DASH-initiativet – skaber tryghed om netværkssikkerheden
Kim Larsen, country manager hos Allied Telesis, diskuterer den flerlagede sikkerhed i DASH-kompatible computere.
Af Henrik Eilers
Formålet med disse standarder er at fremme videndeling mellem it-ledere, effektiv fjernstyring og mere fleksibel programmering. DASH-initiativet fungerer gennem et interoperabelt CIM (Common Information Model) via en webbaseret platform. Det giver it-ledere mulighed for at udføre opgaver i forbindelse med systemdrift fra et eksternt sted og i realtid. Både genstart af computer og bekræftelse af softwareopdateringer kan udføres fra en ekstern placering, hvilket gør det nemmere og mere effektivt at administrere netværket.
Spørgsmål om sikkerhed
Imidlertid er sikkerhedsspørgsmål ofte tæt forbundet med diskussioner om fjernstyring, hvilket skyldes, at den eksterne adgang, der jo netop er fordelen, betragtes som en sikkerhedsmæssig svaghed.
Sikkerheden er naturligvis meget vigtig i forbindelse med systemadministration og er derfor noget, som enhver it-leder er meget bevidst om. Når man arbejder via en CIM, vil deling og det at gøre netværksoplysninger tilgængelige for alle brugere i et netværk ved brug af en åben standard, samtidig med at man forhindrer, at oplysninger misbruges, noget af en udfordring.
Derfor sætter it-administratorer spørgsmålstegn ved det niveau og den pålidelighed, som DASH-initiativet og DASH-kompatible netværksløsninger giver mulighed for. Tvivlen skyldes tidligere erfaringer.
Fleksibilitet ikke lig manglende sikkerhed
Tidligere blev beskyttede netværksløsninger i høj grad betragtet som noget, der kunne garantere meget sikre og pålidelige systemer, hvilket skyldes patenter og licenser, der begrænser adgangen til data og giver restriktioner på ændringer.
Fleksibilitet er imidlertid ikke ensbetydende med, at sikkerheden ikke tages alvorligt, og virksomheder kan fx sikre sig, at datasikkerheden ikke bringes i fare ved at implementere interne it-politikker, så det kun er brugere med administrative rettigheder, der kan ændre netværksindstillingerne.
Modsat den almindelige opfattelse overholder DASH-initiativet sikkerhedskravene ved at anvende en flerlaget tilgang, hvor der defineres flere sikkerhedsniveauer. DASH-kompatible it-løsninger anvender godkendelse og godkendelsesprocedurer, som it-lederne kan bruge til at kontrollere deres netværk fra et eksternt sted i realtid, men også til at sikre, at brugere ikke har adgang til fortrolige data eller er begrænset til opgaver på det administrative niveau.
DASH-kompatibile computere giver mulighed for to vigtige sikkerhedstyper, nemlig klasse A og B. Klasse A kræver ikke datakryptering, hvilket gør sig gældende for B. Klasse B sikrer it-ledernes krav om, at beskyttelse af personlige oplysninger og fortrolighed overholdes, når det gælder klientdata samtidig med, at den giver øget sikkerhed.
Brug af NIC-enheder
En anden sikkerhedsfunktion, som anvendes af DASH, er brugen af NIC-enheder (Network Interface Cards). NIC-enheder har integreret kryptering og indbygget kryptografisk processorfirmware til datakryptering og funktioner til dekryptering, der ikke blot forhindrer, at personer uden tilladelse kan få adgang til data, der kræver bestemte rettigheder, men også frigør værts-CPU'en, så den kan udføre andre it-administrationsopgaver.
Dette reducerer den tid, der skal bruges på netværksadministration og sikrer, at it-ledere får de hurtigst mulige forbindelseshastigheder, når der sendes eller modtages beskyttede data.
For eksempel giver det fiberbaserede AT-2812FX med Fast Ethernet fra Allied Telesis øget sikkerhed ved hjælp af et sæt protokoller til sikring af internetprotokollen (IP), den kaldes IPSec (IP Security). IPSec kræver godkendelse og/eller kryptering af hver enkelt IP-datapakke i en datastrøm. AT-2812FX understøtter også IPSec AH- (Authentication Header) og ESP-protokoller (Encapsulation Security Payload) til op til 32 SA'er (Security Associations), hvilket sikrer pålidelige og sikre datatransmissioner fra start til slut.
Forhindrer uautoriseret brug
Den interoperable DASH-standard giver ikke blot it-ledere mulighed for at udveksle rigtig mange oplysninger via internettet, hvilket gør netværksadministrationen mere fleksibel, øger tilpasningsevnen og mere brugervenlig.
Vigtigst af alt forhindrer den imidlertid brugere, som ikke har de nødvendige tilladelser, i at få adgang til værktøjer til administrative handlinger og personlige oplysninger. Ved at anvende en flerlaget sikkerhedstilgang, herunder brugen af IPSec og en lang række forskellige godkendelsesprotokoller, kan it-administratorer få fuld kontrol over de handlinger, der udføres under fjernovervågning af deres DASH-kompatible computere.
Det er vigtigt, at administratorerne kan anvende forskellige it-politikker til forretningsbrug. Dette vil støtte DASH-initiativet, hvilket allerede omfatter alle de sikkerhedsfunktioner, der kræves for at gøre fleksibiliteten ved fjernovervågning til en god ide.
Kilde: Allied Telesis - http://www.alliedtelesis.com
