ProHoster > Blog > башкаруу > Тармактык инфраструктураңызды кантип көзөмөлдөө керек. Үчүнчү бөлүм. Тармак коопсуздугу. Биринчи бөлүк

Тармактык инфраструктураңызды кантип көзөмөлдөө керек. Үчүнчү бөлүм. Тармак коопсуздугу. Биринчи бөлүк

Бул макала "Тармактык инфраструктураңызды кантип көзөмөлдөө керек" деген макалалар сериясынын үчүнчүсү. Сериядагы бардык макалалардын мазмунун жана шилтемелерди тапса болот бул жерде.

Тармактык инфраструктураңызды кантип көзөмөлдөө керек. Үчүнчү бөлүм. Тармак коопсуздугу. Биринчи бөлүк

Коопсуздук коркунучтарын толугу менен жок кылуу жөнүндө сөз кылуунун эч кандай пайдасы жок. Негизи аларды нөлгө түшүрө албайбыз. Биз ошондой эле тармакты көбүрөөк коопсуз кылууга умтулган сайын, чечимдерибиз барган сайын кымбат болуп жатканын түшүнүшүбүз керек. Тармакыңыз үчүн мааниге ээ болгон чыгымдардын, татаалдыктын жана коопсуздуктун ортосунда соодалашууну табышыңыз керек.

Албетте, коопсуздук дизайны органикалык түрдө жалпы архитектурага интеграцияланган жана колдонулган коопсуздук чечимдери тармактык инфраструктуранын масштабдуулугуна, ишенимдүүлүгүнө, башкаруусуна, ... таасирин тийгизет, аларды да эске алуу керек.

Бирок эсиңизге сала кетейин, азыр биз тармак түзүү жөнүндө сөз кылбайбыз. Биздин айтымында баштапкы шарттар биз дизайнды тандап алдык, жабдууларды тандап алдык жана инфраструктураны түздүк жана бул этапта, эгерде мүмкүн болсо, мурда тандалган мамиленин контекстинде “жашашыбыз” жана чечимдерди табышыбыз керек.

Азыр биздин милдет - тармак деңгээлинде коопсуздукка байланыштуу тобокелдиктерди аныктоо жана аларды акылга сыярлык деңгээлге чейин азайтуу.

Тармактык коопсуздук аудити

Эгерде сиздин уюмуңуз ISO 27k процесстерин ишке ашырган болсо, анда коопсуздук аудиттери жана тармактык өзгөрүүлөр бул ыкманын алкагындагы жалпы процесстерге кынтыксыз дал келиши керек. Бирок бул стандарттар дагы деле конкреттүү чечимдер жөнүндө эмес, конфигурация жөнүндө эмес, дизайн жөнүндө эмес... Сиздин тармак кандай болушу керек экенин деталдуу түрдө айткан так кеңештер, стандарттар жок, бул милдеттин татаалдыгы жана кооздугу.

Мен бир нече мүмкүн болгон тармактык коопсуздук аудиттерин баса белгилегим келет:

  • жабдуулардын конфигурациясынын аудити (катуу)
  • коопсуздук дизайн аудит
  • мүмкүндүк алуу аудити
  • процесс аудити

Жабдуу конфигурация аудити (катуу)

Көпчүлүк учурларда бул сиздин тармагыңыздын коопсуздугун текшерүү жана жакшыртуу үчүн эң жакшы башталгыч чекит окшойт. IMHO, бул Парето мыйзамынын жакшы демонстрациясы (20% аракет натыйжанын 80% түзөт, ал эми калган 80% аракет натыйжанын 20% гана түзөт).

Жыйынтык - бизде, адатта, жабдууларды конфигурациялоодо коопсуздук боюнча "мыкты тажрыйбалар" боюнча сатуучулардан сунуштар бар. Бул "катуу" деп аталат.

Сиз ошондой эле бул сунуштардын негизинде анкета таба аласыз (же өзүңүз түзө аласыз), ал сиздин жабдууңуздун конфигурациясынын ушул "мыкты тажрыйбаларга" канчалык туура келерин аныктоого жана натыйжага ылайык тармакка өзгөртүүлөрдү киргизүүгө жардам берет. . Бул коопсуздук тобокелдиктерин кыйла жеңил, дээрлик эч кандай чыгымсыз азайтууга мүмкүндүк берет.

Кээ бир Cisco операциялык системалары үчүн бир нече мисалдар.

Cisco IOS конфигурациясын катаалдаштыруу
Cisco IOS-XR конфигурациясын катаалдаштыруу
Cisco NX-OS конфигурациясын катаалдаштыруу
Cisco Базалык коопсуздук текшерүү тизмеси

Бул документтердин негизинде жабдуулардын ар бир түрү үчүн конфигурация талаптарынын тизмеси түзүлүшү мүмкүн. Мисалы, Cisco N7K VDC үчүн бул талаптар окшош болушу мүмкүн ушундай.

Ушундай жол менен сиздин тармактык инфраструктураңыздагы активдүү жабдуулардын ар кандай түрлөрү үчүн конфигурация файлдары түзүлүшү мүмкүн. Андан кийин, кол менен же автоматташтыруу аркылуу сиз бул конфигурация файлдарын "жүктөй аласыз". Бул процессти кантип автоматташтыруу керек, оркестрлөө жана автоматташтыруу боюнча макалалардын башка сериясында кеңири талкууланат.

Коопсуздук дизайны аудити

Адатта, ишкана тармагы тигил же бул формада төмөнкү сегменттерди камтыйт:

  • DC (Коомдук кызматтар DMZ жана Intranet маалымат борбору)
  • Интернет мүмкүндүк алуу
  • Алыстан кирүү VPN
  • WAN чети
  • бутак
  • Кампус (офис)
  • негизги

Титулдар алынган Cisco SAFE модели, бирок бул, албетте, бул аталыштарга жана бул моделге так тиркелиши керек эмес. Ошентсе да мен формалдуу иштерге батып калбай, маңызы тууралуу айткым келет.

Бул сегменттердин ар бири үчүн коопсуздук талаптары, тобокелдиктер жана ошого жараша чечимдер ар кандай болот.

Келгиле, алардын ар бирин өз-өзүнчө карап көрөлү. Албетте, мен дагы бир жолу кайталайм, бул макала эч кандай түрдө толук болуп көрүнбөйт, бул чындап эле терең жана көп кырдуу темада жетүү оңой эмес (эгер мүмкүн болбосо да), бирок бул менин жеке тажрыйбамды чагылдырат.

Эч кандай идеалдуу чечим жок (жок дегенде азырынча). Бул ар дайым компромисс. Бирок тигил же бул ыкманы колдонуу чечими анын жакшы жактарын да, терс жактарын да түшүнүү менен аң-сезимдүү кабыл алынышы маанилүү.

маалымат борбору

Коопсуздук жагынан эң маанилүү сегмент.
Жана, адаттагыдай, бул жерде да универсалдуу чечим жок. Мунун баары тармак талаптарына көз каранды.

Firewall керекпи же жокпу?

Жооп айкын көрүнөт, бирок баары көрүнгөндөй так эмес. Ал эми тандоо гана эмес, таасир этиши мүмкүн баа.

EXAMPLE 1. Кечигүүлөр.

Эгер кээ бир тармак сегменттеринин ортосундагы күтүү убактысынын төмөн болушу, мисалы, алмашуу учурундагы маанилүү талап болсо, анда биз бул сегменттердин ортосунда брандмауэрлерди колдоно албайбыз. Брандмауэрлерде кечигүү боюнча изилдөөлөрдү табуу кыйын, бирок бир нече коммутатор моделдери 1 мкссектен аз же андан аз күтүү убактысын камсыздай алат, андыктан микросекунддар сиз үчүн маанилүү болсо, анда брандмауэрлер сиз үчүн эмес деп ойлойм.

EXAMPLE 2. Performance.

Жогорку L3 өчүргүчтөрдүн өткөрүү жөндөмдүүлүгү, адатта, эң күчтүү брандмауэрлердин өткөрүү жөндөмдүүлүгүнөн жогору. Ошондуктан, жогорку интенсивдүү трафик учурунда, сиз бул трафиктин брандмауэрлерди айланып өтүшүнө уруксат беришиңиз керек болот.

EXAMPLE 3. Ишенимдүүлүк.

Firewalls, өзгөчө заманбап NGFW (Next-Generation FW) татаал түзүлүштөр болуп саналат. Алар L3/L2 өчүргүчтөрүнө караганда алда канча татаал. Алар көп сандагы кызматтарды жана конфигурациялоону камсыз кылат, ошондуктан алардын ишенимдүүлүгү бир топ төмөн экендиги таң калыштуу эмес. Кызматтын үзгүлтүксүздүгү тармак үчүн маанилүү болсо, анда сизге жеткиликтүүлүктүн жакшырышына эмне алып келерин – брандмауэр менен коопсуздукту же кадимки ACLлерди колдонуу менен өчүргүчтөргө (же ар кандай кездемелердин түрлөрүнө) курулган тармактын жөнөкөйлүгүн тандоо керек болушу мүмкүн.

Жогорудагы мисалдар боюнча, сиз (адаттагыдай) компромисс табууга туура келет. Төмөнкү чечимдерди караңыз:

  • эгерде сиз маалымат борборунун ичиндеги брандмауэрлерди колдонбоону чечсеңиз, анда периметрдин айланасында мүмкүн болушунча кирүү мүмкүнчүлүгүн кантип чектөө жөнүндө ойлонушуңуз керек. Мисалы, сиз Интернеттен керектүү портторду гана ача аласыз (кардар трафиги үчүн) жана маалымат борборуна административдик кирүү секирүү хостторунан гана. Секирүү хостторунда бардык керектүү текшерүүлөрдү аткарыңыз (аныктыгын текшерүү/авторизация, антивирус, журналга жазуу, ...)
  • сиз PSEFABRICте сүрөттөлгөн схемага окшош сегменттерге маалымат борборунун тармагынын логикалык бөлүгүн колдоно аласыз мисал p002. Бул учурда, маршрутизация кечигүүгө сезгич же жогорку интенсивдүү трафик бир сегменттин "ичинде" (p002, VRF учурда) жана брандмауэр аркылуу өтпөгөндөй конфигурацияланышы керек. Ар кандай сегменттердин ортосундагы трафик брандмауэр аркылуу уланат. Сиз ошондой эле трафикти брандмауэр аркылуу кайра багыттоону болтурбоо үчүн VRF ортосунда агып жаткан маршрутту колдонсоңуз болот
  • Сиз ошондой эле брандмауэрди ачык режимде жана бул факторлор (кетүү/өндүрүш) маанилүү болбогон VLANлар үчүн гана колдоно аласыз. Бирок ар бир сатуучу үчүн бул режимди колдонууга байланыштуу чектөөлөрдү кылдат изилдеп чыгышыңыз керек
  • сиз кызмат чынжырынын архитектурасын колдонууну ойлонушуңуз мүмкүн. Бул брандмауэр аркылуу керектүү трафикти гана өткөрүүгө мүмкүндүк берет. Теорияда жакшы көрүнөт, бирок мен өндүрүштө мындай чечимди көргөн эмесмин. Биз болжол менен 5 жыл мурун Cisco ACI/Juniper SRX/F3 LTM үчүн тейлөө чынжырын сынап көрдүк, бирок ошол учурда бул чечим бизге "орой" көрүнгөн.

Коргоо деңгээли

Эми сиз трафикти чыпкалоо үчүн кандай куралдарды колдонгуңуз келет деген суроого жооп беришиңиз керек. Бул жерде адатта NGFWде болгон кээ бир өзгөчөлүктөр (мисалы, бул жерде):

  • штаттык брандмауэр (демейки)
  • тиркеменин брандмауэри
  • коркунучтун алдын алуу (антивирус, шпионго каршы жана аялуу)
  • URL чыпкалоо
  • маалыматтарды чыпкалоо (мазмун чыпкалоо)
  • файлды бөгөттөө (файл түрлөрүн бөгөттөө)
  • коргоо

Ошондой эле баары ачык-айкын эмес. Коргоо деңгээли канчалык жогору болсо, ошончолук жакшы көрүнөт. Бирок муну да эске алуу керек

  • Жогорудагы брандмауэр функцияларын канчалык көп колдонсоңуз, ал ошончолук кымбат болот (лицензиялар, кошумча модулдар)
  • кээ бир алгоритмдерди колдонуу брандмауэрдин өткөрүү жөндөмдүүлүгүн бир кыйла азайтат, ошондой эле кечигүүлөрдү көбөйтөт, мисалы, караңыз бул жерде
  • кандайдыр бир татаал чечим сыяктуу эле, комплекстүү коргоо ыкмаларын колдонуу чечимиңиздин ишенимдүүлүгүн төмөндөтүшү мүмкүн, мисалы, тиркемелердин брандмауэрин колдонгондо, мен кээ бир стандарттуу жумушчу тиркемелерди (dns, smb) бөгөттөп койдум.

Адаттагыдай эле, сиз тармак үчүн эң жакшы чечимди табышыңыз керек.

Кандай коргоо функциялары талап кылынышы мүмкүн деген суроого так жооп берүү мүмкүн эмес. Биринчиден, бул, албетте, сиз өткөрүп жаткан же сактаган жана коргоого аракет кылып жаткан маалыматтардан көз каранды. Экинчиден, чындыгында, көп учурда коопсуздук куралдарын тандоо ишеним жана сатуучуга болгон ишеним маселеси болуп саналат. Сиз алгоритмдерди билбейсиз, алардын канчалык эффективдүү экенин билбейсиз жана аларды толук сынай албайсыз.

Ошондуктан, критикалык сегменттерде ар кандай компаниялардын сунуштарын колдонуу жакшы чечим болушу мүмкүн. Мисалы, сиз брандмауэрде антивирусту иштете аласыз, бирок ошондой эле хосттордо жергиликтүү антивирустук коргоону (башка өндүрүүчүдөн) колдоно аласыз.

Сегменттөө

Кеп маалымат борборлорунун тармагын логикалык сегментациялоо жөнүндө болуп жатат. Мисалы, VLANга жана субсеттерге бөлүү да логикалык сегментация болуп саналат, бирок анын айкындыгынан улам биз аны эске албайбыз. FW коопсуздук зоналары, VRFs (жана алардын ар кандай сатуучуларга карата аналогдору), логикалык түзүлүштөр (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...) сыяктуу объекттерди эске алуу менен кызыктуу сегментациялоо.

Мындай логикалык сегментациянын мисалы жана учурда талап кылынган маалымат борборунун дизайны келтирилген PSEFABRIC долбоорунун p002.

Тармагыңыздын логикалык бөлүктөрүн аныктагандан кийин, сиз трафиктин ар кандай сегменттер ортосунда кандай жылып жатканын, кайсы түзмөктөрдө чыпкалоо жүргүзүлөрүн жана кандай каражаттар менен сүрөттөлсөңүз болот.

Если в вашей сети отсутствует ясное логическое разбиение и не формализованы правила применения security политик для разных потоков данных (flow), то это значит, что при открытии того или иного доступа вы вынуждены решать эту задачу, и с большой вероятностью каждый раз вы будете решать ее ар кандай.

Көп учурда сегменттөө FW коопсуздук зоналарына гана негизделет. Анда сиз төмөнкү суроолорго жооп беришиңиз керек:

  • сизге кандай коопсуздук зоналары керек
  • бул зоналардын ар бирине кандай коргоо деңгээлин колдонгуңуз келет
  • демейки боюнча аймак ичиндеги трафикке уруксат берилеби?
  • болбосо, ар бир зонада кандай жол кыймылын чыпкалоо саясаты колдонулат
  • ар бир жуп зона үчүн кандай жол кыймылын чыпкалоо саясаты колдонулат (булак/даярдалган жер)

TCAM

Кадимки көйгөй - TCAM (Ternary Content Addressable Memory) жетишсиздиги, маршруттоо үчүн да, кирүү үчүн да. IMHO, бул жабдууларды тандоодо эң маанилүү маселелердин бири, андыктан бул маселеге тийиштүү даражада кам көрүү керек.

Мисал 1. TCAM багыттоо таблицасы.

карап көрөлү Пало Альто 7к брандмауэр
Биз IPv4 багыттоо столунун өлчөмү* = 32K экенин көрүп жатабыз
Мындан тышкары, маршруттардын бул саны бардык VSYS үчүн жалпы болуп саналат.

Дизайныңызга ылайык, сиз 4 VSYS колдонууну чечтиңиз деп ойлойлу.
Бул VSYSдердин ар бири BGP аркылуу сиз BB катары колдонгон булуттун эки MPLS PEине туташтырылган. Ошентип, 4 VSYS бардык конкреттүү маршруттарды бири-бири менен алмаштырат жана болжол менен бирдей маршруттар топтому (бирок ар кандай NHs) менен багыттоо таблицасына ээ. Анткени ар бир VSYSде 2 BGP сеансы бар (ошол эле орнотуулар менен), андан кийин MPLS аркылуу кабыл алынган ар бир маршрутта 2 NH жана, ошого жараша, Багыттоо таблицасында 2 FIB жазуусу бар. Эгер бул маалымат борборундагы жалгыз брандмауэр жана ал бардык маршруттар жөнүндө билиши керек деп ойлосок, анда бул биздин маалымат борборундагы маршруттардын жалпы саны 32K/(4 * 2) = 4K ашык болбошу керек дегенди билдирет.

Эми, бизде 2 маалымат борбору бар деп ойлосок (ошол эле дизайн менен) жана биз маалымат борборлорунун ортосунда "чоюлган" VLANдарды колдонгубуз келсе (мисалы, vMotion үчүн), анда маршрутташтыруу маселесин чечүү үчүн биз хост маршруттарын колдонушубуз керек. . Бирок бул 2 маалымат борборлору үчүн бизде 4096дан ашпаган хосттор болот жана, албетте, бул жетишсиз болушу мүмкүн дегенди билдирет.

Мисал 2. ACL TCAM.

Эгерде сиз L3 өчүргүчтөрүндөгү трафикти чыпкалоону пландаштырсаңыз (же L3 өчүргүчтөрүн колдонгон башка чечимдер, мисалы, Cisco ACI), анда жабдууларды тандоодо TCAM ACLге көңүл бурушуңуз керек.

Сиз Cisco Catalyst 4500 SVI интерфейстерине кирүү мүмкүнчүлүгүн көзөмөлдөгүңүз келет дейли. Андан көрүнүп тургандай, бул макалада, интерфейстерде чыгуучу (ошондой эле кирүүчү) трафикти көзөмөлдөө үчүн 4096 TCAM линиясын гана колдоно аласыз. TCAM3 колдонууда сизге болжол менен 4000 миң ACE (ACL линиялары) берет.

Эгер сиз TCAM жетишсиз көйгөйүнө туш болсоңуз, анда, биринчи кезекте, албетте, оптималдаштыруу мүмкүнчүлүгүн карап чыгышыңыз керек. Ошентип, Экспедиция таблицасынын өлчөмү менен көйгөй келип чыккан учурда, каттамдарды бириктирүү мүмкүнчүлүгүн карап чыгышыңыз керек. Мүмкүнчүлүктөр үчүн TCAM өлчөмүндө көйгөй келип чыккан учурда, аудитордук кирүүлөр, эскирген жана кайталанган жазууларды алып салыңыз жана мүмкүн болгон мүмкүнчүлүктөрдү ачуу процедурасын кайра карап чыгуу керек (мүмкүн, кирүүлөрдү текшерүү бөлүмүндө кеңири талкууланат).

Жогорку болушу

Суроо: брандмауэрлер үчүн HA колдонушум керекпи же эки көз карандысыз кутучаны "параллель" орнотуп, эгер алардын бири иштебей калса, трафикти экинчи аркылуу өткөрүш керекпи?

Жооп айкын көрүнөт - HA колдонуңуз. Бул суроонун дагы эле келип чыгышынын себеби, тилекке каршы, практикада жеткиликтүүлүктүн теориялык жана жарнамалык 99 жана бир нече ондук пайыздары ушунчалык кызгыл эмес болуп чыкты. HA логикалык жактан абдан татаал нерсе жана ар кандай жабдууларда жана ар кандай сатуучуларда (эч кандай өзгөчөлүктөр болгон жок), биз көйгөйлөрдү жана мүчүлүштүктөрдү жана тейлөөнү токтоттук.

Эгерде сиз HA колдонсоңуз, сизде жеке түйүндөрдү өчүрүү, кызматты токтотпостон алардын ортосунда которулуу мүмкүнчүлүгү болот, бул маанилүү, мисалы, жаңыртууларды жасоодо, бирок ошол эле учурда сизде эки түйүн тең нөлдөн алыс болушу ыктымал. ошол эле учурда бузулат, ошондой эле кийинки жаңыртуу сатуучу убада кылгандай жылмакай жүрбөйт (эгер сизде лабораториялык жабдууларда жаңыртууну сынап көрүү мүмкүнчүлүгүңүз болсо, бул көйгөйдөн качууга болот).

Эгерде сиз HA колдонбосоңуз, анда эки эселенген бузулуу көз карашынан алганда, сиздин тобокелдиктериңиз бир топ төмөн болот (себеби сизде 2 көз карандысыз брандмауэр бар), бирок... сеанстар синхрондоштурулган эмес, анда бул брандмауэрлердин ортосунда өткөн сайын трафикти жоготосуз. Сиз, албетте, жарандыгы жок брандмауэрди колдонсоңуз болот, бирок анда брандмауэрди колдонуунун мааниси жоголот.

Ошондуктан, аудиттин натыйжасында сиз жалгыз брандмауэрлерди таап алсаңыз жана сиз тармактын ишенимдүүлүгүн жогорулатуу жөнүндө ойлонуп жатсаңыз, анда HA, албетте, сунуш кылынган чечимдердин бири болуп саналат, бирок ошондой эле ага байланыштуу кемчиликтерди да эске алуу керек. Бул ыкма менен жана, балким, сиздин тармак үчүн, башка чечим ылайыктуураак болмок.

Башкаруу жөндөмдүүлүгү

Негизи, HA дагы башкарылууга жөндөмдүүлүк жөнүндө. 2 кутучаны өзүнчө конфигурациялоонун жана конфигурацияларды синхрондоштуруу маселесин чечүүнүн ордуна, сиз аларды бир түзмөктөй башкарасыз.

Бирок, балким, сизде көптөгөн маалымат борборлору жана көптөгөн брандмауэрлер бар, анда бул суроо жаңы деңгээлде пайда болот. Ал эми маселе конфигурация жөнүндө гана эмес, ошондой эле жөнүндө

  • камдык конфигурациялар
  • жаңыртуулар
  • жаңыртуулар
  • мониторинг
  • журналга алуу

Ал эми мунун бардыгын борборлоштурулган башкаруу системалары менен чечсе болот.

Ошентип, мисалы, сиз Palo Alto брандмауэрлерин колдонуп жатсаңыз, анда Panorama ушундай чечим болуп саналат.

Уландысы бар.

Source: www.habr.com

Комментарий кошуу