Bezpieczeństwo zharmonizowane między różnymi urządzeniami
Gwałtownie rosnąca popularność urządzeń mobilnych zostawia za sobą wiele luk w zabezpieczeniach, wynikających z wad poszczególnych systemów operacyjnych, problemów z konfiguracją, niedoskonałości aplikacji czy sieci publicznych. Szacuje się, że ogółem 75% albo i więcej aplikacji na urządzenia mobilne nie przeszłoby podstawowych testów bezpieczeństwa. Z kolei liczba słabych punktów systemów operacyjnych z roku na rok co najmniej się podwaja. W świetle tych alarmujących statystyk konsumentom nie pozostaje nic innego jak narzędzia ochronne, które bywają niedostępne dla niektórych systemów, oferują różne możliwości w zależności od urządzenia i często zużywają wiele zasobów. Problemy te można by rozwiązać za pomocą jednej zmiany technologicznej: przerzucając pracę aplikacji zabezpieczających na programowalne urządzenie na skraju sieci, np. bramkę dostępową w domu lub router w firmie. Prace nad takim rozwiązaniem prowadzone są od października 2013 w ramach projektu SECURED (SECURity at the network EDge). Na kilka miesięcy przed zakończeniem projektu jego koordynator, prof. Antonio Lioy z Politechniki Turyńskiej, opowiada o dotychczasowych osiągnięciach, potencjalnych obszarach ich zastosowań i tym jak wpisują się one w dzisiejszy krajobraz technologiczny. Na czym polega główny problem z systemami bezpieczeństwa dzisiejszych urządzeń mobilnych? Bezpieczeństwo dzisiejszych urządzeń mobilnych jest zasadniczo oparte na samym urządzeniu. Użytkownik musi zainstalować odpowiednie rozwiązanie na swoim urządzeniu, na przykład program antywirusowy, chroniący przed złośliwym oprogramowaniem, czy zaporę sieciową, która blokuje niechciane połączenia. To skomplikowane – ponieważ przeciętny użytkownik posiada zwykle kilka urządzeń – i trudne – ponieważ niektóre programy zabezpieczające nie są dostępne dla wszystkich urządzeń albo nie oferują takich samych możliwości czy takiej samej wydajności dla każdego z nich. Duże przedsiębiorstwa zwykle radzą sobie z tym problemem ograniczając typ urządzeń mobilnych udostępnianych pracownikom i stosując system MDM (Mobile Device Management). Jednak takie rozwiązania są nie do przyjęcia dla indywidualnych użytkowników, którzy są z tego powodu narażeni na coraz większe zagrożenia. Krótko mówiąc, bezpieczeństwo urządzeń mobilnych bywa różne i zwykle jest niewystarczające, ponieważ zależy od dostępnych produktów i używanego urządzenia. W jaki sposób architektura SECURED pomaga w przezwyciężaniu tych problemów? SECURED proponuje oddelegować do ochrony – w całości bądź w części – zaufane i bezpieczne urządzenie pełniące funkcję węzła sieciowego, specjalnie przygotowane do obsługi aplikacji zabezpieczających wybranych przez użytkownika i skonfigurowanych wedle jego własnej polityki bezpieczeństwa. Nazywamy to urządzenie NED (Network Edge Device), jako że w celu zapewnienia najwyższej skuteczności najlepiej umieścić je w sieci jak najbliżej urządzenia mobilnego, choć stosowanie zdalnych albo pracujących w chmurze NED też jest możliwe. Kiedy użytkownik podłącza swoje urządzenie mobilne do NED, otrzymuje potwierdzenie tożsamości i statusu nienaruszalności NED, tak aby móc zaufać temu węzłowi. Wówczas tworzona jest specjalna, wirtualna domena dla danego użytkownika. Następnie NED pobiera wybrane reguły zabezpieczeń z określonych przez użytkownika repozytoriów i konfiguruje je wedle profilu zabezpieczeń pobranych z repozytorium reguł użytkownika. Czy można to zastosować w istniejących już sieciach? W jaki sposób? Owszem można, dodając urządzenia NED do sieci i instruując użytkowników, aby łączyli się przez VPN z wybranym węzłem NED. Oczywiście, jeżeli punkt dostępu do sieci – bramka domowa, punkt dostępowy Wi-Fi czy 3G/4G – jest już węzłem NED, sieć VPN nie jest potrzebna i wydajność będzie wyższa. W każdym przypadku opcja z węzłem NED dostępnym bezpośrednio jako pierwszy punkt w sieci albo jako punkt zdalny zapewnia dużą elastyczność w strukturze sieci. To z kolei umożliwia stopniowe przyjmowanie się rozwiązania i udostępnianie go także w środowiskach, w których technologia SECURED nie została bezpośrednio wdrożona. Innymi słowy, użytkownik ma kontrolę nad własnym bezpieczeństwem a jedynym zmiennym parametrem jest szybkość działania sieci, która w przypadku lokalnego NED sięga maksymalnego poziomu, a w przypadku zdalnego – spada. W obu przypadkach gwarantowane jest zaufanie i bezpieczeństwo. A co z Internetem przyszłości, konkretnie Internetem rzeczy? Paradygmat opracowany w ramach projektu SECURED nadaje się także dla Internetu rzeczy. Zazwyczaj węzły w tych środowiskach mają ograniczone możliwości i sprawność, dlatego są chronione słabo albo wcale, ponieważ nie dają sobie rady ze złożonymi operacjami bezpieczeństwa. Można zapewnić dobrą ochronę węzłów IoT, łącząc je z zewnętrzną siecią przez NED, który dba o bezpieczeństwo. Dzięki naszemu systemowi można też wdrażać strategie krzyżowego bezpieczeństwa sieci. Jak udało się wam to osiągnąć? NED jest de facto komponentem, który ma wielu interesariuszy, w zależności od tego, kto jest właścicielem. Na przykład urządzenia NED oferowane przez dostawców usług internetowych bądź operatorów sieci komórkowych będą stosować politykę ochrony bezpieczeństwa nie tylko użytkownika, lecz także operatora. W ramach SECURED opracowano algorytmy łączące te dwie polityki i stosujące trzecią, będącą wynikiem tego połączenia. W sytuacjach, kiedy polityka operatora jest bardziej restrykcyjna niż użytkownika, NED informuje użytkownika o dodatkowych ograniczeniach i daje możliwość rozłączenia się. Ponieważ reguły i polityka bezpieczeństwa są pobierane przez NED na żądanie, kiedy użytkownik łączy się z siecią, rozwiązanie funkcjonuje w różnych sieciach. Poza tym rozwiązanie to zapewnia płynną obsługę mobilności: kiedy użytkownik przechodzi od jednego punktu dostępowego do drugiego, jego wirtualna domena automatycznie łączy się z tym nowym punktem. Proszę powiedzieć nam więcej na temat stworzonego rynku aplikacji. Naszymi docelowymi klientami są zwykli użytkownicy, którzy niekoniecznie muszą być ekspertami od bezpieczeństwa. Dlatego dążyliśmy do maksymalnego uproszczenia obsługi systemu SECURED. Zaczęliśmy od stworzenia interfejsu wysokiego poziomu do określania polityki bezpieczeństwa w niemal naturalnym języku – ograniczonym np. tylko do czasowników związanych z ochroną bezpieczeństwa, takich jak „pozwolić”, „odrzucić” czy „zarejestrować”. Następnie użytkownik uzyskuje dostęp do oferty różnych aplikacji zabezpieczających, podobnie jak sklep z aplikacjami w smartfonie. Lepiej zorientowani użytkownicy mogą bezpośrednio wybrać żądane aplikacje a nowicjusze mogą skorzystać z automatycznej sugestii opartej na stworzonej polityce bezpieczeństwa. Na przykład, jeśli użytkownik zażądał blokowania dostępu do stron z treściami nieodpowiednimi dla dzieci oraz ochrony przed złośliwym oprogramowaniem, system podpowie nabycie aplikacji z kontrolą rodzicielską oraz antywirusowej. Jeżeli dostępnych jest kilka aplikacji danego rodzaju, użytkownik może zapoznać się z wyróżniającymi cechami każdej z nich, jak cena, wydajność i opinie innych użytkowników. Projekt zbliża się ku końcowi. Jak pana zdaniem zostanie przyjęty na rynku? Kiedy rozpoczynaliśmy w 2013 roku, naszym głównym adresatem byli dostawcy usług sieciowych i hotspoty Wi-Fi. Nadal uważamy, że to właściwy odbiorca, ale odkryliśmy też nowe, interesujące obszary zastosowań. Oprócz paradygmatu IoT, o którym już rozmawialiśmy, ważnym celem są nowoczesne sieci oparte na oprogramowaniu: paradygmaty SDN (Software-Defined Networking) i NFV (Network Function Virtualization) szybko przesuwają scenariusze sieciowe ze strony sprzętowej na bazującą na oprogramowaniu. Oznacza to, że sama sieć jest możliwym odbiorcą technologii SECURED, która oferuje funkcje bezpieczeństwa na żądanie, skonfigurowane według konkretnej polityki i dostarczane w zaufanym środowisku. Mieliśmy prezentację i demonstrację w lutym 2016 r. podczas spotkania grupy roboczej ETSI NFV i technologia SECURED wzbudziła duże zainteresowanie. Istnieją zatem różne rynki docelowe, na których technologia SECURED odegra rolę w niedalekiej przyszłości. SECURED Dofinansowanie z programu 7PR-TIK witryna projektu strona projektu w serwisie CORDIS
Kraje
Włochy