Аппаратный интерфейс для обеспечения возможности прямого доступа и совместного использования оценки безопасности

Аппаратный интерфейс для обеспечения возможности прямого доступа и совместного использования оценки безопасности

Иллюстрации

Показать все

Реферат

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ

Настоящее изобретение относится, в общем, к сетевым технологиям и, в частотности, к аппаратному интерфейсу для обеспечения возможности прямого доступа и совместного использования оценки безопасности.

ПРЕДШЕСТВУЮЩИЙ УРОВЕНЬ ТЕХНИКИ

В то время как сеть Интернет продолжает свой беспрецедентный экспоненциальный рост, последнее принятие круглосуточно работающих широкополосных технологий, таких как цифровая абонентская линия («DSL») и кабельные модемы, связанные с надвигающейся интеграцией персональных цифровых секретарей («PDA») и мобильных телефонов в неизменно адресуемые мобильные информационные бытовые приборы, значительно повышает крайнюю необходимость расширять адресное пространство, которое подключенные к сети Интернет системы используют для связи. Адресное пространство, используемое в настоящее время, определено в качестве части межсетевого протокола, или комплекта протоколов IP (сетевого уровня TCP/IP (протокола управления передачей/межсетевого протокола)). Версией IP, широко применяемой сегодня, является версия 4 («IPv4»), которая по существу не изменялась с тех пор, как в 1981 году были опубликованы RFC 791 (Рабочие предложения Инженерной группы по развитию сети Интернет, или «IETF»). С того времени IPv4 доказал, что является надежным, легко реализуемым и имеющим функциональную совместимость, и выдержал испытание масштабированием сетевого комплекса (сети из сетей) во всемирное средство обеспечения масштаба сегодняшней сети Интернет. Несмотря на то что это дань его исходному проектному решению, движение вперед к еще более грандиозному масштабу требует закладки нового фундамента.

IPv6 продолжит традицию протокола IPv4, который сильно выигрывал от своего признания определяющими механизмами для увязывания систем вместе на обширном многообразии сетевых технических средств. Уже определенные соответствия канального уровня для транспортировки IPv6 включают в себя сеть Ethernet, протокол двухточечного соединения («PPP»), волоконно-оптический распределенный интерфейс данных («FDDI»), сеть Token Ring (маркерное кольцо), асинхронный режим передачи («ATM»), ретрансляцию кадров, стандарт IEEE 1394 (Института инженеров по электротехнике и электронике), и IPv4. С архитектурного ракурса, основанная на IPv4 инфраструктура по отношению к наделенным возможностью IPv6 системам выглядит как односегментная нешироковещательная сеть множественного доступа («NBMA»). Способность отправлять трафик IPv6 через существующие сети IPv4 будет давать первоначальный охват настолько же обширный, как современная сеть Интернет, ограниченный только способностью и готовностью конечных точек пользоваться им.

Чтобы принять меры в ответ на беспокойства о безопасности и конфиденциальности, IPv6 включает в себя уровень безопасности IP, известный как протокол защиты сетевого трафика на уровне IP (IPsec). IPsec является технологией обеспечения безопасности промышленного стандарта, которая предусматривает аутентичность и целостность данных, а также секретность данных на ряде протоколов, используемых различными приложениями. Обеспечение возможности на сетевом уровне освобождает разработчика от обязанности добавлять специальные возможности обеспечения безопасности в каждое приложение.

Ожидается, что новые возможности, такие как наделенные областью действия адреса (полезны для ограничения диапазона по умолчанию совместного использования файла и принтера), автоконфигурация без поддержки хранения адресов (снижение сложности и накладных расходов управления) и обязательная защита сетевого трафика на уровне IP (предоставляющая возможность сквозной аутентификации и целостности данных и конфиденциальности соединений), должны подтолкнуть быстрое принятие. В дополнение к новым возможностям технологии, используемые в настоящее время для продления срока службы IPv4, такие как трансляторы сетевых адресов («NAT»), часто нарушают существующие приложения, и уже являются ограничивающими гибкость для развертывания новых. NAT популярны сегодня, так как они предоставляют многочисленным системам возможность совместно использовать единый дефицитный адрес IPv4 общего пользования, но, поступая таким образом, они стремятся принудительно применять модель использования типа клиент-сервер, где клиент использует диапазон частных адресов только с сервером, существующим в диапазоне адресов общего пользования. IPv6 возвращает возможность «сквозного управления передачей данных», делая сетевые приложения проще, так как сеть вновь становится прозрачной.

Предвидится, что переход с IPv4 на IPv6 будет большей задачей для промышленности, чем подготовка к 2000-ному году. Оно окажет влияние почти на все сетевые приложения, оконечные системы, инфраструктурные системы и архитектуры сетей. Критично, чтобы это изменение было приближено с ответственностью за предотвращение дорогостоящих непродуктивных неудачных шагов, которые являются следствием широкой преждевременной доступности технологий. В отличие от проблемы 2000-ного года, переход на IPv6 не имеет определенной временной последовательности. Однако, как отмечено ранее, скорость расходования адресов IPv4 продолжает быстро возрастать. Простота развертывания будет ключом к быстрому принятию.

Миграция IPv4 на IPv6 не произойдет вдруг. Будет период перехода, когда оба протокола находятся в употреблении поверх одной и той же инфраструктуры. Чтобы принять меры в ответ на этот переходный период, проектировщики IPv6 создали технологии и типы адресов, так что узлы IPv6 могут поддерживать связь друг с другом в смешанной среде, даже если они разделены инфраструктурой только IPv4.

RFC 2893 определяет многообразие разных типов узлов. Узел только IPv4 реализует только IPv4 (и имеет адреса только IPv4) и не поддерживает IPv6. Большинство хост-узлов и маршрутизаторов, установленных сегодня, являются узлами только IPv4.

Узел только IPv6 реализует только IPv6 (и имеет адреса только IPv6) и не поддерживает IPv4. Этот узел способен поддерживать связь только с узлами и приложениями IPv6. Этот тип узла сегодня не является общепринятым, но мог бы стать более общеупотребительным, так как меньшие устройства, такие как сотовые телефоны и портативные вычислительные устройства, включают в себя протокол IPv6.

Узел IPv6/IPv4 реализует как IPv4, так и IPv6.

Узел IPv4 реализует IPv4. Узел IPv4 может быть узлом только IPv4 или узлом IPv6/IPv4.

Узел IPv6 реализует IPv6. Узел IPv6 может быть узлом только IPv6 или узлом IPv6/IPv4.

Чтобы имело место сосуществование, наибольшее количество узлов (узлов IPv4 или IPv6) могут обмениваться информацией или данными с использованием инфраструктуры IPv4, инфраструктуры IPv6 или инфраструктуры, которая является комбинацией IPv4 и IPv6. Истинная миграция достигается, когда все узлы IPv4 превращены в узлы только IPv6. Однако, в обозримом будущем, практическая миграция достигается, когда как можно больше узлов только IPv4 превращено в узлы IPv6/IPv4. Узлы только IPv4 могут поддерживать связь с узлами только IPv6 исключительно при использовании посреднического или трансляционного шлюза IPv4 в IPv6.

Несмотря на то что такие шлюзы часто работают удовлетворительно, зачастую они олицетворяют дополнительные расходы по сравнению с прирожденными реализациями IPv6. А так как посредническому или трансляционному шлюзу IPv4 в IPv6 необходимо завершать соединение IPsec для шифрованного трафика до того, как может быть выполнена трансляция, линия связи между шлюзом и инфраструктурой IPv4 может представлять собой уязвимость средств безопасности в некоторых случаях. В дополнение, использование шлюза типично служит причиной неразберихи в данном домене, что касается инфраструктуры системы доменных имен («DNS»), так как инфраструктура IPv4 будет регистрироваться серверами DNS в домене в качестве сервера IPv4, например, даже если шлюз поддерживает IPv6. Обновление инфраструктуры DNS, чтобы иметь дело со смешанными возможностями IPv4/IPv6, не является тривиальным делом и олицетворяет дополнительные затраты.

Этот уровень техники приведен, чтобы ввести в краткий контекст для реферата и подробного описания, которые следуют. Этот уровень техники не подразумевается вспомогательным средством в определении объема заявленного предмета изобретения и не рассматривается в качестве ограничивающего заявленный в формуле предмет изобретения реализациями, которые кладут конец любому или всем из недостатков или проблем, представленных выше.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Собственные IPv6 возможности предоставляются узлу, устройству или конечной точке сети IPv4 (совместно указываемым ссылкой как конечная точка) с использованием аппаратного интерфейса, который поддерживает сетевую передачу данных по модели прямого доступа. Модель прямого доступа поддерживает передачу данных IPv6 с IPsec и принудительно применяет политики необходимых условий исправности защиты доступа к сети («NAP») для конечных точек, которые являются клиентами сети. Подготовленный для прямого доступа сервер наделен возможностью использования аппаратного интерфейса, который реализует трансляцию IPv4 в IPv6 и, по выбору, возможность завершения IPsec. Подготовленный для прямого доступа клиент наделен возможностью использования аппаратного интерфейса, который реализует трансляцию IPv4 в IPv6, возможность завершения IPsec и который, по выбору, предоставляет возможности NAP (защиты доступа к сети) для подготовленных для прямого доступа клиентов, которые сконфигурированы в качестве мобильных информационных бытовых устройств. Аппаратный интерфейс может быть реализован в качестве сетевой интерфейсной карты ('NIC') или в качестве чипсета.

Аппаратный интерфейс прямого доступа преимущественно дает возможность не подготовленным для прямого доступа устройствам, в том числе, унаследованным и не основанным на Windows устройствам, без труда модернизироваться прирожденными возможностями IPv6 при низкой себестоимости с усиленной защитой от несанкционированного доступа и без модификаций или изменений в отношении установленного программного обеспечения. В дополнение, что касается серверов, использование аппаратного интерфейса прямого доступа устраняет неразбериху DNS в домене, который формируется обыкновенным образом при использовании шлюза IPv4 в IPv6. В иллюстративном примере, аппаратный интерфейс прямого доступа, кроме того, сконфигурирован для предоставления возможностей совместного использования оценки безопасности предприятия («ESAS») конечной точке IPv4. Здесь семантическая абстракция, названная оценкой безопасности, используется, чтобы давать возможность совместного использования связанной с безопасностью информации между разными наделенными возможностью ESAS конечными точками. Оценки безопасности, существующие в конкретной вычислительной среде, функционируют для выдачи контекста безопасности, который дает наделенной возможностью ESAS конечной точке новый способ посмотреть на свою собственную локально доступную информацию. Контекст безопасности позволяет наделенной возможностью ESAS конечной точке комбинировать и сопоставлять доказательства из оценок безопасности, принятых из многообразия разных источников, и по разным типам объектов, для того чтобы значительно улучшить качество их обнаружения потенциально возможных инцидентов безопасности, и снижает уровень ложноположительных и ложноотрицательных идентификаций инцидентов безопасности в среде. В дополнение к реализации в аппаратных средствах некоторых или всех из функциональных возможностей ESAS, которые типично предусмотрены программным обеспечением, аппаратный интерфейс прямого доступа может быть сконфигурирован для отправки и приема оценок безопасности по определенному каналу. Канал может содержать линию связи или использовать определенный IP-адрес и, кроме того, может обрабатываться с конкретным качеством обслуживания («QoS»), чтобы гарантировать передачу оценок безопасности даже в случаях, где сеть перегружена. Аппаратные средства прямого доступа, таким образом, могут распространять влияние преимуществ и выгод ESAS на пользователей, которые находятся вне сети предприятия также наряду с увеличением количества наделенных возможностью ESAS конечных точек, которые пригодны для обнаружения потенциально возможных угроз нарушения безопасности.

Эта сущность изобретения приведена для представления в упрощенном виде выбора концепций, которые дополнительно описаны ниже в подробном описании. Эта сущность изобретения, однако, не предназначена для идентификации ключевых признаков или существенных признаков заявленного предмета изобретения, также не предназначена для использования в качестве вспомогательного средства при определении объема заявленного предмета изобретения.

ОПИСАНИЕ ЧЕРТЕЖЕЙ

Фиг. 1 показывает иллюстративную сетевую вычислительную среду, в которой может работать настоящий аппаратный интерфейс;

Фиг. 2 показывает подробности типичной реализации узла в сетевой вычислительной среде, в которой шлюз предусматривает функциональные возможности NAT-PT (трансляции сетевого адреса-трансляции протокола) и туннелирования IPsec;

Фиг. 3 показывает иллюстративный стек протоколов программного обеспечения и аппаратный интерфейс, которые могут использоваться в конечной точке;

Фиг. 4 показывает функциональные компоненты иллюстративного аппаратного интерфейса, который может быть реализован в качестве сетевой интерфейсной платы;

Фиг. 5 показывает функциональные компоненты иллюстративного аппаратного интерфейса, который может быть реализован в качестве чипсета;

Фиг. 6 показывает иллюстративную компоновку совместного использования оценки безопасности предприятия («ESAS») в сети предприятия;

Фиг. 7 - схема первого иллюстративного сценария, в котором множество наделенных возможностью ESAS конечных точек присоединены к каналу оценки безопасности, и обнаруженный инцидент в одной конечной точке инициирует реакции в многочисленных других конечных точках;

Фиг. 8 - схема второго иллюстративного сценария, в котором оценка безопасности низкой точности отправляется по каналу оценки безопасности, которая инициирует формирование новой оценки высокой точности принимающей наделенной возможностью ESAS конечной точкой, которая также выполняет отображение между объектами;

Фиг. 9 - схема третьего иллюстративного сценария, которая показывает целевое использование технологий исправления;

Фиг. 10 показывает иллюстративную компоновку, в которой канал оценки безопасности ESAS может тянуться из сети предприятия через незащищенную сеть, такую как сеть Интернет в одн или более конечных точек, которые наделены возможностью ESAS благодаря использованию настоящего аппаратного интерфейса; и

Фиг. 11 показывает иллюстративную расширенную архитектуру ESAS, в которой оценка безопасности принимается удаленной конечной точкой, которая наделена возможностью ESAS благодаря настоящему аппаратному интерфейсу.

Одинаковые номера ссылок указывают идентичные элементы на чертежах. Элементы на чертежах не начерчены для представления в определенном масштабе, если не указано иное.

ПОДРОБНОЕ ОПИСАНИЕ

Фиг. 1 показывает иллюстративную сетевую вычислительную среду 100, в которой может работать настоящий аппаратный интерфейс. В этом примере, клиентские устройства 105_{1,2... N}, такие как персональный компьютер 105₁ («ПК», «PC»), дорожный компьютер 105₂, мобильное информационное бытовое устройство 105₃, основанный на операционной системе не Windows® компьютер 105_N используют сеть, такую как сеть 112 Интернет, для осуществления доступа к ресурсам 115, таким как веб-серверы 121, или установления удаленного доступа к сети 130 предприятия. Пользователи клиентских устройств 105 могут прибегать к удаленному доступу к услугам, файлам и/или данным, которые поставляются серверами в сети 130 предприятия, например, такими как файловый сервер 137, сервер 142 электронной почты и сервер 146 базы данных.

Фиг. 2 показывает подробности типичной реализации узла или домена 200 в сетевой вычислительной среде, в которой шлюз 206 поддерживает компонент 211 NAT-PT (трансляции сетевого адреса - трансляции протокола) и компонент 215 туннелирования IPsec. Такой шлюз 206 обычно используется для предоставления возможности прямого доступа прирожденной серверной инфраструктуре 223 IPv4, которая может использоваться для поддержки основанных на сети Интернет ресурсов 115 или сети 130 предприятия, показанной на фиг. 1. Как отмечено выше, термин «прямой доступ» используется для определения возможности IPv6, использующей IPsec, в том числе NAP IPsec, в некоторых реализациях.

Компонент 211 NAT-PT функционирует в качестве инструмента миграции, чтобы давать оператору домена 200 возможность осуществлять переход сетей IPv4 в сети IPv6. Посредством размещения функциональных возможностей NAT-PT в шлюзе 206 конечная точка в узле только IPv6 может соединяться с серверной инфраструктурой 223 на узле только IPv4. Компонент 211 NAT-PT также поддерживает функциональные возможности шлюза прикладного уровня («ALG»), чтобы давать возможность отображения доменного имени в адрес в инфраструктуре 230 DNS, которая типично предусмотрена в домене 200. Более точно, ALG предоставляет возможность разрешения адресов IPv6 в запросы и ответы DNS, в их привязки адресов IPv4 и наоборот, в то время как пакеты DNS проходят между сетями IPv4 и IPv6. Эта дополнительная сложность вызвана неспособностью серверной инфраструктуры 223 осуществлять регистрацию с инфраструктурой 230 DNS в качестве прирожденного сервера IPv6.

Компонент 215 конечной точки туннеля IPsec дает шлюзу 206 возможность завершать соединение IPsec. Туннель IPsec использует шифрованные заголовок и полезную нагрузку IP во время прохождения. Таким образом, туннель обеспечивает защиту для пакета, взятого в целом. Полный пакет IP сначала инкапсулируется, например, заголовком аутентификации или заголовком безопасной инкапсуляции полезной нагрузки, а затем результат инкапсулируется дополнительным заголовком IP. Дополнительный заголовок IP содержит в себе источник и пункт назначения конечных точек туннеля. После того как пакет достигает первого пункта назначения в конечной точке туннеля, он может декапсулироваться и отправляться в конечный пункт назначения посредством считывания IP-адреса.

Функциональные возможности NAP типично будут реализовываться с использованием как клиентских, так и серверных компонентов, которые предоставляют возможность создания и принудительного применения политик необходимых условий исправности, которые определяют требуемые программные и системные конфигурации для компьютеров, которые присоединяются к данной сети. NAP принудительно применяет обязательные условия исправности, проверяя и оценивая исправность клиентских компьютеров, ограничивая сетевой доступ, когда клиентские компьютеры считаются несоответствующими техническим условиям, и исправляя несоответствующие техническим условиям клиентские компьютеры для неограниченного сетевого доступа. NAP принудительно применяет обязательные условия исправности на клиентских компьютерах, которые пытаются присоединиться к сети. NAP также может обеспечивать непрерывное принудительное применение соответствия техническим условиям исправности, в то время как соответствующий техническим условиям клиентский компьютер присоединен к сети.

В некоторых реализациях, серверная инфраструктура 223 также будет применять компоненты NAP серверной стороны, которые реализованы в этом примере в качестве производных от IPSec, известные как IPsec с AuthIP, или аутентифицированные IP (как идентифицировано номером 237 ссылки). Эти функциональные возможности поддерживаются в последних выпусках операционных систем Microsoft Windows и обеспечивают упрощенные конфигурирование и техническое обслуживание политик IPSec во многих конфигурациях и дополнительную гибкость для одноранговой аутентификации IPsec. В частности, компонент 237 IPsec с AuthIP сконфигурирован для верификации сертификата NAP на сервере 223.

Фиг. 3 показывает иллюстративный стек 305 протоколов программного обеспечения и программный интерфейс 312, которые могут использоваться в неподготовленной для прямого доступа конечной точке, чтобы наделять ее возможностями прямого доступа. Конечная точка может включать в себя клиентский компьютер, мобильное информационное бытовое устройство (такое как мобильный телефон, смартфон, PDA, карманный ПК, портативное игровое устройство, медиаплеер, и т.д.), сервер или промежуточное сетевое устройство, такое как шлюз, маршрутизатор, коммутатор, и т.д. В этом примере, аппаратный интерфейс 312, в качестве альтернативы, может быть реализован в качестве сетевой интерфейсной карты («NIC») или в качестве чипсета. Когда реализован в качестве NIC, аппаратный интерфейс типично будет служить средством сопряжения с конечной точкой через стандартизованный физический интерфейс 315, такой как применяющие шину PCI (соединения периферийных компонентов), PCI-X или PCI Express. Когда реализован в качестве набора микросхем, аппаратный интерфейс типично будет служить средством физического сопряжения с конечной точкой с использованием специфичного устройству или частного интерфейса 319.

Как показано на фиг. 3, стек 305 протоколов программного обеспечения в конечной точке включает в себя прикладной уровень 325, который взаимодействует с транспортным уровнем 332, который поддерживает протоколы, такие как TCP и UDP (протокол дейтаграмм пользователя). Межсетевой уровень 336 IPv4 реализует транспортировку данных через уровень 340 сетевого интерфейса. Драйвер 345 сетевого интерфейса предоставляет необходимую абстракцию аппаратного интерфейса 312 стеку 305 протоколов.

Фиг. 4 показывает функциональные компоненты иллюстративного аппаратного интерфейса, когда реализован в качестве NIC 405. Компоненты, по выбору, могут использоваться в различных комбинациях, как указано пунктирными прямоугольниками, в зависимости от требований конкретной реализации. Например, в некоторых реализациях, IPsec необходим, только если операционная система уже поддерживает IPv6. Либо, среди прочего, может не требоваться прямой доступ, и NIC 405 используется только для предоставления функциональных возможностей ESAS. Это, например, могло бы происходить в случаях, когда NIC 405 установлена в устройстве, подобном коммутатору или маршрутизатору.

Компоненты включают в себя компонент 412 трансляции и компонент 416 IPsec. Компонент 412 трансляции обеспечивает трансляцию IPv4 в IPv6, а также функциональные возможности ALG, чтобы производить модификации в отношении реестра DNS. Компонент 416 IPsec дает возможность завершения соединений IPsec. В этом примере, компонент 416 IPsec реализован, чтобы включать в себя принудительное применение NAP (то есть компонент 416 поддерживает NAP IPsec). Аппаратная NIC 405, таким образом, предусматривает не подготовленные для прямого доступа интерфейсы (то есть интерфейсы IPv4 и без IPsec, как соответственно указано номерами 425 и 428 ссылок) для предоставления функциональной совместимости без модификации конечным точкам, в которых она установлена, наряду с наделением прирожденной возможностью IPv6.

NIC 405 дополнительно включает в себя компонент 423 ESAS, который предоставляет возможности совместного использования оценки безопасности предприятия конечной точке, в которой установлена NIC 405. Компонент 423 ESAS может реализовывать в аппаратных средствах некоторые или все из функциональных возможностей ESAS, которые типично обеспечиваются программным обеспечением. Иллюстративные сценарии ESAS, которые используют конечную точку, имеющую установленную NIC с возможностью ESAS, показаны на фиг. 10-11 и описаны в сопроводительном тексте.

Фиг. 5 показывает функциональные компоненты иллюстративного аппаратного интерфейса, когда реализован в качестве чипсета 505. Как с компонентами, показанными на фиг. 4, компоненты на фиг. 5, по выбору, могут использоваться в различных комбинациях. Компоненты включают в себя компонент 512 трансляции и компонент 516 IPsec, которые скомпонованы подобными признаками и функциональными возможностями, как их эквиваленты, показанные на фиг. 4 и описанные в сопроводительном тексте. Чипсет 505 также включает в себя компонент 521 NAP клиентской стороны. Компонент 521 NAP клиентской стороны, например, может использоваться в приложениях клиентских устройств, таких как с мобильными информационными бытовыми устройствами, которые в настоящее время не оснащены возможностями NAP. Как и с аппаратной NIC 405, аппаратный набор 505 микросхем предусматривает не подготовленные для прямого доступа интерфейсы (то есть, интерфейсы IPv4 и без IPsec, как соответственно указано номерами 525 и 528 ссылок) для предоставления функциональной совместимости без модификации конечным точкам, в которых он установлен, наряду с наделением прирожденной возможностью IPv6.

Отмечено, что как NIC 405, так и чипсет 505, в качестве альтернативы, могут быть реализованы с использованием компоновки «двойного стека», в котором поддерживаются оба, IPv4 и IPv6. В этой реализации, может использоваться любой из отдельных сетевых стеков IPv4 и IPv6, или, типичнее, стеки будут совместно использовать некоторую общую управляющую программу. Компоновки двойного стека, например, описаны в RFC 4213 и часто используются для обеспечения механизмов перехода между IPv4 и IPv6, так что конечные точки в системе по-прежнему могут подвергаться доступу с использованием исключительно IPv4, если необходимо. Кроме того, отмечено, что NIC 405 и чипсет 505 могут быть сконфигурированы для взаимодействия с любыми из клиентов прямого доступа или серверами прямого доступа, как необходимо для удовлетворения требований конкретной реализации.

Чипсет 505 дополнительно включает в себя компонент 523 ESAS, который предоставляет возможности совместного использования оценки безопасности предприятия конечной точке, в которой установлен чипсет 505. Компонент 523 ESAS может реализовывать в аппаратных средствах некоторые или все из функциональных возможностей ESAS, которые типично обеспечиваются программным обеспечением. Иллюстративные сценарии ESAS, которые используют конечную точку, имеющую установленную NIC с возможностью ESAS, показаны на фиг. 10-11 и описаны в сопроводительном тексте.

Далее представлен иллюстративный пример, в котором компоновка ESAS реализована с использованием настоящего аппаратного интерфейса. В вычислительной среде предприятия, например, офисе коммерческого предприятия, некоторое количество персональных компьютеров, рабочих станций, серверов и тому подобного наряду с другими устройствами, такими как подсистемы запоминающих устройств большой емкости, внутренние сетевые интерфейсы и внешние сетевые интерфейсы, типично взаимосвязаны для обеспечения интегрированной среды, в которой информация может формироваться, подвергаться доступу из внешних источников и совместно использоваться среди различных пользователей. Как правило, пользователи выполняют многообразие операций, в том числе прием заказов, производство, отгрузку, выставление счетов, управление запасами, подготовку и администрирование документов, отправку электронной почты, просмотр веб-страниц, и другие операции, в которых полезны создание, доступ и совместное использование данных.

В настоящее время, обеспечение безопасности типично предусмотрено для предприятия с использованием многообразия разных продуктов обеспечения безопасности, каждый из которых обычно выполнен с возможностью контролировать только неполную часть данных масштаба предприятия. То есть продукты обеспечения безопасности скомпонованы в качестве отдельных локальных «островков», где каждый продукт контролирует, осуществляет доступ и предпринимает действия по отношению к разным частям данных в пределах предприятия. Например, продукт обеспечения безопасности хост-узла, продукт граничного межсетевого экрана, продукт NIDS, продукт NAP и другие дискретные продукты обеспечения безопасности обеспечивают безопасность для различных частей предприятия.

Несмотря на то, что эти продукты обеспечения безопасности часто работают удовлетворительно во многих приложениях, обнаружение инцидентов безопасности часто страдает от нежелательно высоких уровней ложноположительных и ложноотрицательных случаев в результате контроля только частичных данных безопасности предприятия. Также было затруднительно обеспечивать эффективное общее управление на всех островках продуктов обеспечения безопасности предприятия. Современные попытки сопоставлять данные безопасности масштаба предприятия имеют высокие затраты на управление и техническое обслуживание и имеют проблемы масштабирования. Соответственно, ESAS дает единое представление масштаба предприятия, чтобы дать администраторам безопасности возможность определять ясные, простые и унифицированные политики масштаба предприятия для автоматических реакций на инциденты безопасности.

Как отмечено выше, ESAS полагается на семантическую абстракцию, названную оценкой безопасности, которая дает возможность совместного использования связанной с безопасностью информации между разными продуктами обеспечения безопасности, названными конечными точками обеспечения безопасности, в среде обеспечения безопасности предприятия. Оценка безопасности определена в качестве умозрительного назначения конечной точкой обеспечения безопасности более широкого контекстного значения на информацию (то есть данные в некотором контексте), которая собрана об интересующем объекте в среде, таком как компьютер, пользователь, услуга (например, веб-сайт), данные или предприятие в целом. Оценка безопасности использует краткий словарь для конечных точек обеспечения безопасности для объявления, что объект в среде попадает в конкретную категорию оценки, такую как «скомпрометированный» или «атакуемый», наряду с серьезностью (например, низкой, средней, высокой, критической) обнаруженного инцидента.

Оценка безопасности является умозрительной, так как она подвластна некоторой неопределенности и действительна в течение ограниченного периода времени. Умозрительная природа оценки безопасности отражена в двух ее компонентах: поле точности, которое выражает уровень доверия, который конечная точка обеспечения безопасности имеет в пределах своего назначения контекстного значения, и поле времени существования («TTL»), которое отражает оценку периода времени конечной точки обеспечения безопасности, в течение которой ожидается, что оценка безопасности будет действительной. Таким образом, например, оценка безопасности может использоваться конечной точкой обеспечения безопасности для объявления, в свете такого текущего понимания конечной точкой обеспечения безопасности одного или более инцидентов безопасности, что конкретная машина скомпрометирована, с критическим уровнем серьезности, со средней точностью и имея TTL 30 минут. Многообразие типов оценок безопасности может использоваться в любой заданной среде обеспечения безопасности предприятия, например, имеющей различные комбинации категории оценки и типа объекта.

Конечные точки обеспечения безопасности наделены функциональными возможностями для опубликования оценок безопасности в канал оценки безопасности, действующий в среде, а также в подписки на подмножество имеющихся в распоряжении оценок безопасности, публикуемых другими конечными точками обеспечения безопасности. Оценки безопасности, существующие в среде, которые активны (то есть имеющие TTL, которое указывает, что оценки все еще действительны), функционируют для выдачи контекста безопасности, который дает наделенной возможностью ESAS конечной точке новый способ посмотреть на свою собственную локально доступную информацию. То есть контекст безопасности позволяет наделенной возможностью ESAS конечной точке комбинировать или сопоставлять доказательства из разных оценок безопасности, принятых из многообразия разных источников, и по типам объектов, для того чтобы значительно улучшать качество их обнаружения потенциально возможных инцидентов безопасности. Наделенная возможностью ESAS конечная точка затем принимает решение в отношении того, какие локальные действие или реакция являются надлежащими для каждого типа оценки безопасности (принятой ли из другой конечной точки обеспечения безопасности, или сформированной внутри самой конечной точки обеспечения безопасности) в соответствии с набором политик реакции. Обнаружение инцидентов является действенным и экономически эффективным, так как контекст безопасности дает возможность распределенной обработки информации масштаба предприятия, в виде оценок безопасности, без накладных расходов совместного использования больших объемов необработанных данных по всему предприятию (большинство из которых совершенно нерелевантны вследствие отсутствия какого бы то ни было контекста). Наделенные возможностью ESAS конечны точки, кроме того, выполнены с возможностью откатывать назад локальное действие по истечению оценки безопасности, которая побуждала локальное действие (то есть, когда оценка безопасности превышает время существования, заданное в поле TTL).

В большинстве типичных реализаций ESAS используется специализированная конечная точка обеспечения безопасности, называемая центральным сервером ESAS. Центральный сервер ESAS привязан к каналу оценки безопасности и выступает в качестве централизованного пункта контрольной проверки, подписываясь на все оценки безопасности, регистрируя оценки безопасности, а также регистрируя локальные действия, предпринятые конечными точками обеспечения безопасности в ответ на инциденты безопасности в среде. Центральный сервер ESAS снабжает администраторов всеобъемлющим представлением о предыстории и текущем состоянии предприятия в целом и каждой наделенной возможностью ESAS конечной точки. Использование оценок безопасности дает администратору возможность компактно и эффективно конфигурировать политики реакции на инциденты, которые обнаруживаются на предприятии, взятом в целом. Оценки безопасности действуют в качестве естественных привязок или начальных точек для определения политик реакции безопасности масштаба предприятия. Изящный и непротиворечивый интерфейс управления, таким образом, задействован для определения требуемых реакций на каждый тип оценки безопасности по всему предприятию, взятому в целом.

Компоновка ESAS дает некоторое количество преимуществ. Посредством применения оценки безопасности, имеющей краткий словарь, общая сложность данных на предприятии радикально снижается и только поддающаяся интерпретации информация совместно используется между конечными точками обеспечения безопасности. Использование оценки безопасности также устраняет необходимость накапливать большие объемы необработанных данных в месте центрального хранения и, тем самым, дает высокомасштабируемым решениям обеспечения безопасности предприятия возможность троиться на экономически очень эффективной основе. В дополнение, новая конечная точка обеспечения безопасности может быть легко развернута с расширяемостью по требованию. Оценки безопасности могут совместно использоваться между новой конечной точкой обеспечения безопасности и существующими конечными точками обеспечения безопасности без необходимости переконфигурировать какие-нибудь политики безопасности в пределах существующих конечных точек обеспечения безопасности. Новая конечная точка обеспечения безопасности функционирует просто в качестве нового источника оценок безопасности, использующего семантическую абстракцию, которую существующие конечные точки обеспечения безопасности уже понимают. Использование оценок безопасности также дает политикам безопасности масштаба предприятия возможность устанавливаться с использованием очень компактного и ясного обобщенного способа без необходимости понимать все возможные события безопасности, которые может вырабатывать каждая конечная точка обеспечения безопасности на предприятии, а затем пытаться описать ответное действие для каждого события.

Далее, обращаясь к фиг. 6, показана иллюстративная компоновка 600 ESAS, развернутая в сети 130 предприятия, в которой предусмотрен канал 602 оценки безопасности, чтобы дать оценке безопасности возможность совместно использоваться среди многочисленных конечных точек обеспечения