Название Форт Нокс во всем мире ассоциируется с максимальной безопасностью. Официально называемый как United States Bullion Depository, Форт Нокс считается самым безопасным местом в мире. Во время Второй мировой войны здесь хранилась не только Конституция и Декларация независимости США, но и королевские драгоценности королевы Великобритании.

Высокие стены
С тех пор, как Форт Нокс стал хранилищем золотого запаса США в 1936 году, не было ни одной попытки его ограбления. Хранилище защищено несколькими слоями защиты, начиная от военных патрулей с автоматическим оружием, заканчивая танками и вертолетами.  Можно провести множество параллелей между физической безопасностью Форта Нокса и лучшими примерами сетевой безопасности. В ближайшее время мы с помощью сотрудников компании Lancope рассмотрим каждую из этих параллелей.
Начнем с защиты периметра.

Файервол на границе
Файервол или брандмауэр вообще - это защитный барьер от огня, мешающий ему распространиться от одной комнаты в другую. В компьютерной отрасли первые внедрения файервола имели похожие цели. Файервол создавался для предотвращения распространения сетевых проблем (например, червей) из одного сетевого сегмента в другой.
В корпоративных сетях файервол устанавливался для создания "границы" между сетью и Интернетом (или другими сетями). Согласно правилам файервол начинает с блокирования всего трафика, а затем создаются "дыры" для пропускания трафика специализированных сетевых ресурсов и услуг. Списки контроля доступа (access control lists, ACL) файервола обладают способностью ограничивать доступ к ресурсам, которые могут использоваться посторонними пользователями.
В понимании физической безопасности эти "дыры" в стене известны как ворота. В воротах Форта Нокса располагается вооруженная охрана, которая проверяет входящих и защищает секцию, в которую ведут ворота. Файервол сам по себе не обладает такими защитными способностями. (Позднее мы рассмотрим методы и технологии, которые отвечают за безопасность в таких "воротах").

Контроль сетевого доступа на границе
Граница сети - это место, где посторонние пытаются получить доступ к сетевым ресурсам. Когда внутренний корпоративный пользователь "входит" в сеть, они не "переходят" через границу, а получают доступ на ее "краю". Этот "край" включает в себя внутренние сетевые коммутаторы, беспроводные точки доступа и виртуальные приватные сети (VPN). Файервол защищает от внешних атак, в то время как контроль сетевого доступа (network access control, NAC) защищает от внутренних угроз.
Входящие в Форт Нокс получают доступ в него после проверки пропусков (что-то, что они имеют), паролей (что-то, что они знают) и биометрии (что-то, чем они являются). После проверки их идентичности (это - аутентификация) проверяются записи, имеют ли люди с такими данными право входа и в какие именно помещения они могут получить доступ (это  - авторизация).
Решения класса NAC, такие как Cisco’s Identity Services Engine (ISE), осуществляют похожие функции для устройств, которые пытаются получить доступ в сеть. ISE оценивает хост и пользователя и предоставляет доступ к определенным сетевым ресурсам. Риск может быть минимизирован путем проведения интеллектуальной проверки и авторизации.
NAC, как и файервол, имеет свои ограничения. Как только устройство оказывается внутри сети, оно может попробовать перехитрить систему безопасности и провести неавторизованные действия. С такими же проблемами сталкивается и Форт Нокс. Реальная угроза связана не с посторонними, а с внутренними пользователями, которые могут себя вести неправильно.

Заключение
Первый урок, который мы можем использовать из опыта Форта Нокса, заключается в том, что нам надо иметь защищенный периметр. В дальнейшем мы увидим, как уроки из наиболее защищенного места в мире помогут нам уменьшить риск для наших сетей.