ネットワーク インフラストラクチャを制御する方法。 第三章。 ネットワークセキュリティー。 パート XNUMX

この記事は、「ネットワーク インフラストラクチャを制御する方法」シリーズの XNUMX 番目です。 シリーズのすべての記事の内容とリンクが見つかります。 ここで.

この部分は、キャンパス (オフィス) およびリモート アクセス VPN セグメントに専念します。

オフィス ネットワークの設計は簡単に思えるかもしれません。

実際、L2/L3 スイッチを使用して相互に接続します。 次に、ヴィランとデフォルト ゲートウェイの基本セットアップを実行し、簡単なルーティングを設定し、WiFi コントローラとアクセス ポイントを接続し、リモート アクセス用に ASA をインストールして設定します。すべてが機能したことをうれしく思います。 基本的には、以前にも書いたように、 物品 このサイクルの中で、電気通信コースの XNUMX 学期に参加 (および学習) したほぼすべての学生は、オフィス ネットワークを「何とか機能する」ように設計および構成できます。

しかし、学べば学ぶほど、この作業は単純ではなくなってきます。 私個人にとって、このトピック、つまりオフィス ネットワーク設計のトピックはまったく単純ではないように思えます。この記事では、その理由を説明したいと思います。

要するに、考慮すべき要素がかなり多くあります。 多くの場合、これらの要素は互いに矛盾するため、合理的な妥協点を探る必要があります。
この不確実性が主な困難です。 セキュリティについて言えば、セキュリティ、従業員の利便性、ソリューションの価格という XNUMX つの頂点を持つ三角形があります。
そして毎回、これら XNUMX つの間の妥協点を探す必要があります。

アーキテクチャ

これら XNUMX つのセグメントのアーキテクチャの例として、以前の記事と同様に、次をお勧めします。 シスコ SAFE модель： エンタープライズキャンパス, エンタープライズインターネットエッジ.

これらはやや古いドキュメントです。 基本的なスキームとアプローチは変わっていないため、ここでそれらを紹介しますが、同時にプレゼンテーションよりも気に入っています。 新しいドキュメント.

シスコのソリューションの使用を推奨するわけではありませんが、この設計を注意深く検討することは有益だと思います。

いつものように、この記事は完全なふりをするものではなく、むしろこの情報への追加です。

この記事の最後では、ここで概説した概念に基づいて Cisco SAFE オフィスの設計を分析します。

一般原則

オフィス ネットワークの設計は、当然のことながら、これまでに説明した一般要件を満たさなければなりません。 ここで 「設計品質の評価基準」の章に記載されています。 この記事で説明する価格と安全性に加えて、設計 (または変更) 時に考慮する必要がある基準がまだ XNUMX つあります。

• スケーラビリティ
• 使いやすさ（管理性）
• 可用性

議論された内容の多くは データセンター これはオフィスにも当てはまります。

ただし、オフィス部門にはセキュリティの観点から重要な独自の特徴があります。 この特殊性の本質は、このセグメントが会社の従業員 (およびパートナーやゲスト) にネットワーク サービスを提供するために作成されており、その結果、問題を最も高いレベルで考慮することで、次の XNUMX つのタスクがあるということです。

• 従業員 (ゲスト、パートナー) や従業員が使用するソフトウェアによる悪意のある行為から会社のリソースを保護します。 これには、ネットワークへの不正な接続に対する保護も含まれます。
• システムとユーザーデータを保護する

そして、これは問題の XNUMX つの側面 (むしろ、三角形の XNUMX つの頂点) にすぎません。 もう XNUMX つは、ユーザーの利便性と、使用されるソリューションの価格です。

まず、ユーザーが最新のオフィス ネットワークに何を期待しているかを見てみましょう。

設備

私の意見では、オフィス ユーザーにとっての「ネットワーク アメニティ」は次のようになります。

• Мобильность
• 使い慣れたデバイスとオペレーティング システムをすべて使用できる能力
• 必要なすべての社内リソースに簡単にアクセス
• 各種クラウドサービスを含むインターネットリソースの利用可能性
• ネットワークの「高速化」

これはすべて、従業員とゲスト (またはパートナー) の両方に当てはまります。また、承認に基づいてさまざまなユーザー グループのアクセスを区別するのは、会社のエンジニアの仕事です。

これらの各側面をもう少し詳しく見てみましょう。

Мобильность

私たちは、世界中のどこからでも（もちろん、インターネットが利用できる場所であれば）仕事をし、必要な会社のリソースをすべて利用できる機会について話しています。

これはオフィスにも完全に当てはまります。 これは、メールの受信、社内メッセンジャーでの通信、ビデオ通話など、オフィス内のどこからでも作業を続ける機会がある場合に便利です。つまり、一方では、一部の問題を解決するには、「ライブ」コミュニケーション (集会への参加など) が必要ですが、その一方で、常にオンラインで常に最新の情報を把握し、緊急で優先度の高いタスクを迅速に解決する必要があります。 これは非常に便利で、通信の品質が大幅に向上します。

これは、適切な WiFi ネットワーク設計によって実現されます。

注意：

ここで通常、「WiFi だけを使用するだけで十分ですか?」という疑問が生じます。 これは、オフィス内のイーサネット ポートの使用を停止してもよいという意味ですか? 通常のイーサネット ポートに接続するのが妥当であるサーバーではなく、ユーザーについてのみ話している場合、一般的に答えは次のとおりです。はい、Wi-Fi のみに制限できます。 しかし、ニュアンスもあります。

別のアプローチを必要とする重要なユーザー グループがあります。 もちろん、これらは管理者です。 原則として、WiFi 接続は通常のイーサネット ポートよりも (トラフィック損失の点で) 信頼性が低く、速度が遅くなります。 これは管理者にとって重要な意味を持つ可能性があります。 さらに、ネットワーク管理者は、原則として、帯域外接続用に独自の専用イーサネット ネットワークを持つことができます。

社内には、これらの要素も重要な他のグループ/部門が存在する可能性があります。

もう XNUMX つ重要な点があります。それは電話です。 おそらく何らかの理由で、ワイヤレス VoIP を使用せず、通常のイーサネット接続で IP 電話を使用したいと考えているでしょう。

一般に、私が働いていた会社には、WiFi 接続とイーサネット ポートの両方が備わっていました。

モビリティをオフィスだけに限定しないでほしい。

自宅 (またはインターネットにアクセスできるその他の場所) で作業できるようにするために、VPN 接続が使用されます。 同時に、同じアクセスを前提とした在宅勤務とリモートワークの違いを従業員が感じないことが望ましい。 これをどのように整理するかについては、後ほど「統合された集中認証および認可システム」の章で説明します。

注意：

おそらく、リモートワークではオフィスで行っているのと同じ品質のサービスを完全に提供することはできません。 Cisco ASA 5520 を VPN ゲートウェイとして使用していると仮定します。 データシート このデバイスは 225 Mbit の VPN トラフィックのみを「ダイジェスト」できます。 つまり、帯域幅の点で、VPN 経由の接続はオフィスで作業する場合とは大きく異なります。 また、何らかの理由で、ネットワーク サービスの遅延、損失、ジッター (オフィスの IP テレフォニーを使用する場合など) が顕著な場合も、オフィスにいる場合と同じ品質は得られません。 したがって、モビリティについて話すときは、起こり得る制限を認識しておく必要があります。

社内のすべてのリソースに簡単にアクセス

この課題は他の技術部門と協力して解決する必要があります。
理想的な状況は、ユーザーが XNUMX 回認証するだけで済み、その後は必要なすべてのリソースにアクセスできることです。
セキュリティを犠牲にすることなく簡単なアクセスを提供すると、生産性が大幅に向上し、同僚のストレスが軽減されます。

備考1

アクセスのしやすさは、パスワードを入力する必要がある回数だけではありません。 たとえば、セキュリティ ポリシーに従って、オフィスからデータ センターに接続するには、まず VPN ゲートウェイに接続する必要があり、同時にオフィスのリソースにアクセスできなくなる場合、これも非常に危険です。 、非常に不便です。

備考2

通常、独自の専用 AAA サーバーを使用するサービス (ネットワーク機器へのアクセスなど) があり、この場合は複数回認証する必要があるのが一般的です。

インターネットリソースの利用可能性

インターネットは単なる娯楽ではなく、仕事にも役立つサービスが揃っています。 純粋に心理的な要因もあります。 現代人はインターネットを介して多くの仮想スレッドを通じて他の人々とつながっており、仕事をしながらもそのつながりを感じ続けるのは何も悪いことではないと私は考えています。

時間を無駄にするという観点から見ると、たとえば従業員が Skype を実行し、必要に応じて愛する人と通信するのに 5 分間費やしても問題はありません。

これは、インターネットを常に利用できる必要があるという意味ですか? これは、従業員がすべてのリソースにアクセスでき、いかなる方法でもリソースを制御できないことを意味しますか?

もちろん、そういう意味ではありません。 インターネットのオープン性のレベルは、完全な閉鎖性から完全なオープン性まで、企業によって異なります。 トラフィックを制御する方法については、後のセキュリティ対策のセクションで説明します。

使い慣れたデバイスをすべて使用できる

たとえば、仕事で使い慣れたすべてのコミュニケーション手段を引き続き使用する機会がある場合に便利です。 これを技術的に実装するのは難しいことではありません。 このためには、Wi-Fi とゲスト用 Wilan が必要です。

使い慣れたオペレーティング システムを使用する機会がある場合も良いでしょう。 しかし、私の観察によると、これは通常、マネージャー、管理者、開発者にのみ許可されています。

例

もちろん、禁止の道をたどることもできます。リモート アクセスの禁止、モバイル デバイスからの接続の禁止、静的イーサネット接続へのすべての制限、インターネットへのアクセスの制限、検問所での携帯電話とガジェットの強制没収...そしてこの道です。実際、一部の組織ではセキュリティ要件が強化されており、おそらく場合によってはこれが正当化されるかもしれませんが、これは単一の組織の進歩を止めようとする試みであることに同意する必要があります。 もちろん、最新のテクノロジーが提供する機会と十分なレベルのセキュリティを組み合わせたいと考えています。

ネットワークの「高速化」

データ転送速度は技術的には多くの要素で構成されます。 また、接続ポートの速度は通常、最も重要なものではありません。 アプリケーションの動作の遅さは必ずしもネットワークの問題に関連しているわけではありませんが、現時点ではネットワーク部分のみに注目します。 ローカル ネットワークの「速度低下」に関する最も一般的な問題は、パケット損失に関連しています。 これは通常、ボトルネックまたは L1 (OSI) の問題がある場合に発生します。 まれに、一部の設計 (たとえば、サブネットにデフォルト ゲートウェイとしてファイアウォールがあり、すべてのトラフィックがファイアウォールを通過する場合) では、ハードウェアのパフォーマンスが不足することがあります。

したがって、機器とアーキテクチャを選択するときは、エンド ポート、トランクの速度、および機器のパフォーマンスを相関させる必要があります。

例

アクセス レイヤ スイッチとして 1 ギガビット ポートを持つスイッチを使用していると仮定します。 これらは、Etherchannel 2 x 10 ギガビットを介して相互に接続されています。 デフォルト ゲートウェイとしてギガビット ポートを備えたファイアウォールを使用し、EtherChannel に結合された 2 つのギガビット ポートを使用して L2 オフィス ネットワークに接続します。

このアーキテクチャは、機能の観点から見て非常に便利です。 すべてのトラフィックはファイアウォールを通過するため、アクセス ポリシーを快適に管理し、複雑なアルゴリズムを適用してトラフィックを制御し、攻撃の可能性を防ぐことができます (下記を参照)。ただし、スループットとパフォーマンスの観点から見ると、この設計には潜在的な問題があります。 したがって、たとえば、2 台のホスト (ポート速度 1 ギガビット) がデータをダウンロードすると、ファイアウォールへの 2 ギガビット接続が完全にロードされる可能性があり、オフィス セグメント全体のサービス低下につながる可能性があります。

三角形の XNUMX つの頂点について見てきました。次に、セキュリティを確保する方法を見てみましょう。

対策

したがって、当然のことながら、通常、私たちの願望 (またはむしろ経営陣の願望) は不可能を達成すること、つまり、最大限のセキュリティと最小限のコストで最大限の利便性を提供することです。

保護を提供するためにどのような方法が必要かを見てみましょう。

事務局としては、以下の点を強調したいと思います。

• ゼロトラスト設計アプローチ
• 高いレベルの保護
• ネットワークの可視性
• 統合された集中認証および認可システム
• ホストチェック

次に、これらの各側面についてもう少し詳しく説明します。

ゼロトラスト

IT の世界は急速に変化しています。 ここ 10 年ほどで、新しいテクノロジーや製品の登場により、セキュリティの概念が大幅に改訂されました。 2 年前、セキュリティの観点から、ネットワークを trust、dmz、および untrust ゾーンに分割し、いわゆる「境界保護」を使用しました。そこでは、untrust -> dmz および dmz -> の 3 つの防御線がありました。信頼。 また、保護は通常、L4/L7 (OSI) ヘッダー (IP、TCP/UDP ポート、TCP フラグ) に基づくアクセス リストに限定されていました。 LXNUMX を含む上位レベルに関連するものはすべて、エンド ホストにインストールされている OS とセキュリティ製品に任せられていました。

今、状況は劇的に変化しています。 モダンなコンセプト ゼロトラスト これは、内部システム、つまり境界の内側にあるシステムを信頼できるものとみなすことがもはや不可能であり、境界自体の概念があいまいになっているという事実から来ています。
インターネット接続に加えて、

• リモート アクセス VPN ユーザー
• さまざまな個人用ガジェット、持参したラップトップ、オフィス WiFi 経由で接続
• その他（支店）
• クラウドインフラストラクチャとの統合

ゼロトラストアプローチは実際にはどのようなものですか?

理想的には、必要なトラフィックのみが許可されるべきであり、理想について言えば、制御は L3/L4 レベルだけでなく、アプリケーション レベルでも行われる必要があります。

たとえば、すべてのトラフィックをファイアウォールを通過させる機能がある場合は、理想に近づけることができます。 ただし、このアプローチではネットワークの合計帯域幅が大幅に減少する可能性があり、さらに、アプリケーションによるフィルタリングが常にうまく機能するとは限りません。

ルーターまたは L3 スイッチ上のトラフィックを (標準 ACL を使用して) 制御する場合、次の問題が発生します。

• これは L3/L4 フィルタリングのみです。 攻撃者がアプリケーション (http ではない) に許可されたポート (TCP 80 など) を使用することを妨げるものはありません。
• 複雑な ACL 管理 (ACL の解析が困難)
• これはステートフル ファイアウォールではないため、リバース トラフィックを明示的に許可する必要があります。
• スイッチを使用する場合、通常は TCAM のサイズによってかなり厳密に制限されるため、「必要なものだけを許可する」アプローチを取るとすぐに問題が発生する可能性があります。

注意：

逆トラフィックについて言えば、次のような機会があることを覚えておく必要があります (Cisco)

許可 TCP 任意の任意の確立済み

ただし、この行は次の XNUMX 行に相当することを理解する必要があります。
tcp 任意の ack を許可します
tcp 任意のいずれかを最初に許可します

つまり、SYN フラグを持つ最初の TCP セグメントがなかった場合でも (つまり、TCP セッションの確立が開始されていない場合でも)、この ACL は ACK フラグを持つパケットを許可し、攻撃者はこれを使用してデータを転送できます。

つまり、この行によってルーターや L3 スイッチがステートフル ファイアウォールになるわけではありません。

高レベルの保護

В статье データセンターのセクションでは、次の保護方法を検討しました。

• ステートフル ファイアウォール (デフォルト)
• DDO/DOS 保護
• アプリケーションファイアウォール
• 脅威の防止 (ウイルス対策、スパイウェア対策、脆弱性)
• URLフィルタリング
• データフィルタリング（コンテンツフィルタリング）
• ファイルのブロック (ファイル タイプのブロック)

オフィスの場合も状況は似ていますが、優先順位が少し異なります。 オフィスの可用性 (可用性) は通常、データセンターの場合ほど重要ではありませんが、「内部」の悪意のあるトラフィックの可能性は桁違いに高くなります。
したがって、このセグメントに対する次の保護方法が重要になります。

• アプリケーションファイアウォール
• 脅威の防止 (ウイルス対策、スパイウェア対策、脆弱性)
• URLフィルタリング
• データフィルタリング（コンテンツフィルタリング）
• ファイルのブロック (ファイル タイプのブロック)

アプリケーション ファイアウォールを除くこれらの保護方法はすべて、従来、エンド ホスト上で (ウイルス対策プログラムのインストールなど)、プロキシを使用して解決されてきましたが、最新の NGFW もこれらのサービスを提供します。

セキュリティ機器ベンダーは包括的な保護の構築に努めているため、ローカル保護に加えて、さまざまなクラウド テクノロジーやホスト向けのクライアント ソフトウェア (エンドポイント保護/EPP) を提供しています。 したがって、たとえば、から 2018 年ガートナー マジック クアドラント パロアルトとシスコは独自の EPP (PA: Traps、Cisco: AMP) を持っていますが、リーダーとは程遠いことがわかります。

ファイアウォールでこれらの保護を有効にすること (通常はライセンスを購入すること) は、もちろん必須ではありません (従来の方法を選択することもできます) が、いくつかの利点があります。

• この場合、保護方法の適用ポイントが XNUMX つになるため、可視性が向上します (次のトピックを参照)。
• ネットワーク上に保護されていないデバイスがある場合でも、そのデバイスはファイアウォール保護の「傘」に分類されます。
• ファイアウォール保護をエンドホスト保護と組み合わせて使用​​することで、悪意のあるトラフィックを検出する可能性が高まります。 たとえば、ローカル ホストとファイアウォールで脅威防御を使用すると、検出の可能性が高まります (もちろん、これらのソリューションが異なるソフトウェア製品に基づいているという条件で)

注意：

たとえば、ファイアウォールとエンドホストの両方で Kaspersky をウイルス対策として使用している場合、もちろん、ネットワーク上のウイルス攻撃を防ぐ可能性が大幅に高まるわけではありません。

ネットワークの可視性

中心思想 方法は簡単です。リアルタイム データと履歴データの両方で、ネットワーク上で何が起こっているかを「確認」します。

私はこの「ビジョン」を XNUMX つのグループに分類します。

グループ XNUMX: 監視システムが通常提供するもの。

• 機器の積載
• チャンネルの読み込み
• メモリ使用量
• ディスクの使用状況
• ルーティングテーブルを変更する
• リンクステータス
• 機器（またはホスト）の可用性
• ...

グループ XNUMX: 安全関連の情報。

• さまざまな種類の統計 (アプリケーション別、URL トラフィック別、ダウンロードされたデータの種類、ユーザー データなど)
• セキュリティ ポリシーによって何がブロックされ、どのような理由でブロックされたのか
  • 禁止されているアプリケーション
  • IP/プロトコル/ポート/フラグ/ゾーンに基づいて禁止されています
  • 脅威の防止
  • URL フィルタリング
  • データフィルタリング
  • ファイルのブロック
  • ...
• DOS/DDOS 攻撃に関する統計
• 失敗した識別と認可の試行
• 上記のすべてのセキュリティ ポリシー違反イベントの統計
• ...

セキュリティに関するこの章では、XNUMX 番目の部分に注目します。

一部の最新のファイアウォール (パロアルトの経験から) は良好なレベルの可視性を提供します。 ただし、もちろん、対象となるトラフィックはこのファイアウォールを通過するか (この場合、トラフィックをブロックできます)、またはファイアウォールにミラーリングされる (監視と分析のみに使用されます) 必要があり、すべてのトラフィックを有効にするライセンスが必要です。これらのサービス。

もちろん、別の方法、つまり伝統的な方法もあります。たとえば、

• セッション統計は netflow 経由で収集し、情報分析とデータ視覚化に特別なユーティリティを使用できます。
• 脅威の防止 - エンドホスト上の特別なプログラム (ウイルス対策、スパイウェア対策、ファイアウォール)
• URL フィルタリング、データ フィルタリング、ファイル ブロック - プロキシ上
• たとえば、次のコマンドを使用して tcpdump を分析することもできます。 鼻を鳴らす

これら XNUMX つのアプローチを組み合わせて、欠落している機能を補完したり複製したりして、攻撃を検出する可能性を高めることができます。

どのアプローチを選択する必要がありますか?
チームの資格や好みに大きく依存します。
そこにも、そこにも、長所と短所があります。

統合された集中認証および認可システム

この記事で説明したモビリティは、適切に設計されていれば、オフィスからでも自宅からでも、空港からでも、コーヒーショップからでも、その他の場所からでも同じアクセスができることを前提としています (ただし、上で説明した制限はあります)。 何が問題なのでしょうか？
このタスクの複雑さをよりよく理解するために、典型的な設計を見てみましょう。

例

• すべての従業員をグループに分けました。 グループによるアクセスを提供することを決定しました
• オフィス内では、オフィスのファイアウォールでアクセスを制御します
• オフィスからデータセンターへのトラフィックはデータセンターのファイアウォールで制御します。
• Cisco ASA を VPN ゲートウェイとして使用し、リモート クライアントからネットワークに入るトラフィックを制御するには、ローカル（ASA 上の）ACL を使用します。

ここで、特定の従業員に追加のアクセス権を追加するように求められたとします。 この場合、彼のみにアクセス権を追加し、彼のグループの他のユーザーにはアクセス権を追加しないように求められます。

このためには、この従業員用に別のグループを作成する必要があります。

• この従業員用に ASA 上に別の IP プールを作成します
• ASA に新しい ACL を追加し、そのリモート クライアントにバインドします。
• オフィスおよびデータセンターのファイアウォールに新しいセキュリティ ポリシーを作成する

この出来事が稀であれば良いのですが。 しかし、私の実務では、従業員がさまざまなプロジェクトに参加する状況があり、一部の従業員のこの一連のプロジェクトは頻繁に変更され、1〜2人ではなく数十人でした。 もちろん、ここで何かを変更する必要がありました。

これは以下の方法で解決しました。

私たちは、LDAP がすべての従業員のアクセス権を決定する唯一の信頼できる情報源であると判断しました。 アクセスのセットを定義するあらゆる種類のグループを作成し、各ユーザーを XNUMX つ以上のグループに割り当てました。

たとえば、グループがあったとします。

• ゲスト（インターネットアクセス）
• 共通アクセス (共有リソースへのアクセス: メール、ナレッジ ベースなど)
• 会計
• プロジェクト1
• プロジェクト2
• データベース管理者
• Linux管理者
• ...

また、従業員の 1 人がプロジェクト 2 とプロジェクト XNUMX の両方に関与しており、これらのプロジェクトで作業するために必要なアクセス権が必要な場合、この従業員は次のグループに割り当てられます。

• ゲスト
• 共通アクセス
• プロジェクト1
• プロジェクト2

この情報をネットワーク機器へのアクセスに変換するにはどうすればよいでしょうか?

Cisco ASA ダイナミック アクセス ポリシー (DAP) (「 www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/108000-dap-deploy-guide.html) ソリューションはこのタスクに最適です。

実装について簡単に説明すると、識別/認可プロセス中に、ASA は特定のユーザに対応するグループのセットを LDAP から受信し、複数のローカル ACL（それぞれがグループに対応）から必要なすべてのアクセスを含むダイナミック ACL を「収集」します。 、これは私たちの希望に完全に対応します。

ただし、これは VPN 接続のみに当てはまります。 VPN 経由で接続している従業員とオフィスにいる従業員の両方で状況を同じにするために、次の手順を実行しました。

オフィスから接続する場合、802.1x プロトコルを使用するユーザーは、ゲスト LAN (ゲスト用) または共有 LAN (会社従業員用) のいずれかに接続することになります。 さらに、特定のアクセス (データセンター内のプロジェクトなど) を取得するには、従業員は VPN 経由で接続する必要がありました。

オフィスと自宅から接続するには、ASA で異なるトンネル グループが使用されました。 これは、オフィスから接続するユーザーの共有リソース（メール、ファイル サーバ、チケット システム、DNS など、すべての従業員が使用する）へのトラフィックが ASA を経由せず、ローカル ネットワークを経由するようにするために必要です。 。 したがって、高強度のトラフィックを含む不必要なトラフィックで ASA に負荷がかかることはありませんでした。

したがって、問題は解決されました。
我々は得た

• オフィスからの接続とリモート接続の両方で同じセットのアクセス
• オフィスで勤務している場合でも、ASA を介した高強度トラフィックの送信に伴うサービスの低下がありません。

このアプローチには他にどのような利点がありますか?
アクセス管理で。 アクセスは XNUMX か所で簡単に変更できます。
たとえば、従業員が退職した場合、その従業員を LDAP から削除するだけで、その従業員は自動的にすべてのアクセス権を失います。

ホストのチェック

リモート接続の可能性があるため、会社の従業員だけでなく、従業員のコンピュータ (自宅など) に存在する可能性が非常に高いすべての悪意のあるソフトウェアをネットワークに侵入させる危険性があります。このホストをプロキシとして使用して、攻撃者に当社のネットワークへのアクセスを提供している可能性があります。

リモート接続されたホストにオフィス内のホストと同じセキュリティ要件を適用することは理にかなっています。

これは、OS、ウイルス対策、スパイウェア対策、ファイアウォール ソフトウェアとアップデートの「正しい」バージョンも前提としています。 通常、この機能は VPN ゲートウェイに存在します (ASA については、たとえば、次を参照してください)。 ここで).

セキュリティ ポリシーがオフィスのトラフィックに適用するのと同じトラフィック分析およびブロック技術 (「高レベルの保護」を参照) を適用することも賢明です。

オフィス ネットワークがオフィス ビルとその中のホストに限定されなくなったと考えるのが自然です。

例

良い手法は、リモート アクセスを必要とする各従業員に優れた便利なラップトップを提供し、オフィスでも自宅でもそのラップトップのみで作業することを要求することです。

これはネットワークのセキュリティを向上させるだけでなく、非常に便利であり、通常、従業員から好意的に見られています (それが本当に優れたユーザーフレンドリーなラップトップであれば)。

比率やバランス感覚について

基本的に、これは三角形の XNUMX 番目の頂点、つまり価格についての会話です。
仮説的な例を見てみましょう。

例

あなたは 200 人を収容できるオフィスを持っています。 できるだけ便利で安全なものにすることにしました。

したがって、すべてのトラフィックをファイアウォール経由で通過させることを決定し、すべてのオフィスのサブネットに対してファイアウォールがデフォルト ゲートウェイとなるようにしました。 各エンド ホストにインストールされているセキュリティ ソフトウェア (ウイルス対策、スパイウェア対策、およびファイアウォール ソフトウェア) に加えて、ファイアウォールに可能なすべての保護方法を適用することも決定しました。

高い接続速度を確保するために (すべて利便性のため)、アクセス スイッチとして 10 ギガビット アクセス ポートを備えたスイッチを選択し、ファイアウォールとして高性能 NGFW ファイアウォールを選択しました。たとえば、Palo Alto 7K シリーズ (40 ギガビット ポートを備えた) を、当然のことながらすべてのライセンスで選択しました。これには当然、高可用性ペアも含まれています。

また、当然のことながら、この一連の機器を操作するには、少なくとも XNUMX 人の高度な資格を持つセキュリティ エンジニアが必要です。

次に、各従業員に優れたラップトップを与えることにしました。

合計すると、実装に約 10 万ドル、年間サポートとエンジニアの給与に数十万ドル (XNUMX 万に近いと思います) がかかります。

オフィス、200人...
快適？ そうだと思います。

あなたはこの提案を経営陣に提出しました...
おそらく、これが受け入れられ、正しいソリューションである企業が世界中に数多くあるでしょう。 あなたがこの会社の従業員であれば、おめでとうございます。しかし、ほとんどの場合、あなたの知識は経営陣には評価されないでしょう。

この例は誇張されていますか? 次の章ではこの質問に答えます。

ネットワーク上に上記のいずれも表示されない場合は、これが標準です。
特定のケースごとに、利便性、価格、安全性の間の合理的な妥協点を独自に見つける必要があります。 多くの場合、オフィスには NGFW さえ必要なく、ファイアウォールの L7 保護も必要ありません。 適切なレベルの可視性とアラートを提供できれば十分であり、これは、たとえばオープンソース製品を使用して実現できます。 はい、攻撃に対する反応はすぐには現れませんが、重要なことは、攻撃を目にすることができ、部門内で適切なプロセスが導入されていれば、攻撃を迅速に無力化できるということです。

この一連の記事のコンセプトによれば、ネットワークを設計しているのではなく、得られたものを改善しようとしているだけであることを思い出してください。

オフィスアーキテクチャのSAFE分析

この赤い四角形に注目してください。これを使って図上に場所を割り当てました。 SAFE セキュア キャンパス アーキテクチャ ガイドそれについてここで議論したいと思います。

これは建築の重要な場所の XNUMX つであり、最も重要な不確実性の XNUMX つです。

注意：

私は FirePower (Cisco のファイアウォール シリーズ - ASA のみ) をセットアップしたことも、使用したこともありません。そのため、同じ機能があると仮定して、Juniper SRX や Palo Alto などの他のファイアウォールと同様に扱います。

通常の設計のうち、この接続でファイアウォールを使用する場合に考えられるオプションは 4 つだけです。

• 各サブネットのデフォルト ゲートウェイはスイッチですが、ファイアウォールはトランスペアレント モードです (つまり、すべてのトラフィックはそこを通過しますが、L3 ホップは形成されません)。
• 各サブネットのデフォルト ゲートウェイはファイアウォール サブインターフェイス（または SVI インターフェイス）であり、スイッチは L2 の役割を果たします。
• スイッチ上では異なる VRF が使用され、VRF 間のトラフィックはファイアウォールを通過し、XNUMX つの VRF 内のトラフィックはスイッチ上の ACL によって制御されます。
• すべてのトラフィックは分析と監視のためにファイアウォールにミラーリングされ、トラフィックはファイアウォールを通過しません。

備考1

これらのオプションを組み合わせることも可能ですが、簡単にするために考慮しません。

注2

PBR (サービス チェーン アーキテクチャ) を使用する可能性もありますが、現時点では、これは私の意見では美しいソリューションではありますが、かなりエキゾチックであるため、ここでは検討しません。

この文書内のフローの説明から、トラフィックは依然としてファイアウォールを通過していることがわかります。つまり、シスコの設計に従って、XNUMX 番目のオプションは削除されています。

まず最初の XNUMX つのオプションを見てみましょう。
これらのオプションを使用すると、すべてのトラフィックがファイアウォールを通過します。

今見てみましょう データシート見て シスコ GPL また、オフィスの合計帯域幅を少なくとも約 10 ～ 20 ギガビットにしたい場合は、4K バージョンを購入する必要があることがわかりました。

注意：

合計帯域幅について話すときは、サブネット間のトラフィックを意味します (XNUMX つのビラナ内ではありません)。

GPL によると、Threat Defense を備えた HA バンドルの価格は、モデル (4110 ～ 4150) に応じて、約 0,5 ～ 2,5 万ドルの範囲であることがわかります。

つまり、設計は前の例に似てきます。

ということは、この設計は間違っているということでしょうか？
いいえ、そういう意味ではありません。 シスコは、自社の製品ラインに基づいて可能な限り最高の保護を提供します。 しかし、それはあなたにとって必ずしなければならないという意味ではありません。

基本的に、これはオフィスやデータセンターを設計するときに生じる一般的な質問であり、妥協点を探す必要があることを意味するだけです。

たとえば、すべてのトラフィックがファイアウォールを通過しないようにします。その場合、オプション 3 が非常に良いように思えます。または、(前のセクションを参照) 脅威防御が必要ないか、ファイアウォールがまったく必要ない可能性があります。または、別のベンダーのファイアウォールが必要な場合は、有料 (高価ではない) またはオープンソースのソリューションを使用してパッシブ監視に限定する必要があります。

通常、この不確実性は常に存在し、どの決定が自分にとって最善であるかについて明確な答えはありません。
これがこのタスクの複雑さと美しさです。

出所： habr.com