Ostatnio rosnącą popularnością cieszą się usługi realizowane „w chmurze”. Cisco również poszło tą drogą i oferuje całkiem ciekawą usługę filtrowania treści web. Przyjrzyjmy się jej bliżej.

Opis usługi ScanSafe Web filtering

Cisco ScanSafe jest skuteczną i efektywną metodą ochrony komunikacji Web. Działa w modelu software as a service, nie ma zatem potrzeby instalowania dodatkowych komponentów w sieci klienta. Zasada działania sprowadza się bowiem do przekierowania ruchu generowanego przez klienta do serwerów scansafe zarządzanych przez firmę Cisco . Przekierowanie wykonywane jest przez router Cisco , który wysyła ruch o charakterze webowym do najbliższego klientowi datacenter Cisco gdzie ruch jest obsługiwany przez serwery scansafe. Możliwe jest przesyłanie do usługi filtrującej zawartość zarówno całego ruchu www jak i zdefiniowanie ruchu, który nie będzie podlegał zasadom definiowanym przez ScanSafe.

Zaletą współpracy routera Cisco z usługa ScanSafe jest prosta integracja środowisk wymagająca jedynie niewielkiej zmiany na routerze.

Przykładowa architektura pokazana jest poniżej

Klient generuje ruch do sieci Internet, jest to ruch do serwerów http . Router łączący sieć klienta do internetu kategoryzuje ruch jako wymagający przesłania do serwerów ScanSafe. Serwery ScanSafe analizują zapytanie klienta pod katem zdefiniowanej polityki i przepuszczają bądź blokują ruch.

Funkcjonalność przekierowania ruchu do usługi scansafe oferują routery Cisco ISR G2 pokazane w tabeli:

 

Usługa ScanSafe może być jednakże obsługiwana także w modelu , w którym to komputer użytkownika jest skonfigurowany do wysyłania całego ruchu web do proxy ScanSafe

Lokalizację urządzeń scansafe na świecie przedstawiono na rysunku:

 

Serwery Scansafe są w istocie specjalizowanymi serwerami proxy wyposażonymi w logikę zabezpieczeń. Proponowane rozwiązanie: ScanSafe Web filtering pozwala na kontrole zawartości www . Co warto podkreślić przeglądany jest również ruch szyfrowany SSL . Rozwiązanie ScanSafe Web Filtering korzysta z wiodącej na rynku bazy danych kategoryzującej strony internetowe. Dodatkowo posiada wbudowany mechanizm ochrony przed stronami które jeszcze nie zostały skategoryzowane.

Zalety

Zalety stosowania usługi ScanSafe Web filtering to:

• optymalizacja zasobów sieciowych poprzez eliminacje ruchu niedozwolonego ( co pozwala zaoszczędzić pasmo )
• zabezpieczenie przed dostępem do stron niezgodnych z polityką firmy
• zabezpieczenie przed dostępem do stron zawierających treści niebezpieczne dla naszych wewnętrznych zasobów ( przykładowo stron skategoryzowanych jako służące rozprzestrzenianiu wirusów)
• zwiększenie produktywności pracowników przez limitowanie poza biznesowej aktywności sieciowej
• zabezpieczenie przed wyciekiem cennych informacji z firmy

Zarządzanie i raportowanie

Zarządzanie politykami dostępu do zawartości Web odbywa się przez scentralizowany graficzny interfejs ScanCenter.Możłiwe jest kreowanie polityk obsługujących ruch bazujących na predefiniowanych przez ScanSafe kategoriach stron , typie zawartości jak i na własnych definicjach konkretnych zasobów

Usługa integruje się z Active Directory stąd dla odpowiednich grup użytkowników mogą być przypisywane odpowiednie polityki. Interfejs ScanCenter pozwala również na dokładne raportowanie użycia zasobów www. Możliwe jest tworzenie raportów dla konkretnego użytkownika , grupy użytkowników, całej firmy.

Przykładowe raporty generowane przy użyciu narzędzia ScanCenter pokazano poniżej:

 

 

Jednakową formą ochrony przed nieprawidłową zawartością mogą być w rozwiązaniu Cisco ScanSafe Web Filtering objęci zarówno użytkownicy zdalni jak I użytkownicy korzystający z sieci firmowej.

Wsparcie dla uwierzytelniania użytkowników z Active Directory

Uwierzytelnianie może odbywać się przy użyciu strony web według następującego schematu

• Klient inicjuje ruch do zewnętrznych stron internetowych
• Router uwierzytelnia klienta korzystając z serwera serwera ldap ( może to być Active directory ), uwierzytelnianie może wykorzystywać metodę NTLM nie wymagająca interakcji z klientem ( dane użytkownika sa pobierane z systemu klienta )
• Dane klienta są przekazywane do serwera ScanSafe
• Ruch klienta jest przekazywany do klienta ScanSafe

 

Należy podkreślić, że transmisja danych Active Directory jest szyfrowana protokołem SSL .

Licencjonowanie ScanSafe

ScanSafe Webfiltering jest licencjonowany jako subskrypcja usługi . Cena usługi jest zmienna i jest funkcją długości okresu trwania umowy i ilości użytkowników

Przyjęto założenia : 100 uzytkowników

Szacowana cena to 5 dolarów na miesiąc dla użytkownika.