Questu articulu hè u terzu in una seria di articuli "Cumu piglià u cuntrollu di a vostra infrastruttura di rete". U cuntenutu di tutti l'articuli in a serie è i ligami ponu esse truvati .
Ùn ci hè nunda di parlà di eliminà cumplettamente i risichi di sicurità. In principiu, ùn pudemu micca riduce à zero. Avemu dinù bisognu di capisce chì, cum'è strivemu per fà a rete sempre più sicura, e nostre suluzioni sò diventate sempre più caru. Avete bisognu di truvà un scambiu trà u costu, a cumplessità è a sicurità chì hà sensu per a vostra reta.
Di sicuru, u disignu di sicurità hè organicamente integratu in l'architettura generale è e soluzioni di sicurezza usate affettanu a scalabilità, affidabilità, gestibilità, ... di l'infrastruttura di rete, chì deve ancu esse cunsideratu.
Ma vi ricurdate chì avà ùn parlemu micca di creà una reta. Sicondu u nostru avemu digià sceltu u disignu, selezziunatu l'equipaggiu, è criatu l'infrastruttura, è in questu stadiu, se pussibule, duvemu "vive" è truvà suluzioni in u cuntestu di l'approcciu sceltu prima.
U nostru compitu avà hè di identificà i risichi assuciati à a sicurità à u livellu di a rete è di riduce à un livellu raghjone.
Audit di sicurità di a rete
Se a vostra urganizazione hà implementatu i prucessi ISO 27k, allora l'auditi di sicurezza è i cambiamenti di a rete duveranu inserisce perfettamente in i prucessi generali in questu approcciu. Ma sti standard ùn sò micca sempre di suluzioni specifiche, micca di cunfigurazione, micca di disignu... Ùn ci sò micca cunsiglii chjaru, nè standard chì dettanu in dettagliu ciò chì a vostra reta deve esse cum'è, questu hè a cumplessità è a bellezza di stu compitu.
Puderaghju mette in risaltu parechje pussibuli auditi di sicurezza di a rete:
- audit di cunfigurazione di l'equipaggiu (indurimentu)
- auditu di disignu di sicurità
- auditu di accessu
- audit di prucessu
Audit di cunfigurazione di l'equipaggiu (indurimentu)
Sembra chì in a maiò parte di i casi questu hè u megliu puntu di partenza per audità è migliurà a sicurità di a vostra reta. IMHO, questu hè una bona dimostrazione di a lege di Pareto (20% di u sforzu pruduce u 80% di u risultatu, è u restu 80% di u sforzu pruduce solu u 20% di u risultatu).
U fondu hè chì di solitu avemu cunsiglii da i venditori in quantu à "megliu pratiche" per a sicurità quandu cunfigurà l'equipaggiu. Questu hè chjamatu "indurimentu".
Pudete ancu spessu truvà un questionnaire (o creà unu stessu) basatu annantu à sti cunsiglii, chì vi aiuterà à determinà quantu bè a cunfigurazione di u vostru equipamentu cumpia cù queste "pratichi megliu" è, in cunfurmità cù u risultatu, fate cambiamenti in a vostra reta. . Questu vi permetterà di riduce significativamente i risichi di sicurezza abbastanza facilmente, quasi senza costu.
Parechji esempii per certi sistemi operativi Cisco.
Basatu nantu à sti documenti, una lista di esigenze di cunfigurazione per ogni tipu d'equipaggiu pò esse creatu. Per esempiu, per un Cisco N7K VDC, questi requisiti ponu esse simili .
In questu modu, i schedarii di cunfigurazione ponu esse creati per diversi tipi d'equipaggiu attivu in a vostra infrastruttura di rete. Dopu, manualmente o aduprendu l'automatizazione, pudete "caricà" questi schedarii di cunfigurazione. Cumu automatizà stu prucessu serà discutitu in detail in una altra serie d'articuli nantu à l'orchestrazione è l'automatizazione.
Audit di disignu di sicurità
Di genere, una reta di l'impresa cuntene i seguenti segmenti in una forma o l'altru:
- DC (Servizi publichi DMZ è centru di dati Intranet)
- Accessu Internet
- Accessu remoto VPN
- bordu WAN
- Branch
- Campus (Uffiziu)
- Core
Tituli pigliati da mudellu, ma ùn hè micca necessariu, sicuru, per esse attaccatu precisamente à sti nomi è à stu mudellu. Eppuru, vogliu parlà di l'essenza è micca impastatu in formalità.
Per ognuna di sti segmenti, i bisogni di sicurezza, i risichi è, per quessa, e soluzioni seranu sfarenti.
Fighjemu ognuna di elli separatamente per i prublemi chì pudete scontru da u puntu di vista di u disignu di sicurezza. Di sicuru, ripetu di novu chì in nessuna manera stu articulu pretende esse cumpletu, chì ùn hè micca faciule (se ùn hè micca impussibile) di ottene in questu tema veramente prufondu è multiforme, ma riflette a mo sperienza persunale.
Ùn ci hè micca suluzione perfetta (almenu micca ancu). Hè sempre un cumprumissu. Ma hè impurtante chì a decisione d'utilizà un approcciu o un altru hè fatta in cuscenza, cun una cunniscenza di i so pros è cuns.
Data Center
U segmentu più criticu da un puntu di vista di sicurità.
È, cum'è di solitu, ùn ci hè micca solu suluzione universale ancu quì. Tuttu dipende assai di e esigenze di a rete.
Hè un firewall necessariu o micca?
Sembra chì a risposta hè ovvia, ma tuttu ùn hè micca cusì chjaru cum'è puderia pare. È a vostra scelta pò esse influenzatu micca solu u prezzu.
1 esempio. Ritardi.
Se a bassa latenza hè un requisitu essenziale trà certi segmenti di rete, chì hè, per esempiu, veru in u casu di un scambiu, allora ùn pudemu micca aduprà firewalls trà questi segmenti. Hè difficiuli di truvà studii nantu à a latenza in i firewalls, ma pochi mudelli di switch ponu furnisce una latenza di menu o in l'ordine di 1 mksec, cusì pensu chì i microsecondi sò impurtanti per voi, allora i firewalls ùn sò micca per voi.
2 esempio. Rendimentu.
U throughput di i switch L3 superiore hè di solitu un ordine di grandezza più altu ch'è u throughput di i firewalls più putenti. Dunque, in u casu di u trafficu d'alta intensità, averà ancu più prubabile di permette à stu trafficu di aggira i firewalls.
3 esempio. Affidabilità
Firewalls, in particulare NGFW mudernu (Next-Generation FW) sò dispusitivi cumplessi. Sò assai più cumplessi cà i switch L3 / L2. Anu furnisce un gran numaru di servizii è opzioni di cunfigurazione, per quessa ùn hè micca surprisante chì a so affidabilità hè assai più bassa. Se a continuità di u serviziu hè critica per a reta, allora pudete avè da sceglie ciò chì porta à una megliu dispunibilità - a sicurità cù un firewall o a simplicità di una reta custruita nantu à switch (o diversi tipi di tessuti) cù l'ACL regulare.
In u casu di l'esempii di sopra, a più prubabile (cum'è di solitu) hà da truvà un cumprumissu. Fighjate versu e seguenti suluzioni:
- s'è vo decide di ùn aduprà firewalls in u centru di dati, allura vi tocca à pinsà quantu à limità l 'accessu intornu à u perimetru quantu pussibule. Per esempiu, pudete apre solu i porti necessarii da Internet (per u trafficu di u cliente) è l'accessu amministrativu à u centru di dati solu da l'ospiti di salto. Nantu à l'ospiti di salto, eseguite tutti i cuntrolli necessarii (autentificazione/autorizazione, antivirus, logging, ...)
- pudete aduprà una partizione logica di a reta di u centru di dati in segmenti, simili à u schema descrittu in PSEFABRIC . In questu casu, u routing deve esse cunfiguratu in modu chì u trafficu di ritardu sensitivu o di alta intensità passa "in" un segmentu (in u casu di p002, VRF) è ùn passa micca per u firewall. U trafficu trà e diverse segmenti continuarà à passà per u firewall. Pudete ancu aduprà a fuga di rotta trà VRF per evità di reindirizzà u trafficu attraversu u firewall
- Pudete ancu aduprà un firewall in modu trasparente è solu per quelli VLAN induve sti fattori (latenza / rendiment) ùn sò micca significativi. Ma avete bisognu di studià currettamente e restrizioni assuciate à l'usu di sta mod per ogni venditore
- pudete vulete cunsiderà aduprà una architettura di catena di serviziu. Questu permetterà solu u trafficu necessariu per passà per u firewall. Sembra bellu in teoria, ma ùn aghju mai vistu sta suluzione in a pruduzzione. Avemu pruvatu a catena di serviziu per Cisco ACI / Juniper SRX / F5 LTM circa 3 anni fà, ma à quellu tempu sta suluzione ci pareva "cruda".
Livellu di prutezzione
Avà avete bisognu di risponde à a quistione di quale arnesi vulete usà per filtrà u trafficu. Eccu alcune di e caratteristiche chì sò generalmente presenti in NGFW (per esempiu, ):
- firewalling stateful (predefinitu)
- firewall di l'applicazione
- prevenzione di minacce (antivirus, anti-spyware è vulnerabilità)
- Filtru URL
- filtru di dati (filtru di cuntenutu)
- bluccatu di schedari (bluccamentu di i tipi di schedari)
- a prutezzione
È micca tuttu hè chjaru ancu. Sembra chì u più altu u livellu di prutezzione, u megliu. Ma hè ancu bisognu di cunsiderà questu
- U più di e funzioni di firewall sopra chì utilizate, u più caru serà naturalmente (licenza, moduli supplementari)
- l'usu di certi algoritmi pò riduce significativamente u throughput firewall è ancu aumentà i ritardi, vede per esempiu
- cum'è ogni suluzione cumplessa, l'usu di metudi di prutezzione cumplessi pò riduce l'affidabilità di a vostra suluzione, per esempiu, quandu si usa l'applicazione firewalling, aghju scontru u bloccu di alcune applicazioni di travagliu abbastanza standard (dns, smb)
Cum'è sempre, avete bisognu di truvà a megliu suluzione per a vostra reta.
Hè impussibile di risponde definitivamente à a quistione di quali funzioni di prutezzione ponu esse dumandate. Prima, perchè di sicuru dipende di e dati chì trasmettenu o almacenà è pruvate di prutezzione. Siconda, in realità, spessu l'scelta di strumenti di sicurezza hè una questione di fede è fiducia in u venditore. Ùn cunnosci micca l'algoritmi, ùn sapete micca quantu efficaci sò, è ùn pudete micca pruvà cumplettamente.
Dunque, in i segmenti critichi, una bona suluzione pò esse aduprà offerte da diverse cumpagnie. Per esempiu, pudete attivà l'antivirus in u firewall, ma ancu aduprà a prutezzione antivirus (da un altru fabricatore) in u locu in l'ospiti.
Segmentazione
Parlemu di a segmentazione logica di a reta di u centru di dati. Per esempiu, a particione in VLAN è subnets hè ancu una segmentazione logica, ma ùn avemu micca cunsideratu per via di a so evidenza. Segmentazione interessante cunsiderà entità cum'è e zone di sicurezza FW, VRF (è i so analoghi in relazione à diversi venditori), i dispositi lògichi (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...
Un esempiu di tale segmentazione logica è u disignu di u centru di dati attualmente in dumanda hè datu .
Dopu avè definitu e parte logica di a vostra reta, pudete allora descriverà cumu u trafficu si move trà e diverse segmenti, nantu à quale filtru di i dispositi serà realizatu è per quale modu.
Se a vostra reta ùn hà micca una partizione logica chjara è e regule per l'applicazione di e pulitiche di sicurezza per i diversi flussi di dati ùn sò micca furmalizzate, questu significa chì quandu avete apertu questu o quellu accessu, vi sò furzati à risolve stu prublema, è cù una alta probabilità di voi. risolverà ogni volta in modu diversu.
Spessu a segmentazione hè basatu solu nantu à e zone di sicurezza FW. Allora avete bisognu di risponde à e seguenti dumande:
- chì zoni di sicurità avete bisognu
- chì livellu di prutezzione vulete applicà à ognunu di sti zoni
- U trafficu intra-zona serà permessu per automaticamente?
- se no, quali pulitiche di filtrazione di u trafficu seranu applicate in ogni zona
- quali pulitiche di filtrazione di u trafficu seranu applicate per ogni coppia di zoni (fonte / destinazione)
TCAM
Un prublema cumuni hè insufficiente TCAM (Ternary Content Addressable Memory), sia per routing sia per accessi. IMHO, questu hè unu di i prublemi più impurtanti quandu sceglite l'equipaggiu, cusì avete bisognu di trattà stu prublema cù u gradu appropritatu di cura.
Esempiu 1. Forwarding Table TCAM.
cunsideremu firewall
Avemu vistu chì a dimensione di a tavula di spedizione IPv4 * = 32K
Inoltre, stu numeru di rotte hè cumunu per tutti i VSYS.Assumimu chì secondu u vostru disignu decide di utilizà 4 VSYS.
Ognunu di sti VSYS hè cunnessu via BGP à dui PE MPLS di u nuvulu chì utilizate cum'è BB. Cusì, 4 VSYS scambianu tutte e rotte specifiche cù l'altri è anu una tavola di spedizione cù apprussimatamente i stessi setti di rotte (ma NH differenti). Perchè ogni VSYS hà 2 sessioni BGP (cù i stessi paràmetri), dopu ogni rotta ricevuta via MPLS hà 2 NH è, per quessa, 2 entrate FIB in a Tabella di Forwarding. Se assumemu chì questu hè u solu firewall in u centru di dati è deve sapè di tutte e rotte, allora questu significarà chì u numeru tutale di rotte in u nostru centru di dati ùn pò esse più di 32K / (4 * 2) = 4K.Avà, se assumemu chì avemu 2 centri di dati (cù u listessu disignu), è vulemu aduprà VLAN "allungati" trà i centri di dati (per esempiu, per vMotion), allora per risolve u prublema di routing, duvemu aduprà rotte d'ospiti. . Ma questu significa chì per i centri di dati 2 ùn averemu micca più di 4096 ospiti pussibuli è, sicuru, questu pò esse micca abbastanza.
Esempiu 2. ACL TCAM.
Se pensa à filtrà u trafficu nantu à i switch L3 (o altre soluzioni chì utilizanu switch L3, per esempiu, Cisco ACI), allora quandu sceglite l'equipaggiu duvete attente à u TCAM ACL.
Eppo supponi chì vulete cuntrullà l'accessu nantu à l'interfaccia SVI di u Cisco Catalyst 4500. Allora, cum'è pò esse vistu da , per cuntrullà u trafficu in uscita (cum'è in entrata) nantu à l'interfaccia, pudete aduprà solu 4096 linee TCAM. Chì quandu aduprà TCAM3 vi darà circa 4000 mila ACE (line ACL).
Sè vo site affruntatu cù u prublema di TCAM insufficiente, allora, prima di tuttu, sicuru, avete bisognu di cunsiderà a pussibilità di ottimisazione. Dunque, in casu di un prublema cù a dimensione di a Tabella di Forwarding, avete bisognu di cunsiderà a pussibilità di aggregazione di rotte. In casu di un prublema cù a dimensione TCAM per l'accessi, l'accessi di auditu, sguassate i registri obsoleti è sovrapposti, è possibbilmente rivisione a prucedura per l'apertura di l'accessi (sarà discutitu in dettagliu in u capitulu di l'accessi di auditu).
Alta Disponibilità
A quistione hè: duverebbe aduprà HA per firewalls o installà dui scatuli indipendenti "in parallelu" è, se unu d'elli falla, u trafficu di strada per u sicondu?
Sembra chì a risposta hè ovvia - utilizate HA. U mutivu per quessa chì sta quistione hè sempre chì, sfurtunatamenti, i teorichi è publicitarii 99 è parechji percentuali decimali di l'accessibilità in a pratica risultanu luntanu da cusì rosa. HA hè logicamente una cosa abbastanza cumplessa, è nantu à diversi equipaghji, è cù diversi venditori (ùn ci era micca eccezzioni), avemu pigliatu prublemi è bugs è si ferma di serviziu.
Sè vo aduprate HA, avarete l'uppurtunità di disattivà i nodi individuali, cambià trà elli senza piantà u serviziu, chì hè impurtante, per esempiu, quandu fate l'aghjurnamenti, ma à u stessu tempu avete una probabilità luntanu da zero chì i dui nodi. romperà à u stessu tempu, è ancu chì u prossimu l'aghjurnamentu ùn andarà micca bè cum'è u vinditore prumesse (stu prublema pò esse evitata s'ellu avete l'uppurtunità di pruvà l'aghjurnamentu nantu à l'equipaggiu di laboratoriu).
Se ùn aduprate micca HA, allora da u puntu di vista di doppiu fallimentu i vostri risichi sò assai più bassi (perchè avete 2 firewalls indipendenti), ma postu chì ... e sessioni ùn sò micca sincronizate, allora ogni volta chì cambiassi trà sti firewalls perderà u trafficu. Pudete, sicuru, utilizà un firewall senza statu, ma allora u puntu di utilizà un firewall hè largamente persu.
Per quessa, se cum'è u risultatu di l'auditu avete scupertu firewalls solitarii, è pensate à aumentà l'affidabilità di a vostra reta, allora HA, sicuru, hè una di e suluzioni cunsigliate, ma duvete ancu piglià in contu i disadvantages assuciati. cù questu approcciu è, forsi, specificamente per a vostra reta, una altra suluzione seria più adatta.
Managability
In principiu, HA hè ancu di cuntrollu. Invece di cunfigurà 2 scatuli separatamente è di trattà cù u prublema di mantene e cunfigurazioni in sincronia, i gestite assai cum'è s'ellu avete un dispositivu.
Ma forsi avete parechji centri di dati è parechji firewalls, allora sta quistione si sviluppa à un novu livellu. È a quistione ùn hè micca solu di cunfigurazione, ma ancu
- cunfigurazioni di salvezza
- aghjurnamenti
- aghjurnamenti
- surviglianza
- logging
È tuttu questu pò esse risoltu da sistemi di gestione centralizati.
Cusì, per esempiu, sè vo site cù firewall Palo Alto, allora hè una tale suluzione.
Per esse continuatu.
Source: www.habr.com