この記事は、「ネットワーク インフラストラクチャを制御する方法」シリーズ記事の XNUMX 番目です。 シリーズのすべての記事の内容とリンクが見つかります。 ここで.

セキュリティリスクを完全に排除することについて話しても意味がありません。 原則としてゼロにすることはできません。 また、ネットワークの安全性を高める努力をするにつれて、ソリューションの価格がますます高くなっているということも理解する必要があります。 ネットワークにとって合理的な、コスト、複雑さ、セキュリティの間のトレードオフを見つける必要があります。

もちろん、セキュリティ設計はアーキテクチャ全体に有機的に統合されており、使用されるセキュリティ ソリューションはネットワーク インフラストラクチャの拡張性、信頼性、管理性などに影響を与えるため、これらも考慮する必要があります。

ただし、今私たちが話しているのはネットワークの構築についてではないことを思い出してください。 弊社によると 初期条件 私たちはすでに設計を選択し、機器を選択し、インフラストラクチャを作成しました。この段階では、可能であれば、以前に選択したアプローチのコンテキストで「実際に」実行し、ソリューションを見つける必要があります。

私たちの現在の課題は、ネットワーク レベルでセキュリティに関連するリスクを特定し、それらを妥当なレベルまで軽減することです。

ネットワークセキュリティ監査

組織が ISO 27k プロセスを実装している場合、セキュリティ監査とネットワーク変更は、このアプローチ内のプロセス全体にシームレスに適合するはずです。 しかし、これらの標準は依然として特定のソリューションに関するものではなく、構成に関するものでも、設計に関するものでもありません...ネットワークがどうあるべきかを詳細に規定する明確なアドバイスや標準はありません。これがこのタスクの複雑さと美しさです。

考えられるネットワーク セキュリティ監査をいくつか取り上げます。

• 機器構成監査（強化）
• セキュリティ設計監査
• アクセス監査
• プロセス監査

機器構成監査（強化）

ほとんどの場合、これがネットワークのセキュリティを監査して改善するための最良の出発点であるようです。 私見ですが、これはパレートの法則の良い例です (努力の 20% が結果の 80% を生み出し、残りの 80% の努力では結果の 20% しか生み出されません)。

肝心なのは、機器を構成する際のセキュリティの「ベスト プラクティス」に関して、通常はベンダーからの推奨事項があるということです。 これを「硬化」といいます。

また、多くの場合、これらの推奨事項に基づいてアンケートを見つける (または自分でアンケートを作成する) こともできます。これは、機器の構成がこれらの「ベスト プラクティス」にどの程度準拠しているかを判断し、その結果に従ってネットワークに変更を加えるのに役立ちます。 。 これにより、実質的にコストをかけずに、非常に簡単にセキュリティ リスクを大幅に軽減できます。

一部の Cisco オペレーティング システムの例をいくつか示します。

Cisco IOS 設定の強化
Cisco IOS-XR 設定の強化
Cisco NX-OS 設定の強化
シスコのベースライン セキュリティ チェック リスト

これらの文書に基づいて、各タイプの機器の構成要件のリストを作成できます。 たとえば、Cisco N7K VDC の場合、これらの要件は次のようになります。 そう.

このようにして、ネットワーク インフラストラクチャ内のさまざまなタイプのアクティブな機器用に構成ファイルを作成できます。 次に、手動または自動化を使用して、これらの構成ファイルを「アップロード」できます。 このプロセスを自動化する方法については、オーケストレーションと自動化に関する別の記事シリーズで詳しく説明します。

セキュリティ設計監査

通常、企業ネットワークには、何らかの形で次のセグメントが含まれています。

• DC (公共サービス DMZ およびイントラネット データ センター)
• インターネットアクセス
• リモートアクセスVPN
• WANエッジ
• ブランチ
• キャンパス（オフィス）
• 基本

タイトルは以下から引用 シスコ SAFE しかし、もちろん、これらの名前とこのモデルに厳密に関連付けられる必要はありません。 それでも形式に囚われず、本質をお話したいと思います。

これらのセグメントごとに、セキュリティ要件、リスク、およびそれに応じたソリューションも異なります。

セキュリティ設計の観点から遭遇する可能性のある問題について、それぞれを個別に見てみましょう。 もちろん、もう一度繰り返しますが、この記事は決して完全であるかのように振る舞うものではなく、この真に深く多面的なテーマを達成するのは（不可能ではないにしても）簡単ではありませんが、これは私の個人的な経験を反映しています。

完璧な解決策はありません（少なくともまだ）。 それは常に妥協です。 ただし、どちらのアプローチを使用するかは、その長所と短所の両方を理解した上で意識的に決定することが重要です。

データセンター

安全性の観点から最も重要なセグメント。
そして、いつものように、ここでも普遍的な解決策はありません。 それはすべて、ネットワーク要件に大きく依存します。

ファイアウォールは必要ですか?

答えは明白であるように思えますが、すべてが思ったほど明確ではありません。 そして、あなたの選択はそれだけではなく影響を与える可能性があります 価格.

例1。 遅れます。

一部のネットワーク セグメント間で低遅延が必須の要件である場合 (たとえば、交換の場合に当てはまります)、これらのセグメント間でファイアウォールを使用することはできません。 ファイアウォールの遅延に関する研究を見つけるのは難しいですが、1 mksec 以下の遅延を実現できるスイッチ モデルはほとんどありません。そのため、マイクロ秒が重要である場合は、ファイアウォールは適さないと思います。

例2。 パフォーマンス

通常、上位の L3 スイッチのスループットは、最も強力なファイアウォールのスループットよりも XNUMX 桁高くなります。 したがって、高強度のトラフィックの場合は、このトラフィックがファイアウォールをバイパスできるようにする必要がある可能性が高くなります。

例3。 信頼性。

ファイアウォール、特に最新の NGFW (次世代 FW) は複雑なデバイスです。 これらは L3/L2 スイッチよりもはるかに複雑です。 これらは多数のサービスと構成オプションを提供するため、信頼性がはるかに低いことは驚くべきことではありません。 サービスの継続性がネットワークにとって重要な場合は、可用性の向上につながるもの、つまりファイアウォールによるセキュリティか、通常の ACL を使用したスイッチ (またはさまざまな種類のファブリック) 上に構築されたネットワークの簡素化かを選択する必要がある場合があります。

上記の例の場合、おそらく (いつものように) 妥協点を見つける必要があります。 次の解決策を検討してください。

• データセンター内でファイアウォールを使用しないことに決めた場合は、境界付近でのアクセスを可能な限り制限する方法を考える必要があります。 たとえば、インターネット (クライアント トラフィック用) から必要なポートのみを開き、ジャンプ ホストからのみデータ センターへの管理アクセスを開くことができます。 ジャンプ ホストで、必要なすべてのチェック (認証/認可、ウイルス対策、ログ記録など) を実行します。
• PSEFABRIC で説明されているスキームと同様に、データセンター ネットワークの論理パーティションをセグメントに使用できます。 例 p002。 この場合、遅延の影響を受けやすいトラフィックまたは強度の高いトラフィックが 002 つのセグメント (pXNUMX、VRF の場合) 内を通過し、ファイアウォールを通過しないようにルーティングを設定する必要があります。 異なるセグメント間のトラフィックは引き続きファイアウォールを通過します。 VRF 間で漏洩するルートを使用して、ファイアウォールを通過するトラフィックのリダイレクトを回避することもできます。
• これらの要因 (遅延/パフォーマンス) が重要ではない VLAN に対してのみ、ファイアウォールをトランスペアレント モードで使用することもできます。 ただし、各ベンダーのこの MOD の使用に関連する制限を注意深く調べる必要があります。
• サービス チェーン アーキテクチャの使用を検討することもできます。 これにより、必要なトラフィックのみがファイアウォールを通過できるようになります。 理論的には良さそうですが、実稼働環境でこのソリューションを見たことがありません。 私たちは約 5 年前に Cisco ACI/Juniper SRX/F3 LTM のサービス チェーンをテストしましたが、当時、このソリューションは私たちにとって「粗雑」に思えました。

保護レベル

次に、トラフィックをフィルタリングするためにどのツールを使用するかという質問に答える必要があります。 NGFW に通常存在する機能の一部を次に示します (例: ここで):

• ステートフル ファイアウォール (デフォルト)
• アプリケーションファイアウォール
• 脅威の防止 (ウイルス対策、スパイウェア対策、脆弱性)
• URLフィルタリング
• データフィルタリング（コンテンツフィルタリング）
• ファイルのブロック (ファイル タイプのブロック)
• ドスプロテクション

そして、すべてが明らかなわけではありません。 保護レベルが高いほど良いようです。 しかし、それも考慮する必要があります

• 上記のファイアウォール機能を多く使用すると、当然高価になります（ライセンス、追加モジュール）。
• 一部のアルゴリズムを使用すると、ファイアウォールのスループットが大幅に低下し、遅延も増加する可能性があります。例を参照してください。 ここで
• 他の複雑なソリューションと同様に、複雑な保護方法を使用すると、ソリューションの信頼性が低下する可能性があります。たとえば、アプリケーション ファイアウォールを使用すると、非常に標準的な動作アプリケーション (DNS、SMB) がブロックされることがありました。

いつものように、ネットワークに最適なソリューションを見つける必要があります。

どのような保護機能が必要になるかという質問に明確に答えることは不可能です。 第一に、それはもちろん、送信または保存し、保護しようとしているデータに依存するためです。 第 XNUMX に、実際には、多くの場合、セキュリティ ツールの選択はベンダーに対する信頼と信頼の問題になります。 アルゴリズムもその効果も知らず、完全にテストすることもできません。

したがって、重要なセグメントでは、さまざまな企業からのオファーを利用することが良い解決策となる可能性があります。 たとえば、ファイアウォールでウイルス対策機能を有効にしながら、ホスト上でローカルに (別のメーカーの) ウイルス対策保護を使用することもできます。

セグメンテーション

データセンター ネットワークの論理セグメント化について話しています。 たとえば、VLAN やサブネットへの分割も論理的な分割ですが、自明のことなのでここでは考慮しません。 FW セキュリティ ゾーン、VRF (およびさまざまなベンダーに関連するそれらの類似物)、論理デバイス (PA VSYS、Cisco N7K VDC、Cisco ACI テナントなど) などのエンティティを考慮した興味深いセグメンテーション。

このような論理セグメンテーションと現在需要のあるデータセンター設計の例を以下に示します。 PSEFABRICプロジェクトのp002.

ネットワークの論理部分を定義したら、異なるセグメント間でトラフィックがどのように移動するか、どのデバイスでどのような手段でフィルタリングが実行されるかを説明できます。

ネットワークに明確な論理パーティションがなく、さまざまなデータ フローにセキュリティ ポリシーを適用するためのルールが正式化されていない場合、これは、特定のアクセスを開くときにこの問題を解決する必要があり、高い確率で問題を解決する必要があることを意味します。毎回違う方法で解決します。

多くの場合、セグメンテーションは FW セキュリティ ゾーンのみに基づいています。 次に、次の質問に答える必要があります。

• どのようなセキュリティゾーンが必要ですか
• これらの各ゾーンにどのレベルの保護を適用しますか
• ゾーン内トラフィックはデフォルトで許可されますか?
• そうでない場合、各ゾーン内でどのトラフィック フィルタリング ポリシーが適用されるか
• ゾーンの各ペア (送信元/宛先) にどのトラフィック フィルタリング ポリシーが適用されるか

TCAM

よくある問題は、ルーティングとアクセスの両方において TCAM (Ternary Content Addressable Memory) が不十分であることです。 私の意見では、これは機器を選択する際の最も重要な問題の XNUMX つであるため、この問題には適切な程度の注意を払う必要があります。

例 1. 転送テーブル TCAM。

私たちに考えさせてください パロアルト 7k ファイアウォール
IPv4 転送テーブルのサイズ* = 32K であることがわかります。
さらに、このルート数はすべての VSYS に共通です。

設計に従って 4 つの VSYS を使用することに決めたと仮定します。
これらの各 VSYS は、BB として使用するクラウドの 4 つの MPLS PE に BGP 経由で接続されます。 したがって、2 つの VSYS はすべての特定のルートを相互に交換し、ほぼ同じルートのセット (ただし異なる NH) を持つ転送テーブルを持ちます。 なぜなら各 VSYS には 2 つの BGP セッション (同じ設定) があり、MPLS 経由で受信した各ルートには 2 つの NH があり、したがって転送テーブルに 32 つの FIB エントリがあります。 これがデータ センター内の唯一のファイアウォールであり、すべてのルートを認識している必要があると仮定すると、データ センター内のルートの合計数が 4K/(2 * 4) = XNUMXK を超えることはできないことを意味します。

ここで、(同じ設計の) 2 つのデータ センターがあり、データ センター間で「拡張された」 VLAN (たとえば、vMotion 用) を使用したい場合、ルーティングの問題を解決するには、ホスト ルートを使用する必要があります。 。 ただし、これは、2 つのデータ センターの場合、使用できるホストの数は 4096 個までであることを意味し、もちろん、これでは十分ではない可能性があります。

例 2. ACL TCAM。

L3 スイッチ（または L3 スイッチを使用する他のソリューション（Cisco ACI など））でトラフィックをフィルタリングする予定がある場合は、機器を選択するときに TCAM ACL に注意する必要があります。

Cisco Catalyst 4500 の SVI インターフェイスでのアクセスを制御するとします。 この記事、インターフェイス上の送信（および受信）トラフィックを制御するには、4096 TCAM 回線のみを使用できます。 TCAM3 を使用すると、約 4000 万の ACE (ACL ライン) が得られます。

TCAM が不十分であるという問題に直面した場合は、もちろん、まず第一に、最適化の可能性を検討する必要があります。 したがって、転送テーブルのサイズに問題がある場合は、ルートを集約する可能性を考慮する必要があります。 アクセスの TCAM サイズに問題がある場合は、アクセスを監査し、古くなった重複レコードを削除し、場合によってはアクセスを開く手順を改訂します (アクセスの監査に関する章で詳細に説明します)。

高可用性

問題は、ファイアウォールに HA を使用するべきか、それとも XNUMX つの独立したボックスを「並行して」設置し、そのうちの XNUMX つに障害が発生した場合にトラフィックを XNUMX つ目のボックスにルーティングするべきかということです。

答えは明白です - HA を使用することです。 この疑問が依然として生じる理由は、残念なことに、理論上および宣伝上の 99 パーセントと実際のアクセシビリティの小数点以下の数パーセントが、それほどバラ色とはほど遠いことが判明しているためです。 HA は論理的に非常に複雑で、さまざまな機器、さまざまなベンダー (例外はありませんでした) 上で問題やバグが見つかり、サービスが停止しました。

HA を使用すると、サービスを停止せずに個々のノードの電源をオフにし、ノード間を切り替えることができます。これは、アップグレードを行う場合などに重要ですが、同時に、両方のノードが停止する可能性はゼロではありません。同時に壊れる可能性があり、次回のアップグレードはベンダーが約束したほどスムーズに進まない可能性があります (この問題は、実験室の機器でアップグレードをテストする機会があれば回避できます)。

HA を使用しない場合、二重障害の観点からは (2 つの独立したファイアウォールがあるため) リスクははるかに低くなりますが、その後... セッションが同期されていない場合、これらのファイアウォール間で切り替えるたびにトラフィックが失われます。 もちろん、ステートレス ファイアウォールを使用することもできますが、そうするとファイアウォールを使用する意味がほとんど失われます。

したがって、監査の結果、孤立したファイアウォールが発見され、ネットワークの信頼性を高めることを考えている場合は、もちろん HA が推奨されるソリューションの XNUMX つですが、それに伴う欠点も考慮する必要があります。このアプローチでは、おそらく、特にネットワークに限っては、別のソリューションの方が適しているでしょう。

管理性

原則として、HA は制御性も重視します。 2 つのボックスを個別に構成し、構成の同期を保つという問題に対処するのではなく、XNUMX つのデバイスがあるかのように管理できます。

しかし、おそらく多くのデータセンターとファイアウォールがある場合、この疑問は新たなレベルで生じます。 問題は構成だけではなく、

• バックアップ構成
• アップデート
• アップグレード
• 監視
• ロギング

これらすべては集中管理システムによって解決できます。

したがって、たとえば、パロアルトのファイアウォールを使用している場合は、 パノラマ そのような解決策です。

継続するために。

出所： habr.com