ProHoster > Блог > Administrado > Kiel regi vian retan infrastrukturon. Ĉapitro tri. Reta sekureco. Parto tri
Kiel regi vian retan infrastrukturon. Ĉapitro tri. Reta sekureco. Parto tri
Ĉi tiu artikolo estas la kvina en la serio "Kiel Preni Kontrolon de Via Reta Infrastrukturo". La enhavo de ĉiuj artikoloj en la serio kaj ligiloj troveblas tie.
Ĉi tiu parto estos dediĉita al la segmentoj de Kampuso (Oficejo) kaj Fora aliro VPN.
Oficeja reto-dezajno povas ŝajni facila.
Efektive, ni prenas L2/L3-ŝaltilojn kaj ligas ilin unu al la alia. Poste, ni efektivigas la bazan agordon de vilaanoj kaj defaŭltaj enirejoj, agordas simplan vojigon, konektas WiFi-regilojn, alirpunktojn, instalas kaj agordas ASA por fora aliro, ni ĝojas, ke ĉio funkciis. Esence, kiel mi jam skribis en unu el la antaŭaj artikoloj de ĉi tiu ciklo, preskaŭ ĉiu studento, kiu ĉeestis (kaj lernis) du semestrojn de telekomunika kurso povas desegni kaj agordi oficejan reton por ke ĝi "iel funkciu."
Sed ju pli vi lernas, des malpli simpla ĉi tiu tasko komencas ŝajni. Por mi persone, ĉi tiu temo, la temo de oficeja reto-dezajno, tute ne ŝajnas simpla, kaj en ĉi tiu artikolo mi provos klarigi kial.
Resume, estas sufiĉe da faktoroj por konsideri. Ofte ĉi tiuj faktoroj estas en konflikto inter si kaj akceptebla kompromiso devas esti serĉita.
Ĉi tiu necerteco estas la ĉefa malfacilaĵo. Do, parolante pri sekureco, ni havas triangulon kun tri verticoj: sekureco, komforto por dungitoj, prezo de la solvo.
Kaj ĉiufoje vi devas serĉi kompromison inter ĉi tiuj tri.
Ĉi tiuj estas iom malnoviĝintaj dokumentoj. Mi prezentas ilin ĉi tie ĉar la fundamentaj skemoj kaj aliro ne ŝanĝiĝis, sed samtempe mi ŝatas la prezenton pli ol en nova dokumentaro.
Sen instigi vin uzi Cisco-solvojn, mi ankoraŭ opinias, ke estas utile zorge studi ĉi tiun dezajnon.
Ĉi tiu artikolo, kiel kutime, neniel pretendas esti kompleta, sed prefere estas aldono al ĉi tiu informo.
Ĉe la fino de la artikolo, ni analizos la Cisco SAFE-oficejan dezajnon laŭ la konceptoj skizitaj ĉi tie.
Ĝeneralaj principoj
La dezajno de la oficeja reto devas, kompreneble, kontentigi la ĝeneralajn postulojn, kiuj estis diskutitaj tie en la ĉapitro "Kriterioj por taksi dezajnokvaliton". Krom prezo kaj sekureco, kiujn ni intencas diskuti en ĉi tiu artikolo, ekzistas ankoraŭ tri kriterioj, kiujn ni devas konsideri dum desegnado (aŭ farante ŝanĝoj):
skaleblo
facileco de uzo (regebleco)
havebleco
Multo de kio estis diskutita por datumcentroj Ĉi tio validas ankaŭ por la oficejo.
Sed tamen, la oficeja segmento havas siajn proprajn specifaĵojn, kiuj estas kritikaj de sekureca vidpunkto. La esenco de ĉi tiu specifeco estas, ke ĉi tiu segmento estas kreita por provizi retajn servojn al dungitoj (same kiel partneroj kaj gastoj) de la kompanio, kaj, kiel rezulto, ĉe la plej alta nivelo de konsidero de la problemo ni havas du taskojn:
protekti firmaajn rimedojn de malicaj agoj, kiuj povas veni de dungitoj (gastoj, partneroj) kaj de la programaro, kiun ili uzas. Ĉi tio ankaŭ inkluzivas protekton kontraŭ neaŭtorizita konekto al la reto.
protekti sistemojn kaj uzantajn datumojn
Kaj ĉi tio estas nur unu flanko de la problemo (aŭ pli ĝuste, unu vertico de la triangulo). Aliflanke estas uzanta oportuneco kaj la prezo de la uzataj solvoj.
Ni komencu rigardante, kion uzanto atendas de moderna oficeja reto.
Agrablaĵoj
Jen kiel aspektas "retaj agrablaĵoj" por oficeja uzanto laŭ mi:
Movebleco
Kapablo uzi la tutan gamon da konataj aparatoj kaj operaciumoj
Facila aliro al ĉiuj necesaj firmaaj rimedoj
Havebleco de interretaj rimedoj, inkluzive de diversaj nubaj servoj
"Rapida funkciado" de la reto
Ĉio ĉi validas kaj por dungitoj kaj gastoj (aŭ partneroj), kaj estas la tasko de la inĝenieroj de la firmao diferencigi aliron por malsamaj uzantgrupoj surbaze de rajtigo.
Ni rigardu ĉiun el ĉi tiuj aspektoj iom pli detale.
Movebleco
Ni parolas pri la ŝanco labori kaj uzi ĉiujn necesajn firmaajn rimedojn de ie ajn en la mondo (kompreneble, kie la Interreto estas disponebla).
Ĉi tio plene validas por la oficejo. Ĉi tio estas oportuna kiam vi havas la ŝancon daŭrigi labori de ie ajn en la oficejo, ekzemple, ricevi poŝton, komuniki en kompania mesaĝisto, esti disponebla por videovoko, ... Tiel, tio ebligas al vi, unuflanke, solvi iujn problemojn "vive" komunikado (ekzemple, partopreni en mitingoj), kaj aliflanke, esti ĉiam enreta, tenu vian fingron sur la pulso kaj rapide solvi iujn urĝajn altprioritatajn taskojn. Ĉi tio estas tre oportuna kaj vere plibonigas la kvaliton de komunikado.
Ĉi tio estas atingita per taŭga WiFi-reto-dezajno.
Noto
Ĉi tie kutime aperas la demando: ĉu sufiĉas uzi nur WiFi? Ĉu ĉi tio signifas, ke vi povas ĉesi uzi Ethernet-havenojn en la oficejo? Se ni parolas nur pri uzantoj, kaj ne pri serviloj, kiuj ankoraŭ estas raciaj konektiĝi per regula Ethernet-haveno, tiam ĝenerale la respondo estas: jes, vi povas limigi vin nur al WiFi. Sed estas nuancoj.
Estas gravaj uzantgrupoj, kiuj postulas apartan aliron. Ĉi tiuj estas, kompreneble, administrantoj. Principe, WiFi-konekto estas malpli fidinda (laŭ trafika perdo) kaj pli malrapida ol regula Ethernet-haveno. Ĉi tio povas esti grava por administrantoj. Krome, retaj administrantoj, ekzemple, povas, principe, havi sian propran diligentan Ethernet-reton por ekster-bendaj konektoj.
Eble ekzistas aliaj grupoj/fakoj en via kompanio, por kiuj ĉi tiuj faktoroj ankaŭ estas gravaj.
Estas alia grava punkto - telefonio. Eble ial vi ne volas uzi Sendratan VoIP kaj volas uzi IP-telefonojn kun regula Ethernet-konekto.
Ĝenerale, la kompanioj por kiuj mi laboris kutime havis kaj WiFi-konektecon kaj Ethernet-havenon.
Mi ŝatus, ke moviĝeblo ne limiĝu al nur la oficejo.
Por certigi la kapablon labori de hejmo (aŭ iu ajn alia loko kun alirebla Interreto), VPN-konekto estas uzata. Samtempe, estas dezirinde, ke dungitoj ne sentas la diferencon inter laborado hejme kaj fora laboro, kiu supozas la saman aliron. Ni diskutos kiel organizi ĉi tion iom poste en la ĉapitro "Unuigita centralizita aŭtentikigo kaj rajtigosistemo."
Noto
Plej verŝajne, vi ne povos plene provizi la saman kvaliton de servoj por fora laboro, kiun vi havas en la oficejo. Ni supozu, ke vi uzas Cisco ASA 5520 kiel vian VPN-enirejon datumpaĝo ĉi tiu aparato kapablas "digesti" nur 225 Mbit da VPN-trafiko. Tio estas, kompreneble, laŭ bendolarĝo, konekti per VPN estas tre malsama ol labori de la oficejo. Ankaŭ, se, ial, latenteco, perdo, tremo (ekzemple, vi volas uzi oficejan IP-telefonion) por viaj retservoj estas gravaj, vi ankaŭ ne ricevos la saman kvaliton kiel se vi estus en la oficejo. Tial, kiam oni parolas pri movebleco, ni devas konscii pri eblaj limigoj.
Facila aliro al ĉiuj firmaaj rimedoj
Ĉi tiu tasko devas esti solvita kune kun aliaj teknikaj fakoj.
La ideala situacio estas kiam la uzanto bezonas nur unufoje aŭtentikigi, kaj post tio li havas aliron al ĉiuj necesaj rimedoj.
Provizi facilan aliron sen oferi sekurecon povas signife plibonigi produktivecon kaj redukti streĉon inter viaj kolegoj.
Rimarko 1
Facileco de aliro ne temas nur pri kiom da fojoj vi devas enigi pasvorton. Se, ekzemple, konforme al via sekureca politiko, por konekti de la oficejo al la datumcentro, vi unue devas konektiĝi al la VPN-enirejo, kaj samtempe vi perdas aliron al oficejaj rimedoj, tiam ĉi tio ankaŭ estas tre tre. , tre maloportuna.
Rimarko 2
Estas servoj (ekzemple, aliro al retaj ekipaĵoj) kie ni kutime havas niajn proprajn dediĉitajn AAA-servilojn kaj ĉi tio estas la normo kiam en ĉi tiu kazo ni devas aŭtentikigi plurajn fojojn.
Havebleco de interretaj rimedoj
Interreto ne estas nur distro, sed ankaŭ aro da servoj, kiuj povas esti tre utilaj por laboro. Estas ankaŭ pure psikologiaj faktoroj. Moderna homo estas konektita kun aliaj homoj per la Interreto per multaj virtualaj fadenoj, kaj, laŭ mi, estas nenio malbona se li daŭre sentas ĉi tiun ligon eĉ dum laboro.
El la vidpunkto de perdo de tempo, estas nenio malbona se dungito, ekzemple, havas Skajpon funkcianta kaj pasigas 5 minutojn komunikante kun amato se necese.
Ĉu tio signifas, ke interreto ĉiam devas esti disponebla, ĉu tio signifas, ke dungitoj povas havi aliron al ĉiuj rimedoj kaj ne kontroli ilin iel?
Ne ne signifas tion, kompreneble. La nivelo de malfermiteco de Interreto povas varii por malsamaj kompanioj - de kompleta fermo ĝis kompleta malfermo. Ni diskutos pri manieroj kontroli trafikon poste en la sekcioj pri sekurecaj mezuroj.
Kapablo uzi la tutan gamon da konataj aparatoj
Estas oportune kiam, ekzemple, vi havas la ŝancon daŭrigi uzi ĉiujn komunikilojn, al kiuj vi kutimas en la laboro. Ne estas malfacilaĵo teknike efektivigi ĉi tion. Por tio vi bezonas WiFi kaj gastan vilan.
Ankaŭ estas bone, se vi havas la ŝancon uzi la operaciumon, al kiu vi kutimas. Sed, laŭ mia observo, ĉi tio estas kutime nur permesita al administrantoj, administrantoj kaj programistoj.
Ekzemplo:
Vi povas, kompreneble, sekvi la vojon de malpermesoj, malpermesi foran aliron, malpermesi konekton de porteblaj aparatoj, limigi ĉion al senmovaj Ethernet-konektoj, limigi aliron al Interreto, devige konfiski poŝtelefonojn kaj aparatojn ĉe la transirejo... kaj ĉi tiu vojo. estas efektive sekvata de iuj organizoj kun pliigitaj sekurecaj postuloj, kaj eble en iuj kazoj tio povas esti pravigita, sed... vi devas konsenti, ke tio aspektas kiel provo ĉesigi progreson en ununura organizo. Kompreneble, mi ŝatus kombini la ŝancojn, kiujn provizas modernaj teknologioj, kun sufiĉa nivelo de sekureco.
"Rapida funkciado" de la reto
La rapido de transigo de datumoj teknike konsistas el multaj faktoroj. Kaj la rapideco de via koneksa haveno kutime ne estas la plej grava. La malrapida funkciado de aplikaĵo ne ĉiam rilatas al retaj problemoj, sed nuntempe ni interesiĝas nur pri la reto-parto. La plej ofta problemo kun loka reto "malrapidiĝo" rilatas al paka perdo. Ĉi tio kutime okazas kiam ekzistas proplemkolo aŭ L1 (OSI) problemoj. Pli malofte, kun iuj dezajnoj (ekzemple, kiam viaj subretoj havas fajroŝirmilon kiel la defaŭltan enirejon kaj tiel la tuta trafiko trairas ĝin), la aparataro-rendimento povas manki.
Sekve, kiam vi elektas ekipaĵon kaj arkitekturon, vi devas korelacii la rapidojn de finaj havenoj, trunkoj kaj ekipaĵagado.
Ekzemplo:
Ni supozu, ke vi uzas ŝaltilojn kun 1 gigabit-havenoj kiel alirtavolŝaltilojn. Ili estas konektitaj unu al la alia per Etherchannel 2 x 10 gigabitoj. Kiel defaŭlta enirejo, vi uzas fajroŝirmilon kun gigabit-havenoj, por konekti kiun al la oficeja reto L2 vi uzas 2 gigabit-havenojn kombinitajn en Etherchannel.
Ĉi tiu arkitekturo estas sufiĉe oportuna el funkcieca vidpunkto, ĉar... La tuta trafiko pasas tra la fajroŝirmilo, kaj vi povas komforte administri alirpolitikojn, kaj apliki kompleksajn algoritmojn por kontroli trafikon kaj malhelpi eblajn atakojn (vidu sube), sed de trairado kaj rendimento vidpunkto ĉi tiu dezajno, kompreneble, havas eblajn problemojn. Do, ekzemple, 2 gastigantoj elŝutantaj datumojn (kun havenrapideco de 1 gigabito) povas tute ŝarĝi 2 gigabitan konekton al la fajroŝirmilo, kaj tiel konduki al servodegradado por la tuta oficeja segmento.
Ni rigardis unu vertico de la triangulo, nun ni rigardu kiel ni povas certigi sekurecon.
Rimedoj
Do, kompreneble, kutime nia deziro (aŭ pli ĝuste, la deziro de nia administrado) estas atingi la neeblan, nome, provizi maksimuman oportunon kun maksimuma sekureco kaj minimuma kosto.
Ni rigardu kiajn metodojn ni havas por provizi protekton.
Por la oficejo, mi reliefigus la jenajn:
nula fida aliro al dezajno
alta nivelo de protekto
retvidebleco
unuigita centralizita aŭtentikigo kaj rajtigosistemo
kontrolado de gastiganto
Tuj poste, ni iom pli detale pri ĉiu el ĉi tiuj aspektoj.
Nula Fido
La IT-mondo ŝanĝiĝas tre rapide. Ĵus dum la lastaj 10 jaroj, la apero de novaj teknologioj kaj produktoj kaŭzis gravan revizion de sekurecaj konceptoj. Antaŭ dek jaroj, el sekureca vidpunkto, ni segmentis la reton en fidon, dmz kaj untrust-zonojn, kaj uzis la tiel nomatan "perimetra protekto", kie estis 2 defendlinioj: untrust -> dmz kaj dmz -> konfidi. Ankaŭ, protekto estis kutime limigita al alirlistoj bazitaj sur L3/L4 (OSI) titoloj (IP, TCP/UDP-havenoj, TCP-flagoj). Ĉio rilata al pli altaj niveloj, inkluzive de L7, estis lasita al la OS kaj sekurecaj produktoj instalitaj sur la finaj gastigantoj.
Nun la situacio draste ŝanĝiĝis. Moderna koncepto nula fido devenas de tio, ke ne plu eblas konsideri internajn sistemojn, tio estas, tiujn situantajn ene de la perimetro, kiel fidindajn, kaj la koncepto de la perimetro mem malklariĝis.
Krom interreta konekto ni ankaŭ havas
VPN-uzantoj de malproksima aliro
diversaj personaj aparatoj, alportitaj tekkomputiloj, konektitaj per oficeja WiFi
aliaj (branĉo) oficejoj
integriĝo kun nuba infrastrukturo
Kiel aspektas la aliro Zero Trust en la praktiko?
Ideale, nur la bezonata trafiko estu permesita kaj, se ni parolas pri idealo, tiam kontrolo estu ne nur ĉe la L3/L4-nivelo, sed ĉe la aplikaĵa nivelo.
Se, ekzemple, vi havas la kapablon trapasi la tutan trafikon tra fajroŝirmilo, tiam vi povas provi proksimiĝi al la idealo. Sed ĉi tiu aliro povas signife redukti la tutan bendolarĝon de via reto, kaj krome, filtri per aplikaĵo ne ĉiam funkcias bone.
Kiam vi kontrolas trafikon sur enkursigilo aŭ L3-ŝaltilo (uzante normajn ACLojn), vi renkontas aliajn problemojn:
Ĉi tio estas L3/L4-filtrado nur. Nenio malhelpas atakanton uzi permesitajn pordojn (ekz. TCP 80) por sia aplikaĵo (ne http)
Ĉi tio ne estas plenplena fajroŝirmilo, tio signifas, ke vi devas eksplicite permesi inversan trafikon
kun ŝaltiloj vi estas kutime sufiĉe forte limigita de la grandeco de la TCAM, kiu povas rapide fariĝi problemo se vi prenas la "nur permesi kion vi bezonas" aliron.
Noto
Parolante pri inversa trafiko, ni devas memori, ke ni havas la sekvan ŝancon (Cisco)
permesi tcp ajnan ajn establitan
Sed vi devas kompreni, ke ĉi tiu linio estas ekvivalenta al du linioj:
permesi tcp ajnan ajn ack
permesi tcp ajnan unue
Kio signifas, ke eĉ se ne estis komenca TCP-segmento kun la SYN-flago (tio estas, la TCP-sesio eĉ ne komencis establi), ĉi tiu ACL permesos pakaĵeton kun la ACK-flago, kiun atakanto povas uzi por transdoni datumojn.
Tio estas, ĉi tiu linio neniel igas vian enkursigilon aŭ L3-ŝaltilon en plenplenan fajroŝirmilon.
Alta nivelo de protekto
В artikolo En la sekcio pri datumcentroj, ni konsideris la sekvajn protektajn metodojn.
laŭŝtata fajroŝirmilo (defaŭlte)
ddos/dos protekto
aplikaĵa fajroŝirmilo
minaco-preventado (antiviruso, kontraŭ-spiono kaj vundebleco)
URL-filtrado
filtrado de datumoj (filtrado de enhavo)
dosierblokado (dosiertipoj blokado)
En la kazo de oficejo, la situacio estas simila, sed la prioritatoj estas iomete malsamaj. Oficeja havebleco (havebleco) estas kutime ne tiel kritika kiel en la kazo de datumcentro, dum la verŝajneco de "interna" malica trafiko estas ordoj de grandeco pli alta.
Tial, la sekvaj protektaj metodoj por ĉi tiu segmento iĝas kritikaj:
aplikaĵa fajroŝirmilo
minaco-preventado (kontraŭviruso, kontraŭ-spiono kaj vundebleco)
URL-filtrado
filtrado de datumoj (filtrado de enhavo)
dosierblokado (dosiertipoj blokado)
Kvankam ĉiuj ĉi tiuj protektaj metodoj, escepte de aplikaĵa fajroŝirmilo, tradicie estis kaj daŭre estas solvitaj ĉe la finaj gastigantoj (ekzemple, instalante kontraŭvirusajn programojn) kaj uzante prokurojn, modernaj NGFW-oj ankaŭ provizas ĉi tiujn servojn.
Vendistoj de sekurecaj ekipaĵoj strebas krei ampleksan protekton, do kune kun loka protekto, ili ofertas diversajn nubajn teknologiojn kaj klientajn programojn por gastigantoj (finpunktoprotekto/EPP). Do, ekzemple, de 2018 Gartner Magia Kvadranto Ni vidas, ke Palo Alto kaj Cisco havas siajn proprajn EPP-ojn (PA: Traps, Cisco: AMP), sed estas malproksime de la gvidantoj.
Ebligi ĉi tiujn protektojn (kutime aĉetante licencojn) sur via fajroŝirmilo kompreneble ne estas deviga (vi povas iri la tradician vojon), sed ĝi donas kelkajn avantaĝojn:
en ĉi tiu kazo, ekzistas ununura punkto de apliko de protektaj metodoj, kiu plibonigas videblecon (vidu la sekvan temon).
Se estas senprotekta aparato en via reto, ĝi ankoraŭ restas sub la "ombrelo" de fajroŝirmilo.
Uzante fajroŝirmitan protekton kune kun fina gastiganta protekto, ni pliigas la verŝajnecon detekti malican trafikon. Ekzemple, uzi minacpreventadon sur lokaj gastigantoj kaj sur fajroŝirmilo pliigas la verŝajnecon de detekto (kondiĉe, kompreneble, ke ĉi tiuj solvoj baziĝas sur malsamaj softvaraĵoj)
Noto
Se vi ekzemple uzas Kaspersky kiel antiviruson kaj ĉe la fajroŝirmilo kaj ĉe la finaj gastigantoj, tiam ĉi tio, kompreneble, ne multe pliigos viajn ŝancojn malhelpi virusan atakon sur via reto.
Reta videbleco
La ĉefa ideo estas simpla - "vidu" kio okazas en via reto, kaj en reala tempo kaj historiaj datumoj.
Mi dividus ĉi tiun "vizion" en du grupojn:
Grupo unu: kion via monitora sistemo kutime provizas al vi.
ekipaĵo ŝarĝo
ŝargado de kanaloj
uzado de memoro
uzado de disko
ŝanĝante la vojtabelon
ligilo statuso
havebleco de ekipaĵo (aŭ gastigantoj)
...
Grupo du: sekurecaj informoj.
diversaj specoj de statistikoj (ekzemple, laŭ aplikaĵo, laŭ URL-trafiko, kiaj tipoj de datumoj estis elŝutitaj, uzantdatenoj)
kio estis blokita de sekurecaj politikoj kaj pro kia kialo, nome
malpermesita aplikado
malpermesite surbaze de ip/protokolo/port/flags/zones
minaco prevento
URL-filtrado
filtrado de datumoj
dosiero blokado
...
statistiko pri DOS/DDOS-atakoj
malsukcesaj provoj de identigo kaj rajtigo
statistikoj por ĉiuj ĉi-supraj sekurecpolitikaj malobservoj
...
En ĉi tiu ĉapitro pri sekureco, ni interesiĝas pri la dua parto.
Iuj modernaj fajroŝirmiloj (el mia sperto de Palo Alto) provizas bonan vidnivelon. Sed, kompreneble, la trafiko, pri kiu vi interesiĝas, devas trairi ĉi tiun fajroŝirmilon (en kiu kazo vi havas la kapablon bloki trafikon) aŭ spegulita al la fajroŝirmilo (uzata nur por monitorado kaj analizo), kaj vi devas havi licencojn por ebligi ĉiujn. ĉi tiuj servoj.
Ekzistas, kompreneble, alternativa maniero, aŭ pli ĝuste la tradicia maniero, ekzemple,
Sesiaj statistikoj povas esti kolektitaj per retfluo kaj tiam uzataj specialaj servaĵoj por informanalizo kaj datumbildigo
minaco-preventado - specialaj programoj (kontraŭviruso, kontraŭ-spiono, fajroŝirmilo) ĉe finaj gastigantoj
URL-filtrado, datuma filtrado, dosierblokado - sur prokurilo
Vi povas kombini ĉi tiujn du alirojn, kompletigante mankantajn funkciojn aŭ duobligante ilin por pliigi la verŝajnecon de detekti atakon.
Kiun aliron vi elektu?
Tre dependas de la kvalifikoj kaj preferoj de via teamo.
Kaj tie kaj estas avantaĝoj kaj malavantaĝoj.
Unuigita centralizita aŭtentikigo kaj rajtigosistemo
Se bone desegnita, la movebleco, kiun ni diskutis en ĉi tiu artikolo, supozas, ke vi havas la saman aliron ĉu vi laboras de la oficejo aŭ de hejme, de la flughaveno, de kafejo aŭ ie ajn aliloke (kun la limigoj, kiujn ni diskutis supre). Ŝajnus, kio estas la problemo?
Por pli bone kompreni la kompleksecon de ĉi tiu tasko, ni rigardu tipan dezajnon.
Ekzemplo:
Vi dividis ĉiujn dungitojn en grupojn. Vi decidis doni aliron per grupoj
Ene de la oficejo, vi kontrolas aliron sur la oficeja fajroŝirmilo
Vi kontrolas trafikon de la oficejo al la datumcentro sur la datumcentra fajroŝirmilo
Vi uzas Cisco ASA kiel VPN-enirejon kaj por kontroli trafikon enirantan vian reton de foraj klientoj, vi uzas lokajn (sur la ASA) ACLs.
Nun, ni diru, ke vi petas aldoni plian aliron al certa dungito. En ĉi tiu kazo, vi petas aldoni aliron nur al li kaj neniu alia el lia grupo.
Por tio ni devas krei apartan grupon por ĉi tiu dungito, tio estas
kreu apartan IP-poolon sur la ASA por ĉi tiu dungito
aldonu novan ACL sur la ASA kaj ligu ĝin al tiu fora kliento
krei novajn sekurecpolitikojn pri oficejaj kaj datumcentraj fajromuroj
Estas bone, se ĉi tiu evento estas malofta. Sed en mia praktiko estis situacio, kiam dungitoj partoprenis en malsamaj projektoj, kaj ĉi tiu aro de projektoj por iuj el ili sufiĉe ofte ŝanĝiĝis, kaj ĝi ne estis 1-2 homoj, sed dekoj. Kompreneble, io necesas ŝanĝi ĉi tie.
Ĉi tio estis solvita en la sekva maniero.
Ni decidis, ke LDAP estus la sola fonto de vero, kiu determinas ĉiujn eblajn dungitajn alirojn. Ni kreis ĉiajn grupojn, kiuj difinas arojn de aliroj, kaj ni asignis ĉiun uzanton al unu aŭ pluraj grupoj.
Do, ekzemple, supozu ke ekzistis grupoj
gasto (Interreta aliro)
komuna aliro (aliro al komunaj rimedoj: poŝto, sciobazo, ...)
librotenado
projekto 1
projekto 2
administranto de datumbazoj
linukso administranto
...
Kaj se unu el la dungitoj estis implikita en projekto 1 kaj projekto 2, kaj li bezonis la aliron necesan por labori en ĉi tiuj projektoj, tiam ĉi tiu dungito estis asignita al la sekvaj grupoj:
gasto
komuna aliro
projekto 1
projekto 2
Kiel ni nun povas transformi ĉi tiun informon en aliron al retaj ekipaĵoj?
Mallonge pri nia efektivigo, dum la identigo/rajtigo, ASA ricevas de LDAP aron da grupoj respondaj al difinita uzanto kaj "kolektas" de pluraj lokaj ACL-oj (ĉiu el kiuj respondas al grupo) dinamikan ACL kun ĉiuj necesaj aliroj. , kiu plene respondas al niaj deziroj.
Sed ĉi tio estas nur por VPN-konektoj. Por ke la situacio estu sama por ambaŭ dungitoj konektitaj per VPN kaj tiuj en la oficejo, la sekva paŝo estis farita.
Konektante de la oficejo, uzantoj uzantaj la 802.1x-protokolon alvenis en aŭ gasta LAN (por gastoj) aŭ komuna LAN (por firmaaj dungitoj). Plue, por akiri specifan aliron (ekzemple al projektoj en datumcentro), dungitoj devis konektiĝi per VPN.
Por ligi de la oficejo kaj de hejme, malsamaj tunelgrupoj estis uzitaj sur la ASA. Ĉi tio estas necesa por ke por tiuj, kiuj konektas de la oficejo, trafiko al komunaj rimedoj (uzataj de ĉiuj dungitoj, kiel poŝto, dosierserviloj, biletsistemo, dns, ...) ne iru tra la ASA, sed tra la loka reto. . Tiel, ni ne ŝarĝis la ASA per nenecesa trafiko, inkluzive de altintensa trafiko.
Tiel, la problemo estis solvita.
Ni ricevis
la sama aro de aliroj por ambaŭ konektoj de la oficejo kaj foraj ligoj
foresto de serva degenero dum laborado de la oficejo asociita kun la dissendo de altintensa trafiko tra ASA
Kiuj aliaj avantaĝoj de ĉi tiu aliro?
En administrado de aliro. Aliroj povas esti facile ŝanĝitaj en unu loko.
Ekzemple, se dungito forlasas la firmaon, tiam vi simple forigas lin de LDAP, kaj li aŭtomate perdas ĉian aliron.
Kontrolado de gastiganto
Kun la ebleco de fora konekto, ni riskas permesi ne nur kompanian dungiton en la reton, sed ankaŭ ĉiujn malicajn programojn, kiuj tre verŝajne ĉeestas en lia komputilo (ekzemple, hejme), kaj krome, per ĉi tiu programaro ni eble provizas aliron al nia reto al atakanto uzanta ĉi tiun gastiganton kiel prokurilon.
Ĝi havas sencon por malproksime konektita gastiganto apliki la samajn sekurecpostulojn kiel en-oficeja gastiganto.
Ĉi tio ankaŭ supozas la "ĝustan" version de la OS, kontraŭvirusa, kontraŭspiono kaj fajroŝirmila programaro kaj ĝisdatigoj. Tipe, ĉi tiu kapablo ekzistas sur la VPN-enirejo (por ASA vidu, ekzemple, tie).
Ankaŭ estas saĝe apliki la samajn trafikan analizon kaj blokajn teknikojn (vidu "Alta nivelo de protekto"), kiujn via sekureca politiko aplikas al oficeja trafiko.
Estas racie supozi, ke via oficeja reto ne plu estas limigita al la oficeja konstruaĵo kaj la gastigantoj en ĝi.
Ekzemplo:
Bona tekniko estas provizi ĉiun dungiton, kiu postulas foran aliron per bona, oportuna tekkomputilo kaj postuli ilin labori, kaj en la oficejo kaj hejme, nur de ĝi.
Ĝi ne nur plibonigas la sekurecon de via reto, sed ĝi ankaŭ estas vere oportuna kaj estas kutime rigardata favore de dungitoj (se ĝi estas vere bona, uzant-amika tekokomputilo).
Pri sento de proporcio kaj ekvilibro
Esence, ĉi tio estas konversacio pri la tria vertico de nia triangulo - pri prezo.
Ni rigardu hipotezan ekzemplon.
Ekzemplo:
Vi havas oficejon por 200 homoj. Vi decidis fari ĝin kiel eble plej oportuna kaj sekura.
Tial vi decidis pasi la tutan trafikon tra la fajroŝirmilo kaj tiel por ĉiuj oficejaj subretoj la fajroŝirmilo estas la defaŭlta enirejo. Krom la sekureca programaro instalita sur ĉiu fina gastiganto (kontraŭvirusa, kontraŭspiono kaj fajroŝirmilo), vi ankaŭ decidis apliki ĉiujn eblajn protektajn metodojn sur la fajroŝirmilo.
Por certigi altan konektan rapidon (ĉio por komforto), vi elektis ŝaltilojn kun 10 Gigabit-alirhavenoj kiel alirŝaltiloj, kaj alt-efikecajn NGFW-fajrmurojn kiel fajromurojn, ekzemple, Palo Alto 7K-serio (kun 40 Gigabit-havenoj), nature kun ĉiuj licencoj. inkluzivita kaj, nature, Alta Havebleca paro.
Ankaŭ, kompreneble, por labori kun ĉi tiu linio de ekipaĵo ni bezonas almenaŭ kelkajn tre kvalifikitajn sekurecajn inĝenierojn.
Poste, vi decidis doni al ĉiu dungito bonan tekkomputilon.
Entute, ĉirkaŭ 10 milionoj da dolaroj por efektivigo, centoj da miloj da dolaroj (mi pensas pli proksime al miliono) por ĉiujara subteno kaj salajroj por inĝenieroj.
Oficejo, 200 homoj...
Komforta? Mi supozas, ke jes.
Vi venas kun ĉi tiu propono al via administrado...
Eble estas kelkaj kompanioj en la mondo, por kiuj ĉi tio estas akceptebla kaj ĝusta solvo. Se vi estas dungito de ĉi tiu kompanio, mi gratulas, sed en la granda plimulto de kazoj, mi certas, ke via scio ne estos aprezata de la administrado.
Ĉu ĉi tiu ekzemplo estas troigita? La sekva ĉapitro respondos ĉi tiun demandon.
Se en via reto vi ne vidas iun el la supre, tiam ĉi tio estas la normo.
Por ĉiu specifa kazo, vi devas trovi vian propran akcepteblan kompromison inter oportuno, prezo kaj sekureco. Ofte vi eĉ ne bezonas NGFW en via oficejo, kaj L7-protekto sur la fajroŝirmilo ne estas bezonata. Sufiĉas provizi bonan nivelon de videbleco kaj atentigoj, kaj ĉi tio povas esti farita uzante malfermfontajn produktojn, ekzemple. Jes, via reago al atako ne estos tuja, sed la ĉefa afero estas, ke vi vidos ĝin, kaj kun la ĝustaj procezoj en via fako, vi povos rapide neŭtraligi ĝin.
Kaj mi memorigu vin, ke laŭ la koncepto de ĉi tiu serio de artikoloj, vi ne desegnas reton, vi nur provas plibonigi tion, kion vi ricevis.
Ĉi tio estas unu el la ŝlosilaj lokoj de arkitekturo kaj unu el la plej gravaj necertecoj.
Noto
Mi neniam instalis aŭ laboris kun FirePower (de la fajroŝirmilo de Cisco - nur ASA), do mi traktos ĝin kiel ajnan alian fajroŝirmilon, kiel Juniper SRX aŭ Palo Alto, supozante ke ĝi havas la samajn kapablojn.
El la kutimaj dezajnoj, mi vidas nur 4 eblajn eblojn por uzi fajroŝirmilon kun ĉi tiu konekto:
la defaŭlta enirejo por ĉiu subreto estas ŝaltilo, dum la fajroŝirmilo estas en travidebla reĝimo (tio estas, la tuta trafiko trairas ĝin, sed ĝi ne formas L3-salton)
la defaŭlta enirejo por ĉiu subreto estas la fajroŝirmilaj sub-interfacoj (aŭ SVI-interfacoj), la ŝaltilo ludas la rolon de L2
malsamaj VRFoj estas uzitaj sur la ŝaltilo, kaj trafiko inter VRFoj pasas tra la fajroŝirmilo, trafiko ene de unu VRF estas kontrolita per la ACL sur la ŝaltilo.
ĉiu trafiko estas spegulita al la fajroŝirmilo por analizo kaj monitorado; trafiko ne trairas ĝin
Rimarko 1
Kombinaĵoj de ĉi tiuj opcioj eblas, sed por simpleco ni ne konsideros ilin.
Noto 2
Ankaŭ ekzistas la ebleco uzi PBR (servĉena arkitekturo), sed nuntempe ĉi tio, kvankam bela solvo laŭ mi, estas sufiĉe ekzotika, do mi ne konsideras ĝin ĉi tie.
De la priskribo de la fluoj en la dokumento, ni vidas, ke la trafiko ankoraŭ trairas la fajroŝirmilon, tio estas, laŭ la dezajno de Cisco, la kvara opcio estas forigita.
Ni unue rigardu la unuajn du eblojn.
Kun ĉi tiuj opcioj, la tuta trafiko trairas la fajroŝirmilon.
Nun ni rigardu datumpaĝo, rigardu Cisco GPL kaj ni vidas, ke se ni volas, ke la tuta bendolarĝo por nia oficejo estu almenaŭ ĉirkaŭ 10 - 20 gigabitoj, tiam ni devas aĉeti la 4K-version.
Noto
Kiam mi parolas pri la tuta bendolarĝo, mi celas trafikon inter subretoj (kaj ne ene de unu vilano).
De la GPL ni vidas, ke por la HA Bundle kun Threat Defense, la prezo depende de la modelo (4110 - 4150) varias de ~0,5 - 2,5 milionoj da dolaroj.
Tio estas, nia dezajno komencas simili la antaŭan ekzemplon.
Ĉu ĉi tio signifas, ke ĉi tiu dezajno estas malĝusta?
Ne, tio ne signifas. Cisco donas al vi la plej bonan eblan protekton bazitan sur la produktserio kiun ĝi havas. Sed tio ne signifas, ke ĝi estas nepra por vi.
En principo, ĉi tio estas ofta demando, kiu ŝprucas dum desegnado de oficejo aŭ datumcentro, kaj ĝi nur signifas, ke kompromiso devas esti serĉita.
Ekzemple, ne lasu la tutan trafikon trapasi fajroŝirmilon, tiukaze opcio 3 ŝajnas al mi sufiĉe bona, aŭ (vidu antaŭan sekcion) eble vi ne bezonas Minacdefendon aŭ tute ne bezonas fajroŝirmilon pri tio. retsegmento, kaj vi nur bezonas limigi vin al pasiva monitorado per pagitaj (ne multekostaj) aŭ malfermfontaj solvoj, aŭ vi bezonas fajroŝirmilon, sed de malsama vendisto.
Kutime ĉiam estas ĉi tiu necerteco kaj ne ekzistas klara respondo pri kiu decido estas la plej bona por vi.
Jen la komplekseco kaj beleco de ĉi tiu tasko.