Бұл мақала «Желілік инфрақұрылымды қалай басқаруға болады» сериясының бесінші мақаласы. Сериядағы барлық мақалалардың мазмұнын және сілтемелерді табуға болады .
Бұл бөлім кампус (офис) және қашықтан қол жеткізу VPN сегменттеріне арналған.
Кеңсе желісінің дизайны оңай болып көрінуі мүмкін.
Шынында да, біз L2 / L3 қосқыштарын алып, оларды бір-біріне қосамыз. Әрі қарай, біз виландарды және әдепкі шлюздерді негізгі орнатуды орындаймыз, қарапайым маршруттауды орнатамыз, WiFi контроллерлерін, кіру нүктелерін қосамыз, қашықтан қол жеткізу үшін ASA орнатамыз және конфигурациялаймыз, бәрі жұмыс істегеніне қуаныштымыз. Негізінде, мен алдыңғылардың бірінде жазғанымдай Осы циклде телекоммуникация курсының екі семестріне қатысқан (және үйренген) әрбір студент дерлік кеңсе желісін «қандай да бір жолмен жұмыс істейтін» етіп жобалай және конфигурациялай алады.
Бірақ сіз неғұрлым көп үйренсеңіз, бұл тапсырма соғұрлым қарапайым болып көріне бастайды. Жеке мен үшін бұл тақырып, кеңсе желісін жобалау тақырыбы, мүлдем қарапайым болып көрінбейді және осы мақалада мен себебін түсіндіруге тырысамын.
Бір сөзбен айтқанда, бірнеше факторларды ескеру қажет. Көбінесе бұл факторлар бір-бірімен қайшы келеді және ақылға қонымды ымыраға келуге тура келеді.
Бұл белгісіздік басты қиындық болып табылады. Сонымен, қауіпсіздік туралы айтатын болсақ, бізде үш шыңы бар үшбұрыш бар: қауіпсіздік, қызметкерлерге ыңғайлылық, шешімнің бағасы.
Әр жолы осы үшеуінің арасында ымыраға келуге тура келеді.
сәулет
Осы екі сегмент үшін архитектураның мысалы ретінде, алдыңғы мақалалардағыдай, мен ұсынамын үлгі: , .
Бұл біршама ескірген құжаттар. Мен оларды осында ұсынып отырмын, өйткені іргелі схемалар мен көзқарас өзгерген жоқ, бірақ сонымен бірге маған презентация бұрынғыдан гөрі ұнайды. .
Сізді Cisco шешімдерін қолдануға шақырмай-ақ, бұл дизайнды мұқият зерделеу пайдалы деп ойлаймын.
Бұл мақала, әдеттегідей, толық деп көрсетпейді, бірақ бұл ақпаратқа қосымша болып табылады.
Мақаланың соңында біз Cisco SAFE кеңсе дизайнын осы жерде баяндалған тұжырымдамалар тұрғысынан талдаймыз.
Жалпы принциптер
Кеңсе желісінің дизайны, әрине, талқыланған жалпы талаптарды қанағаттандыруы керек «Жобалау сапасын бағалау критерийлері» тарауында. Біз осы мақалада талқылайтын баға мен қауіпсіздіктен басқа, жобалау (немесе өзгертулер енгізу) кезінде ескеру қажет үш критерий бар:
- ауқымдылық
- пайдаланудың қарапайымдылығы (басқару мүмкіндігі)
- қолжетімділігі
Көп нәрсе талқыланды Бұл кеңсеге де қатысты.
Дегенмен, кеңсе сегментінің қауіпсіздік тұрғысынан маңызды болып табылатын өзіндік ерекшеліктері бар. Бұл ерекшеліктің мәні мынада: бұл сегмент компания қызметкерлеріне (сонымен қатар серіктестер мен қонақтарға) желілік қызметтерді көрсету үшін құрылған және нәтижесінде мәселені қарастырудың ең жоғары деңгейінде бізде екі міндет тұр:
- компания ресурстарын қызметкерлерден (қонақтардан, серіктестерден) және олар пайдаланатын бағдарламалық құралдан туындауы мүмкін зиянды әрекеттерден қорғау. Бұған желіге рұқсатсыз қосылудан қорғау да кіреді.
- жүйелер мен пайдаланушы деректерін қорғау
Және бұл мәселенің бір жағы ғана (дәлірек айтсақ, үшбұрыштың бір шыңы). Екінші жағынан - пайдаланушының ыңғайлылығы және қолданылатын шешімдердің бағасы.
Пайдаланушы заманауи кеңсе желісінен не күтетінін қарастырудан бастайық.
Қызметтер
Менің ойымша, кеңсе пайдаланушысы үшін «желі мүмкіндіктері» мынандай көрінеді:
- Ұтқырлық
- Таныс құрылғылар мен операциялық жүйелердің толық спектрін пайдалану мүмкіндігі
- Барлық қажетті компания ресурстарына оңай қол жеткізу
- Интернет-ресурстардың, соның ішінде әртүрлі бұлттық қызметтерінің болуы
- Желінің «жылдам жұмысы».
Мұның бәрі қызметкерлерге де, қонақтарға да (немесе серіктестерге) қатысты және авторизация негізінде әртүрлі пайдаланушы топтары үшін қолжетімділікті саралау компания инженерлерінің міндеті болып табылады.
Осы аспектілердің әрқайсысын толығырақ қарастырайық.
Ұтқырлық
Біз әлемнің кез келген нүктесінен (әрине, Интернет бар жерде) жұмыс істеу және компанияның барлық қажетті ресурстарын пайдалану мүмкіндігі туралы айтып отырмыз.
Бұл кеңсеге толығымен қатысты. Бұл кеңсенің кез келген жерінен жұмысты жалғастыру мүмкіндігі болған кезде ыңғайлы, мысалы, поштаны алу, корпоративтік мессенджерде сөйлесу, бейне қоңырауға қол жетімді болу, ... Осылайша, бұл сізге, бір жағынан, кейбір мәселелерді шешу үшін «тірі» байланыс (мысалы, митингілерге қатысу) және екінші жағынан, әрқашан желіде болыңыз, саусағыңызды импульсте ұстаңыз және кейбір шұғыл маңызды міндеттерді тез шешіңіз. Бұл өте ыңғайлы және шынымен де байланыс сапасын жақсартады.
Бұған дұрыс WiFi желісінің дизайны арқылы қол жеткізіледі.
Ескерту:
Бұл жерде әдетте сұрақ туындайды: тек WiFi пайдалану жеткілікті ме? Бұл кеңседе Ethernet порттарын пайдалануды тоқтатуға болатынын білдіре ме? Егер біз әдеттегі Ethernet портымен қосылуға болатын серверлер туралы емес, тек пайдаланушылар туралы айтатын болсақ, онда жалпы жауап: иә, сіз өзіңізді тек WiFi-мен шектей аласыз. Бірақ нюанстар бар.
Бөлек тәсілді қажет ететін маңызды пайдаланушы топтары бар. Бұл, әрине, әкімшілер. Негізінде, WiFi қосылымы қарапайым Ethernet портына қарағанда сенімді емес (трафикті жоғалту тұрғысынан) және баяуырақ. Бұл әкімшілер үшін маңызды болуы мүмкін. Сонымен қатар, желі әкімшілері, мысалы, жолақтан тыс қосылымдар үшін, негізінен, жеке бөлінген Ethernet желісіне ие болуы мүмкін.
Сіздің компанияңызда осы факторлар маңызды болып табылатын басқа топтар/бөлімшелер болуы мүмкін.
Тағы бір маңызды мәселе бар - телефония. Мүмкін сіз қандай да бір себептермен Wireless VoIP-ті пайдаланғыңыз келмеуі және тұрақты Ethernet қосылымы бар IP телефондарын пайдаланғыңыз келуі мүмкін.
Жалпы, мен жұмыс істеген компанияларда әдетте WiFi қосылымы да, Ethernet порты да болатын.
Мен ұтқырлық тек кеңсемен шектелмегенін қалаймын.
Үйден (немесе қол жетімді интернеті бар кез келген басқа жерде) жұмыс істеу мүмкіндігін қамтамасыз ету үшін VPN қосылымы пайдаланылады. Сонымен қатар, қызметкерлердің үйден жұмыс істеу мен бірдей қолжетімділікті болжайтын қашықтағы жұмыс арасындағы айырмашылықты сезінбегені жөн. Мұны қалай ұйымдастыру керектігін сәл кейінірек «Бірыңғай орталықтандырылған аутентификация және авторизация жүйесі» тарауында талқылаймыз.
Ескерту:
Сірә, сіз офисте болатын қашықтықтан жұмыс істеуге арналған қызметтерді толық қамтамасыз ете алмайсыз. Сіз VPN шлюзі ретінде Cisco ASA 5520 пайдаланып жатырсыз делік. бұл құрылғы тек 225 Мбит VPN трафигін «қорытуға» қабілетті. Яғни, әрине, өткізу қабілеттілігі бойынша VPN арқылы қосылу кеңседе жұмыс істеуден айтарлықтай ерекшеленеді. Сондай-ақ, қандай да бір себептермен желі қызметтері үшін кідіріс, жоғалту, діріл (мысалы, кеңсенің IP телефониясын пайдаланғыңыз келсе) маңызды болса, сіз кеңседе болғандай сапаны да ала алмайсыз. Сондықтан ұтқырлық туралы айтқанда, мүмкін болатын шектеулерді білуіміз керек.
Компанияның барлық ресурстарына оңай қол жеткізу
Бұл міндетті басқа техникалық бөлімдермен бірлесіп шешу керек.
Идеал жағдай - пайдаланушыға тек бір рет аутентификация қажет, содан кейін ол барлық қажетті ресурстарға қол жеткізе алады.
Қауіпсіздіктен бас тартпай, оңай қол жеткізуді қамтамасыз ету өнімділікті айтарлықтай жақсартады және әріптестеріңіздің арасындағы стрессті азайтады.
Ескерту 1
Қол жеткізу оңайлығы құпия сөзді қанша рет енгізу керектігімен ғана шектелмейді. Егер, мысалы, сіздің қауіпсіздік саясатыңызға сәйкес кеңседен деректер орталығына қосылу үшін алдымен VPN шлюзіне қосылуыңыз керек болса және сонымен бірге сіз кеңсе ресурстарына қол жеткізе алмайсыз, онда бұл да өте маңызды. , өте ыңғайсыз.
Ескерту 2
Қызметтер бар (мысалы, желілік жабдыққа қолжетімділік), онда бізде әдетте жеке AAA серверлері бар және бұл жағдайда бірнеше рет аутентификациялау қажет болған кездегі норма.
Интернет ресурстарының болуы
Интернет тек ойын-сауық емес, сонымен қатар жұмыс үшін өте пайдалы болуы мүмкін қызметтер жиынтығы. Таза психологиялық факторлар да бар. Заманауи адам басқа адамдармен Интернет арқылы көптеген виртуалды ағындар арқылы байланысады және менің ойымша, егер ол жұмыс кезінде де бұл байланысты сезінсе, еш кінәсі жоқ.
Уақытты ысырап ету тұрғысынан алғанда, егер қызметкерде, мысалы, Skype жұмыс істеп тұрса және қажет болған жағдайда жақын адамымен сөйлесуге 5 минут жұмсайтын болса, ештеңе жоқ.
Бұл Интернет әрқашан қол жетімді болуы керек дегенді білдіре ме, бұл қызметкерлер барлық ресурстарға қол жеткізе алады және оларды ешқандай жолмен басқара алмайды дегенді білдіре ме?
Жоқ бұл дегенді білдірмейді, әрине. Интернеттің ашықтық деңгейі әртүрлі компаниялар үшін әртүрлі болуы мүмкін - толық жабылудан толық ашықтыққа дейін. Біз қауіпсіздік шаралары туралы бөлімдерде трафикті бақылау жолдарын кейінірек талқылаймыз.
Таныс құрылғылардың толық спектрін пайдалану мүмкіндігі
Бұл, мысалы, жұмыста үйреніп қалған барлық байланыс құралдарын пайдалануды жалғастыру мүмкіндігі болған кезде ыңғайлы. Мұны техникалық тұрғыдан жүзеге асыруда ешқандай қиындық жоқ. Ол үшін сізге WiFi және қонақ wilan қажет.
Сізде үйреніп қалған операциялық жүйені пайдалану мүмкіндігі болса, бұл жақсы. Бірақ, менің байқауымша, бұл әдетте менеджерлерге, әкімшілерге және әзірлеушілерге ғана рұқсат етіледі.
Мысал:
Сіз, әрине, тыйым салу жолымен жүре аласыз, қашықтан қол жеткізуге тыйым сала аласыз, мобильді құрылғылардан қосылуға тыйым сала аласыз, барлығын статикалық Ethernet қосылымдарымен шектей аласыз, Интернетке қол жетімділікті шектей аласыз, бақылау-өткізу пунктінде ұялы телефондар мен гаджеттерді мәжбүрлі түрде тәркілей аласыз ... және бұл жол шын мәнінде қауіпсіздік талаптары жоғары кейбір ұйымдар ұстанады және мүмкін кейбір жағдайларда бұл ақталған болуы мүмкін, бірақ... бұл бір ұйымдағы прогресті тоқтату әрекеті сияқты көрінетінімен келісесіз. Әрине, мен заманауи технологиялар қамтамасыз ететін мүмкіндіктерді қауіпсіздіктің жеткілікті деңгейімен біріктіргім келеді.
Желінің «жылдам жұмысы».
Мәліметтерді тасымалдау жылдамдығы техникалық жағынан көптеген факторлардан тұрады. Ал қосылу портының жылдамдығы әдетте ең маңыздысы емес. Қолданбаның баяу жұмысы әрқашан желі ақауларымен байланысты емес, бірақ әзірге бізді тек желі бөлігі ғана қызықтырады. Жергілікті желінің «баяулауымен» жиі кездесетін мәселе пакеттердің жоғалуымен байланысты. Бұл әдетте кедергі немесе L1 (OSI) мәселелері болған кезде орын алады. Сирек, кейбір конструкцияларда (мысалы, ішкі желілерде әдепкі шлюз ретінде брандмауэр болса және сол арқылы барлық трафик өткенде), аппараттық құрал өнімділігі болмауы мүмкін.
Сондықтан жабдық пен архитектураны таңдағанда, соңғы порттардың, магистральдардың және жабдықтың өнімділігінің жылдамдығын салыстыру керек.
Мысал:
Сіз қол жеткізу деңгейінің қосқыштары ретінде 1 гигабиттік порттары бар қосқыштарды пайдаланып жатырсыз делік. Олар бір-бірімен Etherchannel 2 x 10 гигабит арқылы қосылған. Әдепкі шлюз ретінде гигабиттік порттары бар брандмауэрді пайдаланасыз, оны L2 кеңсе желісіне қосу үшін Etherchannel ішіне біріктірілген 2 гигабиттік портты пайдаланасыз.
Бұл архитектура функционалдық тұрғыдан өте ыңғайлы, өйткені... Барлық трафик брандмауэр арқылы өтеді және сіз кіру саясатын ыңғайлы басқара аласыз және трафикті басқару және ықтимал шабуылдардың алдын алу үшін күрделі алгоритмдерді қолдана аласыз (төменде қараңыз), бірақ өткізу қабілеті мен өнімділік тұрғысынан бұл дизайнда, әрине, ықтимал проблемалар бар. Мәселен, мысалы, деректерді жүктеп алатын 2 хост (порт жылдамдығы 1 гигабит) брандмауэрге 2 гигабиттік қосылымды толығымен жүктей алады, осылайша бүкіл кеңсе сегменті үшін қызметтің нашарлауына әкеледі.
Біз үшбұрыштың бір шыңын қарастырдық, енді қауіпсіздікті қалай қамтамасыз етуге болатынын қарастырайық.
Қорғау құралдары
Сондықтан, әрине, әдетте біздің қалауымыз (дәлірек айтсақ, біздің басшылықтың қалауы) мүмкін емес нәрсеге қол жеткізу, атап айтқанда, максималды қауіпсіздік пен ең аз шығынмен барынша ыңғайлылықты қамтамасыз ету.
Қорғанысты қамтамасыз етудің қандай әдістері бар екенін қарастырайық.
Кеңсе үшін мен мыналарды атап өткім келеді:
- жобалауға нөлдік сенім тәсілі
- қорғаудың жоғары деңгейі
- желінің көрінуі
- аутентификацияның және авторизацияның бірыңғай орталықтандырылған жүйесі
- хостты тексеру
Әрі қарай, біз осы аспектілердің әрқайсысына толығырақ тоқталамыз.
Нөлдік сенім
IT әлемі өте жылдам өзгеруде. Соңғы 10 жыл ішінде жаңа технологиялар мен өнімдердің пайда болуы қауіпсіздік тұжырымдамаларын түбегейлі қайта қарауға әкелді. Он жыл бұрын қауіпсіздік тұрғысынан біз желіні сенімді, dmz және сенімсіз аймақтарға бөлдік және «периметрлік қорғаныс» деп аталатынды қолдандық, мұнда қорғаныстың 2 желісі бар: сенімсіздік -> dmz және dmz -> сенім. Сондай-ақ, қорғау әдетте L3/L4 (OSI) тақырыптарына (IP, TCP/UDP порттары, TCP жалаулары) негізделген кіру тізімдерімен шектелді. Жоғары деңгейлерге қатысты барлық нәрсе, соның ішінде L7, соңғы хосттарда орнатылған ОЖ мен қауіпсіздік өнімдеріне қалдырылды.
Қазір жағдай күрт өзгерді. Қазіргі концепция ішкі жүйелерді, яғни периметрдің ішінде орналасқандарды сенімді деп қарау мүмкін болмай, периметр ұғымының өзі бұлыңғыр болып кеткенінен туындайды.
Интернетке қосылудан басқа бізде де бар
- қашықтан қол жеткізу VPN пайдаланушылары
- әртүрлі жеке гаджеттер, әкелінген ноутбуктер, кеңсе WiFi арқылы қосылған
- басқа (филиал) кеңселер
- бұлтты инфрақұрылыммен интеграция
Zero Trust тәсілі іс жүзінде қалай көрінеді?
Ең дұрысы, тек талап етілетін трафикке рұқсат етілуі керек және егер идеал туралы айтатын болсақ, онда басқару тек L3/L4 деңгейінде емес, қолданба деңгейінде болуы керек.
Мысалы, сізде барлық трафикті брандмауэр арқылы өткізу мүмкіндігі болса, онда идеалға жақындауға тырысуға болады. Бірақ бұл тәсіл желінің жалпы өткізу қабілеттілігін айтарлықтай азайтуы мүмкін, сонымен қатар қолданба бойынша сүзу әрқашан жақсы жұмыс істемейді.
Маршрутизаторда немесе L3 коммутаторында (стандартты ACL пайдалану) трафикті басқарғанда, сіз басқа мәселелерге тап боласыз:
- Бұл тек L3/L4 сүзгісі. Шабуылдаушыға олардың қолданбасы үшін рұқсат етілген порттарды (мысалы, TCP 80) пайдалануына ешнәрсе кедергі келтірмейді (http емес)
- күрделі ACL басқару (ACL талдау қиын)
- Бұл толық брандмауэр емес, яғни кері трафикке нақты рұқсат беру керек
- Коммутаторлармен сіз әдетте TCAM өлшемімен өте тығыз шектелесіз, егер сіз «тек сізге қажет нәрсеге рұқсат етіңіз» әдісін қолдансаңыз, бұл тез проблемаға айналуы мүмкін.
Ескерту:
Кері трафик туралы айтатын болсақ, бізде келесі мүмкіндік бар екенін есте ұстауымыз керек (Cisco)
кез келген орнатылған tcp рұқсат етеді
Бірақ сіз бұл жолдың екі жолға тең екенін түсінуіңіз керек:
tcp кез келген акті рұқсат ету
tcp кез келген бірінші рұқсатЯғни, SYN жалаушасы бар бастапқы TCP сегменті болмаса да (яғни, TCP сеансы орнатыла қоймаса да), бұл ACL шабуылдаушы деректерді тасымалдау үшін пайдалана алатын ACK жалаушасы бар пакетке мүмкіндік береді.
Яғни, бұл жол ешқандай жағдайда маршрутизаторды немесе L3 қосқышын толық брандмауэрге айналдырмайды.
Қорғаудың жоғары деңгейі
В Деректер орталықтары бөлімінде біз келесі қорғау әдістерін қарастырдық.
- күйді брандмауэр (әдепкі)
- ddos/dos қорғау
- қолданбалы желіаралық қалқан
- қауіптердің алдын алу (антивирус, шпиондық бағдарламаға қарсы және осалдық)
- URL сүзгісі
- деректерді сүзу (мазмұнды сүзу)
- файлды блоктау (файл түрлерін блоктау)
Кеңсе жағдайында жағдай ұқсас, бірақ басымдықтар сәл басқаша. Кеңсенің қол жетімділігі (қол жетімділігі) әдетте деректер орталығы жағдайындағыдай маңызды емес, ал «ішкі» зиянды трафик ықтималдығы жоғарырақ.
Сондықтан осы сегмент үшін келесі қорғау әдістері маңызды болып табылады:
- қолданбалы желіаралық қалқан
- қауіптердің алдын алу (антивирус, шпиондық бағдарламаға қарсы және осалдық)
- URL сүзгісі
- деректерді сүзу (мазмұнды сүзу)
- файлды блоктау (файл түрлерін блоктау)
Қолданбалардың брандмауэрін қоспағанда, осы қорғау әдістерінің барлығы соңғы хосттарда (мысалы, антивирустық бағдарламаларды орнату арқылы) және прокси-серверлерді пайдалану арқылы дәстүрлі түрде шешілген және шешілуде, бірақ қазіргі заманғы NGFWs де осы қызметтерді ұсынады.
Қауіпсіздік жабдығын жеткізушілер жан-жақты қорғауды жасауға тырысады, сондықтан жергілікті қорғаумен қатар олар хосттарға арналған әртүрлі бұлттық технологиялар мен клиенттік бағдарламалық құралды ұсынады (соңғы нүктені қорғау/EPP). Мәселен, мысалы, бастап Біз Palo Alto және Cisco-ның өздерінің EPP-тері бар екенін көреміз (PA: Traps, Cisco: AMP), бірақ көшбасшылардан алыс.
Брандмауэрде осы қорғаныстарды қосу (әдетте лицензияларды сатып алу арқылы) әрине міндетті емес (дәстүрлі жолмен жүруге болады), бірақ ол кейбір артықшылықтарды береді:
- бұл жағдайда көрінуді жақсартатын қорғау әдістерін қолданудың бір нүктесі бар (келесі тақырыпты қараңыз).
- Егер желіңізде қорғалмаған құрылғы болса, ол әлі де брандмауэр қорғанысының «қолшатырына» түседі.
- Брандмауэр қорғанысын соңғы хост қорғанысымен бірге пайдалану арқылы біз зиянды трафикті анықтау ықтималдығын арттырамыз. Мысалы, жергілікті хосттарда және желіаралық қалқанда қауіптің алдын алуды пайдалану анықтау ықтималдығын арттырады (әрине, бұл шешімдер әртүрлі бағдарламалық өнімдерге негізделген жағдайда)
Ескерту:
Мысалы, сіз Касперскийді антивирус ретінде брандмауэрде де, соңғы хосттарда да пайдалансаңыз, бұл, әрине, сіздің желіңізге вирустық шабуылдың алдын алу мүмкіндігіңізді айтарлықтай арттырмайды.
Желінің көрінуі
қарапайым - нақты уақытта да, тарихи деректерде де желіңізде не болып жатқанын «көріңіз».
Мен бұл «пайымдауды» екі топқа бөлер едім:
Бірінші топ: бақылау жүйеңіз әдетте не береді.
- жабдықты жүктеу
- жүктеу арналары
- жадты пайдалану
- дискіні пайдалану
- маршруттау кестесін өзгерту
- сілтеме күйі
- жабдықтың (немесе хосттардың) болуы
- ...
Екінші топ: қауіпсіздікке қатысты ақпарат.
- статистиканың әртүрлі түрлері (мысалы, қолданба бойынша, URL трафигі бойынша, қандай деректер түрлері жүктелгені, пайдаланушы деректері)
- қауіпсіздік саясаты не бұғаттады және қандай себеппен, атап айтқанда
- тыйым салынған қолдану
- IP/протокол/порт/жалаушалар/аймақтар негізінде тыйым салынады
- қауіп-қатердің алдын алу
- url сүзгілеу
- деректерді сүзу
- файлды блоктау
- ...
- DOS/DDOS шабуылдарының статистикасы
- Сәтсіз сәйкестендіру және авторизация әрекеттері
- жоғарыда аталған қауіпсіздік саясатын бұзу оқиғаларының барлығының статистикасы
- ...
Қауіпсіздік туралы осы тарауда бізді екінші бөлім қызықтырады.
Кейбір заманауи желіаралық қалқандар (менің Пало Альто тәжірибемнен) жақсы көріну деңгейін қамтамасыз етеді. Бірақ, әрине, сізді қызықтыратын трафик осы желіаралық қалқан арқылы өтуі керек (бұл жағдайда сізде трафикті блоктау мүмкіндігі бар) немесе брандмауэрге айналуы (тек бақылау және талдау үшін пайдаланылады) және сізде барлығын қосу үшін лицензиялар болуы керек. бұл қызметтер.
Әрине, балама жол бар, дәлірек айтсақ, дәстүрлі жол, мысалы,
- Сеанс статистикасын netflow арқылы жинауға болады, содан кейін ақпаратты талдау және деректерді визуализациялау үшін арнайы утилиталарды пайдалануға болады
- қауіптердің алдын алу – соңғы хосттардағы арнайы бағдарламалар (антивирус, шпиондық бағдарлама, брандмауэр).
- URL сүзгілеу, деректерді сүзу, файлдарды блоктау – проксиде
- сонымен қатар tcpdump файлын талдауға болады, мысалы:
Осы екі тәсілді біріктіріп, жетіспейтін мүмкіндіктерді толықтыра аласыз немесе шабуылды анықтау ықтималдығын арттыру үшін оларды қайталай аласыз.
Қай тәсілді таңдау керек?
Бұл сіздің командаңыздың біліктілігі мен қалауына байланысты.
Онда да, жақсы да, жағымсыз да бар.
Бірыңғай орталықтандырылған аутентификация және авторизация жүйесі
Жақсы жобаланған кезде, біз осы мақалада талқылаған ұтқырлық кеңседен немесе үйден, әуежайдан, кофеханадан немесе кез келген басқа жерден жұмыс істесеңіз де (жоғарыда талқылаған шектеулермен) бірдей қолжетімділікке ие боласыз деп болжайды. Бір қарағанда, мәселе неде?
Бұл тапсырманың күрделілігін жақсы түсіну үшін әдеттегі дизайнды қарастырайық.
Мысал:
- Сіз барлық қызметкерлерді топтарға бөлдіңіз. Сіз топтар бойынша рұқсат беруді шештіңіз
- Кеңсе ішінде сіз кеңсе брандмауэріне кіруді басқарасыз
- Сіз кеңседен деректер орталығына дейінгі трафикті деректер орталығының брандмауэрінде басқарасыз
- Сіз Cisco ASA жүйесін VPN шлюзі ретінде пайдаланасыз және қашықтағы клиенттерден желіңізге кіретін трафикті басқару үшін жергілікті (ASA жүйесінде) ACL пайдаланасыз.
Енді сізден белгілі бір қызметкерге қосымша рұқсат қосу сұралды делік. Бұл жағдайда сізден тек оған және оның тобынан басқа ешкімге кіру рұқсатын қосу сұралады.
Ол үшін осы қызметкерге бөлек топ құруымыз керек, яғни
- осы қызметкер үшін ASA-да жеке IP пулын жасаңыз
- ASA жүйесіне жаңа ACL қосыңыз және оны сол қашықтағы клиентке байланыстырыңыз
- кеңсе және деректер орталығының брандмауэрінде жаңа қауіпсіздік саясаттарын жасаңыз
Бұл оқиға сирек болса жақсы. Бірақ менің тәжірибемде қызметкерлер әртүрлі жобаларға қатысатын жағдай болды және олардың кейбіреулері үшін бұл жобалар жиынтығы жиі өзгерді және 1-2 адам емес, ондаған болды. Әрине, бұл жерде бір нәрсені өзгерту керек болды.
Бұл келесі жолмен шешілді.
Біз LDAP барлық мүмкін болатын қызметкерлерге қолжетімділікті анықтайтын шындықтың жалғыз көзі болады деп шештік. Біз кірулер жиынын анықтайтын топтардың барлық түрлерін жасадық және әрбір пайдаланушыны бір немесе бірнеше топқа тағайындадық.
Мысалы, топтар болды делік
- қонақ (Интернетке кіру)
- ортақ қолжетімділік (ортақ ресурстарға қол жеткізу: пошта, білім қоры, ...)
- бухгалтерлік есеп
- жоба 1
- жоба 2
- деректер базасының әкімшісі
- linux әкімшісі
- ...
Ал егер қызметкерлердің біреуі 1-жобаға да, 2-жобаға да тартылған болса және оған осы жобаларда жұмыс істеу үшін қажетті рұқсат қажет болса, онда бұл қызметкер келесі топтарға тағайындалды:
- қонақ
- ортақ қол жеткізу
- жоба 1
- жоба 2
Енді біз бұл ақпаратты желілік жабдыққа кіруге қалай айналдыра аламыз?
Cisco ASA динамикалық қатынас саясаты (DAP) (қараңыз ) шешім осы тапсырма үшін дұрыс.
Іске асыруымыз туралы қысқаша айтқанда, сәйкестендіру/авторизациялау процесі кезінде ASA LDAP-тан берілген пайдаланушыға сәйкес топтар жинағын алады және бірнеше жергілікті ACL-ден (әрқайсысы топқа сәйкес) барлық қажетті рұқсаттары бар динамикалық ACL «жинайды». , бұл біздің тілектерімізге толығымен сәйкес келеді.
Бірақ бұл тек VPN қосылымдары үшін. VPN арқылы қосылған қызметкерлерге де, кеңседегілерге де жағдайды бірдей ету үшін келесі қадам жасалды.
Кеңседен қосылу кезінде 802.1x протоколын пайдаланатын пайдаланушылар қонақ LAN (қонақтар үшін) немесе ортақ LAN (компания қызметкерлері үшін) арқылы аяқталды. Әрі қарай, нақты рұқсат алу үшін (мысалы, деректер орталығындағы жобаларға) қызметкерлер VPN арқылы қосылуы керек болды.
Кеңседен және үйден қосылу үшін ASA-да әртүрлі туннель топтары пайдаланылды. Бұл кеңседен қосылатындар үшін ортақ ресурстарға (барлық қызметкерлер пайдаланады, мысалы, пошта, файл серверлері, билет жүйесі, DNS, ...) трафик ASA арқылы емес, жергілікті желі арқылы өтуі үшін қажет. . Осылайша, біз ASA-ны қажетсіз трафикпен, соның ішінде жоғары қарқынды трафикпен жүктемедік.
Осылайша, мәселе шешілді.
Біз алдық
- кеңседегі қосылымдар мен қашықтағы қосылымдар үшін бірдей қатынас жинағы
- АСА арқылы жоғары қарқынды трафикті берумен байланысты кеңседен жұмыс істегенде қызмет көрсетудің нашарлауының болмауы
Бұл тәсілдің тағы қандай артықшылықтары бар?
Қол жеткізу әкімшілігінде. Кірулерді бір жерде оңай өзгертуге болады.
Мысалы, егер қызметкер компаниядан кетсе, сіз оны жай ғана LDAP жүйесінен алып тастайсыз және ол автоматты түрде барлық қолжетімділікті жоғалтады.
Хостты тексеру
Қашықтан қосылу мүмкіндігімен біз желіге компания қызметкерін ғана емес, сонымен қатар оның компьютерінде (мысалы, үйде) болуы ықтимал барлық зиянды бағдарламалық қамтамасыз етуді, сонымен қатар осы бағдарламалық жасақтама арқылы біз осы хостты прокси ретінде пайдаланатын шабуылдаушыға желіге кіруді қамтамасыз етуі мүмкін.
Қашықтан қосылған хост үшін кеңседегі хост сияқты қауіпсіздік талаптарын қолдану мағынасы бар.
Бұл сондай-ақ ОЖ-ның «дұрыс» нұсқасын, вирусқа қарсы, шпиондық бағдарламаға қарсы және брандмауэр бағдарламалық жасақтамасы мен жаңартуларын болжайды. Әдетте, бұл мүмкіндік VPN шлюзінде болады (ASA үшін, мысалы, қараңыз: ).
Қауіпсіздік саясатыңыз кеңсе трафигіне қолданылатын трафикті талдау және блоктау әдістерін («Қорғаудың жоғары деңгейі» бөлімін қараңыз) да қолданған дұрыс.
Кеңсе желісі бұдан былай кеңсе ғимаратымен және ондағы хосттармен шектелмейді деп болжау орынды.
Мысал:
Жақсы әдіс - қашықтан қол жеткізуді қажет ететін әрбір қызметкерді жақсы, ыңғайлы ноутбукпен қамтамасыз ету және олардан кеңседе де, үйде де жұмыс істеуді талап ету.
Бұл желіңіздің қауіпсіздігін жақсартып қана қоймайды, сонымен қатар ол өте ыңғайлы және әдетте қызметкерлерге жақсы қарайды (егер ол шынымен жақсы, пайдаланушыға ыңғайлы ноутбук болса).
Пропорция мен тепе-теңдік сезімі туралы
Негізінде бұл біздің үшбұрыштың үшінші шыңы – баға туралы әңгіме.
Гипотетикалық мысалды қарастырайық.
Мысал:
Сізде 200 адамға арналған кеңсе бар. Сіз оны мүмкіндігінше ыңғайлы және қауіпсіз етуді шештіңіз.
Сондықтан, сіз барлық трафикті брандмауэр арқылы өткізуді шештіңіз, осылайша барлық кеңсе ішкі желілері үшін брандмауэр әдепкі шлюз болып табылады. Әрбір соңғы хостта орнатылған қауіпсіздік бағдарламалық құралына (вирусқа қарсы, шпиондық бағдарламаға қарсы және брандмауэр бағдарламалық құралы) қоса, сіз брандмауэрде барлық ықтимал қорғау әдістерін қолдануды шештіңіз.
Жоғары қосылым жылдамдығын қамтамасыз ету үшін (барлығы ыңғайлы болу үшін) кіру қосқыштары ретінде 10 гигабиттік кіру порттары бар қосқыштарды және брандмауэр ретінде жоғары өнімді NGFW брандмауэрлерін таңдадыңыз, мысалы, Palo Alto 7K сериясы (40 гигабит порттары бар), әрине, барлық лицензиялармен. қосылған және, әрине, жоғары қолжетімділік жұбы.
Сондай-ақ, әрине, осы жабдық желісімен жұмыс істеу үшін бізге кем дегенде бірнеше жоғары білікті қауіпсіздік инженері қажет.
Әрі қарай, сіз әрбір қызметкерге жақсы ноутбук беруді шештіңіз.
Барлығы, іске асыру үшін шамамен 10 миллион доллар, инженерлердің жылдық қолдауы мен жалақысы үшін жүздеген мың доллар (менің ойымша, миллионға жуық).
Кеңсе, 200 адам...
Ыңғайлы ма? Мүмкін солай.Сіз бұл ұсыныспен басшылыққа келесіз...
Мүмкін әлемде бұл қолайлы және дұрыс шешім болып табылатын бірқатар компаниялар бар. Егер сіз осы компанияның қызметкері болсаңыз, мен сізді құттықтаймын, бірақ басым көпшілігінде сіздің біліміңізді басшылық бағаламайтынына сенімдімін.
Бұл мысал асыра айтылған ба? Келесі тарауда бұл сұраққа жауап беріледі.
Егер сіздің желіңізде жоғарыда аталғандардың ешқайсысы болмаса, бұл қалыпты жағдай.
Әрбір нақты жағдай үшін ыңғайлылық, баға және қауіпсіздік арасында өзіңіздің ақылға қонымды ымыраға келуіңіз керек. Көбінесе кеңседе NGFW қажет емес және желіаралық қалқандағы L7 қорғанысы қажет емес. Көріну мен ескертулердің жақсы деңгейін қамтамасыз ету жеткілікті және мұны, мысалы, ашық бастапқы өнімдерді пайдалану арқылы жасауға болады. Иә, сіздің шабуылға реакцияңыз бірден болмайды, бірақ ең бастысы, сіз оны көресіз және сіздің бөліміңізде дұрыс процестер бар болса, сіз оны тез бейтараптай аласыз.
Естеріңізге сала кетейін, осы мақалалар топтамасының тұжырымдамасы бойынша сіз желіні құрастырмайсыз, тек алғаныңызды жақсартуға тырысасыз.
Кеңсе архитектурасын ҚАУІПСІЗ талдау
Диаграммада мен орын бөлген мына қызыл шаршыға назар аударыңыз мен осында талқылағым келеді.
Бұл сәулет өнерінің негізгі орындарының бірі және ең маңызды белгісіздіктердің бірі.
Ескерту:
Мен ешқашан FirePower (Cisco компаниясының брандмауэр желісінен – тек ASA) орнатпадым немесе онымен жұмыс істемедім, сондықтан мен оны Juniper SRX немесе Palo Alto сияқты басқа брандмауэр сияқты, оның мүмкіндіктері бірдей деп есептеймін.
Кәдімгі конструкциялардан мен осы қосылыммен брандмауэрді пайдаланудың тек 4 мүмкін нұсқасын көремін:
- брандмауэр мөлдір режимде болған кезде әрбір ішкі желі үшін әдепкі шлюз коммутатор болып табылады (яғни, барлық трафик ол арқылы өтеді, бірақ ол L3 секірін құрмайды)
- әрбір ішкі желі үшін әдепкі шлюз брандмауэр ішкі интерфейстері (немесе SVI интерфейстері) болып табылады, коммутатор L2 рөлін атқарады
- Коммутаторда әртүрлі VRF пайдаланылады, ал VRF арасындағы трафик брандмауэр арқылы өтеді, бір VRF ішіндегі трафик коммутатордағы ACL арқылы бақыланады.
- барлық трафик талдау және бақылау үшін брандмауэрге бейнеленеді, трафик ол арқылы өтпейді
Ескерту 1
Бұл опциялардың комбинациясы мүмкін, бірақ қарапайымдылық үшін біз оларды қарастырмаймыз.
Ескертпе 2
Сондай-ақ PBR (қызмет тізбегі архитектурасы) пайдалану мүмкіндігі бар, бірақ әзірге бұл, менің ойымша, әдемі шешім болса да, өте экзотикалық, сондықтан мен бұл жерде оны қарастырмаймын.
Құжаттағы ағындардың сипаттамасынан біз трафик әлі де брандмауэр арқылы өтетінін көреміз, яғни Cisco дизайнына сәйкес төртінші нұсқа алынып тасталады.
Алдымен алғашқы екі нұсқаны қарастырайық.
Осы опциялармен барлық трафик брандмауэр арқылы өтеді.
Енді қарайық , қараңыз және біз кеңсеміздің жалпы өткізу қабілеттілігінің кем дегенде 10-20 гигабит болуын қаласақ, 4K нұсқасын сатып алуымыз керек екенін көреміз.
Ескерту:
Мен жалпы өткізу қабілеттілігі туралы айтқанда, ішкі желілер арасындағы трафикті айтамын (бір вилана ішінде емес).
GPL-тен біз Threat Defence бар HA бумасының бағасы модельге байланысты (4110 - 4150) ~0,5 - 2,5 миллион доллар аралығында өзгеретінін көреміз.
Яғни, біздің дизайн алдыңғы мысалға ұқсай бастайды.
Бұл дизайн дұрыс емес дегенді білдіре ме?
Жоқ, бұл оны білдірмейді. Cisco сізде бар өнім желісіне негізделген ең жақсы қорғауды береді. Бірақ бұл сіз үшін міндетті түрде жасалуы керек дегенді білдірмейді.
Негізінде, бұл кеңсені немесе деректер орталығын жобалау кезінде туындайтын жалпы сұрақ және бұл тек ымыраға келу керек дегенді білдіреді.
Мысалы, барлық трафиктің брандмауэр арқылы өтуіне жол бермеңіз, бұл жағдайда маған 3-нұсқа өте жақсы болып көрінеді немесе (алдыңғы бөлімді қараңыз) сізге Threat Defence қажет емес немесе ол үшін брандмауэр мүлдем қажет емес. желі сегменті және сізге ақылы (қымбат емес) немесе ашық бастапқы шешімдерді пайдалана отырып, өзіңізді пассивті бақылаумен шектеу керек немесе сізге брандмауэр қажет, бірақ басқа жеткізуші.
Әдетте бұл белгісіздік әрқашан болады және сіз үшін қандай шешім ең жақсы екеніне нақты жауап жоқ.
Бұл тапсырманың күрделілігі мен сұлулығы.
Ақпарат көзі: www.habr.com