infrastrukturę IT

XenServer i KVM w natarciu Warto przyjrzeć się sytuacji na rynku platform wirtualizacyjnych, aby poznać przyszłe potrzeby klientów w zakresie bezpieczeństwa. Obecnie najczęściej używane są produkty VMware i Microsoftu, ale najszybciej rośnie zainteresowanie oprogramowaniem Citriksa. Jeśli jednak zsumować odsetek firm zainteresowanych wersjami komercyjnymi i open source platformy KVM, okaże się, że firmy najczęściej zamierzają wdrażać w najbliższych dwóch latach właśnie to oprogramowanie. Jeśli deklaracje firm zebrane przez Kaspersky Lab znajdą pokrycie w rzeczywistości, to w najbliższych latach KVM stanie się głównym konkurentem obecnych liderów rynku.

(opłacalne przy dużej skali). Problemy z wydajnością tradycyjnych, agentowych zabezpieczeń środowisk wirtualnych doprowadziły do powstania rozwiązań bezagentowych. Oddzielny serwer (wirtualny lub fizyczny) chroni pozostałe maszyny, wykorzystując specjalne interfejsy API wbudowane w hypervisor. Zaletą takiego rozwiązania jest niewielkie zapotrzebowanie na zasoby, a także uniknięcie skokowego wzrostu obciążenia serwerów, kiedy oprogramowanie ochronne w wielu punktach końcowych pobiera jednocześnie aktualizacje czy nowe definicje wirusów. Nie ma również luki w zabezpieczeniach, która może powstawać podczas tworzenia nowej maszyny wirtualnej, konkretnie do momentu zainstalowania na niej oprogramowania ochronnego. Wadą rozwiązań bezagentowych jest niewielka liczba platform wirtualizacyjnych, z którymi współpracują, oraz ograniczony zbiór funkcji ochronnych, co stawia użytkowników przed dylematem: zmniejszyć obciążenie, ale kosztem rezygnacji z niektórych mechanizmów zabezpieczających czy korzystać z nich dzięki wdrożeniu obciążającego system rozwiązania agentowego. Z tego względu bezagentowe rozwiązania sprawdzają się tam, gdzie priorytetem jest optymalizacja wydajności aplikacji i wysoki współczynnik konsolidacji. Ryzyko należy jednak dokładnie ocenić. VADEMECUM CRN maj 2016

49


ZABEZPIECZANIE ŚRODOWISK WIRTUALNYCH Na rynku są również rozwiązania, które wykorzystują tzw. lekkiego agenta, czyli łączą cechy systemów z pełnym agentem i bezagentowych. Takie połączenie sprawdzi się w większości środowisk wirtualnych. Oddzielny serwer odpowiada za realizację zadań, które można scentralizować, a agent w maszynie wirtualnej umożliwia korzystanie z zaawansowanych funkcji i zabezpieczeń, takich jak HIPS lub lokalny firewall. Zapewnia też większą kontrolę nad infrastrukturą, m.in. przez blokowanie dostępu do wybranych aplikacji czy stron internetowych. Ten trzeci rodzaj rozwiązań zabezpiecza-

Bartosz Prauzner-Bechcicki, dyrektor ds. sprzedaży, Kaspersky Lab Tomasz Krajewski, Presales Manager, Eastern Europe, Veeam Paweł Korzec, Systems Engineering Manager Eastern Europe, VMware Bogusz Błaszkiewicz, Senior Systems Engineer, NetApp

dowisku wirtualnym zasoby – moc obliczeniowa, twarde dyski, karty sieciowe – są współużytkowane. Jest to możliwe, ponieważ między maszynami wirtualnymi a sprzętem istnieje dodatkowa warstwa programowa, która służy m.in. do kontrolowania dostępu do zasobów. Jest to również miejsce, w którym można umieścić zabezpieczenia stosowane dotychczas na poziomie systemu operacyjnego. Przemawia za tym np. kwestia wydajności. Oprogramowanie antywirusowe czy zapora sieciowa działające w każdej maszynie wirtualnej to jednak duże obciążenie. Część zabezpieczeń można zastąpić jedną

>> Producenci o ochronie środowisk wirtualnych: szanse i wyzwania BARTOSZ PRAUZNER-BECHCICKI Jednym z podstawowych wyzwań związanych z ochroną środowisk wirtualnych jest dobór odpowiedniego rozwiązania. Zastosowanie systemów zaprojektowanych do pracy w środowiskach fizycznych najczęściej prowadzi do marnowania zasobów i olbrzymich spadków wydajności. Koszty mogą przewyższyć korzyści, a jedna z najważniejszych zalet wirtualizacji – zmniejszenie wydatków i usprawnienie infrastruktury IT – zostanie zniwelowana. Dlatego ważne jest, aby poświęcić wystarczająco dużo uwagi sprawom bezpieczeństwa w środowisku wirtualnym i dokładnie rozważyć zastosowanie przeznaczonych do tego rozwiązań. TOMASZ KRAJEWSKI Backup środowisk wirtualnych daje partnerom różne możliwości sprzedażowe. Jedną z nich jest oferowanie przez integratorów usług Backup as a Service oraz Data Recovery as a Service z wykorzystaniem własnego centrum danych. Stosowany w tym przypadku model biznesowy umożliwia uzyskiwanie cyklicznych przychodów zarówno od dotychczasowych, jak i nowych klientów. PAWEŁ KORZEC Niewielu naszych partnerów oferuje integrację różnych rozwiązań ze sobą. Zazwyczaj osobno wdraża się wirtualizację, osobno sieć i osobno zabezpieczenia. Dzisiaj połączenie rozwiązań z różnych zakresów technologicznych ze sobą jest niezbędne, aby zwiększyć poziom bezpieczeństwa. Zintegrowane usługi związane z zabezpieczeniem maszyn wirtualnych, to duża szansa na dodatkowy zarobek. BOGUSZ BŁASZKIEWICZ Backup ma kosztować jak najmniej, zajmować jak najmniej miejsca i trwać jak najkrócej, a także umożliwiać szybkie i spójne odtwarzanie danych w krytycznym momencie. To wiele wyzwań naraz, a jedynym rozwiązaniem wydaje się być chmura. Należy przy tym wskazać, że ważna jest elastyczność i możliwość przenoszenia danych między różnymi rozwiązaniami.

Ryszard Regucki. Channel Sales Director EAST Europe, Commvault 50

jących umożliwia znalezienie równowagi między wydajnością infrastruktury wirtualnej a potrzebą zapewnienia jej bezpieczeństwa. Systemy z lekkim agentem oferują więcej funkcji niż bezagentowe, a jednocześnie cechują się stosunkowo niskim wpływem na wydajność serwerów. Ale wadą tego typu rozwiązań jest fakt, że zazwyczaj do zarządzania nimi trzeba używać oddzielnej konsoli. Serwery wirtualne można zabezpieczać podobnie jak fizyczne: aktualizować oprogramowanie, używać antywirusów, stosować szyfrowanie zapobiegające wyciekowi danych. Jest jednak istotna różnica: w śro-

VADEMECUM CRN maj 2016

RYSZARD REGUCKI Wydajny backup i wysoka dostępność środowisk zwirtualizowanych to bardzo ważny temat dla większości klientów. Praktycznie w każdym projekcie mamy do czynienia z kopiami zapasowymi maszyn wirtualnych. To dynamicznie rozwijający się obszar – w zależności od klienta od 30 do 80 proc. wszystkich chronionych danych pochodzi ze środowisk wirtualnych. Ich zabezpieczanie to dla integratorów pole do świadczenia usług nie tylko klasycznego backupu, ale również przywracania systemów IT po awarii.


Wirtualny backup Oprócz rozwiązań ochronnych dla środowisk wirtualnych powstały też specjalne systemy backupu. Ich wyróżnikiem jest bezagentowa architektura i działanie na poziomie hypervisora. Trwa dyskusja, które rozwiązania są lepsze: specjalistyczne przeznaczone do ochrony maszyn wirtualnych czy te ogólnego przeznaczenia. To co jest optymalne, zależy od konkretnych potrzeb. Firmom korzystającym z klasycznego środowiska aplikacyjnego, rozproszonych danych i maszyn wirtualnych, warto polecać rozwiązania kompleksowe, które mogą zabezpieczyć wszystkie rodzaje danych. Natomiast w przypadku klientów dysponujących tylko lub prawie tylko środowiskiem wirtualnym, w pierwszej kolejności należy zaproponować rozwiązania wyspecjalizowane. Zakup oprogramowania do backupu to początek tego, co integrator może zaproponować klientom. Kolejne to usługi wdrożeniowe, a – co najważniejsze – zapewnienie właściwego zarządzania backupem, a nierzadko także sprzętem, jeśli regulacje wewnętrzne wymagają przechowywania kopii zapasowych również na specjalnym urządzeniu w przedsiębiorstwie. Ilość danych, pojemność dysków twardych przeznaczonych do ich przechowywania czy też generalnie wymagania firm rosną w postępie geometrycznym i stwarzają szerokie pole do popisu dla firm IT.

ŚWiatoWy rynek usług Disaster recovery as a service (W mlD Dol.) 14

11,92

12 10 8 6 4 2

0,64

0,95

1,42

20 20

20 19

20 18

20 17

20 16

20 15

20 14

0 20 13

kopią działającą na poziomie hypervisora lub wybrać rozwiązanie wykorzystujące lekkiego agenta. Nie można jednak zapominać, że mechanizmy bezpieczeństwa powinny działać na kilku poziomach: sieci, maszyn wirtualnych oraz samych aplikacji. Dzięki temu atak nie spowoduje złamania całego systemu bezpieczeństwa. W przypadku zapór sieciowych typową praktyką jest ich instalowanie w systemie operacyjnym. Jednak po włamaniu do maszyny wirtualnej i uzyskaniu dostępu administracyjnego atakujący może zmienić reguły firewalla. Dlatego lepiej skonfigurować firewall na poziomie sieci, w wirtualnej karcie sieciowej. Haker nie ma wówczas dostępu do tej warstwy konfiguracji.

Źródło: MarketsandMarkets

Warto wskazać rosnące zainteresowanie backupem w chmurze. Według IDC aż 46 proc. użytkowników środowisk wirtualnych deklaruje, że potrzeba przechowywania kopii zapasowych to podstawowy powód korzystania z chmury. Z kolei MarketsandMarkets prognozuje, że wartość światowego rynku Disaster Reco-

Zaledwie 27 proc. firm stosuje zabezpieczenia zaprojektowane specjalnie z myślą o środowiskach wirtualnych. very as a Service zwiększy się z 1,4 mld dol. w 2015 r. aż do 11,9 mld dol. w 2020. To oznacza średnie roczne tempo wzrostu wynoszące prawie 53 proc. Jednym z głównych czynników napędzających rozwój tego segmentu rynku są wysokie koszty wdrażania klasycznych rozwiązań Disaster Recovery w lokalnym, firmowym środowisku IT. Wymagają one wysokich nakładów początkowych i stałych wydatków na utrzymanie sprzętu oraz sieci. Problem jest szczególnie dotkliwy dla małych i średnich firm, więc to do nich warto kierować ofertę usług DRaaS. Interesującą propozycją dla klientów może też być oprogramowanie, które nie tylko zinte-

gruje się z systemem wirtualnym i spójnie wykona całą kopię zapasową, ale będzie się komunikować z rozwiązaniem chmurowym i ten backup można będzie przesłać do chmury. Trzeba przy tym pamiętać, że firmy mają poważne obawy przed korzystaniem z outsourcingu w zakresie tworzenia kopii zapasowych. Powoduje on bowiem, że ciągłość działania użytkownika zależy od rzetelności dostawcy usługi. Do tego dochodzą kwestie zgodności z regulacjami prawnymi odnośnie do ochrony danych (szyfrowanie, lokalizacja geograficzna chmurowej serwerowni itd.).

kontenery też potrzebują zabezpieczeń

Trendem, który dość szybko się nasila, jest stosowanie tzw. kontenerów, np. oprogramowania Docker. Znajdujące się w sprzedaży rozwiązania umożliwiające korzystanie z kontenerów są jeszcze zbyt młode, żeby mieć istotny udział w rynku wirtualizacji. Jest jednak wielce prawdopodobne, że za dwa lub trzy lata trend ten wywrze duży wpływ na środowiska IT. Niektórzy analitycy przewidują nawet, że popularyzacja kontenerów doprowadzi do marginalizacji serwerów wirtualnych. Bez względu na to, czy tak się stanie, rozwiązaniami wykorzystującymi kontenery warto zainteresować się już dzisiaj. Kiedy zyskają większą popularność, integrator będzie już przygotowany, aby zapewnić swoim klientom bezpieczeństwo wykorzystywanych przez nich kontenerów. VADEMECUM CRN maj 2016

51


ZABEZPIECZANIE ŚRODOWISK WIRTUALNYCH

Brocade: ochrona danych w fizycznej i wirtualnej sieci Dzięki oprogramowaniu firmy Brocade możliwe staje się stworzenie bezpiecznej infrastruktury sieciowej.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI BROCADE I AVNET.

B

rocade 5600 vRouter to pierwszy wirtualny router o wysokiej wydajności oraz niezawodności i funkcjonalności (firewall, VPN i in.), z którymi dotychczas użytkownicy mieli do czynienia jedynie w przypadku klasycznych, fizycznych rozwiązań. Administratorzy mogą skalować jego wydajność, dobierając odpowiednią liczbę wirtualnych procesorów (vCPU), w zależności od ilości danych przetwarzanych przez przedsiębiorstwo. Oprogramowanie to może być zainstalowane w wirtualnej maszynie lub na klasycznym serwerze z procesorem Intel Xeon, pamięcią RAM o pojemności od 128 MB oraz co najmniej jedną kartą sieciową 1 Gb/s lub szybszą. Wysoką wydajność wirtualnego routera uzyskano w wyniku zastosowania rozwiązania Brocade vPlane. Bazuje ono na udostępnionym przez Intela komponencie Data Plane Development Kit umożliwiającym przypisanie różnych warstw (ang. planes) odpowiedzialnych za przetwarzanie danych w wirtualnym routerze do poszczególnych fizycznych rdzeni w procesorze x86 serwera. Dzięki temu minimalizowana jest liczba koniecznych do wykonania obliczeń, co gwarantuje uzyskanie wydajności charakterystycznej dla klasycznych fizycznych routerów. Rekordową szybkość transferu danych – aż 80 Gb/s – uzyskano m.in. podczas testów w centrach danych hiszpańskiego operatora Telefónica. Brocade vRouter zapewnia mechanizm kolejkowania QoS, dzięki któremu możliwe jest identyfikowanie danych pochodzących z konkretnych aplikacji oraz priorytetyzowanie ich ruchu. Administrowanie routerem może odbywać się

52

VADEMECUM CRN maj 2016

BROCADE VIRTUAL TRAFFIC MANAGER

Egzekutor

Decydent

Administrator

Pliki Log

Dane konfiguracyjne

przez interfejs linii komend (CLI), panel graficzny lub zewnętrzne systemy do zarządzania, łączące się przez API. Licencja na Brocade 5600 vRouter aktualna jest przez rok lub trzy lata (można też wykupić licencje odnawiające). Użytkownicy nabywający to rozwiązanie muszą też wskazać oczekiwaną przez nich wydajność warstwy data plane (1, 2, 3 lub 24 wirtualne procesory vCPU). Dostępna jest również wersja „perpetual”, w ramach której użytkownik kupuje vRouter na stałe, a nie na założony okres.

OchrOna aplikacji w chmurze Obok wirtualnego routera, Brocade oferuje też modularny firewall dla aplikacji sieci web Virtual Web Application Firewall (Brocade vWAF), który w prosty sposób można zintegrować ze środowiskiem chmurowym i dostosowywać jego wydajność do aktualnych potrzeb. Rozwiązanie działa jak klasyczny firewall – umożliwia filtrowanie ruchu sieciowego, blokowanie takich ataków jak wstrzykiwanie kodu SQL czy wykonywanie skryptów łączących z innymi stronami. Firewall składa się z trzech skalowalnych komponentów: egzekutora (enforcer), decydenta (decider) i panelu administracyjnego. Egzekutor to mały element, który może być zainstalowany na różnego typu urządzeniach (serwerze web lub

proxy) albo zintegrowany z firewallem sieciowym, rozwiązaniem do równoważenia ruchu w sieci (load balancer) lub kontrolerem aplikacyjnym (ADC), takim jak Brocade Virtual Traffic Manager. Jego zadaniem jest wysyłanie do decydenta żądań analizy danych z urządzeń, na których zainstalowany jest egzekutor. Decydent natomiast przyjmuje dane od egzekutora i poddaje je analizie zgodnie z przyjętymi regułami polityki bezpieczeństwa. Obciążenie decydenta jest zależne od liczby zadań, które spłyną do przetworzenia, dlatego konieczne jest zapewnienie odpowiedniej mocy obliczeniowej. Jego unikalna architektura pozwala na skalowanie od jednego do wielu rdzeni procesora w serwerze. Rozwiązanie Brocade vWAF świetnie sprawdza się w środowiskach chmury publicznej PaaS i SaaS. Jeśli obciążenie wirtualnej maszyny zawierającej decydenta przekroczy 80 proc. dostępnych zasobów, automatycznie zostanie stworzona druga wirtualna maszyna, aby odciążyć tę pierwszą. Natomiast jeśli w całym środowisku będzie funkcjonowało kilka wirtualnych maszyn wykorzystywanych w niewielkim stopniu, zostaną one zintegrowane w celu uwolnienia zasobów z powrotem do chmury. W podobny sposób może przebiegać skalowanie w środowisku IaaS, ale w tym przypadku vWAF może posłużyć także do ochrony zasobów chmury prywatnej.

Dodatkowe informacje: Radosław Rafiński, Channel Manager, BroCade, radoslaw.rafinski@BroCade.CoM


Check Point zapewnia ochronę wirtualnych środowisk Zasoby nowoczesnych centrów danych, takie jak serwery, pamięci masowe, sieć oraz systemy ochronne, są zwirtualizowane i dostarczane jako usługa. Tak stworzone środowisko charakteryzuje się bardzo dużą dynamiką zmian, a z tego powodu tradycyjne podejście do zapewnienia ciągłości jego pracy może okazać się niewystarczające. ny maszyn wirtualnych znajdujących się w tym samym segmencie sieci. Nie można dopuścić do sytuacji, w której działy bezpieczeństwa były powiadomione o zaatakowaniu fragmentu sieci dopiero po fakcie. Odpowiedzią na to wyzwanie jest mikrosegmentacja. Umożliwia zgrupowanie zasobów, do których dobierane są odpowiednie reguły polityki bezpieczeństwa. Dzięki temu ruch jest kierowany do niezależnych od hypervisora zwirtualizowanych bram, znajdujących się w tym samym segmencie sieci, które dokonują inspekcji w celu zatrzymania ataku wewnątrz chronionej infrastruktury. Zatem jeżeli maszyna wirtualna lub serwer są elementem lub źródłem ataku, mogą zostać oznaczone jako niebezpieczne, przeniesione do kwarantanny przez „strażnika” w centrum danych, co powoduje ograniczenie zasięgu ataku do jednego segmentu, bez narażania innych elementów na niebezpieczeństwo. Informacja o zdarzeniu zostanie przekazana do centralnego serwera.

MIKROSEGMENTACJA UŁATWIA ZARZĄDZANIE

BEZPIECZEŃSTWO W WIRTUALNYM ŚRODOWISKU

Przez długi czas zaawansowana ochrona wewnątrz centrum danych wiązała się z ręcznym zarządzaniem dużą liczbą sieci VLAN, utrzymaniem skomplikowanej topologii i konfiguracji sieci. Metoda ta generowała duże koszty i komplikowała procesy zarządzania firmową infrastrukturą. We współczesnych zwirtualizowanych środowiskach, w których do zarządzania ochroną wykorzystywane jest oprogramowanie, rolę strażnika na brzegu sieci może pełnić nadal rozwiązanie bramowe, chroniące w klasyczny sposób zasoby centrum przetwarzania danych. Pojawia się problem sfery wewnętrznej i ochro-

Firmy mogą zbudować platformę ochronną bazującą na rozwiązaniach Check Point. Zapewniają one analizę ruchu (wychodzącego i przychodzącego) między maszynami wirtualnymi pod kątem występujących zagrożeń – na brzegu sieci oraz w rdzeniu centrum przetwarzania danych. Oferowane przez producenta oprogramowanie umożliwia centralne zarządzanie ochroną środowiska wirtualnego (maszyn wirtualnych i aplikacji w VMware vSphere vApps) zarówno w chmurze prywatnej, jak i publicznej. Na szczególną uwagę zasługuje rozwiązanie Check Point vSEC. Jest to zinte-

Aleksander Łapiński Security Engineer, Check Point

Przedsiębiorstwa podczas tworzenia polityki bezpieczeństwa bardzo często skupiają się na wzmacnianiu ochrony brzegowej, kładąc mniejszy nacisk na bezpośrednie zabezpieczanie danych. To zwiększa ryzyko, że w sytuacji gdy atakujący naruszy ochronę zewnętrzną centrum przetwarzania danych będzie mógł – praktycznie bez wywoływania zbyt wielu alarmów – w miarę swobodnie poruszać się między aplikacjami lub zakłócać ich działanie.

growany system oferujący ochronę ruchu wewnątrz centrum danych zarządzanego przez oprogramowanie (Software-Defined Data Center), niezależny od platformy wirtualizacyjnej. Wykorzystane w nim mechanizmy mikrosegmentacji umożliwiają dodanie do wirtualnej infrastruktury takich elementów jak firewalle, logiczne przełączniki i routery w obrębie pojedynczego segmentu sieci, zmniejszając obszar ataku do pojedynczego obiektu. Zapewniają centralne zarządzanie przez połączenie platform wirtualizacyjnych lub chmurowych w jedną, logiczną i spójną całość.

Dodatkowe informacje: FILIP DEMIANIUK, CHANNEL MANAGER, CHECK POINT SOFTWARE TECHNOLOGIES, FILIPD@CHECKPOINT.COM VADEMECUM CRN maj 2016

53

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI CHECK POINT SOFTWARE TECHNOLOGIES I RRC POLAND.

F

irmy wirtualizują swoje centra danych w celu redukcji czasu i kosztów zarządzania oraz usprawnienia zadań konfiguracyjnych i przyspieszenia reagowania na potrzeby działów biznesowych. Proces ten rodzi jednak wiele wyzwań. Jednym z podstawowych jest znaczny wzrost liczby współpracujących ze sobą programów. Ich rozproszenie ułatwia hakerom przeprowadzanie ataków. Mogą znaleźć mało istotną aplikację i wykorzystać ją do rozwinięcia ataku na inne elementy, omijając rozwiązania ochronne działające na brzegu sieci. W wielu firmach zarządzanie regułami polityki bezpieczeństwa nadal odbywa się ręcznie. Działania związane z ochroną infrastruktury zajmują zbyt wiele czasu działom IT, przez co znacząco wpływają na opóźnienia w dostarczaniu biznesowi nowych aplikacji lub usług. W związku z tym istotne staje się zautomatyzowanie procesów oraz zmniejszenie prawdopodobieństwa popełnienia poważnych błędów.


ZASILANIE GWARANTOWANE I KLIMATYZACJA PRECYZYJNA

Bez IT biznes się nie kręci W czasach cyfryzacji, obejmującej po kolei niemal wszystkie aspekty funkcjonowania przedsiębiorstwa, od sprawnej i nieprzerwanej pracy systemu informatycznego zależy powodzenie firmy na rynku. Tomasz Janoś

C

iągłość działania aplikacji i infrastruktury stała się wymogiem, a jej brak powoduje poważne straty. Dlatego uruchomienie i funkcjonowanie platform e-commerce, centrów danych, a także pojedynczych serwerów, rozmaitego typu wyposażenia elektronicznego, aparatury medycznej itp. wiąże się dziś z zakupem i wdrożeniem systemów, które poprawiają jakość za-

54

VADEMECUM CRN maj 2016

silania i zabezpieczają przed nagłymi przerwami w dopływie energii. Ochrona dotyczy zarówno największych systemów IT, jak i urządzeń w małych biurach. Zasilanie gwarantowane stało się jednym z podstawowych wymogów budowy i działania centrów danych. Od tego, w jakim zakresie jest stosowane, zależą możliwości zapewnienia wysokiej jako-

ści usług w data center. Gdy dziś mówimy o centrach danych, coraz częściej myślimy o chmurze obliczeniowej i to takiej, która ma być cały czas dostępna. – W czasach, gdy coraz więcej firm, instytucji administracji publicznej, a także osób prywatnych korzysta z dobrodziejstw wirtualizacji i chmury, nie można dopuścić do choćby chwilowej przerwy w dopływie prądu do serwerów – twierdzi Urszula


SEKTOR PRYWATNY INWESTUJE,

Fot. © salita2010 – Fotolia.com

PUBLICZNY CZEKA

Fijałkowska, Sales Manager w dziale IT Business firmy Schneider Electric. Chmurowe centra danych, będące zwirtualizowanymi środowiskami o dużej gęstości, mają wysokie wymagania wobec systemów zasilania i chłodzenia. Wysiłki zmierzające do zapewnienia stałej dostępności centrum danych idą bowiem w parze z działaniami mającymi na celu maksymalne obniżenie kosztów jego funkcjonowania. Bardzo duże znaczenie mają zatem wydatki na energię pochłanianą przez infrastrukturę fizyczną, obejmującą właśnie zasilanie i chłodzenie pomieszczeń. Według przedstawicielki Schneider Electric każdego roku nieodpowiednio zaprojektowana i zainstalowana infrastruktura zasilająca i chłodząca centra danych na całym świecie generuje niepotrzebne straty energii,

W opinii analityków rynkowych i dostawców głównym rynkowym trendem jest cyfrowa transformacja przedsiębiorstw. A zatem zwiększanie się zapotrzebowania na systemy IT, napędzające tę przemianę, oznacza jednoczesny wzrost zainteresowania ich ochroną. Wprowadzaniu cyfrowych technologii musi towarzyszyć zakup nowego sprzętu i wymiana starszych rozwiązań na nowe, łatwo skalowalne i modularne. Dotyczy to także systemów zasilania gwarantowanego. Ich dostawcy potwierdzają, że rynek UPS-ów w Polsce wciąż rośnie, a dynamika wzrostu jest stabilna. Jednak ofensywa rozwiązań mobilnych i idący za tym spadek sprzedaży komputerów PC sprawia, że maleje sprzedaż małych zasilaczy o mocy 500–1000 VA. Schneider Electric spodziewa się utrzymania dotychczasowego trendu wzrostowego na rynku UPS-ów, szczególnie że uwolnienie funduszy unijnych ozna-

ŚWIATOWY RYNEK UPS (W MLD DOL.) 14 12 10

9,84

10,69

11,61

12,61

13,69

8 6 4 2 20 19

20 18

20 17

20 16

0 20 15

które przekraczają aż 60 mln MWh. Dla porównania: 1 MW energii elektrycznej może zasilić około tysiąca gospodarstw domowych. Dlatego optymalizacja systemów zasilania (a także chłodzenia) jest najlepszym sposobem na poprawienie efektywności energetycznej centrum danych. Standardem pomiarów tej efektywności stał się współczynnik PUE (Power Usage Effectiveness), czyli stosunek całkowitej energii dostarczanej do centrum danych do energii wykorzystywanej przez sprzęt IT (serwery, pamięci masowe i sieć komputerową). Idealna, ale tylko hipotetyczna wartość PUE to 1 (cała dostarczona energia jest zużywana przez sprzęt IT). Jeszcze kilka lat temu w typowym, nie za bardzo zwirtualizowanym centrum danych połowa dostarczanej energii (a nawet więcej) była zużywana przez systemy chłodzenia, zasilania gwarantowanego, oświetlenie i inne rozwiązania wspomagające infrastrukturę IT. Nowe, w dużym stopniu wykorzystujące wirtualizację centra danych są już bardziej efektywne, z PUE poniżej 2 (więcej energii zużywają serwery niż infrastruktura fizyczna).

Źródło: Technavio

cza kolejne inwestycje w zakresie infrastruktury, która wymagać będzie zasilania gwarantowanego. Dostawca odnotowuje największy ruch w sektorze telekomunikacyjnym, w branży data center oraz w przemyśle. Również przemysł i centra danych, a także sektory medyczny i bankowy przedstawiciele Evera wskazują jako główne obszary, na których obecnie widać wzmożoną aktywność i skąd napływają zapytania od inwestorów. Sebastian Warzecha, dyrektor handlowy polskiego producenta, spodziewa się, że sektor prywatny będzie inwestował, podczas gdy publiczny stanowi pewną niewiadomą. – Cała branża IT czeka na decyzje i informacje o możliwościach budżetówki w bieżącym roku. Ważne jest także, co przyniosą planowane zmiany w prawie zamówień publicznych. Czy faktycznie dojdzie do uproszczenia zasad oraz zabezpieczenia inwestorów przed produktami wątpliwej jakości i niepewnymi wykonawcami? – zastanawia się szef sprzedaży Evera.

PRYM WIEDZIE

TECHNOLOGIA ON-LINE

Firmy zmagające się z ciągłym przyrostem danych potrzebują sprawniejszych, bardziej niezawodnych i dających się elastycznie skalować UPS-ów, którymi będzie łatwo zarządzać i które zapewnią wymierne oszczędności. Rośnie wykorzystanie zasilaczy bezprzerwowych, VADEMECUM CRN maj 2016

55


ZASILANIE GWARANTOWANE I KLIMATYZACJA PRECYZYJNA wykonanych w topologii on-line. Tego rodzaju UPS-y gwarantują ochronę przed wszelkimi zakłóceniami dzięki ciągłemu wytwarzaniu napięcia wyjściowego o ściśle określonych parametrach. Pracując nieprzerwanie, zasilacze on-line poprawiają również jakość zasilania. W razie zaniku napięcia w zewnętrznej sieci UPS podtrzyma zasilanie podłączonych urządzeń, a przełączenie źródła energii nie wywoła żadnych zakłóceń spowodowanych czasem przełączania. W przypadku zasilania gwarantowanego, które ma zabezpieczać krytyczne aplikacje w przedsiębiorstwach, najlepszym wyborem stają się dzisiaj modularne, redundantne systemy z funkcją wymiany modułów „na gorąco” (hot-swap). Rozwój i upowszechnienie zawdzięczają postępowi w dziedzinie konstrukcji beztransformatorowych, który pozwolił ograniczyć masę i rozmiary sprzętu. Takie elastyczne rozwiązania umożliwiają klientom zachowanie kontroli nad ochroną platform serwerowych i macierzy pamięci masowych, rozbudowywanych wraz z rosnącymi potrzebami przedsiębiorstw. Oferowanych jest wiele tego typu UPS-ów, zarówno jedno-, jak i trójfazowych, które umożliwiają rozbudowę systemu zasilania gwarantowanego przez dodawanie kolejnych

Sebastian Warzecha dyrektor handlowy, Ever

Oferta UPS-ów i rynek zasilania gwarantowanego nie zmieniają się tak dynamicznie jak np. segment rozwiązań mobilnych. Nie da się w tym przypadku w krótkim czasie wymyślić czegoś nowego czy wielce innowacyjnego. Kierunkiem rozwoju jest optymalizacja obecnych rozwiązań oraz ich energooszczędności. Zatem większość liczących się producentów zasilania gwarantowanego pracuje nad wydajnością i niskimi kosztami eksploatacji swoich rozwiązań. Można obserwować także poszukiwanie nowych zastosowań dla zasilania oraz projektowanie nietypowych rozwiązań na zamówienie klientów.

56

VADEMECUM CRN maj 2016

Stabilny wzrost na naszym rynku Według firmy doradczej Frost & Sullivan, Polska jest uważana za jedno z najbardziej aktywnych państw w regionie, jeżeli chodzi o rozwój rynku UPS. Jego wartość w 2012 r. wynosiła 56,6 mln dol. Do roku 2017 ma sięgnąć kwoty 77,4 mln dol., ze średnią roczną stopą wzrostu na poziomie 6,5 proc.

modułów, o mocy od kilku do wielu kVA, do oddzielnej obudowy bądź szafy rackowej. Ogromnym atutem najnowszych rozwiązań modularnych jest możliwość rozbudowy bez utraty ochrony zasilania (przejścia na linię by-passu). Z zasilaczami modułowymi wiąże się także coraz częstsze stosowanie rozwiązań UPS o scentralizowanej architekturze, które ułatwiają konfigurację i zarządzanie zasilaniem awaryjnym. W razie potrzeby system łatwo rozbudowywać bez mnożenia pojedynczych urządzeń, nad którymi potem trudno zapanować. Wciąż jednak wśród klientów jest niemała grupa tradycjonalistów, którzy wolą zabezpieczać zasilanie w formie rozproszonej, a nie stosując centralny system. W przypadku sprzętu wysokiej klasy śrubowanie parametru sprawności UPS przy pracy on-line (w podwójnej konwersji) oraz możliwość działania w trybie ECO już nie wystarczają. Taką opinię wyraża Paweł Umiński, Channel Sales Manager w Emerson Network Power. – Najnowocześniejsze rozwiązania zasilające pracują w różnych trybach, wykorzystując aktywnie możliwości sieci zasilającej. Najwyższe poziomy sprawności sprzęt wysokiej klasy osiąga już przy częściowych obciążeniach – twierdzi szef kanału sprzedaży Emersona. Mimo przewagi technicznej UPS-ów on-line także dwie pozostałe najpopularniejsze topologie zasilaczy (line-interactive i off-line) mają swoje zalety. Paweł Umiński zwraca uwagę, że niedościgłym ideałem są rozwiązania dynamicznie przełączające się między wszystkimi trzema standardowymi trybami pracy.

W przypadku parametrów mieszczących się w granicach tolerancji urządzenie bezpiecznie przechodzi na pracę w trybie ekonomicznym, jeśli jednak konieczne jest kondycjonowanie energii płynącej z sieci zasilającej, sprzęt sam określi zakres ingerencji w parametry zasilania. – Kluczową kwestią w takim rozwiązaniu jest czas powrotu w sytuacji krytycznej do trybu maksymalnej ochrony – podwójnej konwersji. Zwykłe UPS-y z funkcją ECO nie są w tym wypadku brane pod uwagę, ze względu na niesatysfakcjonujący czas przełączania – twierdzi przedstawiciel Emerson Network Power.

MARKA SPRZĘTU A OCHRONA INWESTYCJI KLIENTA

Mniejsze firmy wybierają najczęściej rozwiązania o mocy 3–10 kVA w wersji wolno stojącej (tower) albo przeznaczonej do montażu w szafie rackowej. Duże przedsiębiorstwa częściej kupują 3-fazowe systemy zasilania gwarantowanego klasy on-line. W tym segmencie dostawcy odnotowują największą dynamikę wzrostu sprzedaży. Za sprawą importu tanich urządzeń z Azji wzrosła w ostatnich latach konkurencja cenowa szczególnie w segmencie zasilaczy o mniejszych mocach, a tym samym bardzo skurczyły się marże. Konieczne staje się uświadomienie klientom, że wybór rozwiązań o wysokiej jakości i niezawodności, a jednocześnie niższych kosztach użytkowania i utrzymania, ostatecznie im się opłaci. Bardzo ważnym argumentem jest ochrona w ramach gwarantowanego serwisu. Dostawcy potwierdzają dyktat ceny, podkreślają jednak, że coraz częściej klienci zwracają uwagę także na inne aspekty. Sebastian Warzecha, wymienia wśród nich kompleksowość wsparcia, czyli co i w jakim zakresie może zaoferować dany producent (od wykonania projektu, analizy, doboru rozwiązania przez realizację prac związanych z wykonaniem instalacji po montaż systemu zasilania i klimatyzacji). Wskazuje także rzetelność producenta i jakość jego rozwiązań, potwierdzone historią firmy i opiniami na temat marki. Jego zdaniem wyedukowanie klienta w zakresie znaczenia


1-1 CRN.indd 1

4/12/16 1:37 PM


ZASILANIE GWARANTOWANE I KLIMATYZACJA PRECYZYJNA czynników posprzedażowych – wsparcia, obsługi i serwisu – może uchronić go przed poważnymi kłopotami, a resellerowi przynieść większe zyski. – Zlokalizowanie serwisu producenta w kraju, dostępność i szybkość reakcji zespołów wsparcia serwisowego, koszty eksploatacji podczas użytkowania, opieka nad sprzętem oraz gwarancja, że dany produkt za 2–3 lata nie okaże się nienaprawialny z powodu braku podzespołów lub stosowania starej technologii, to są zalety, na które trzeba zwrócić uwagę klientowi – twierdzi Sebastian Warzecha.

USŁUGI SZANSĄ UZYSKANIA DODATKOWYCH DOCHODÓW

W przypadku UPS-ów usługi mogą dotyczyć zdalnego zarządzania zasilaniem gwarantowanym i jego monitorowania. Oprogramowanie kontrolujące pracę UPS-ów daje wgląd w ich stan oraz dba, by zabezpieczane przez nie urządzenia zostały bezpiecznie wyłączone, jeśli przerwa w dopływie energii przekracza czas

Według MarketsandMarkets światowy rynek modularnych zasilaczy awaryjnych będzie rosnąć w tempie 12,7 proc. rocznie aż do 2020. Osiągnie wtedy wartość 2,5 mld dol. podtrzymania. To daje możliwość szybkiego reagowania, gdy zostaną przekroczone zadane parametry albo wystąpią inne niepożądane zdarzenia. Usługi integratora mogą także dotyczyć serwisu. W końcu urządzenia, które chronią przed awarią, także mogą jej ulec. Klient powinien wiedzieć, że jeśli chce być najlepiej zabezpieczony, nie może zapominać o systematycznych przeglą-

58

VADEMECUM CRN maj 2016

Paweł wróbel Senior Solution Data Center Architekt, IT Business, APC by Schneider Electric

Klimatyzacja precyzyjna jest jednym z trudniejszych i najbardziej odpowiedzialnych obszarów związanych z właściwą, bezawaryjną pracą urządzeń IT oraz wpływa w największym stopniu na koszty utrzymania serwerowni (w tym energii i serwisu). Wybory poczynione już na etapie przygotowania inwestycji mają wpływ na możliwość wystąpienia incydentów powodujących konieczność zatrzymania systemów IT. Od nich zależy także stopień przygotowania serwerowni do zmiennych, przyszłych potrzeb firmy.

dach serwisowych swojej infrastruktury ochronnej. Usterki, wykryte i wyeliminowane w porę, nie przerodzą się wówczas w poważne i w rezultacie kosztowne problemy. Integrator w ramach wsparcia – oprócz usług w zakresie przeglądów okresowych (sprzedawanych w momencie zakupu rozwiązania) – może oferować dodatkowe pakiety serwisowe, gwarantujące krótki czas reakcji i naprawy, a także urządzenie zastępcze na ten czas. Gdy ma w swoim zespole osoby z odpowiednimi uprawnieniami elektrycznymi, jest w stanie świadczyć klientom dodatkowe usługi: począwszy od przygotowania instalacji elektrycznej przez montaż i uruchomienie UPS-a po wymianę baterii.

NIE MOŻNA ZAPOMNIEĆ O CHŁODZENIU Optymalne chłodzenie bywa większym problemem niż zapewnienie zasilania infrastrukturze IT, w dodatku zdecydowanie podnoszącym koszt funkcjonowania serwerowni czy centrum danych. Przez ostatnie lata producenci klimatyzacji precyzyjnej wprowadzali nowe rozwiązania o większej efektywności energetycznej w chłodzeniu centrum danych. Do tego trzeba dodać postęp w technologii układów scalonych, który umożliwił podniesienie temperatury w data center, oraz coraz powszechniejsze użycie tzw. free coolingu polegającego na wykorzystaniu chłodnego powietrza z zewnątrz centrum danych do obniżenia temperatury w budynku. Jednak ani procesory pracujące w wyższej temperaturze, ani free cooling nie zlikwidują potrzeby skorzystania z klimatyzacji precyzyjnej. To wciąż najpopularniejszy

sposób radzenia sobie z nadmiarem ciepła w serwerowniach. Jeśli system klimatyzacji jest zaprojektowany lub wykonany byle jak, będzie potrzebować więcej energii niż chłodzony sprzęt IT. Możliwości chłodzenia wyznaczają maksymalną pojemność data center i gęstość upakowania szaf serwerowych. Choć założenia,dotyczące np. wykorzystania gorących i zimnych korytarzy czy konstrukcji podłogi są ustalane na etapie budowy centrum, zastosowanie nowoczesnych rozwiązań klimatyzacji precyzyjnej znacząco zwiększa możliwości chłodzenia już w czasie eksploatacji data center. Nowe rozwiązania optymalizują systemy chłodzenia i zmniejszają koszty związane z utrzymaniem infrastruktury. Specjalizowane urządzenia CRAC (Computer Room Air Conditioning) zapewniają klimatyzację całych pomieszczeń, ale także poszczególnych rzędów szaf serwerowych, a nawet pojedynczych szaf. To jasne, że w osiągnięciu sukcesu w sprzedaży systemów klimatyzacji i zasilania gwarantowanego pomoże dobra znajomość rynku. Czym poszczególne oferty różnią się od siebie? Na jakie wsparcie w dopasowaniu rozwiązań do projektu można liczyć u poszczególnych dostawców? Wiedza na ten temat zwiększy skuteczność integratora. Zwiększy ją także taka komunikacja z klientem, która będzie mniej przeciążona aspektami technicznymi, a bardziej nastawiona na rozwiązywanie konkretnych problemów w zakresie zachowania ciągłości biznesowej. Tego typu podejście powinno ułatwić przekonanie osób decydujących w firmach nie tylko o potrzebie rozwoju infrastruktury, ale i o konieczności właściwego jej zabezpieczenia.



ZASILANIE GWARANTOWANE I KLIMATYZACJA PRECYZYJNA

PowerWalker:

profesjonalne UPS-y w atrakcyjnej cenie Bogata oferta UPS-ów PowerWalker jest w stanie zaspokoić potrzeby każdego klienta. Ich dystrybutor, firma Impakt, gwarantuje, że zarówno resellerom, jak i użytkownikom zapewniona zostanie pomoc w ich doborze oraz wsparcie w trakcie wdrożenia.

W

łaścicielem marki PowerWalker jest niemiecka firma BlueWalker, założona w 2004 r. w Neuss. To producent profesjonalnych zasilaczy awaryjnych UPS, stabilizatorów napięcia AVR i inwerterów. W ofercie ma ponad 200 modeli dla każdego rodzaju klienta – do domowego użytku, dla małych i średnich firm, korporacji, dużych centrów danych oraz do zastosowań przemysłowych (np. do podtrzymywania pracy linii produkcyjnej). Ofertę urządzeń uzupełnia wiele rodzajów akcesoriów, modułów rozszerzających i baterii, dzięki którym użytkownicy mogą dopasować kupowane

urządzenia do swoich indywidualnych potrzeb i możliwości. Wyłącznym przedstawicielem producenta i dystrybutorem UPS-ów PowerWalker w Polsce od 2013 r. jest firma Impakt z Mosiny. Dba zarówno o import urządzeń, jak i o pełne wsparcie techniczne oraz serwis. Do dyspozycji resellerów i użytkowników są inżynierowie, którzy przeszli profesjonalne szkolenia w niemieckim biurze producenta a także w jego fabrykach w Chinach i na Tajwanie. Serwis Impaktu gwarantuje części zamienne, dzięki czemu czas ewentualnej naprawy jest skrócony do minimum.

Oprócz Impaktu subdystrybutorami UPS-ów PowerWalker są: AB, ABC Data, Action, Incom i Komputronik. Oferta UPS-ów PowerWalker systematycznie rozbudowywana jest o kolejne urządzenia, przede wszystkim profesjonalne rozwiązania trójfazowe. Są wykorzystywane głównie w dużych centrach danych jako zasilanie awaryjne dla całej serwerowni oraz w przemyśle, gdzie gwarantują nieprzerwaną pracę różnego typu maszyn. Na szczególną uwagę zasługują wprowadzone ostatnio do oferty producenta urządzenia z serii VFI CPT 3/3 (modele o mocy od 10 do 200 kVA) ze współczynnikiem

Nowe UPS-y w ofercie PowerWalker • VI SC 400–2000 VA – model line interactive o bardzo korzystnym stosunku ceny do wydajności; gniazda Schuko, FR, UK. • VI LCD 3000 VA – największy model line interactive do domowego użytku, podczas standardowej pracy nie korzysta z wentylatora; gniazda Schuko IEC, FR. • VFI TG 1000–3000 VA – możliwość korzystania z urządzeń komunikacyjnych (HID), usprawniona praca wentylatora; gniazda IEC. • VFI TGS 1000–3000 VA – wąska obudowa, długi czas podtrzymania (przy zastosowaniu dodatkowej zewnętrznej baterii), możliwość korzystania z urządzeń komunikacyjnych (HID), usprawniona praca wentylatora; gniazda IEC. • VFI CG PF1 6–10 kVA – współczynnik mocy wynoszący 1, usprawniona wersja UPS-ów z rodziny VFI C 6–10 kVA.

60

VADEMECUM CRN maj 2016

• VFI CV 700 VA – najmniejszy UPS online do urządzeń o małym poborze mocy, które wymagają bardzo stabilnego zasilania na wyjściu; gniazda IEC. • VFI CPE 3/3 10–20 kVA – tańsza wersja UPS-ów z rodziny VFI CP 10–20 kVA; mniejsze baterie i mniej wydajna ładowarka. • VFI CPR 3/1 10–20 kVA – trójfazowy UPS z jedną fazą na wyjściu, możliwość podłączenia zewnętrznej baterii, opcjonalna równoległa redundancja, współczynnik mocy 0,9; wysokość od 3U do 6U. • VFI CPR 3/3 10–20 kVA – wersja UPS-a VFI CPR z trzema fazami na wyjściu; wysokość 6U. • VFI CPG 3/3 30–200 kVA – alternatywne urządzenia dla UPS-ów z rodziny CPT; mniejsze baterie, modularna budowa. • VFI CPM 3/3 60–300 kVA – modularny UPS z modułami o mocy 20 i 30 kVA, współczynnik mocy wynoszący 1.


Trzy pytania do… ŁUKASZA WARDAKA, DYREKTORA DZIAŁU SIECIOWEGO, IMPAKT CRN Jaki zakres odpowiedzialności przyjmuje na siebie Impakt jako dystrybutor UPS-ów marki PowerWalker? ŁUKASZ WARDAK Odpowiadamy przede wszystkim za serwis oraz pomoc techniczną dla klientów oraz partnerów w Polsce. Dysponujemy magazynem części zamiennych do wszystkich modeli UPS-ów, prowadzimy różnego typu konsultacje biznesowe i techniczne, pomagamy w doborze odpowiedniego sprzętu itd. Cechą wyróżniającą UPS-y oferowane pod marką PowerWalker jest to, że wszystkie przechodzą czterostopniową kontrolę jakości – w czasie produkcji, montażu, postprodukcji oraz przy dostawie do klienta. Dzięki temu zapewniona jest ich bardzo wysoka jakość i niezawodność, a użytkownicy zyskują gwarancję, że urządzenie, które ma zabezpieczać całą infrastrukturę, samo też będzie bezpieczne. Impakt jest odpowiedzialny za ten czwarty etap – przeprowadzamy dodatkową kontrolę jakości urządzeń, które mają trafić do klientów. Wszystkie zaawansowane jedno- i trójfazowe modele są uruchamiane i testowane przez naszych techników. CRN Jakie problemy związane ze sprzedażą UPS-ów PowerWalker mogą napotkać resellerzy? ŁUKASZ WARDAK Najważniejsze jest właściwe określenie potrzeb użytkownika, uczymy więc tego podczas naszych szkoleń. Niedoszacowanie lub przeszacowanie potrzeb to jeden z najczęściej spotykanych problemów. My wychodzimy z założenia, że wobec użytkowników należy postępować fair i oferować im dokładnie taki produkt, jakiego potrzebują, z ewentualną możliwością rozbudowania w przyszłości. Tymczasem często popełniane są takie błędy jak dobór centralnego UPS-a, służącego do podtrzymania pracy stacji roboczych, na podstawie sumy mocy z tabliczek znamionowych tych urządzań, na których podana wartość jest zwykle parokrotnie większa od rzeczywistej. Innym błędem jest planowanie wykorzystania UPS-ów do wielogodzinnego zasilania całej infrastruktury IT, bez świadomości, z jakimi kosztami to się wiąże. CRN Czym wyróżniają się UPS-y marki PowerWalker? ŁUKASZ WARDAK Jest to bardzo szeroki wachlarz rozwiązań oraz korzystna cena, o ok. 20–30 proc. niższa od cen urządzeń najbardziej rozpoznawalnych marek. Chciałbym bardzo wyraźnie zaznaczyć, że za niższą ceną nie kryje się niższa jakość, wręcz przeciwnie. Niemiecki producent wyjątkowo dba, aby do klienta trafił niezawodny produkt. My natomiast gwarantujemy zarówno użytkownikom, jak i resellerom nasze bezpośrednie wsparcie i zaangażowanie, nawet w sytuacji, gdy przedmiotem transakcji jest niewielka liczba urządzeń.

Dodatkowe informacje: ŁUKASZ WARDAK, DYREKTOR DZIAŁU SIECIOWEGO, IMPAKT LUKASZ.WARDAK@IMPAKT.COM.PL VADEMECUM CRN maj 2016

61

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI POWERWALKER I IMPAKT.

mocy wynoszącym 0,9. W jednym środowisku można połączyć w redundantny sposób cztery takie urządzenia, co daje łączną moc 0,8 MVA. Co ciekawe, dostępność faz w tych urządzeniach można konfigurować we wszystkich możliwych kombinacjach (1/1, 3/3, 3/1, 1/3). Opcjonalnie do urządzeń oferowany jest panel dotykowy 5,7 cala (można też dołączyć standardowy wyświetlacz LCD) oraz bardzo mocne ładowarki (do 188 A), z wejściowym współczynnikiem mocy wynoszącym 1. Od wakacji dostępne będą także modułowe trójfazowe UPS-y z nowej serii VFI CPM. Jedna grupa urządzeń, o mocy od 60 do 90 kVA, będzie oferowana w małej szafie, o wysokości 15U, z opcją podłączenia zewnętrznego modułu baterii. Natomiast urządzenia o mocy od 90 do 210 kVA będą sprzedawane w szafach o wysokości 30U oraz 42U, z miejscem na moduły bateryjne wewnątrz szafy. Współczynnik mocy na wyjściu w tych urządzeniach wynosi 1, producent gwarantuje też ich bardzo wysoką efektywność – 94,5 proc. dla obciążenia na poziomie 50 proc. Moduły UPS o mocy 20 kVA lub 30 kVA, podłączane w trybie hot swap, działają zarówno w konfiguracji równoległej, szeregowej, jak i mieszanej, dzięki czemu zwiększa się poziom zabezpieczenia całego środowiska (możliwe jest też podłączenie baterii z wykorzystaniem bypassu). Istnieje również możliwość równoległego połączenia dwóch szaf i uzyskania w ten sposób maksymalnej mocy 400 kVA. Kolejną ciekawą serią urządzeń jest VFI CPR. To trójfazowe UPS-y o mocy od 10 do 20 kVA, zapewniające – w zależności od modelu – jedną lub trzy fazy na wyjściu. Ich współczynnik mocy wynosi 0,9. Unikalną cechą tych urządzeń jest to, że można je instalować w standardowej 19-calowej szafie serwerowej. Ich wysokość wynosi od 3U do 6U, tyle samo miejsca potrzeba na opcjonalny dodatkowy moduł bateryjny. Równolegle można połączyć ze sobą trzy UPS-y, co daje łączną moc 60 kVA. Producent UPS-ów PowerWalker zapewnia też resellerom i ich klientom zbudowanie na indywidualne życzenie konkretnego projektu szafy lub stojaka wyposażonych w moduły bateryjne gwarantujące oczekiwany czas podtrzymania dla wybranego modelu zasilacza awaryjnego.


ZASILANIE GWARANTOWANE I KLIMATYZACJA PRECYZYJNA

Mała serwerownia

profesjonalnie chłodzona Mimo że systemy IT pełnią w firmach coraz ważniejszą rolę, nadal często instaluje się je w pomieszczeniach, których nie projektowano z myślą o zapewnieniu temperatury optymalnej dla serwerów. Sytuacja ta dotyczy szczególnie małych serwerowni, które często powstają ad hoc, ze względu na nagłą potrzebę.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ SCHNEIDER ELECTRIC.

I

nstalowany we współczesnych środowiskach sprzęt IT, taki jak serwery, pamięci masowe, routery i przełączniki, charakteryzuje się podwyższoną gęstością mocy w porównaniu z rozwiązaniami stosowanymi jeszcze kilka lat temu. W związku z tym często ulega przegrzaniu lub psuje się przedwcześnie z powodu niewłaściwego chłodzenia. Ponieważ rozwiązania IT stają się coraz bardziej istotne dla działalności firm, zagwarantowanie ich wysokiej dostępności jest sprawą zasadniczą. Dlatego warto pamiętać o podstawowych zasadach ich chłodzenia. Na chłodzenie należy spojrzeć raczej z perspektywy usuwania nadmiernego ciepła niż dostarczania zimnego powietrza. W przypadku gdy nie ma systemu odprowadzania ciepła, gromadzi się ono w pomieszczeniach IT i powoduje podniesienie temperatury powyżej typowego, zalecanego dla tego środowiska zakresu (21–24 stopni C). Należy pamiętać, że każdy kilowat energii zużytej przez urządzenia IT przyczynia się do powstania kilowata energii cieplnej, którą należy usunąć.

Z małych, ograniczonych przestrzeni, takich jak biuro lub niewielkie pomieszczenie serwerowe, ciepło można odprowadzać na wiele sposobów, które różnią się wydajnością, kosztem i innymi ograniczeniami. W wentylacji pasywnej ciepłe powietrze miesza się z zimniejszym przez otwory lub kratki wentylacyjne. W takim przypadku efektywność odprowadzania powietrza można zwiększyć dzięki urządzeniu wymuszającemu jego obieg. Innym sposobem jest odprowadzanie ciepła za pomocą systemu klimatyzacji budynku, ale z wykorzystaniem dodatkowo specjalistycznego klimatyzatora. W większości pomieszczeń IT wentylacja jest najbardziej efektywną i praktyczną metodą chłodzenia. Poprawnie zaprojektowana i wykonana instalacja wentylacji pasywnej jest wystarczająca dla urządzeń o niskim poborze mocy. Natomiast w pomieszczeniach z urządzeniami o wysokiej gęstości mocy zaleca się wentylację z obiegiem wymuszonym. W pomieszczeniach serwerowych, w których poziom poboru mocy jest wyższy niż 2 tys. W (lub w przypadku rozwią-

Paweł Wróbel Senior Solution Data Center Architect, APC by Schneider Electric

Firmy decydujące się na wprowadzenie wirtualizacji do infrastruktury IT robią to przede wszystkim z chęci oszczędności i zapewnienia wysokiej dostępności całego środowiska. Oferowane przez APC by Schneider Electric kompleksowe rozwiązania dla zwirtualizowanych centrów danych pomogą w redukcji kosztów, podnoszeniu efektywności energetycznej i zagwarantowaniu ciągłości pracy infrastruktury. Oferta APC obejmuje: skalowalne urządzenia do zasilania i chłodzenia, oprogramowanie monitorujące oraz szafy i akcesoria, które umożliwią wdrożenie infrastruktury obejmującej zarówno zwirtualizowane, jak i fizyczne centra danych.

62

VADEMECUM CRN maj 2016

zań IT o mniejszym znaczeniu – 4,5 tys. W), oraz w sytuacji, gdy na zewnątrz panuje wysoka temperatura lub powietrze jest mocno zanieczyszczone, najlepiej zastosować specjalistyczne klimatyzatory. Nie zaleca się wykorzystywania systemów standardowej klimatyzacji budynkowej (klimatyzacja komfortu), gdyż najczęściej stają się przyczyną dużych wahań temperatury w pomieszczeniu.

Dodatkowe informacje: PAWEŁ WRÓBEL, SENIOR SOLUTION DATA CENTER ARCHITECT, APC BY SCHNEIDER ELECTRIC, PAWEL.WROBEL@SCHNEIDER-ELECTRIC.COM


Streszczenie

Spis treści


ZASILANIE GWARANTOWANE I KLIMATYZACJA PRECYZYJNA

Zasilanie konwergentnej infrastruktury z Eaton Zapewnienie ciągłości biznesowej, której oczekują dzisiejsze przedsiębiorstwa, jest niemożliwe bez zadbania o wysoką jakość zasilania sprzętu w serwerowni. Eaton Electric oferuje rozwiązanie Intelligent Power Pod – zintegrowany system przeznaczony do konwergentnego środowiska infrastruktury IT.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ EATON ELECTRIC.

P

odstawę systemu Intelligent Power Pod stanowią standardowe szafy serwerowe Eaton o szerokości 19 cali (modele RE i REC), które zapewniają fizyczną ochronę zainstalowanego w nich sprzętu IT. Są zaprojektowane tak, aby ułatwić szybki montaż urządzeń i gwarantują ich skuteczną wentylację. Wraz szafami dostarczane są stelażowe zasilacze awaryjne UPS marki Eaton, przystosowane do ochrony wszelkiego typu sprzętu. Dla mniejszych środowisk producent rekomenduje urządzenie 5PX 3000i (2,7 kW), a dla większych – zasilacze z rodziny 9PX (od 5,4 do 10 kW). Kolejnym ważnym elementem, który powinien być zainstalowany w szafie systemu Intelligent Power Pod, jest listwa dystrybucji zasilania Eaton ePDU G3. Zapewnia ona dokonywanie pomiarów (napięcia, natężenia, mocy, poboru prądu) na wejściu i w sekcjach obwodów, a także w pojedynczych gniazdach. Listwą można zarządzać zdalnie, przede wszystkim decydować o odłączaniu i podłączaniu poszczególnych urządzeń. W komplecie z rozwiązaniem Intelligent Power Pod znajduje się oprogramowanie Eaton Intelligent Power Manager, które umożliwia zarządzanie z jednej konsoli wszystkimi urządzeniami ochronnymi i służącymi do dystrybucji zasilania. Wszystkie elementy składowe rozwiązania mogą być objęte specjalną umową serwisową.

ZARZĄDZANIE ZASILANIEM W ŚRODOWISKACH WIRTUALNYCH Eaton oferuje także oprogramowanie Intelligent Power Manager przygotowane do pracy z serwerami służącymi do ob-

64

VADEMECUM CRN maj 2016

Adrian Pecyna Product Manager, Eaton Electric

Zainteresowanie klientów konwergentnymi systemami IT cały czas rośnie. Szczególnie mniejsze firmy poszukują rozwiązań zintegrowanych, w przypadku których w jednym zestawie otrzymają komplet dopasowanych do siebie urządzeń, z gwarancją ich poprawnej współpracy. Nasi partnerzy i klienci doceniają też fakt, że dzięki stworzonym przez Eaton aliansom technologicznym z takimi producentami sprzętu i oprogramowania jak: EMC, NetApp, SimpliVity, Microsoft, VMware i Citrix, nasze rozwiązania zapewniają ciągłość pracy całych środowisk IT i z wyprzedzeniem reagują na sytuacje kryzysowe, a nawet pozwalają ich unikać.

sługi środowiska wirtualnego. Jest ono dostępne jako wtyczka dla takich systemów zarządzania maszynami wirtualnymi jak VMware vCentre i Citrix XenCenter. Wraz z informacjami o sieci, fizycznych serwerach i systemach pamięci masowych wykorzystywanych w środowisku wirtualnym można w tej samej aplikacji uzyskać informacje o stanie pracy wszystkich dołączonych zasilaczy UPS i listew ePDU.

KONTROLOWANA HIBERNACJA PODCZAS PRZERW W DOPŁYWIE PRĄDU

W przypadku wystąpienia lokalnej awarii zasilania Intelligent Power Manager inicjuje proces zamykania lub przenoszenia najważniejszych maszyn wirtualnych do serwerów w zdefiniowanej lokalizacji rezerwowej, zapewniając w ten sposób integralność danych i pracę bez przestojów. Przenoszenie wirtualnych maszyn odbywa się w kolejności zgodnej z wyznaczonymi wcześniej priorytetami (podobnie jak przywrócenie środowiska do pracy po wznowieniu zasilania). To idealne rozwiązanie do kon-

trolowanego zamykania lub hibernacji środowisk wirtualnych i ich hostów podczas długotrwałych przerw w dopływie energii, a także pomocne w monitorowaniu i zarządzaniu zasilaniem urządzeń pamięci masowych. Oprogramowanie Intelligent Power Manager można wykorzystywać bezpłatnie w infrastrukturze, w której znajduje się do 10 urządzeń (do systemów zawierających od 11 do 100 urządzeń oferowana jest licencja Silver, do większych – licencja Gold). Eaton udostępnia też całkowicie bezpłatną, okrojoną wersję tego oprogramowania – Intelligent Power Protector. Umożliwia ona przede wszystkim zamknięcie systemów operacyjnych dołączonych do urządzeń Eaton komputerów i serwerów w przypadku długotrwałej awarii zasilania.

Dodatkowe informacje: ADRIAN PECYNA, PRODUCT MANAGER, EATON ELECTRIC, ADRIANPECYNA@EATON.COM


KORZYSTAJ Z NASZEJ WIEDZY I ROZWIJAJ SWÓJ BIZNES Z CRN POLSKA, NAJLEPIEJ POINFORMOWANYM PISMEM B2B IT! MIESIĘCZNIK CRN POLSKA

KWARTALNIK VADEMECUM VAR-ÓW I INTEGRATORÓW

WYDANIA SPECJALNE

.PL 1-1 CRN.indd 1 AutoreklamaCRN+vademecum_4_2016.indd 1

4/29/16 PM 29/04/165:54 17:30


MONITORING WIZYJNY I FIZYCZNA OCHRONA

Fizyczne bezpieczeństwo systemów IT

Zwykłe kradzieże mogą być równie uciążliwą plagą jak włamania komputerowe. Jeśli sprzęt można wynieść w całości, po co angażować wyszkolonego cyberwłamywacza? Systemom IT zagrażają również czynniki fizyczne, jak ogień i woda. Rafał Janus

B

ezpieczeństwo informatyczne zapewnia się dzisiaj, stosując głównie zabezpieczenia logiczne – zarządzanie zagrożeniami, wykry-

66

VADEMECUM CRN maj 2016

wanie włamań, zapobieganie atakom. I rzeczywiście, problemy, z którymi na tym polu się obecnie borykamy, sprawiają, że jest to bardzo ważne. Niestety,

w rezultacie ochrona fizyczna schodzi na drugi plan. Zdalne włamanie przez sieć w celu kradzieży danych faktycznie jest łatwiejsze, ale to nie powód, aby


Fot. © alice_photo – Fotolia.com

gotowanego w 2014 r. przez PwC raportu „U.S. State of Cybercrime Survey” jedynie 49 proc. firm było przygotowanych do reagowania na wewnętrzne zagrożenie. Tymczasem 32 proc. badanych wskazało, że przestępstwa inicjowane przez osoby przebywające w siedzibie przedsiębiorstwa powodują większe straty niż ataki z zewnątrz. Można przypuszczać, że w Polsce sytuacja wygląda podobnie. Jeśli pracownik może wejść do serwerowni i wyjść z niej z dyskiem twardym pełnym danych, nie musi się włamywać do żadnego systemu, by je zdobyć. Z punktu widzenia resellera sprzedaż rozwiązań z zakresu bezpieczeństwa fizycznego otwiera drogę do klientów, którzy chcą zabezpieczyć nie tylko swoją serwerownię, ale również inne obszary i pomieszczenia. W nowych inwestycjach, np. podczas budowy centrum danych, produkty poprawiające bezpieczeństwo fizyczne automatycznie dodaje się do projektu. Jednocześnie na porządku dziennym jest proponowanie klientom dodatkowych systemów do istniejących serwerowni. Mogą to być zarówno bardzo małe rozwiązania, obejmujące tylko kontrolowanie parametrów środowiska w kilku punktach, jak również systemy śledzenia wielu parametrów, z różnego rodzaju czujnikami (dymu, zalania, otwarcia drzwi itp.), monitoringu wizyjnego oraz kontroli dostępu.

zapominać, że ktoś nieuprawniony może się dostać do serwerowni również osobiście. Wtedy zagrożone są nie tylko dane. Zginąć mogą dokumentacja i telefony, które zostaną wykorzystane do zaplanowania ataków socjotechnicznych. Jak poważne mogą być tego konsekwencje, świetnie pokazuje przykład systemów telefonicznych, do których w latach 70. i 80. ubiegłego wieku włamywano się, korzystając z dokumentacji odnalezionej w śmietniku. Kolejny istotny problem, związany z bezpieczeństwem fizycznym, to zagrożenie wewnętrzne. Pracownik lub kontrahent mogą mieć powody, żeby wynieść coś z serwerowni, a często łatwo im się dostać do centrum danych. Według przy-

Zamki w drZwiach Systemy wymagające kart zbliżeniowych są dzisiaj powszechnie używane. Nie bez powodu, umożliwiają bowiem szczegółowe definiowanie reguł dostępu do poszczególnych drzwi. Jest to więc ważny element bezpieczeństwa fizycznego, ale niestety ma dużą wadę. Informacje dostępowe łatwo przechwycić, także w złych intencjach. Trzeba mieć tylko powszechnie dostępny sprzęt i oprogramowanie oraz znaleźć się w niewielkiej odległości od osoby mającej przy sobie kartę zbliżeniową, aby odczytać przechowywane na niej dane. W biurowcu nie jest to trudne, wystarczy przejechać się kilka razy windą. Aby zapobiec takim sytuacjom, wystarczy używać szyfrowa-

Wybrane trendy na rynku monitoringu • Wzrost zainteresowania klientów kamerami Ultra HD, rejestrującymi obraz w rozdzielczości 4K • Stały popyt na kamery IP z zasilaniem PoE • Upowszechnianie się zdalnego zarządzania zarówno urządzeniami, jak i zebranym materiałem wizyjnym

nych kart zbliżeniowych lub zabezpieczeń biometrycznych. – Aktualnie obserwujemy zwiększone zainteresowanie systemami zamków magnetycznych do szaf serwerowych. Klienci coraz częściej chcą otwierać takie zamki za pomocą odcisku palca lub, w ostateczności, za pomocą karty magnetycznej – twierdzi Jarosław Luber, inżynier systemowy ze Schneider Electric.

monitoring wiZyjny Ceny kamer spadły do bardzo atrakcyjnego dla klientów poziomu. Niestety, nie jest to dobra wiadomość dla resellerów, ponieważ oznacza zmniejszenie marży. Rynek systemów cyfrowego monitoringu wideo jest jednak perspektywiczny i na ich sprzedaży da się zarobić. Znajdują bowiem zastosowanie w nowych obszarach, takich jak kontrolowanie procesów produkcyjnych i ruchu ulicznego, zarządzanie zdarzeniami itp. Kamery IP nie są już wykorzystywane tylko jako element zabezpieczeń, lecz stały się narzędziem przydatnym w zastosowaniach biznesowych. Zaskakujące, że używa ich stosunkowo mała liczba przedsiębiorstw, a i te często nie wykorzystują wszystkich możliwości sprzętu. Tymczasem kamery powinny być instalowane przy każdym wejściu do budynku i w najważniejszych miejscach, takich jak serwerownia. Obraz należy nagrywać (przy założonym okresie retencji), ale warto też wyznaczyć osobę, która śledziłaby na żywo obraz przekazywany przez kamery. Systemy monitoringu wizyjnego spełniają dwa zadania. Po pierwsze − zapewniają bieżące wykrywanie zagrożeń. VADEMECUM CRN maj 2016

67


MONITORING WIZYJNY I FIZYCZNA OCHRONA Po drugie − nagrania wideo mogą służyć jako materiał dowodowy. Rejestratory, na których zapisuje się i przechowuje materiał wideo, muszą być niezawodne. Trudno wyobrazić sobie system monitoringu z rejestratorem, który ulega awarii akurat w momencie, gdy ma miejsce np. kradzież. Solidne urządzenia tego rodzaju są jednak kosztowne. Rolą resellerów jest wyjaśnienie klientom, dlaczego warto zainwestować w renomowane i pewne rozwiązania. Projekty związane z nadzorem wizyjnym mogą być realizowane jako pojedyncze wdrożenia, gdy klient uświadomi sobie, że konieczne jest podniesienie poziomu bezpieczeństwa obiektu. Bywa też, że jest to działanie post factum, czyli po zajściu zdarzenia naruszającego zabezpieczenia. Z kolei podczas budowy nowych obiektów o systemie nadzoru wizyjnego powinno się myśleć już na etapie

Grzegorz Bielawski Country Manager, QNAP

Agata Majkucińska Key Account Manager, Axis Communication

Warto przy tym dodać, że dzięki nowym algorytmom kompresji obrazu przepustowość potrzebna do transmisji wideo z kamery UHD jest mniejsza niż w przypadku kamer IP o niższej rozdzielczości, powszechnie stosowanych kilka lat temu. Bardzo popularne stały się kamery IP z zasilaniem Power over Ethernet. Są bowiem łatwiejsze w instalacji (dzięki temu spadają koszty) i ograniczają liczbę punktów powstawania awarii (większa niezawodność). Choć cyfrowe kamery IP są już na rynku od lat, wiele firm używa jeszcze starych, analogowych systemów CCTV. Dlatego warto zainteresować się hybrydowymi nagrywarkami Digital Video Recording, które współdziałają zarówno z kamerami analogowymi, jak i cyfrowymi. Integrator może użyć tych stosunkowo tanich urządzeń, aby stopniowo zastępować u klienta starsze, analogowe

>> Zdaniem producentów GRZEGORZ BIELAWSKI W polskich firmach, korzystających z systemów monitoringu wizyjnego, zdecydowanie rośnie zainteresowanie inteligentną analizą obrazu, która umożliwia, przykładowo, odczytywanie numerów rejestracji samochodów lub rozpoznawanie twarzy na podstawie zdjęć uprzednio dodanych do bazy danych. Dzięki temu łatwo na przykład sprawdzić, kiedy pracownik dotarł do biura. AGATA MAJKUCIŃSKA Systemy nadzoru wizyjnego to bardzo ciekawy segment rynku zabezpieczeń IT, niosący duże możliwości biznesowe dla partnerów, którzy podejmą decyzję o zdobywaniu wiedzy w tym obszarze. Poza doradztwem i tworzeniem projektów resellerzy mogą proponować klientom rozwiązania szyte na miarę, modernizację infrastruktury informatycznej, usługi wdrożeniowe, wsparcie posprzedażne, rozwój istniejącego systemu. Kompetentny partner staje się zaufanym doradcą klienta w tym obszarze i może liczyć na długofalową współpracę.

Anna Wieluńska Customer Advocate Manager, OVH

Tomasz Smoczyk kierownik ds. produktu, C&C Partners

68

ich projektowania. Takie podejście należy doradzać klientowi końcowemu jako najkorzystniejsze, ponieważ umożliwia dobre przygotowanie całego przedsięwzięcia. Technologie stosowane w systemach monitoringu wizyjnego nieustannie ewoluują, zmieniają się także strategie sprzedaży tych produktów. Na kilka trendów w rozwoju systemów monitoringu wizyjnego szczególnie warto zwrócić uwagę. Widać rosnące zainteresowanie klientów kamerami Ultra HD, które rejestrują obraz w rozdzielczości 4K. Są najlepsze do monitorowania dużych obszarów, np. parkingów. W przypadku urządzeń pracujących w niższej rozdzielczości 1080p stosuje się kilka kamer, aby pokryć duże, otwarte przestrzenie. Dziś można je zastąpić jedną kamerą 4K, która daje obraz bardzo dobrej jakości i umożliwia znaczne powiększanie szczegółów.

VADEMECUM CRN maj 2016

ANNA WIELUŃSKA Na fizyczne bezpieczeństwo centrum danych wpływa wiele czynników, a całość jest tak skuteczna, jak najsłabszy element. Dlatego duże znaczenie ma nie tylko stosowanie najnowszych rozwiązań z tej dziedziny, choć one oczywiście także są istotne, ale przede wszystkim opracowanie, wdrożenie i egzekwowanie odpowiednich procesów i zasad. Bardzo ważni są ludzie – ich świadomość zagrożeń i odpowiedzialność. Warto pamiętać, że bezpieczeństwo fizyczne serwerowni to nie tylko blokowanie dostępu osobom niepowołanym, ale również ochrona przed pożarem lub awarią zasilania. TOMASZ SMOCZYK W przypadku nowych inwestycji systemy kontroli dostępu do centrum danych są integralną częścią projektu, ale niektórzy klienci chcą zrealizować wdrożenie polegające na poprawie bezpieczeństwa fizycznego istniejących już ośrodków obliczeniowych. Głównym trendem jest wykładniczy wzrost zainteresowania rozwiązaniami w zakresie kontroli dostępu wykorzystującymi wielostopniową weryfikację, np. na podstawie analizy obrazu twarzy w połączeniu z autoryzacją na bazie kart dostępu z wbudowanym szyfrowaniem transmisji.


WODA I OGIEŃ Bezpieczeństwo fizyczne serwerowni to nie tylko kontrola dostępu czy monitoring wizyjny. Bardzo ważna jest również ochrona przeciwpożarowa. Elektroniki nie gasi się wodą, która wprawdzie tłumi ogień, ale jednocześnie szkodzi urządzeniom. Nie stosuje się również halonu (specjalnego gazu gaśniczego), ponieważ został zakazany ze względu na

RYNEK MONITORINGU WIZYJNEGO W REGIONIE EMEA (W MLD ZŁ) 6 5 4

2,9

3

3,0

3,1

3,5

3,7

3,9

4,2

5,0

1

20 19

20 18

20 17

20 16

20 15

20 14

20 13

20 12

20 11

20 10

9

0

Źródło: Statista 2016

szkodliwy wpływ na warstwę ozonową, trzeba więc używać generatorów gaśniczych. W stałych instalacjach gaśniczych wprowadzono zamienniki halonu, które są mieszaninami gazów o podobnych własnościach i skuteczności, cechują się jednak niewielką szkodliwością dla środowiska naturalnego. Oferta jest zróżnicowana – zarówno pod względem cen, jak i wymagań (czasami potrzebne są oddzielne pomieszczenia na butle), a także stopnia zagrożenia dla zdrowia osób przebywających w serwerowni w momencie użycia środka gaśniczego. Należy podkreślić, że w serwerowni trzeba stosować materiały niepalne. Dotyczy to w szczególności podłoża, które powinno być również antystatyczne, ze względu na bezpieczeństwo pracujących w pomieszczeniu urządzeń.

Szanse w sektorze medycznym

Fot. © freshidea – Fotolia.com

3,2

3,4

4,6

2

20 0

kamery, np. po awarii. To znacznie korzystniejsze finansowo rozwiązanie niż jednorazowa przebudowa całego systemu monitoringu. Interesującą propozycją dla integratora, który chciałby zarabiać nie tylko na sprzedaży sprzętu, ale również na usługach, jest oferowanie klientom urządzeń, którymi można zdalnie zarządzać. W wielu przypadkach da się bowiem na odległość zdiagnozować problem i rozwiązać go. Skraca to czas usuwania awarii, a usługa jest mniej kosztowna niż naprawy dokonywane przez technika wysyłanego do siedziby klienta. Od kilku lat widać także wzmożone zapotrzebowanie na zaawansowane systemy zarządzania materiałem wizyjnym (Video Management System), a także zainteresowanie funkcjami analitycznymi. Dzięki tym funkcjom systemy monitoringu mogą znaleźć zastosowanie nie tylko jako mechanizm zapewniający bezpieczeństwo, ale również w handlu detalicznym, transporcie, ochronie granic itp. W tych dziedzinach szybko rośnie popyt na systemy kamer IP.

W sektorze ochrony zdrowia rośnie popyt na coraz bardziej przydatne systemy kontroli dostępu. Sprawdzają się m.in. na oddziałach wymagających sterylnej czystości, gdzie trzeba otwierać drzwi bez dotykania czegokolwiek. W placówkach medycznych zastosowanie znajdują również znaczniki Wi-Fi, dzięki którym pracownicy mogą błyskawicznie lokalizować pacjentów lub wyposażenie. Umożliwia to dodatkowe zabezpieczenie, a na oddziałach dziecięcych można w ten sposób zapobiegać ucieczkom małych pacjentów.

ROLA INTEGRATORA Zdobywanie wiedzy w kolejnych dziedzinach to dla integratorów i resellerów jedyna droga do zapewnienia stałego rozwoju biznesu oraz zbudowania przewagi nad konkurencją. Jednym z kierunków rozwoju może być wprowadzenie do oferty rozwiązań z zakresu ochrony fizycznej. Szczególnie interesujące są systemy do cyfrowego monitoringu wideo, ponieważ (z wyjątkiem kamer) można je w całości zbudować z wykorzystaniem infrastruktury IT: sieci Ethernet oraz macierzy NAS, które będą pełnić rolę rejestratorów oraz serwerów obsługujących oprogramowanie zarządzające materiałem wizyjnym. Kto posiądzie wiedzę w zakresie zabezpieczeń fizycznych, stanie się zaufanym źródłem informacji dla klienta. Firmy mają najczęściej wypracowaną politykę bezpieczeństwa IT, ale administratorom brakuje wiedzy dotyczącej wdrażania nowoczesnych technik zabezpieczeń. Połączenie informacji klienta o własnym środowisku i doświadczenia integratora umożliwia stworzenie systemu spełniającego wymagania dotyczące kontroli dostępu z zachowaniem akceptowalnego poziom ryzyka, którego koszt mieści się w ramach przewidzianego budżetu. Tutaj integrator ma kolejną możliwość wsparcia klienta w wyborze rozwiązań. Jest bowiem wielu producentów systemów ochrony fizycznej, a proponowane przez nich rozwiązania bardzo się różnią. VADEMECUM CRN maj 2016

69


MONITORING WIZYJNY I FIZYCZNA OCHRONA

IoT z Axis – więcej niż nadzór wideo Dzięki Internetowi Rzeczy połączone ze sobą kamery sieciowe mogą działać niezależne i samodzielnie podejmować decyzje.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ AXIS COMMUNICATIONS.

S

ystemy IoT powinny cechować się łatwością projektowania i instalacji, obsługi technicznej oraz użytkowania. Jednak w tej dziedzinie nie ma rozwiązań uniwersalnych, dlatego do optymalnego wykorzystania potencjału Internetu Rzeczy potrzebna jest fachowa wiedza dostawców systemów monitoringu. Powinni rozumieć, jak poszczególne funkcje i elementy ze sobą współpracują, potrafić zaprojektować rozwiązanie odpowiadające na konkretne wyzwania i dostarczyć je w ramach kompleksowej oferty, której wartość jest zdecydowanie większa niż prosta suma zalet poszczególnych składowych. W przypadku sieciowych kamer wideo cechy te są szczególnie ważne w sytuacji, gdy rozwiązania bezpieczeństwa zdecydowanie wykraczają poza możliwości samych urządzeń. To właśnie IoT sprawia, że zmieniają się tradycyjne sposoby wykorzystania tych rozwiązań. Kamery sieciowe mogą być używane na przykład do zarządzania informacjami o budynkach, do analiz biznesowych w handlu detalicznym, a nawet w badaniach naukowych bazujących na bieżącej analizie wzorców ruchu drogowego i przemieszczania się tłumów. IoT umożliwi tworzenie kompleksowych systemów łączących urządzenia działające dotychczas osobno, takie jak kamery do nadzoru wizyjnego, wykrywacze dymu, czujniki gazu, panele kontroli dostępu i głośniki alarmowe. Zarządza się nimi za pomocą jednej konsoli zapewniającej kontrolę wnętrz wszystkich budynków i monitorowanych miejsc na zewnątrz. BIZNES DLA INTEGRATORÓW

Obecna sytuacja stwarza ogromną szansę dla dostawców rozwiązań ochronnych, które są przystosowane do udostępniania użytecznych danych innym połączonym

70

VADEMECUM CRN maj 2016

urządzeniom oraz do zdalnego monitorowania obiektów. Ta łączność między urządzeniami zapewni użytkownikom szerszą wiedzę o sytuacji w wielu miejscach. Axis Communications jest jednym z tych dostawców, którzy wprowadzili do oferty na przykład kontrolery drzwi i głośniki IP, robiąc krok w kierunku Internetu Rzeczy, ale jednocześnie zapewnili możliwość tworzenia prawdziwie inteligentnych budynków. Ponieważ rośnie ilość generowanych i udostępnianych w chmurze danych, coraz wyraźniej rysuje się potrzeba ochrony wszystkich tych „wirtualnie” istniejących danych i zasobów. Chodzi o nowe techniki i metody, które zwiększą skuteczność zabezpieczeń sieciowych i działających w chmurze systemów bezpieczeństwa. Są one niezbędne do ochrony przed atakami hakerów i innymi zagrożeniami, będą więc stanowić ważny aspekt projektowania i wdrażania rozwiązań do fizycznego zabezpieczania i nadzoru.

i kapitałowych, które nie muszą już znajdować się w każdym miejscu wymagającym obserwacji. Coraz popularniejszy będzie bezpieczny, zdalny dostęp do systemów zabezpieczeń, również ze strony użytkowników, którym podoba się możliwość wygodnego monitorowania obiektów i zdarzeń w nich, mimo fizycznej nieobecności w danym miejscu. Kolejnym ważnym aspektem wzrostu wydajności systemu ochrony w tym modelu jest przechowywanie danych w chmurze. Obecnie znacznie większe ilości danych można ekonomicznie i bezpiecznie przechowywać w specjalnych serwerowniach. Zapewnia to archiwizowanie materiału wizyjnego i związanych z nim danych przez dłuższy czas oraz łatwiejsze uzyskiwanie dostępu do nich.

BEZPIECZEŃSTWO JAKO USŁUGA Obecnie ochrona może być oferowana jako usługa zarządzana zdalnie, co zmniejsza obciążenie cennych zasobów ludzkich

Dodatkowe informacje: AGATA MAJKUCIŃSKA, KEY ACCOUNT MANAGER, AXIS COMMUNICATIONS, AGATA.MAJKUCINSKA@AXIS.COM


Innowacje, które tworzą lepszy i

bezpieczniejszy świat.

Axis oferuje bogate portfolio inteligentnych rozwiązań z zakresu systemów bezpieczeństwa:

Wideoenkodery Kamery sieciowe

Kontrola dostępu Sieciowe rejestratory wideo

Oprogramowanie do zarządzania materiałem wizyjnym

Audio i akcesoria

Odwiedź www.axis.com

axis_ad_portfolio_man_vademecum-crn_197x265_pl_1604.indd 1 1-1 CRN.indd 1

2016-04-08 08:49:03 4/8/16 11:35 AM


MONITORING WIZYJNY I FIZYCZNA OCHRONA go, a stworzone przez QNAP narzędzie Watermark Proof gwarantuje weryfikację wiarygodności wyeksportowanych materiałów wideo oraz zdjęć, gdyż zapisuje dokładny czas ich wykonania, oznaczenia kamery oraz modelu Turbo NAS.

NAS DO CIĘŻKIEJ PRACY

Serwery QNAP jako profesjonalne rejestratory wideo Dzięki aplikacji Surveillance Station serwery Turbo NAS firmy QNAP mogą służyć jako sieciowe rejestratory monitoringu wideo (NVR).

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ QNAP.

S

urveillance Station to aplikacja, którą można pobrać ze sklepu QTS App Center dostępnego w każdym serwerze QNAP Turbo NAS. Zapewnia stworzenie profesjonalnego systemu monitoringu z funkcjami nagrywania obrazu z podłączonych kamer IP, odtwarzania go, inteligentnej analizy wideo (IVA), zarządzania zebranymi danymi i wysyłania powiadomień alarmowych. Obraz z kamer jest wyświetlany na różne sposoby – sekwencyjnie ( jeden kanał po drugim) albo równolegle (od 1 do 64 kanałów jednocześnie). Wybrane modele serwerów Turbo NAS są wyposażone w port HDMI, dzięki czemu obraz z kamer można wyświetlać na podłączonym bezpośrednio telewizorze (funkcja QvPC). Surveillance Station ma też funkcję e-mapy umożliwiającą wizualizację miejsca instalacji kamer IP. Pomaga to w szybkim ustaleniu położenia każdej z nich, gdy dojdzie do zdarzenia alarmowego. Ikona kamery zacznie wówczas migać, wskazując jego typ (wykrycie ru-

72

VADEMECUM CRN maj 2016

chu, otwarcie wejścia alarmowego, błąd połączenia, błąd nagrywania lub inne, zdefiniowane przez użytkownika). Do każdego zdarzenia może być przypisanych siedem typów działań, takich jak nagrywanie, zmiana ustawień funkcji PTZ kamery, wymuszenie otwarcia wyjścia alarmowego, powiadomienie e-mail, powiadomienie SMS, alarm dźwiękowy oraz inne, określone przez użytkownika. Aplikacja Surveillance Station jest kompatybilna z ponad 3 tys. modeli kamer IP ponad 100 marek, a także zgodna w przyjętą w branży monitoringu specyfikacją ONVIF. Serwery Turbo NAS dostarczane są z przynajmniej jedną darmową licencją na kamerę IP. W zależności od potrzeb liczbę licencji można zwiększyć, dokupując odpowiednie pakiety. Jeżeli zarejestrowany materiał ma być wykorzystany np. jako dowód w sądzie, może zaistnieć konieczność jego uwiarygodnienia. Aplikację Surveillance Station wyposażono w służące do tego funkcje, np. dodawania cyfrowego znaku wodne-

Jako rejestrator w systemach monitoringu wideo można wykorzystać wprowadzony do oferty w kwietniu nowy serwer firmy QNAP – czterozatokowy NASbook TBS-453A. Jest to pierwsza na świecie sieciowa pamięć masowa z dyskami SSD M.2 i z wbudowanym sprzętowym przełącznikiem sieci Gigabit Ethernet. Jest wyposażona w dwa porty HDMI oraz aplikację Surveillance Station, a wyświetlany obraz może mieć rozdzielczość nawet 4K. Model TBS-453A zawiera czterordzeniowy procesor Intel Celeron N3150 z zegarem taktowanym częstotliwością 1,6 GHz (którą może automatycznie zwiększyć się do 2,08 GHz podczas zadań wymagających większej mocy procesora) oraz do 8 GB dwukanałowej pamięci RAM DDR3 L. Urządzenie zapewnia przepustowość na poziomie 112 MB/s na port sieci LAN, a przy tym jest niezwykle energooszczędne. Wyposażono je w sprzętowy moduł 256-bitowego szyfrowania AES-NI, dzięki czemu proces ten nie wpływa negatywnie na wydajność serwera. Dołożenie lub wymiana pamięci RAM i dysków SSD w QNAP TBS-453A jest bardzo prosta. Urządzenie można także rozbudować, podłączając pięciozatokowy moduł rozszerzający UX-500P albo ośmiozatokowy UX-800P. Serwer jest dostarczany z małym zasilaczem, ale dzięki temu, że może być zasilany napięciem od 10 do 20 V prądu stałego, można go stosować z różnymi źródłami energii. Autoryzowanymi dystrybutorami urządzeń QNAP w Polsce są: ABC Data, Action, EPA Systemy i Konsorcjum FEN.

Dodatkowe informacje: GRZEGORZ BIELAWSKI, COUNTRY MANAGER, QNAP, GBIELAWSKI@QNAP.COM


Bezpieczne obiekty dzięki kamerom Foscam Foscam jest producentem wysokiej jakości kamer do cyfrowego monitoringu wideo wewnątrz obiektów i na zewnątrz. Firma zapewnia pełne portfolio produktów dostępnych w przystępnych cenach oraz profesjonalne wsparcie techniczne klientom na całym świecie.

F

ROZWIĄZANIA DLA BIZNESU W portfolio Foscama jest wiele rozwiązań – zarówno konsumenckich, jak i przeznaczonych do zastosowań biznesowych, o rozdzielczości 720p, 1080p i 1440p. Kamery występują we wszystkich popularnych typach: obrotowe z zoomem, kopułkowe, tubowe. Większość modeli pracuje w trybie dzień/noc dzięki doświetleniu diodami IR. Kamery zewnętrzne charakteryzują się obudową odporną na czynniki środowiskowe, o stopniu szczelności IP66. Część modeli oferowanych jest w wersji PoE, czyli z możliwością zasilania przez kabel sieciowy. Producent dostarcza także 4- i 9-kanałowe rejestratory cyfrowe NVR oraz zestawy kamer wraz z rejestratorami. Na szczególną uwagę zasługuje kamera Foscam R4, która trafiła na rynek pod koniec kwietnia. Jest to urządzenie,

Wybrane produkty w ofercie firmy Foscam

które zapewnia rozdzielczość 4 megapikseli oraz bardzo czysty obraz rejestrowany w ciemności. Kamera ta, podobnie jak większość pozostałych modeli, wyposażona jest m.in. w oprogramowanie wykrywające ruch i funkcję wysyłania komunikatów alarmowych. Grupa produktów biznesowych firmy Foscam jest nieustannie rozwijana. Producent zapowiada nie tylko kolejne modele z matrycą 4MP, ale również 6MP. W 2016 r. ofertę systemów dla firm uzupełnią rozwiązania przygotowane specjalnie dla sieci sklepów. Ich cechą charakterystyczną będzie m.in. wbudowane oprogramowanie do inteligentnej analizy zarejestrowanego obrazu. Do portfolio producenta mają też trafić bezprzewodowe rejestratory wideo wysokiej rozdzielczości. Z kolei na 2017 r. zapowiedziano premierę profesjonalnych kamer o wyjątkowej jakości obrazu oraz 16- i 32-kanałowych rejestratorów NVR. Od 2013 r. wyłącznym dystrybutorem rozwiązań marki Foscam jest Sunnyline Computer Products z Przeźmierowa. Firma zapewnia stałą dostępność towaru oraz wsparcie techniczne i serwis.

• C2 – łatwa do umieszczenia w rogu każdego pokoju lub biura bezprzewodowa kamera o kącie widzenia 120 stopni i rozdzielczości Full HD • R4 – obrotowa kamera o 4-megapikselowej matrycy • FI9828P – kamera typu PTZ do montażu na zewnątrz, idealnie nadająca się na punkt kamerowy • FI9900EP – wodoodporna kamera do montażu na zewnątrz, o rozdzielczości Full HD, zasilana przez sieć Ethernet (PoE) • FN7108E_B4_2T – zestaw 4 kamer PoE z 8-kanałowym rejestratorem

Resellerzy i integratorzy mogą zamawiać sprzęt dla swoich klientów za pomocą zautomatyzowanego centrum obsługi zamówień SuZI (Sunnyline Zamówienia Internetowe).

Dodatkowe informacje: MACIEJ MAJEWSKI, PRODUCT MANAGER, SUNNYLINE COMPUTER PRODUCTS, MACIEJ.MAJEWSKI@SUNNYLINE.COM.PL VADEMECUM CRN maj 2016

73

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI FOSCAM I SUNNYLINE COMPUTER PRODUCTS.

irma Foscam powstała w 2007 r. w chińskim Shenzhen i dzięki produktom wysokiej jakości bardzo szybko rozpoczęła sprzedaż za granicą. Na rynek europejski jej rozwiązania trafiły w 2010 r. Dwa lata później producent dołączył do międzynarodowej grupy ONVIF (Open Network Video Interface Forum), która zrzesza dostawców rozwiązań cyfrowego monitoringu bazujących na sieci IP. Foscam wyróżnia się dużą innowacyjnością w projektowaniu i produkcji własnych urządzeń i aplikacji oraz świadczy usługi w chmurze. W 2012 r., jako jeden z pierwszych, zaprezentował kamerę (Foscam FI9821W), w której zastosowano kodek H.264.


W trosce o biznesową ciągłość Największym wyzwaniem dla integratora w zakresie bezpieczeństwa IT jest to, aby przekonać klienta do zakupu kolejnej „polisy ubezpieczeniowej”, która będzie dla niego głównie kosztem, raczej się nie zwróci oraz – przynajmniej teoretycznie – nie przyniesie żadnych korzyści. Czy rzeczywiście?

D

bałość o bezpieczeństwo infrastruktury IT i danych to nie czynność (ani nawet ich zbiór), ale długotrwały proces. Ma on na celu ochronę przedsiębiorstw przed różnego typu negatywnymi skutkami (pozwy sądowe, utrata reputacji) działań przestępczych lub awarii sprzętu czy oprogramowania, jak też przed utratą ciągłości pracy i świadczenia usług klientom. Dlatego firmy powinny chronić swoje dane i inne

74

VADEMECUM CRN maj 2016

Krzysztof JaKubiK

zasoby w sposób przemyślany i zaplanowany. Wszyscy eksperci ds. bezpieczeństwa rekomendują przedsiębiorstwom stworzenie dokumentu polityki bezpieczeństwa. Tymczasem, według różnych statystyk, obecnie ma go tylko niewielki odsetek firm. Dbałość o bezpieczeństwo jest konieczna z różnych powodów. Przede wszystkim chodzi o zapewnienie poufności danych i ich ochronę przed udostępnieniem nie-

uprawnionym osobom w wyniku przypadkowego wycieku lub celowej kradzieży. Drugim, najczęściej wskazywanym powodem, jest zabezpieczenie danych przed ich utratą – w tym celu stosowane są różne metody wykonywania kopii zapasowych (snapshoty, backup na dyski i taśmy, replikacja do zapasowego centrum danych). Ale bezpieczeństwo to także zapewnienie nieprzerwanej dostępności do informacji, a więc troska o stabilne łącza sieciowe,

Fot. © photo 5000 – Fotolia.com

POLITYKA BEZPIECZEŃSTWA


internetowe itd. Administratorzy powinni dbać też o integralność przechowywanych danych, w tym zagwarantować brak możliwości wprowadzania nieautoryzowanych zmian. Dużym wyzwaniem jest też wytłumaczenie klientom rzeczy pozornie nieoczywistych. Przede wszystkim tego, że nawet najlepszy sprzęt czy oprogramowanie nie spełni swojej roli, jeśli zawiedzie człowiek, a to on jest zazwyczaj najsłabszym ogniwem. Najłatwiej go oszukać, wzbudzając niesłuszne zaufanie i przekonać do ujawnienia haseł czy innych tajnych informacji. Warto też podkreślać, że nie ma bezwzględnej miary bezpieczeństwa, a jego poziom można mierzyć tylko w odniesieniu do precyzyjnie określonych w tym zakresie wymagań stawianych systemowi IT. Nigdy też nie osiągnie się stuprocentowej pewności, że nie dojdzie do żadnego incydentu – trzeba wręcz przygotować się na to, że coś się wydarzy i zaplanować odpowiednie zasady postępowania. Niestety, faktem jest, że inwestycji w systemy ochronne dokonuje się dziś na bazie zaufania do dostawcy, a nie gwarancji skuteczności zabezpieczeń. A jest co chronić, bo wśród ważnych informacji są nie tylko dane osobowe pracowników i klientów, ale również dokumenty związane z własnością intelektualną przedsiębiorstwa i stanowiące

w

o jego przewadze konkurencyjnej. Łupem przestępców często padają również szczegółowe informacje o strukturze i funkcjonowaniu firmy, bo na ich podstawie łatwiej mogą przygotować atak socjotechniczny i wybrać np. pracowników stanowiących najsłabsze ogniwo.

Zadanie dla wsZystkich Dokument opisujący politykę bezpieczeństwa to przede wszystkim zbiór przepisów, zasad, wymagań i zaleceń regulujących sposób zarządzania, ochrony i udostępniania zasobów (z naciskiem na IT, ale nie tylko) w określonym środowisku. Jest to najczęściej zbiór administracyjnych, technicznych i fizycznych środków, dzięki którym zapewnia się poufność danych, a także ich integralność, dostępność i rozliczalność oraz ochronę pozostałych aktywów – sprzętu, oprogramowania, dokumentacji i personelu. W skład komisji tworzącej dokument polityki bezpieczeństwa powinni wchodzić przedstawiciele wszystkich komórek organizacyjnych przedsiębiorstwa, nie tylko działu IT. Ich zadaniem będzie klasyfikowanie przepływających przez firmę danych, określenie stopnia ich utajnienia (ogólnie dostępne, poufne, tajne) oraz osób odpowiedzialnych za poszczególne procedury.

Jakie skutki mógłby Państwa PrZedsiębiorstwie wywołać PrZestóJ w dZiałaniu aPlikacJi lub utrata danych? 68%

Utrata zaUfania klientów Szkody dla wizerUnkU

62%

marki

Utrata zaUfania

51%

pracowników

wyeliminowanie zaSobów

z dłUgofalowych lUb klUczowych projektów

31%

Spadek ceny akcji

31% 26%

proceSy Sądowe cofnięcie licencji/ /akredytacji brak SkUtków

20% 2% Źródło: 2016 Veeam Availability Report

1/3 62 x 265 +5mm


POLITYKA BEZPIECZEŃSTWA Tworzenie dokumentu polityki bezpieczeństwa to nie tylko zbiór zagadnień natury czysto informatycznej. Do tego konieczna jest także wiedza na temat tzw. inżynierii społecznej. Wiedzę tę z reguły potrafią wykorzystać osoby atakujące system. Starają się uzyskać jak najwięcej informacji o firmie lub jej pracownikach oraz spowodować, żeby działali oni w sposób oczekiwany przez atakującego. Niestety, naiwność ludzka w tej kwestii jest jeszcze bardzo duża – wystarczy prześledzić, jak wiele kampanii phishingowych odniosło szkodliwy skutek. Podstawowymi zagadnieniami, które powinna obejmować polityka bezpieczeństwa, jest określenie osób lub komórek organizacyjnych odpowiedzialnych za jej realizację (dlatego nie może to też być dokument ogólnie dostępny), określenie zagrożeń (dostępu do sprzętu, oprogramowania, poziomu umiejętności pracowników, stopnia ich niezadowolenia z wykonywanej pracy) i możliwości przeciwdziałania nim. Dokument polityki bezpieczeństwa może dotyczyć wszystkich zasobów przedsiębiorstwa albo tylko ich części, np. konkretnego zbioru danych czy systemu IT. Istnieją też specjalne rodzaje polityki bezpieczeństwa, np. dotyczące ochrony danych osobowych (wzór takiego dokumentu jest dostępny na stronie GIODO). Warto także pamiętać, że polityka bezpieczeństwa bardziej powinna być opisem strategii, a nie taktyki działania. Należy unikać w niej szczegółowych opisów konfiguracji serwerów czy instrukcji postępowania w przypadku wykrycia incydentu bezpieczeństwa – od tego są standardy i procedury, które również powinny być zdefiniowane przez poszczególne przedsiębiorstwa, a ich lista wyszczególniona właśnie w polityce bezpieczeństwa.

Przemyślaną politykę bezpieczeństwa wypracowało bardzo niewiele firm. 76

VADEMECUM CRN maj 2016

Aspekty konieczne do uwzględnienia podczas tworzenia polityki bezpieczeństwa Sprzętowo-programowe metody ochrony: – określenie procedur korzystania z oprogramowania i sprzętu, – stosowanie odpowiedniego oprogramowania systemowego i dodatkowego, – właściwe konfiguracje sprzętowe (UPS, nadmiarowość najważniejszych rozwiązań), – odpowiednie mechanizmy składowania danych, – szyfrowanie informacji. Metody ochrony fizycznej: – systemy zasilania awaryjnego, – kontrola dostępu do obiektów i pomieszczeń, – zabezpieczenie przeciw włamaniom, – systemy przeciwpożarowe. Organizacyjne metody ochrony: – regulaminy dla osób korzystających z systemów informatycznych, – polityka zakupu sprzętu i oprogramowania. Kadrowe metody ochrony: – sprawdzanie pracowników dopuszczonych do danych o szczególnym znaczeniu, – przestrzeganie odpowiednich procedur zwalniania i zatrudniania pracowników, – motywowanie pracowników, – szkolenia. Reguły konieczne przy ustalaniu zakresu obowiązków: – zasada wiedzy koniecznej: uprawnienia muszą wynikać z obowiązków, – zasada minimalnego środowiska pracy: prawo dostępu tylko do pomieszczeń związanych z obowiązkami, – zasada dwóch osób: funkcje, które mogą być wykorzystane do złamania zabezpieczeń, należy podzielić, a ich wykonanie przydzielić różnym osobom, – zasada rotacji obowiązków: co pewien czas odpowiedzialność za szczególnie ważne funkcje powinna przechodzić na kolejne osoby.

Zarobić na konsultacjach Jak zgodnie podkreślają eksperci dokonujący audytów bezpieczeństwa w polskich firmach, poprawnie napisaną politykę bezpieczeństwa ma bardzo niewiele firm. Co gorsza, wśród tych, które jej nie mają, jest wiele placówek publicznych oraz podmiotów zobowiązanych do stworzenia takiego dokumentu chociażby ustawą o ochronie danych osobowych. Czasami zalążki takiego dokumentu istnieją, ale np. w regulaminie pracy. Możliwość doradztwa w zakresie opracowania i późniejszego uaktualniania polityki bezpieczeństwa to idealna sytuacja dla integratorów. Powinni po pierwsze uświadomić swoim klientom konieczność uporządkowania kwestii związanych ze

strategią zabezpieczania danych, a po drugie pomóc (oczywiście odpłatnie) w przygotowaniu odpowiedniego dokumentu oraz egzekwowaniu jego zapisów. W wielu przypadkach w kolejnych krokach konieczne okaże się przeprowadzenie dodatkowych inwestycji w sprzęt lub oprogramowanie ochronne, aby załatać ujawnione w trakcie opracowywania polityki bezpieczeństwa luki. Finałem zaś powinno być szkolenie dla pracowników, a być może nawet kilka. Oczywiście przygotowane z uwzględnieniem piastowanych przez nich stanowisk, jako że przekazywane podczas szkolenia komunikaty będą różne dla zarządu czy pracowników odpowiedzialnych za ważne operacje, np. przelewy bankowe, oraz dla pozostałych osób.


Acronis oferuje unikalne na rynku narzędzia, dzięki którym firmy w niedrogi sposób mogą zagwarantować sobie ciągłość biznesową, a jednocześnie chronić poufne informacje przed dostaniem się w niepowołane ręce.

Z

arządy przedsiębiorstw i pracownicy działów IT dość rzadko zastanawiają się nad biznesowymi konsekwencjami np. awarii poszczególnych urządzeń lub braku dostępu do danych. Nie dopuszczają do siebie myśli, że linia produkcyjna w fabryce lub robot przemysłowy mogłyby zostać unieruchomione na dłuższy czas w wyniku tak częstego i czasem wręcz dającego się przewidzieć zdarzenia, jakim jest awaria twardego dysku w komputerze, który nimi zarządza.

Barbara Podeszfa Partner Account Manager, Acronis

Acronis podchodzi w indywidualny sposób do każdego kraju, w którym oferuje swoje rozwiązania. Najlepszym przykładem jest to, że wszystkie nasze produkty mają polski interfejs, co nie tylko okazuje się dominującym kryterium w wielu przetargach publicznych, ale doceniane jest też przez komercyjnych klientów. W Polsce dużą popularnością cieszy się przyspieszona ścieżka uzyskania złotego statusu w programie partnerskim Acronis (Grow to Gold). Dzięki niej resellerzy i integratorzy, którzy mają bardzo duży potencjał, angażują się w realizację projektów, rozwijają się i szkolą, a także aktywnie sprzedają, na nasze zaproszenie mogą wcześniej zacząć korzystać z benefitów dla złotych partnerów.

Ten sam problem, chociaż oczywiście ze znacznie mniejszymi skutkami finansowymi, może dotyczyć pracowników. Handlowiec, który nie może rano uruchomić komputera, nie tylko sam nie zarabia, ale też nie generuje zysku dla zatrudniającej go firmy. Aby zminimalizować negatywne skutki awarii sprzętu, Acronis proponuje funkcję odzyskiwania danych Universal Restore, dzięki której cały system operacyjny i dane z dysku mogą być w ciągu kilkudziesięciu minut przywrócone na dowolnym urządzeniu o podobnej wydajności, niezależnie od platformy sprzętowej i bez problemów związanych z kompatybilnością (możliwe jest też ich przenoszenie między platformami fizycznymi i wirtualnymi). Funkcja Universal Restore sama zadba o dobór sterowników dla nowej maszyny i automatycznie je zainstaluje. Dzięki temu rozwiązaniu firmy nie muszą przechowywać zapasowego, identycznego sprzętu, jak ten wykorzystywany produkcyjnie, a administratorzy nie są skazani na wielogodzinne reinstalowanie systemu operacyjnego oraz wszystkich aplikacji. Moduł Universal Restore jest dostępny bezpłatnie we wszystkich produktach z rodziny Acronis Backup oraz Acronis Backup Advanced. Dla pracowników firm, których ciągłość pracy w dużej mierze zależy od telefonu komórkowego, Acronis proponuje Mobile Device Backup. Jest to rozwiązanie przeznaczone do smartfonów i tabletów z systemem Android i iOS, które zapewnia wykonanie kopii zapasowej wszystkich danych z telefonów (w przypadku

BEZPIECZNE WSPÓŁUŻYTKOWANIE PLIKÓW

Kolejnym ciekawym rozwiązaniem jest Acronis Access Advanced. Umożliwia ono bezpieczny zdalny dostęp do korporacyjnych plików (także z urządzeń mobilnych z systemami iOS, Android i Windows Phone), synchronizowanie ich oraz sprawowanie pełnej kontroli nad ich udostępnianiem. Zbudowane w ten sposób środowisko charakteryzuje się bardzo wysokim poziomem bezpieczeństwa. Wszystkie przesyłane dane, a także przechowywane na urządzeniach mobilnych i dyskach wirtualnych, są szyfrowane 256-bitowym kluczem AES. Acronis Access Advanced implementowany jest w środowisku lokalnym klienta i konfigurowany w taki sposób, aby pliki nigdy nie opuściły firmowej infrastruktury. Oprogramowanie to bardzo łatwo zintegrować z katalogiem użytkowników Active Directory oraz takimi systemami MDM jak m.in. MobileIron, Good Technology, Samsung Knox. Acronis Access Advanced może być wykorzystywany wszędzie tam, gdzie istnieje potrzeba wymiany dużych plików (projektów multimedialnych, map GIS itp.) między współpracownikami lub podwykonawcami. Administrator rozwiązania jest w stanie zachować pełną kontrolę zarówno nad warunkami udostępniania tych danych, jak i sposobem ich wykorzystania. Może także indywidualnie ustalić czas dostępności danego pliku dla użytkowników zewnętrznych lub ich uprawnienia (zapis, odczyt, usunięcie itd.).

Dodatkowe informacje: BARBARA PODESZFA, PARTNER ACCOUNT MANAGER, ACRONIS, BARBARA.PODESZFA@ACRONIS.COM VADEMECUM CRN maj 2016

77

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ ACRONIS.

Acronis: sposób na przestój

urządzeń z systemem iOS – bez SMS-ów) i przywrócenie ich na innym urządzeniu podobnej klasy. Funkcja ta jest dostępna dla subskrybentów usługi Acronis True Image Cloud.


Indeks firm AB ���������������������������������������������������������������������������������18 ABC Data���������������������������14, 15, 24, 71, 72, 80 Acronis����������������������������������������������������������������������77 Action��������������������������������������������������������24, 35, 72 ADI �������������������������������������������������������������������������������71 Akbit���������������������������������������������������������������������16, 18 Anixter �����������������������������������������������������������������������71 Apple ����������������������������������������������������������������������� 40 Arbor Networks ���������������������������������������������11, 12 Arpol ���������������������������������������������������������������������������71 Aruba Networks ���������������������������������������46, 47 Avast �����������������������������������������������������������������29, 30 AVG��������������������������������������������������������������������29, 30 Avira ��������������������������������������������������������������������������30 Avnet �����������������������������������������������������������13, 19, 52 Axis Communications��������������������68, 70, 71 Baramundi Software���������������������������������������75 Be-In�����������������������������������������������������������������������������4 Bitdefender ����������������������������������������������������������30 Brocade ������������������������������������������������������������������ 52 C&C Partners�������������������������������������������������������68 CERT Orange��������������������������������������������������������41 Check Point Software Technologies ���������� �������������������������������������������������������������������������������34, 53 Cisco Systems �����������������������������������4, 11, 14, 22 Citrix ����������������������������������������������������������������� 49, 64 Clico������������������������������������������������������������41, 44, 45 Cloudware Polska �����������������������������������������������4

Commvault�����������������������������������������������������������50 Dell���������������������������������������������������������14, 15, 36, 37 D-Link�����������������������������������������������������������������������24 Eaton Electric������������������������������������������������������64 ed&r ����������������������������������������������������������������������4, 22 EMC ��������������������������������������������������������������������14, 64 Emerson Network Power �������������������56, 59 EPA Systemy�����������������������������������������������72, 80 ESET���������������������������������������������������������30, 42, 43 Ever�����������������������������������������������������55, 56, 57, 58 Extreme Networks ���������������������������������� 23, 25 F5 Networks ���������������������������������������������������12, 17 Fortinet������������������������������������������4, 11, 25, 26, 27 Foscam ��������������������������������������������������������������������73 G Data ��������������������������������������������������������������32, 33 Gemalto ��������������������������������������������������������� 44, 45 GFI Software���������������������������������������������������������22 Hewlett Packard Enterprise ����������������������������� ����������������������������������������������������������14, 15, 22, 46, 47 Huawei��������������������������������������������������������20, 21, 41 IBM ������������������������������������������������������������������������15, 19 Impakt���������������������������������������������������������������60, 61 Intel���������������������������������������������������������������������������� 40 Intel Security�������������������������������������������11, 29, 30 Juniper Networks����������������������������������������������22 Kaspersky Lab������������������ 29, 30, 48, 49, 50 Kerio ����������������������������������������������������������������������������� 2 Konsorcjum FEN ����������������������������������������18, 72

Malwarebytes������������������������������������������������������30 Microsoft ������������������������15, 29, 30, 40, 49, 64 NASK ������������������������������������������������������������������������29 NetApp ���������������������������������������������������������� 50, 64 OVH ���������������������������������������������������������������������������68 Palo Alto Networks ��������������������������������������11, 13 Panda Security�������������������������������������������30, 35 Perceptus����������������������������������������������40, 42, 43 PowerWalker������������������������������������������������60, 61 QNAP ���������������������������������������������������������������68, 72 Quest Dystrybucja ����������������������������������36, 37 RRC Poland ��������������������������������������������������34, 53 Safer-Networking ��������������������������������������������30 Schneider Electric��������������������������������������������������� �����������������������������������������54, 55, 58, 62, 63, 67, 71 SimpliVity���������������������������������������������������������������64 SnoopWall���������������������������������������������������������������16 Sophos ���������������������������������������������������������������18, 31 Sun Capital��������������������������������������������������������������� 2 Sunnyline Computer Products ����������������73 Symantec�������������������������������������������11, 14, 29, 30 Synology ����������������������������������������������������������������80 Trend Micro�������������������������������������������������������������12 Veeam Software ��������������������������������14, 50, 75 Veracomp��������������������������������������������������������������������� ����������������������������4, 17, 23, 24, 25, 26, 27, 35, 80 VMware�����������������������������14, 15, 49, 50, 53, 64

COMPUTER RESELLER NEWS POLSKA WYDANIE SPECJALNE, 11 maja 2016 ISSN 1640-9183

KIEROWNIK PROJEKTU VADEMECUM: Jacek Goszczycki, tel. (22) 360-36-78 jacek.goszczycki@burdamedia.pl

WYDAWCA: Burda Communications Sp. z o.o. 02-674 Warszawa, ul. Marynarska 15

REDAKCJA: 02-674 Warszawa, ul. Marynarska 15 tel. (22) 360-38-00, redakcja@crn.pl, www.CRN.pl

ŁAMANIE I GRAFIKA: Hubert Karasiewicz, Aneta Mikulska

ZARZĄD: Regional Director Poland & Czech Republic: Margaret Ann Dowling Dyrektor Generalny: Justyna Namięta Prokurent/Chief Financial Officer: Tomasz Dziekan Doradca Zarządu ds. Edytorskich: Krystyna Kaszuba Dyrektor Wydawniczy: Edyta Pudłowska

Tomasz Gołębiowski (redaktor naczelny) tomasz.gołebiowski@crn.pl, tel. (22) 44-88-488 Dorota Smusz (sekretarz redakcji) dorota.smusz@crn.pl, tel. (22) 44-88-350 Krzysztof Jakubik (redaktor prowadzący) krzysztof.jakubik@crn.pl, tel. 660-73-30-90 Tomasz Janoś, tomasz.janos@crn.pl Rafał Janus, rafal.janus@crn.pl

46

ILUSTRACJA NA OKŁADCE: © Robert Voight – Fotolia.com FOTOGRAFIE: Focus Images Tomasz Pisiński, Marek Zawadzki, archiwum KOREKTA: Lidia Sadowska-Szlaga KIEROWNIK PRODUKCJI: Tomasz Gajda, tomasz.gajda@burdamedia.pl KOORDYNATOR PRODUKCJI: Jan Kutyna, jkutyna@burdamedia.pl PRENUMERATA: Andrzej Janikowski, andrzej.janikowski@crn.pl, prenumerata@crn.pl

VADEMECUM CRN maj 2016

Brand Manager: Ewa Korzańska, tel. (22) 360-36-55, ewa.korzanska@burdamedia.pl REKLAMA: Burda Media Polska Sp. z o.o. 02-674 Warszawa, ul. Marynarska 15 tel. (22) 360-36-03, faks (22) 360-39-80

Sales Director Men & Special Interest: Katarzyna Nowakowska HANDLOWCY: Head of Sales: Agata Myśluk, tel. (22) 360-36-75, agata.mysluk@burdamedia.pl Account Executive: Szymon Zięborak, tel. (22) 360-36-76, szymon.zieborak@burdamedia.pl PROJEKTY SPECJALNE: Senior Marketing & Sales Development Manager: Jacek Goszczycki, tel. (22) 360-36-78 jacek.goszczycki@burdamedia.pl Reklamy przyjmowane są w siedzibie wydawnictwa. Za treść ogłoszeń redakcja nie ponosi odpowiedzialności. © Copyright 1998 Burda Communications sp. z o.o. Wszelkie prawa zastrzeżone. Computer Reseller News Polska contains articles under license from CMP Media Inc. © 1998 CMP Media Inc. All rights reserved. Burda Communications należy do: Ogólnopolskiego Stowarzyszenia Wydawców i Izby Wydawców Prasy


WSZYSTKIE NUMERY

OBEJRZYSZ ONLINE NA

.PL

www.crn.pl/magazyn-crn/poprzednie-wydania listopad 2015

wrzesień 20 15

c 2016 marze

luty 2015

maj 2015

ZAPRASZAMY DO LEKTURY!

listopad 20 14

Zespół redakcyjny Vademecum: Krzysztof Jakubik, Tomasz Janoś, Rafał Janus, Dorota Smusz Kierownik projektu Vademecum: Jacek Goszczycki

1-1 CRN.indd 2016.indd 1 vademecum4 1

4/29/16 PM 29/04/165:54 17:17



Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.