ProHoster > بلوق > إدارة > كيفية التحكم في البنية التحتية لشبكتك. الفصل الثالث. أمن الشبكة. الجزء الأول

كيفية التحكم في البنية التحتية لشبكتك. الفصل الثالث. أمن الشبكة. الجزء الأول

هذه المقالة هي الثالثة في سلسلة مقالات بعنوان "كيفية التحكم في البنية التحتية لشبكتك". يمكن العثور على محتويات جميع المقالات في السلسلة والروابط هنا.

كيفية التحكم في البنية التحتية لشبكتك. الفصل الثالث. أمن الشبكة. الجزء الأول

لا جدوى من الحديث عن القضاء التام على المخاطر الأمنية. ومن حيث المبدأ، لا يمكننا تخفيضها إلى الصفر. نحتاج أيضًا إلى أن نفهم أنه بينما نسعى جاهدين لجعل الشبكة أكثر أمانًا، أصبحت حلولنا أكثر تكلفة. أنت بحاجة إلى إيجاد مقايضة بين التكلفة والتعقيد والأمان تكون منطقية لشبكتك.

وبطبيعة الحال، يتم دمج التصميم الأمني ​​بشكل عضوي في البنية العامة وتؤثر الحلول الأمنية المستخدمة على قابلية التوسع والموثوقية وسهولة الإدارة ... للبنية التحتية للشبكة، والتي يجب أن تؤخذ أيضًا في الاعتبار.

لكن اسمحوا لي أن أذكركم أننا لا نتحدث الآن عن إنشاء شبكة. وفقا لدينا الشروط الأولية لقد اخترنا بالفعل التصميم، واخترنا المعدات، وأنشأنا البنية التحتية، وفي هذه المرحلة، إذا أمكن، ينبغي لنا أن "نعيش" ونجد الحلول في سياق النهج الذي تم اختياره مسبقًا.

مهمتنا الآن هي تحديد المخاطر المرتبطة بالأمن على مستوى الشبكة وتقليلها إلى مستوى معقول.

تدقيق أمن الشبكة

إذا كانت مؤسستك قد نفذت عمليات ISO 27k، فيجب أن تتناسب عمليات تدقيق الأمان وتغييرات الشبكة بسلاسة مع العمليات الإجمالية ضمن هذا النهج. لكن هذه المعايير لا تزال لا تتعلق بحلول محددة، ولا تتعلق بالتكوين، ولا تتعلق بالتصميم... لا توجد نصيحة واضحة، ولا معايير تملي بالتفصيل الشكل الذي يجب أن تكون عليه شبكتك، وهذا هو مدى تعقيد هذه المهمة وجمالها.

أود أن أسلط الضوء على العديد من عمليات تدقيق أمان الشبكة المحتملة:

  • تدقيق تكوين المعدات (التصلب)
  • تدقيق التصميم الأمني
  • تدقيق الوصول
  • مراجعة عملية

تدقيق تكوين المعدات (التصلب)

يبدو أن هذه هي أفضل نقطة انطلاق في معظم الحالات لتدقيق وتحسين أمان شبكتك. IMHO، هذا دليل جيد على قانون باريتو (20٪ من الجهد ينتج 80٪ من النتيجة، و 80٪ المتبقية من الجهد تنتج 20٪ فقط من النتيجة).

خلاصة القول هي أننا عادةً ما نحصل على توصيات من البائعين بخصوص "أفضل الممارسات" للأمان عند تكوين المعدات. وهذا ما يسمى "تصلب".

يمكنك أيضًا في كثير من الأحيان العثور على استبيان (أو إنشاء استبيان بنفسك) بناءً على هذه التوصيات، مما سيساعدك على تحديد مدى توافق تكوين أجهزتك مع "أفضل الممارسات" هذه، وإجراء تغييرات في شبكتك وفقًا للنتيجة. . سيسمح لك ذلك بتقليل المخاطر الأمنية بشكل كبير بسهولة تامة، وبدون أي تكلفة تقريبًا.

عدة أمثلة لبعض أنظمة تشغيل Cisco.

تقوية تكوين Cisco IOS
تقوية تكوين Cisco IOS-XR
تقوية تكوين Cisco NX-OS
قائمة التحقق من أمان خط الأساس لـ Cisco

واستنادًا إلى هذه المستندات، يمكن إنشاء قائمة بمتطلبات التكوين لكل نوع من المعدات. على سبيل المثال، قد تبدو هذه المتطلبات بالنسبة إلى Cisco N7K VDC هكذا.

بهذه الطريقة، يمكن إنشاء ملفات التكوين لأنواع مختلفة من المعدات النشطة في البنية التحتية لشبكتك. بعد ذلك، يدويًا أو باستخدام الأتمتة، يمكنك "تحميل" ملفات التكوين هذه. ستتم مناقشة كيفية أتمتة هذه العملية بالتفصيل في سلسلة أخرى من المقالات حول التنسيق والأتمتة.

تدقيق التصميم الأمني

عادةً، تحتوي شبكة المؤسسة على الأجزاء التالية بشكل أو بآخر:

  • DC (الخدمات العامة DMZ ومركز بيانات الإنترانت)
  • الدخول إلى الإنترنت
  • الوصول عن بعد VPN
  • حافة الشبكة الواسعة
  • الفرع
  • الحرم الجامعي (المكتب)
  • جوهر

العناوين مأخوذة من سيسكو آمنة نموذج، لكن ليس من الضروري بالطبع الارتباط بدقة بهذه الأسماء وبهذا النموذج. ومع ذلك، أريد أن أتحدث عن الجوهر وألا أتورط في الشكليات.

لكل من هذه القطاعات، ستكون متطلبات الأمان والمخاطر وبالتالي الحلول مختلفة.

دعونا نلقي نظرة على كل واحد منهم على حدة لمعرفة المشاكل التي قد تواجهها من وجهة نظر التصميم الأمني. بالطبع، أكرر مرة أخرى أن هذا المقال لا يدعي بأي حال من الأحوال أنه مكتمل، وهو أمر ليس من السهل (إن لم يكن من المستحيل) تحقيقه في هذا الموضوع العميق والمتعدد الأوجه حقًا، ولكنه يعكس تجربتي الشخصية.

لا يوجد حل مثالي (على الأقل حتى الآن). انها دائما حل وسط. ولكن من المهم أن يتم اتخاذ قرار استخدام هذا النهج أو ذاك بوعي، مع فهم إيجابياته وسلبياته.

مركز البيانات

الجزء الأكثر أهمية من وجهة نظر السلامة.
وكالعادة، لا يوجد حل عالمي هنا أيضًا. كل هذا يتوقف بشكل كبير على متطلبات الشبكة.

هل جدار الحماية ضروري أم لا؟

قد يبدو أن الجواب واضح، ولكن كل شيء ليس واضحا تماما كما قد يبدو. ويمكن أن يتأثر اختيارك ليس فقط السعر.

مثال 1. التأخير.

إذا كان الكمون المنخفض مطلبًا أساسيًا بين بعض قطاعات الشبكة، وهو ما ينطبق، على سبيل المثال، في حالة التبادل، فلن نتمكن من استخدام جدران الحماية بين هذه القطاعات. من الصعب العثور على دراسات حول زمن الوصول في جدران الحماية، ولكن القليل من نماذج المحولات يمكن أن توفر زمن انتقال أقل من أو في حدود 1 مللي ثانية، لذلك أعتقد أنه إذا كانت الميكروثانية مهمة بالنسبة لك، فإن جدران الحماية ليست مناسبة لك.

مثال 2. الأداء.

عادةً ما يكون إنتاجية محولات L3 العليا أعلى من إنتاجية أقوى جدران الحماية. لذلك، في حالة حركة المرور عالية الكثافة، سيتعين عليك أيضًا على الأرجح السماح لحركة المرور هذه بتجاوز جدران الحماية.

مثال 3. الموثوقية.

تعد جدران الحماية، وخاصة NGFW (Next-Generation FW) الحديثة، أجهزة معقدة. إنها أكثر تعقيدًا بكثير من مفاتيح L3/L2. أنها توفر عددا كبيرا من الخدمات وخيارات التكوين، لذلك ليس من المستغرب أن تكون موثوقيتها أقل بكثير. إذا كانت استمرارية الخدمة أمرًا بالغ الأهمية للشبكة، فقد يتعين عليك اختيار ما سيؤدي إلى توفر أفضل - الأمان باستخدام جدار الحماية أو بساطة الشبكة المبنية على المحولات (أو أنواع مختلفة من البنى) باستخدام قوائم ACL العادية.

في حالة الأمثلة المذكورة أعلاه، سيتعين عليك على الأرجح (كالعادة) إيجاد حل وسط. أنظر إلى الحلول التالية:

  • إذا قررت عدم استخدام جدران الحماية داخل مركز البيانات، فأنت بحاجة إلى التفكير في كيفية تقييد الوصول حول المحيط قدر الإمكان. على سبيل المثال، يمكنك فقط فتح المنافذ الضرورية من الإنترنت (لحركة مرور العميل) والوصول الإداري إلى مركز البيانات فقط من مضيفي الانتقال السريع. على الأجهزة المضيفة السريعة، قم بإجراء جميع الفحوصات اللازمة (المصادقة/الترخيص، ومكافحة الفيروسات، والتسجيل، ...)
  • يمكنك استخدام قسم منطقي لشبكة مركز البيانات إلى مقاطع، على غرار المخطط الموضح في PSEFABRIC المثال ص002. في هذه الحالة، يجب تكوين التوجيه بحيث تنتقل حركة المرور الحساسة للتأخير أو عالية الكثافة "ضمن" مقطع واحد (في حالة p002، VRF) ولا تمر عبر جدار الحماية. ستستمر حركة المرور بين الأجزاء المختلفة في المرور عبر جدار الحماية. يمكنك أيضًا استخدام تسرب المسار بين VRFs لتجنب إعادة توجيه حركة المرور عبر جدار الحماية
  • يمكنك أيضًا استخدام جدار الحماية في الوضع الشفاف وفقط لشبكات VLAN التي لا تكون فيها هذه العوامل (زمن الوصول/الأداء) مهمة. لكن عليك أن تدرس بعناية القيود المرتبطة باستخدام هذا الوضع لكل بائع
  • قد ترغب في التفكير في استخدام بنية سلسلة الخدمة. سيسمح هذا فقط لحركة المرور الضرورية بالمرور عبر جدار الحماية. يبدو جميلًا من الناحية النظرية، لكنني لم أر هذا الحل في الإنتاج من قبل. لقد اختبرنا سلسلة الخدمة لـ Cisco ACI/Juniper SRX/F5 LTM منذ حوالي 3 سنوات، ولكن في ذلك الوقت بدا هذا الحل "بدائيًا" بالنسبة لنا.

مستوى الحماية

أنت الآن بحاجة إلى الإجابة على سؤال ما هي الأدوات التي تريد استخدامها لتصفية حركة المرور. فيما يلي بعض الميزات التي تكون موجودة عادة في NGFW (على سبيل المثال، هنا):

  • جدار الحماية ذو الحالة (افتراضي)
  • جدار الحماية للتطبيق
  • منع التهديدات (مكافحة الفيروسات، ومكافحة برامج التجسس، والضعف)
  • تصفية URL
  • تصفية البيانات (تصفية المحتوى)
  • حظر الملفات (حظر أنواع الملفات)
  • حماية دوس

وليس كل شيء واضحًا أيضًا. ويبدو أنه كلما ارتفع مستوى الحماية، كلما كان ذلك أفضل. ولكن عليك أيضًا أن تضع ذلك في الاعتبار

  • كلما زاد عدد وظائف جدار الحماية المذكورة أعلاه التي تستخدمها، زادت تكلفتها بشكل طبيعي (التراخيص والوحدات الإضافية)
  • يمكن أن يؤدي استخدام بعض الخوارزميات إلى تقليل إنتاجية جدار الحماية بشكل كبير وزيادة التأخير أيضًا، انظر على سبيل المثال هنا
  • مثل أي حل معقد، فإن استخدام أساليب الحماية المعقدة يمكن أن يقلل من موثوقية الحل الخاص بك، على سبيل المثال، عند استخدام جدار حماية التطبيق، واجهت حظرًا لبعض تطبيقات العمل القياسية تمامًا (DNS، smb)

كما هو الحال دائمًا، تحتاج إلى العثور على الحل الأفضل لشبكتك.

من المستحيل الإجابة بشكل قاطع على السؤال المتعلق بوظائف الحماية التي قد تكون مطلوبة. أولاً، لأن ذلك يعتمد بالطبع على البيانات التي ترسلها أو تخزنها وتحاول حمايتها. ثانيًا، في الواقع، غالبًا ما يكون اختيار أدوات الأمان مسألة إيمان وثقة في البائع. أنت لا تعرف الخوارزميات، ولا تعرف مدى فعاليتها، ولا يمكنك اختبارها بشكل كامل.

لذلك، في القطاعات الحرجة، قد يكون الحل الجيد هو استخدام العروض المقدمة من شركات مختلفة. على سبيل المثال، يمكنك تمكين برنامج مكافحة الفيروسات على جدار الحماية، ولكن يمكنك أيضًا استخدام الحماية من الفيروسات (من شركة مصنعة أخرى) محليًا على الأجهزة المضيفة.

تجزئة

نحن نتحدث عن التجزئة المنطقية لشبكة مركز البيانات. على سبيل المثال، يعد التقسيم إلى شبكات VLAN وشبكات فرعية أيضًا تجزئة منطقية، لكننا لن نأخذها في الاعتبار نظرًا لوضوحها. تجزئة مثيرة للاهتمام مع الأخذ في الاعتبار كيانات مثل مناطق أمان FW، وVRFs (ونظائرها فيما يتعلق بمختلف البائعين)، والأجهزة المنطقية (PA VSYS، وCisco N7K VDC، وCisco ACI Tenant، ...)، ...

ويرد مثال على هذا التقسيم المنطقي وتصميم مركز البيانات المطلوب حاليًا p002 لمشروع PSEFABRIC.

بعد تحديد الأجزاء المنطقية لشبكتك، يمكنك بعد ذلك وصف كيفية انتقال حركة المرور بين الأجزاء المختلفة، وعلى الأجهزة التي سيتم إجراء التصفية عليها وبأي وسيلة.

إذا لم تكن شبكتك تحتوي على قسم منطقي واضح ولم يتم إضفاء الطابع الرسمي على قواعد تطبيق سياسات الأمان لتدفقات البيانات المختلفة، فهذا يعني أنه عند فتح هذا الوصول أو ذاك، فأنت مجبر على حل هذه المشكلة، ومع احتمال كبير أنك سوف يحلها في كل مرة بشكل مختلف.

غالبًا ما يعتمد التجزئة على مناطق أمان المهاجم فقط. ثم عليك الإجابة على الأسئلة التالية:

  • ما هي المناطق الأمنية التي تحتاجها
  • ما هو مستوى الحماية الذي تريد تطبيقه على كل منطقة من هذه المناطق
  • هل سيتم السماح بحركة المرور داخل المنطقة بشكل افتراضي؟
  • إذا لم يكن الأمر كذلك، ما هي سياسات تصفية حركة المرور التي سيتم تطبيقها داخل كل منطقة
  • ما هي سياسات تصفية حركة المرور التي سيتم تطبيقها لكل زوج من المناطق (المصدر/الوجهة)

TCAM

هناك مشكلة شائعة تتمثل في عدم كفاية TCAM (الذاكرة القابلة للتوجيه للمحتوى الثلاثي)، سواء للتوجيه أو للوصول. IMHO، هذه واحدة من أهم المشكلات عند اختيار المعدات، لذلك تحتاج إلى التعامل مع هذه المشكلة بالدرجة المناسبة من الرعاية.

مثال 1. جدول إعادة التوجيه TCAM.

دعونا ننظر في بالو ألتو 7 ك جدار الحماية
نرى أن حجم جدول إعادة توجيه IPv4* = 32 كيلو بايت
علاوة على ذلك، فإن هذا العدد من المسارات شائع في جميع أنظمة VSYS.

لنفترض أنه وفقًا لتصميمك، قررت استخدام 4 VSYS.
يتم توصيل كل من أنظمة VSYS هذه عبر BGP إلى وحدتي MPLS PE للسحابة التي تستخدمها كـ BB. وبالتالي، فإن 4 VSYS تتبادل جميع المسارات المحددة مع بعضها البعض ولديها جدول إعادة توجيه يحتوي على نفس مجموعات المسارات تقريبًا (لكن NHs مختلفة). لأن يحتوي كل VSYS على جلستين BGP (بنفس الإعدادات)، ثم كل مسار يتم استلامه عبر MPLS يحتوي على 2 NH، وبالتالي، 2 إدخالات FIB في جدول إعادة التوجيه. إذا افترضنا أن هذا هو جدار الحماية الوحيد في مركز البيانات ويجب أن يعرف جميع المسارات، فهذا يعني أن إجمالي عدد المسارات في مركز البيانات لدينا لا يمكن أن يكون أكثر من 2K/(32 * 4) = 2K.

الآن، إذا افترضنا أن لدينا مركزي بيانات (بنفس التصميم)، ونريد استخدام شبكات VLAN "الممتدة" بين مراكز البيانات (على سبيل المثال، بالنسبة لـ vMotion)، فعندئذ لحل مشكلة التوجيه، يجب علينا استخدام مسارات المضيف . ولكن هذا يعني أنه بالنسبة لمركزي بيانات، لن يكون لدينا أكثر من 2 مضيفًا محتملاً، وبالطبع قد لا يكون هذا كافيًا.

مثال 2. ACL TCAM.

إذا كنت تخطط لتصفية حركة المرور على محولات L3 (أو الحلول الأخرى التي تستخدم محولات L3، على سبيل المثال، Cisco ACI)، فعند اختيار المعدات، يجب عليك الانتباه إلى TCAM ACL.

لنفترض أنك تريد التحكم في الوصول إلى واجهات SVI الخاصة بـ Cisco Catalyst 4500. بعد ذلك، كما يمكن رؤيته من هذا المقال، للتحكم في حركة المرور الصادرة (وكذلك الواردة) على الواجهات، يمكنك استخدام 4096 خطًا من خطوط TCAM فقط. والذي عند استخدام TCAM3 سيعطيك حوالي 4000 ألف ACEs (خطوط ACL).

إذا واجهت مشكلة عدم كفاية TCAM، فبادئ ذي بدء، بالطبع، تحتاج إلى النظر في إمكانية التحسين. لذا، في حالة وجود مشكلة في حجم جدول إعادة التوجيه، عليك أن تفكر في إمكانية تجميع المسارات. في حالة وجود مشكلة في حجم TCAM للوصول، قم بتدقيق عمليات الوصول وإزالة السجلات القديمة والمتداخلة، وربما مراجعة إجراءات فتح عمليات الوصول (ستتم مناقشتها بالتفصيل في الفصل الخاص بتدقيق عمليات الوصول).

توافر عالية

السؤال هو: هل يجب علي استخدام HA لجدران الحماية أو تثبيت صندوقين مستقلين "بالتوازي" وإذا فشل أحدهما، قم بتوجيه حركة المرور عبر الثاني؟

يبدو أن الإجابة واضحة - استخدم HA. السبب وراء استمرار طرح هذا السؤال هو أنه، لسوء الحظ، تبين أن النسبة النظرية والإعلانية 99 والعديد من النسب المئوية العشرية لإمكانية الوصول في الممارسة العملية بعيدة كل البعد عن أن تكون وردية. يعد HA أمرًا معقدًا تمامًا، وعلى أجهزة مختلفة ومع بائعين مختلفين (لم تكن هناك استثناءات)، اكتشفنا مشاكل وأخطاء وتوقفت الخدمة.

إذا كنت تستخدم HA، فستتاح لك الفرصة لإيقاف تشغيل العقد الفردية، والتبديل بينها دون إيقاف الخدمة، وهو أمر مهم، على سبيل المثال، عند إجراء الترقيات، ولكن في نفس الوقت لديك احتمال بعيد عن الصفر في كلا العقدتين سوف تنقطع في نفس الوقت، وأيضًا أن الترقية التالية لن تتم بسلاسة كما وعد البائع (يمكن تجنب هذه المشكلة إذا أتيحت لك الفرصة لاختبار الترقية على معدات المختبر).

إذا كنت لا تستخدم HA، فمن وجهة نظر الفشل المزدوج، تكون مخاطرك أقل بكثير (نظرًا لأن لديك جدارين ناريين مستقلين)، ولكن منذ... لا تتم مزامنة الجلسات، ففي كل مرة تقوم فيها بالتبديل بين جدران الحماية هذه، ستفقد حركة المرور. يمكنك بالطبع استخدام جدار الحماية عديم الحالة، ولكن بعد ذلك يتم فقدان الهدف من استخدام جدار الحماية إلى حد كبير.

لذلك، إذا اكتشفت، نتيجة للتدقيق، جدران حماية وحيدة، وتفكر في زيادة موثوقية شبكتك، فإن HA، بالطبع، هو أحد الحلول الموصى بها، ولكن يجب أيضًا أن تأخذ في الاعتبار العيوب المرتبطة بها مع هذا النهج، وربما، على وجه التحديد لشبكتك، سيكون هناك حل آخر أكثر ملاءمة.

سهولة الإدارة

من حيث المبدأ، HA يتعلق أيضًا بإمكانية التحكم. بدلاً من تكوين صندوقين بشكل منفصل والتعامل مع مشكلة الحفاظ على مزامنة التكوينات، يمكنك إدارتها كما لو كان لديك جهاز واحد.

ولكن ربما لديك العديد من مراكز البيانات والعديد من جدران الحماية، فإن هذا السؤال يظهر على مستوى جديد. والسؤال لا يتعلق بالتكوين فحسب، بل يتعلق أيضًا به

  • تكوينات النسخ الاحتياطي
  • التحديثات
  • ترقيات
  • يراقب
  • تسجيل

وكل هذا يمكن حله من خلال أنظمة الإدارة المركزية.

لذلك، على سبيل المثال، إذا كنت تستخدم جدران الحماية Palo Alto، إذن بانوراما هو مثل هذا الحل.

أن تستمر.

المصدر: www.habr.com

إضافة تعليق