Virtuell sikkerhetsboks

Release 4.9 av Sourcefire 3D System er et kombinert sett av sikkerhetsfunksjonalitet, og produsenten kaller den også Enterprise Threat Management-løsning. Virtualisering av Sensor 3D-delen av produktet skal gjøre det enklere å ta i bruk i virtuelle miljø, og i framtidige data i cloud-løsninger.

Og som en del av dette skal også virtuelle driftsmiljø få økt sikkerhet. Produktet skalerer også ned til mindre bedrifter, og er godt egnet for smb-er som har sikkerhet som forretningsområde.

- Viktigste funksjonalitet ligger i kjernen av produktet, sier Edward Bjarte Fjellskål, som er produktansvarlig hos Redpill Linpro. – Viktige elementer er det kraftige administrasjonsverktøyet og hvor rask det er til å kjenne igjen enhetene i nettverket. Derfra er det å sette opp og rulle ut riktige rettigheter som virkelig står ut i forhold til konkurrerende produkter.

Snuser opp det meste av trafikk

RNA (Real-time Network Awareness) er komponenten som lytter til trafikken som går i nettverk via 3D Sensor, og kartlegger enhetene og deres operativsystem. I Virtual Defense Center sammenlignes trafikkdataene med en database som kjenner igjen vanlige operativsystem med versjoner som Windows, men også Linux, Unix, mobil-os, Playstation – eller visse typer nettverkssvitsjer. Deretter foreslås det anbefalte sikkerhetsinnstillinger og tilgangsmuligheter, som kan rulles ut til de aktuelle enhetene.

Dette kan settes opp til å skje automatisk. Hvitlisting kan settes ikke bare til applikasjon, men også versjon og til bruker eller brukergruppe.

Oppdateringer av sikkerhetsinnstillingene kan rulles ut til grupper og undergrupper av enheter. Denne grupperingen kan følge flere kategorier, fra operativsystem til geografiske skiller. Grunnmotoren er fortsatt Snort, som Sourcefire også står bak. Alle hendelser og oppsett kan også hentes ut i rapporter, som blant annet kan brukes ved systemrevisjoner og samsvarskontroll (Compliance audits). Det sentrale Virtual Defense Center kan overvåke opp til 25 3D-sensorer, i en blanding av virtuelle og fysiske enheter.

Hver 3D Sensor kan kjøre en eller flere sikkerhetskomponenter. IPS kjører vanlig deteksjon av kjente trusler, RNA leser all trafikk og generer oversikt og rapporter, RUA (Real-time User Awareness) kopler AD og LDAP-data sammen med IP-adresse for brukeroversikt og NetFlow Analysis bruker data fra svitsjer og rutere for å avdekke trusler og flaskehalser.

Klar for VMware

Det er mulighetene for å kjøre dette som en virtuell maskin i et VMware-miljø som vil gjøre løsningen aktuell for flere. I kombinasjon med fysiske bokser og med et sentralt administrasjonsverktøy vil sikring av all nettverkstrafikk inkludert den virtuelle trafikken mellom virtuelle servere være mulig. Også for sikring av nettverket i lokasjoner som ligger fjernt eller vanskelig til er blitt enklere. For den som ser på å utvikle it-tjenestetilbudet, åpner også 3D System 4.9 for å sikre tjenester om man satser på it i skyen (Cloud computing).

- Grunnen til at det er VMware som er basis for løsningen, er at Sourcefire har et sterkt teknologisamarbeid med dem, forklarer Fjellskål. – Når vi har testet løsningen, er det oppsettet og kontrollen med nettverkstrafikken som er sentral, og her har VMware kommet lenger enn de fleste.

Fjellskål regner imidlertid med at det vil finnes de som vil tilpasse den andre virtuelle driftsmiljø, siden Sourcefire har sin bakgrunn i åpen kildekodemiljøet. Men noe offisiell støtte fra Sourcefire kan man ikke regne med. Han understreker at det er et åpent grensesnitt for å kople mot andre løsninger, for eksempel tredjeparts administrasjonsverktøy.

Redpill Linpro har vært partner med Sourcefire i Norge i et par år, og har solgt produktene som dedikerte sikkerhetsbokser. Til neste år ser de på løsninger som i første omgang vil innebære at de selger dette som en tjenesteleverandør som tilbyr «vasket» internettrafikk til kundene. Seinere vil dette kunne utvikles til en it i skyen-tjeneste.