Šis straipsnis yra penktasis iš serijos „Kaip valdyti tinklo infrastruktūrą“. Galima rasti visų serijos straipsnių turinį ir nuorodas .
Ši dalis bus skirta Campus (biuro) ir nuotolinės prieigos VPN segmentams.
Biuro tinklo projektavimas gali atrodyti lengvas.
Iš tiesų, paimame L2/L3 jungiklius ir sujungiame juos vienas su kitu. Toliau atliekame pagrindinę vilanų ir numatytųjų šliuzų sąranką, nustatome paprastą maršruto parinkimą, prijungiame WiFi valdiklius, prieigos taškus, įdiegiame ir sukonfigūruojame ASA nuotolinei prieigai, džiaugiamės, kad viskas pavyko. Iš esmės, kaip jau rašiau viename iš ankstesnių Šio ciklo metu beveik kiekvienas studentas, išklausęs (ir išmokęs) du telekomunikacijų kurso semestrus, gali sukurti ir konfigūruoti biuro tinklą taip, kad jis „kažkaip veiktų“.
Tačiau kuo daugiau išmoksti, tuo ši užduotis atrodo ne tokia paprasta. Man asmeniškai ši tema, biuro tinklo projektavimo tema, neatrodo visai paprasta, todėl šiame straipsnyje pabandysiu paaiškinti kodėl.
Trumpai tariant, reikia atsižvelgti į keletą veiksnių. Dažnai šie veiksniai prieštarauja vienas kitam ir reikia ieškoti pagrįsto kompromiso.
Šis neapibrėžtumas yra pagrindinis sunkumas. Taigi, kalbant apie saugumą, turime trikampį su trimis viršūnėmis: saugumas, patogumas darbuotojams, sprendimo kaina.
Ir kaskart tenka ieškoti kompromiso tarp šių trijų.
Architektūra
Kaip šių dviejų segmentų architektūros pavyzdį, kaip ir ankstesniuose straipsniuose, rekomenduoju modelis: , .
Tai kiek pasenę dokumentai. Pristatau juos čia, nes esminės schemos ir požiūris nepasikeitė, bet tuo pačiu pristatymas man patinka labiau nei in .
Neskatindamas jūsų naudoti „Cisco“ sprendimų, vis tiek manau, kad naudinga atidžiai išstudijuoti šį dizainą.
Šis straipsnis, kaip įprasta, jokiu būdu nepretenduoja į išsamumą, o yra šios informacijos papildymas.
Straipsnio pabaigoje analizuosime Cisco SAFE biuro dizainą pagal čia aprašytas sąvokas.
Bendrieji principai
Biurų tinklo dizainas, žinoma, turi atitikti bendruosius reikalavimus, kurie buvo aptarti skyriuje „Projekto kokybės vertinimo kriterijai“. Be kainos ir saugumo, kuriuos ketiname aptarti šiame straipsnyje, vis dar yra trys kriterijai, į kuriuos turime atsižvelgti kurdami (arba darydami pakeitimus):
- mastelio keitimas
- naudojimo paprastumas (valdomumas)
- prieinamumas
Daug kas buvo aptarta Tai pasakytina ir apie biurą.
Tačiau vis tiek biurų segmentas turi savo specifiką, kuri yra labai svarbi saugumo požiūriu. Šios specifikos esmė ta, kad šis segmentas yra sukurtas tinklo paslaugoms teikti įmonės darbuotojams (taip pat partneriams ir svečiams), todėl aukščiausiu problemos nagrinėjimo lygiu turime dvi užduotis:
- apsaugoti įmonės išteklius nuo kenkėjiškų veiksmų, kuriuos gali atlikti darbuotojai (svečiai, partneriai) ir jų naudojama programinė įranga. Tai taip pat apima apsaugą nuo neteisėto prisijungimo prie tinklo.
- apsaugoti sistemas ir vartotojo duomenis
Ir tai tik viena problemos pusė (tiksliau, viena trikampio viršūnė). Iš kitos pusės – vartotojo patogumas ir naudojamų sprendimų kaina.
Pradėkime nuo to, ko vartotojas tikisi iš modernaus biurų tinklo.
Patogumai
Štai kaip, mano nuomone, atrodo „tinklo patogumai“ biuro vartotojui:
- Mobilumas
- Galimybė naudoti visus pažįstamus įrenginius ir operacines sistemas
- Lengva prieiga prie visų reikalingų įmonės išteklių
- Interneto išteklių, įskaitant įvairias debesijos paslaugas, prieinamumas
- „Greitas tinklo veikimas“.
Visa tai galioja tiek darbuotojams, tiek svečiams (ar partneriams), o įmonės inžinierių užduotis yra diferencijuoti prieigą prie skirtingų vartotojų grupių pagal autorizaciją.
Pažvelkime į kiekvieną iš šių aspektų šiek tiek išsamiau.
Mobilumas
Kalbame apie galimybę dirbti ir naudotis visais reikalingais įmonės resursais iš bet kurios pasaulio vietos (žinoma, kur yra internetas).
Tai visiškai taikoma biurui. Tai patogu, kai turite galimybę tęsti darbą iš bet kurios biuro vietos, pavyzdžiui, gauti laiškus, bendrauti per korporacinį pasiuntinį, būti pasiekiamam vaizdo skambučiui,... Taigi, viena vertus, išspręsti kai kurias problemas „gyvai“ bendraujant (pavyzdžiui, dalyvauti mitinguose), o kita vertus – visada būti prisijungus, laikyti pirštą ant pulso ir greitai išspręsti kai kurias neatidėliotinas aukšto prioriteto užduotis. Tai labai patogu ir tikrai pagerina komunikacijos kokybę.
Tai pasiekiama tinkamai suprojektavus WiFi tinklą.
Pastaba
Čia dažniausiai kyla klausimas: ar užtenka naudotis tik WiFi? Ar tai reiškia, kad galite nustoti naudoti eterneto prievadus biure? Jei mes kalbame tik apie vartotojus, o ne apie serverius, kuriuos vis dar tikslinga prisijungti prie įprasto Ethernet prievado, tada apskritai atsakymas yra toks: taip, galite apsiriboti tik WiFi. Bet yra niuansų.
Yra svarbių vartotojų grupių, kurioms reikalingas atskiras požiūris. Tai, žinoma, administratoriai. Iš esmės „WiFi“ ryšys yra mažiau patikimas (srauto praradimo požiūriu) ir lėtesnis nei įprastas Ethernet prievadas. Tai gali būti reikšminga administratoriams. Be to, pavyzdžiui, tinklo administratoriai iš principo gali turėti savo eterneto tinklą išoriniams ryšiams.
Jūsų įmonėje gali būti kitų grupių/skyrių, kuriems šie veiksniai taip pat svarbūs.
Yra dar vienas svarbus momentas – telefonija. Galbūt dėl kokių nors priežasčių nenorite naudoti belaidžio VoIP ir norite naudoti IP telefonus su įprastu Ethernet ryšiu.
Apskritai įmonėse, kuriose dirbau, dažniausiai buvo galimybė turėti ir WiFi ryšį, ir Ethernet prievadą.
Norėčiau, kad mobilumas neapsiribotų tik biuru.
Norint užtikrinti galimybę dirbti namuose (ar bet kurioje kitoje vietoje, kur pasiekiamas internetas), naudojamas VPN ryšys. Kartu pageidautina, kad darbuotojai nejaustų skirtumo tarp darbo namuose ir nuotolinio darbo, kuris suponuoja tą pačią prieigą. Kaip tai organizuoti, aptarsime šiek tiek vėliau skyriuje „Vieninga centralizuota autentifikavimo ir autorizacijos sistema“.
Pastaba
Labiausiai tikėtina, kad nuotoliniu būdu jūs negalėsite visiškai suteikti tokios pat kokybės paslaugų, kurias turite biure. Tarkime, kad kaip VPN šliuzą naudojate Cisco ASA 5520 šis įrenginys gali „suvirškinti“ tik 225 Mbit VPN srautą. Tai, žinoma, pralaidumo požiūriu, prisijungimas per VPN labai skiriasi nuo darbo biure. Be to, jei dėl kokių nors priežasčių jūsų tinklo paslaugų delsa, praradimas, drebėjimas (pavyzdžiui, norite naudoti biuro IP telefoniją) yra reikšmingi, taip pat negausite tokios kokybės, kaip būdami biure. Todėl kalbėdami apie mobilumą turime žinoti galimus apribojimus.
Lengva prieiga prie visų įmonės išteklių
Ši užduotis turėtų būti sprendžiama kartu su kitais techniniais padaliniais.
Ideali situacija yra tada, kai vartotojui reikia tik vieną kartą autentifikuotis, o po to jis turi prieigą prie visų reikiamų išteklių.
Lengvos prieigos suteikimas neprarandant saugumo gali žymiai pagerinti produktyvumą ir sumažinti kolegų įtampą.
1 pastaba
Lengva prieiga priklauso ne tik nuo to, kiek kartų turite įvesti slaptažodį. Jei, pavyzdžiui, pagal savo saugos politiką, norėdami prisijungti iš biuro prie duomenų centro, pirmiausia turite prisijungti prie VPN šliuzo ir tuo pačiu prarasite prieigą prie biuro išteklių, tai taip pat labai , labai nepatogu.
2 pastaba
Yra paslaugų (pavyzdžiui, prieiga prie tinklo įrangos), kur dažniausiai turime savo dedikuotus AAA serverius ir tai yra norma, kai tokiu atveju tenka autentifikuotis kelis kartus.
Interneto išteklių prieinamumas
Internetas – tai ne tik pramoga, bet ir paslaugų rinkinys, kuris gali labai praversti darbe. Taip pat yra grynai psichologinių veiksnių. Šiuolaikinis žmogus su kitais žmonėmis yra susijęs per internetą per daugybę virtualių gijų ir, mano nuomone, nėra nieko blogo, jei šį ryšį jis ir toliau jaučia net dirbdamas.
Laiko švaistymo požiūriu nėra nieko blogo, jei darbuotojui, pavyzdžiui, veikia „Skype“ ir prireikus bendraudamas su mylimu žmogumi skiria 5 minutes.
Ar tai reiškia, kad internetas turi būti visada prieinamas, ar tai reiškia, kad darbuotojai gali turėti prieigą prie visų išteklių ir niekaip jų nekontroliuoti?
Ne, žinoma, nereiškia. Interneto atvirumo lygis įvairiose įmonėse gali skirtis – nuo visiško užsidarymo iki visiško atvirumo. Eismo kontrolės būdus aptarsime vėliau saugumo priemonių skyriuose.
Galimybė naudoti visą pažįstamų įrenginių asortimentą
Patogu, kai, pavyzdžiui, turite galimybę ir toliau naudotis visomis darbe įprastomis ryšio priemonėmis. Techniškai tai įgyvendinti nėra sunku. Tam jums reikia WiFi ir svečių wilan.
Taip pat gerai, jei turite galimybę naudoti operacinę sistemą, prie kurios esate įpratę. Bet, mano pastebėjimu, tai dažniausiai leidžiama tik vadovams, administratoriams ir kūrėjams.
Pavyzdys
Žinoma, galite eiti draudimų keliu, uždrausti nuotolinę prieigą, uždrausti prisijungti iš mobiliųjų įrenginių, viską apriboti statiniais Ethernet ryšiais, apriboti prieigą prie interneto, priverstinai konfiskuoti mobiliuosius telefonus ir programėles patikros punkte... ir šis kelias. iš tikrųjų seka kai kurios organizacijos su padidintais saugumo reikalavimais, ir galbūt kai kuriais atvejais tai gali būti pateisinama, bet... reikia sutikti, kad tai atrodo kaip bandymas sustabdyti pažangą vienoje organizacijoje. Žinoma, šiuolaikinių technologijų teikiamas galimybes norėčiau derinti su pakankamu saugumo lygiu.
„Greitas tinklo veikimas“.
Duomenų perdavimo greitis techniškai susideda iš daugelio veiksnių. Ir jūsų ryšio prievado greitis paprastai nėra svarbiausias. Lėtas programos veikimas ne visada siejamas su tinklo problemomis, tačiau kol kas mus domina tik tinklo dalis. Dažniausia vietinio tinklo „lėtėjimo“ problema yra susijusi su paketų praradimu. Tai dažniausiai atsitinka, kai yra kliūtis arba L1 (OSI) problemos. Rečiau, naudojant kai kuriuos modelius (pavyzdžiui, kai potinkliuose numatytasis šliuzas yra ugniasienė, todėl visas srautas eina per jį), aparatinės įrangos veikimas gali trūkti.
Todėl, renkantis įrangą ir architektūrą, reikia susieti galinių prievadų, magistralinių ir įrangos veikimo greitį.
Pavyzdys
Tarkime, kad kaip prieigos lygmens jungiklius naudojate jungiklius su 1 gigabito prievadais. Jie yra sujungti vienas su kitu per eterinį kanalą 2 x 10 gigabitų. Kaip numatytąjį šliuzą naudojate ugniasienę su gigabito prievadais, kuriuos prijungdami prie L2 biuro tinklo naudojate 2 gigabitų prievadus, sujungtus į eterinį kanalą.
Ši architektūra yra gana patogi funkcionalumo požiūriu, nes... Visas srautas eina per užkardą, todėl jūs galite patogiai valdyti prieigos politiką ir taikyti sudėtingus algoritmus srautui valdyti ir galimų atakų prevencijai (žr. toliau), tačiau pralaidumo ir našumo požiūriu šis dizainas, žinoma, gali turėti problemų. Taigi, pavyzdžiui, 2 prievadai, atsisiunčiantys duomenis (su 1 gigabito prievado sparta), gali visiškai įkelti 2 gigabitų ryšį su ugniasiene ir tokiu būdu pabloginti viso biuro segmento paslaugas.
Mes pažvelgėme į vieną trikampio viršūnę, o dabar pažiūrėkime, kaip galime užtikrinti saugumą.
Gydymo priemonės
Taigi, žinoma, dažniausiai mūsų noras (tiksliau, vadovybės noras) yra pasiekti tai, kas neįmanoma, būtent, suteikti maksimalų patogumą su maksimaliu saugumu ir minimaliomis sąnaudomis.
Pažiūrėkime, kokius būdus turime apsaugoti.
Dėl biuro norėčiau pabrėžti šiuos dalykus:
- nulinio pasitikėjimo požiūris į dizainą
- aukštas apsaugos lygis
- tinklo matomumas
- vieninga centralizuota autentifikavimo ir autorizacijos sistema
- priimančiojo tikrinimas
Toliau mes šiek tiek išsamiau aptarsime kiekvieną iš šių aspektų.
Nulis pasitikėjimo
IT pasaulis keičiasi labai greitai. Per pastaruosius 10 metų, atsiradus naujoms technologijoms ir produktams, buvo iš esmės peržiūrėtos saugumo koncepcijos. Prieš dešimt metų saugumo požiūriu tinklą suskirstėme į pasitikėjimo, dmz ir nepasitikėjimo zonas ir panaudojome vadinamąją „perimetro apsaugą“, kur buvo 2 gynybos linijos: nepasitikėjimas -> dmz ir dmz -> pasitikėti. Be to, apsauga paprastai buvo apribota prieigos sąrašais, pagrįstais L3/L4 (OSI) antraštėmis (IP, TCP/UDP prievadai, TCP vėliavėlės). Viskas, kas susiję su aukštesniais lygiais, įskaitant L7, buvo palikta OS ir saugos produktams, įdiegtiems galutiniuose pagrindiniuose kompiuteriuose.
Dabar situacija kardinaliai pasikeitė. Šiuolaikinė koncepcija kyla iš to, kad nebegalima patikimomis laikyti vidinių sistemų, tai yra perimetro viduje esančių sistemų, o pati perimetro samprata tapo neaiški.
Be interneto ryšio taip pat turime
- nuotolinės prieigos VPN vartotojai
- įvairūs asmeniniai dalykėliai, atsinešti nešiojamieji kompiuteriai, jungtis per biuro WiFi
- kiti (filialai) biurai
- integracija su debesų infrastruktūra
Kaip „Zero Trust“ metodas atrodo praktiškai?
Idealiu atveju turėtų būti leidžiamas tik reikalingas srautas ir, jei kalbame apie idealą, tada valdymas turėtų būti ne tik L3/L4 lygiu, bet ir programos lygiu.
Jei, pavyzdžiui, turite galimybę perduoti visą srautą per ugniasienę, galite pabandyti priartėti prie idealo. Tačiau šis metodas gali žymiai sumažinti bendrą jūsų tinklo pralaidumą, be to, filtravimas pagal programą ne visada veikia gerai.
Valdydami srautą maršrutizatoriuje arba L3 jungikliu (naudojant standartinius ACL), susiduriate su kitomis problemomis:
- Tai tik L3 / L4 filtravimas. Niekas netrukdo užpuolikui naudoti leidžiamus prievadus (pvz., TCP 80) savo programai (ne http)
- sudėtingas ACL valdymas (sunku išanalizuoti ACL)
- Tai nėra būseną atitinkanti ugniasienė, tai reiškia, kad turite aiškiai leisti atvirkštinį srautą
- su jungikliais paprastai esate gana griežtai ribojamas TCAM dydžio, o tai gali greitai tapti problema, jei laikysitės požiūrio „leisti tik tai, ko reikia“
Pastaba
Kalbėdami apie atvirkštinį srautą, turime atsiminti, kad turime tokią galimybę (Cisco)
leisti tcp bet kokias nustatytas
Bet jūs turite suprasti, kad ši eilutė yra lygi dviem eilutėms:
leisti tcp bet kokį patvirtinimą
leisti tcp bet kokias rstTai reiškia, kad net jei nebuvo pradinio TCP segmento su SYN vėliava (ty TCP seansas net nepradėjo kurti), šis ACL leis paketą su ACK vėliava, kurį užpuolikas gali naudoti duomenims perduoti.
Tai reiškia, kad ši eilutė jokiu būdu nepaverčia jūsų maršrutizatoriaus ar L3 jungiklio būsenos užkarda.
Aukštas apsaugos lygis
В Skyriuje apie duomenų centrus apsvarstėme šiuos apsaugos būdus.
- būsenos užkarda (numatytasis)
- ddos/dos apsauga
- programų ugniasienės
- grėsmių prevencija (antivirusinė, šnipinėjimo programa ir pažeidžiamumas)
- URL filtravimas
- duomenų filtravimas (turinio filtravimas)
- failų blokavimas (failų tipų blokavimas)
Biuro atveju situacija panaši, tačiau prioritetai šiek tiek skiriasi. Biuro pasiekiamumas (pasiekiamumas) paprastai nėra toks svarbus kaip duomenų centro atveju, tuo tarpu „vidinio“ kenkėjiško srauto tikimybė yra daug didesnė.
Todėl svarbūs šio segmento apsaugos būdai:
- programų ugniasienės
- grėsmių prevencija (antivirusinė, šnipinėjimo programa ir pažeidžiamumas)
- URL filtravimas
- duomenų filtravimas (turinio filtravimas)
- failų blokavimas (failų tipų blokavimas)
Nors visi šie apsaugos būdai, išskyrus programų užkardą, tradiciškai buvo ir tebėra sprendžiami galutiniuose kompiuteriuose (pavyzdžiui, diegiant antivirusines programas) ir naudojant tarpinius serverius, šiuolaikiniai NGFW taip pat teikia šias paslaugas.
Apsaugos įrangos pardavėjai stengiasi sukurti visapusišką apsaugą, todėl kartu su vietine apsauga jie siūlo įvairias debesų technologijas ir kliento programinę įrangą pagrindiniams kompiuteriams (galinio taško apsauga/EPP). Taigi, pavyzdžiui, iš Matome, kad Palo Alto ir Cisco turi savo EPP (PA: Traps, Cisco: AMP), bet yra toli nuo lyderių.
Žinoma, šios apsaugos įgalinimas (paprastai perkant licencijas) užkardoje nėra privalomas (galite eiti tradiciniu keliu), tačiau tai suteikia tam tikrų pranašumų:
- šiuo atveju yra vienas apsaugos metodų taikymo taškas, kuris pagerina matomumą (žr. kitą temą).
- Jei jūsų tinkle yra neapsaugotas įrenginys, jis vis tiek patenka į ugniasienės apsaugos „skėtį“.
- Naudodami ugniasienės apsaugą kartu su galutinio pagrindinio kompiuterio apsauga, padidiname tikimybę aptikti kenkėjišką srautą. Pavyzdžiui, grėsmių prevencijos naudojimas vietiniuose pagrindiniuose kompiuteriuose ir ugniasienėje padidina aptikimo tikimybę (žinoma, jei šie sprendimai yra pagrįsti skirtingais programinės įrangos produktais).
Pastaba
Pavyzdžiui, jei naudojate „Kaspersky“ kaip antivirusinę programą ir ugniasienėje, ir galutiniuose kompiuteriuose, tai, žinoma, labai nepadidins jūsų galimybių užkirsti kelią viruso atakai jūsų tinkle.
Tinklo matomumas
paprasta – „pažiūrėkite“, kas vyksta jūsų tinkle tiek realiuoju laiku, tiek istoriniais duomenimis.
Šią „viziją“ suskirstyčiau į dvi grupes:
Pirma grupė: ką paprastai teikia jūsų stebėjimo sistema.
- įrangos pakrovimas
- įkeliami kanalai
- atminties naudojimas
- disko naudojimas
- keičiant maršruto lentelę
- nuorodos būsena
- įrangos (arba pagrindinio kompiuterio) prieinamumas
- ...
Antra grupė: su sauga susijusią informaciją.
- įvairių tipų statistika (pavyzdžiui, pagal programą, pagal URL srautą, kokio tipo duomenys buvo atsisiųsti, naudotojų duomenys)
- kas buvo užblokuota saugumo politikos ir dėl kokios priežasties, būtent
- draudžiamas pritaikymas
- draudžiamas remiantis IP / protokolu / prievadu / vėliavomis / zonomis
- grėsmių prevencija
- url filtravimas
- duomenų filtravimas
- failų blokavimas
- ...
- DOS/DDOS atakų statistika
- nepavyko identifikuoti ir suteikti įgaliojimą
- visų aukščiau nurodytų saugumo politikos pažeidimų įvykių statistiką
- ...
Šiame skyriuje apie saugumą mus domina antroji dalis.
Kai kurios šiuolaikinės ugniasienės (iš mano Palo Alto patirties) užtikrina gerą matomumą. Bet, žinoma, jus dominantis srautas turi eiti per šią užkardą (tokiu atveju turite galimybę blokuoti srautą) arba atspindėti ugniasienę (naudojama tik stebėjimui ir analizei), ir jūs turite turėti licencijas, kad galėtumėte šias paslaugas.
Žinoma, yra alternatyvus būdas, tiksliau, tradicinis būdas, pavyzdžiui,
- Seanso statistiką galima rinkti per „netflow“, o tada naudoti specialias informacijos analizei ir duomenų vizualizavimui skirtas priemones
- grėsmių prevencija – specialios programos (antivirusinė, šnipinėjimo programa, ugniasienė) galiniuose kompiuteriuose
- URL filtravimas, duomenų filtravimas, failų blokavimas – tarpiniame serveryje
- taip pat galima analizuoti tcpdump naudojant pvz.
Galite derinti šiuos du būdus, papildydami trūkstamas funkcijas arba jas dubliuodami, kad padidintumėte atakos aptikimo tikimybę.
Kurį metodą turėtumėte pasirinkti?
Labai priklauso nuo jūsų komandos kvalifikacijos ir pageidavimų.
Ir ten, ir yra pliusų ir minusų.
Vieninga centralizuota autentifikavimo ir autorizacijos sistema
Kai gerai suprojektuotas, mobilumas, kurį aptarėme šiame straipsnyje, reiškia, kad turite vienodą prieigą, nesvarbu, ar dirbate biure, ar namuose, oro uoste, kavinėje ar bet kur kitur (su anksčiau aptartais apribojimais). Atrodytų, kame problema?
Norėdami geriau suprasti šios užduoties sudėtingumą, pažvelkime į tipinį dizainą.
Pavyzdys
- Visus darbuotojus suskirstėte į grupes. Nusprendėte suteikti prieigą grupėms
- Biuro viduje galite valdyti prieigą prie biuro ugniasienės
- Duomenų centro užkardoje valdote srautą iš biuro į duomenų centrą
- Cisco ASA naudojate kaip VPN šliuzą, o norėdami valdyti srautą, patenkantį į tinklą iš nuotolinių klientų, naudojate vietinius (ASA) ACL
Tarkime, kad jūsų prašoma pridėti papildomą prieigą prie tam tikro darbuotojo. Tokiu atveju jūsų prašoma suteikti prieigą tik jam ir niekam kitam iš jo grupės.
Tam turime sukurti atskirą grupę šiam darbuotojui, t
- sukurti šiam darbuotojui atskirą IP telkinį ASA
- pridėti naują ACL prie ASA ir susieti jį su tuo nuotoliniu klientu
- sukurti naujas biuro ir duomenų centrų užkardų saugos strategijas
Gerai, jei šis įvykis yra retas. Bet mano praktikoje buvo situacija, kai darbuotojai dalyvaudavo skirtinguose projektuose, o šis projektų komplektas kai kuriems keitėsi gana dažnai ir tai buvo ne 1-2 žmonės, o dešimtys. Žinoma, čia reikėjo kažką keisti.
Tai buvo išspręsta tokiu būdu.
Nusprendėme, kad LDAP bus vienintelis tiesos šaltinis, lemiantis visas galimas darbuotojų prieigas. Sukūrėme visų rūšių grupes, kurios apibrėžia prieigų rinkinius, ir kiekvieną vartotoją priskyrėme vienai ar kelioms grupėms.
Pavyzdžiui, tarkime, kad yra grupių
- svečias (prieiga prie interneto)
- bendra prieiga (prieiga prie bendrų išteklių: pašto, žinių bazės, ...)
- apskaita
- projektas 1 m
- projektas 2 m
- duomenų bazės administratorius
- Linux administratorius
- ...
Ir jei vienas iš darbuotojų dalyvavo ir projekte 1, ir projekte 2, ir jam reikėjo prieigos, reikalingos darbui šiuose projektuose, tada šis darbuotojas buvo priskirtas šioms grupėms:
- svečias
- bendra prieiga
- projektas 1 m
- projektas 2 m
Kaip dabar šią informaciją galime paversti prieiga prie tinklo įrangos?
Cisco ASA dinaminės prieigos politika (DAP) (žr ) sprendimas yra tinkamas šiai užduočiai.
Trumpai apie mūsų įgyvendinimą, identifikavimo/autorizacijos proceso metu ASA gauna iš LDAP tam tikrą vartotoją atitinkančių grupių rinkinį ir „surenka“ iš kelių vietinių ACL (kiekvienas iš jų atitinka grupę) dinaminį ACL su visomis reikiamomis prieigomis. , kuris visiškai atitinka mūsų norus.
Bet tai taikoma tik VPN ryšiams. Kad situacija būtų vienoda tiek per VPN prisijungusiems, tiek biure esantiems darbuotojams, buvo atliktas toks žingsnis.
Prisijungdami iš biuro, vartotojai, naudojantys 802.1x protokolą, atsidūrė svečių LAN (svečiams) arba bendrame LAN (įmonės darbuotojams). Be to, norėdami gauti konkrečią prieigą (pavyzdžiui, prie projektų duomenų centre), darbuotojai turėjo prisijungti per VPN.
Norint prisijungti iš biuro ir iš namų, ASA buvo naudojamos skirtingos tunelių grupės. Tai būtina, kad tiems, kurie jungiasi iš biuro, srautas į bendrinamus išteklius (kuriuos naudoja visi darbuotojai, pvz., paštas, failų serveriai, bilietų sistema, dns ir kt.) eitų ne per ASA, o per vietinį tinklą. . Taigi, mes neapkrovėme ASA nereikalingu srautu, įskaitant didelio intensyvumo eismą.
Taigi, problema buvo išspręsta.
Mes turime
- tas pats prieigų rinkinys tiek ryšiams iš biuro, tiek nuotoliniam ryšiui
- paslaugų pablogėjimo nebuvimas dirbant biure, susijęs su didelio intensyvumo srauto perdavimu per ASA
Kokie dar šio požiūrio privalumai?
Prieigos administracijoje. Prieigas galima lengvai pakeisti vienoje vietoje.
Pavyzdžiui, jei darbuotojas palieka įmonę, jūs tiesiog pašalinate jį iš LDAP ir jis automatiškai praranda prieigą.
Priimančiojo kompiuterio tikrinimas
Esant nuotolinio ryšio galimybei, rizikuojame į tinklą įsileisti ne tik įmonės darbuotoją, bet ir visą kenkėjišką programinę įrangą, kuri, labai tikėtina, yra jo kompiuteryje (pavyzdžiui, namuose), be to, per šią programinę įrangą mes gali suteikti prieigą prie mūsų tinklo užpuolikui, naudojantį šį pagrindinį serverį kaip tarpinį serverį.
Tikslinga nuotoliniu būdu prijungtam kompiuteriui taikyti tuos pačius saugos reikalavimus kaip ir biure.
Taip pat daroma prielaida, kad yra „teisinga“ OS versija, antivirusinė, šnipinėjimo programinė įranga ir ugniasienės programinė įranga bei naujinimai. Paprastai ši galimybė yra VPN šliuze (dėl ASA žr., pavyzdžiui, ).
Taip pat protinga taikyti tuos pačius srauto analizės ir blokavimo metodus (žr. „Aukštas apsaugos lygis“), kuriuos jūsų saugumo politika taiko biuro srautui.
Galima pagrįstai manyti, kad jūsų biurų tinklas nebėra tik biurų pastatas ir jame esantys šeimininkai.
Pavyzdys
Gera technika – kiekvienam darbuotojui, kuriam reikalinga nuotolinė prieiga, aprūpinti gerą, patogų nešiojamąjį kompiuterį ir reikalauti dirbti tiek biure, tiek iš namų tik iš jo.
Tai ne tik pagerina jūsų tinklo saugumą, bet ir yra tikrai patogu ir dažniausiai darbuotojų vertinama palankiai (jei tai tikrai geras, patogus nešiojamas kompiuteris).
Apie saiko ir pusiausvyros jausmą
Iš esmės tai pokalbis apie trečiąją mūsų trikampio viršūnę – apie kainą.
Pažvelkime į hipotetinį pavyzdį.
Pavyzdys
Turite biurą, kuriame telpa 200 žmonių. Nusprendėte, kad tai būtų kuo patogesnė ir saugesnė.
Todėl nusprendėte visą srautą perduoti per užkardą, todėl visuose biuro potinkliuose ugniasienė yra numatytasis šliuzas. Be saugos programinės įrangos, įdiegtos kiekviename galutiniame kompiuteryje (antivirusinė, šnipinėjimo programinė įranga ir ugniasienės programinė įranga), taip pat nusprendėte užkardoje taikyti visus galimus apsaugos metodus.
Norėdami užtikrinti didelį ryšio greitį (viskas patogumui), kaip prieigos jungiklius pasirinkote komutatorius su 10 gigabitų prieigos prievadų, o kaip ugniasienes – didelio našumo NGFW užkardas, pavyzdžiui, Palo Alto 7K seriją (su 40 gigabitų prievadais), žinoma, su visomis licencijomis. įtraukta ir, žinoma, didelio prieinamumo pora.
Taip pat, žinoma, norint dirbti su šia įranga mums reikia bent poros aukštos kvalifikacijos apsaugos inžinierių.
Tada nusprendėte kiekvienam darbuotojui duoti gerą nešiojamąjį kompiuterį.
Iš viso apie 10 milijonų dolerių įgyvendinimui, šimtai tūkstančių dolerių (manau, arčiau milijono) metinei paramai ir inžinierių atlyginimams.
Biuras, 200 žmonių...
Patogus? Manau, kad taip.Ateini su šiuo pasiūlymu savo vadovybei...
Galbūt pasaulyje yra nemažai įmonių, kurioms tai priimtinas ir teisingas sprendimas. Jei esate šios įmonės darbuotojas, sveikinu, tačiau daugeliu atvejų esu tikras, kad jūsų žinios nebus įvertintos vadovybės.
Ar šis pavyzdys perdėtas? Kitas skyrius atsakys į šį klausimą.
Jei jūsų tinkle nematote nė vieno iš aukščiau išvardytų dalykų, tai yra norma.
Kiekvienu konkrečiu atveju turite rasti savo pagrįstą kompromisą tarp patogumo, kainos ir saugumo. Dažnai biure net nereikia NGFW, o ugniasienės L7 apsauga nereikalinga. Pakanka užtikrinti gerą matomumą ir įspėjimus, o tai galima padaryti, pavyzdžiui, naudojant atvirojo kodo produktus. Taip, jūsų reakcija į ataką nebus iš karto, bet svarbiausia, kad jūs tai pamatysite, o su tinkamais procesais jūsų skyriuje galėsite greitai jį neutralizuoti.
Ir priminsiu, kad pagal šios straipsnių serijos koncepciją jūs nekuriate tinklo, o tik stengiatės patobulinti tai, ką gavote.
SAUGI biuro architektūros analizė
Atkreipkite dėmesį į šį raudoną kvadratą, iš kurio paskyriau vietą diagramoje kuriuos norėčiau čia aptarti.
Tai viena svarbiausių architektūros vietų ir viena svarbiausių neapibrėžtybių.
Pastaba
Niekada nesu nustatęs ir nedirbęs su FirePower (iš Cisco ugniasienės linijos – tik ASA), todėl vertinsiu ją kaip bet kurią kitą užkardą, pvz., Juniper SRX ar Palo Alto, darant prielaidą, kad ji turi tokias pačias galimybes.
Iš įprastų dizainų matau tik 4 galimas ugniasienės su šiuo ryšiu variantus:
- numatytasis kiekvieno potinklio šliuzas yra jungiklis, o ugniasienė veikia skaidriu režimu (ty visas srautas eina per jį, bet nesudaro L3 šuolio)
- numatytasis kiekvieno potinklio šliuzas yra ugniasienės antrinės sąsajos (arba SVI sąsajos), jungiklis atlieka L2 vaidmenį
- jungiklyje naudojami skirtingi VRF, o srautas tarp VRF eina per ugniasienę, srautą viename VRF valdo jungiklio ACL
- visas srautas atspindimas ugniasienės analizei ir stebėjimui;
1 pastaba
Galimi šių variantų deriniai, tačiau dėl paprastumo mes jų nenagrinėsime.
Užrašas 2
Taip pat yra galimybė panaudoti PBR (service chain architecture), bet kol kas šis, nors ir gražus sprendimas, mano nuomone, gana egzotiškas, todėl čia jo nesvarstau.
Iš srautų aprašymo dokumente matome, kad srautas vis tiek vyksta per užkardą, tai yra pagal Cisco dizainą ketvirtas variantas yra eliminuotas.
Pirmiausia pažvelkime į pirmąsias dvi parinktis.
Naudojant šias parinktis visas srautas eina per užkardą.
Dabar pažiūrėkime , žiūrėk ir matome, kad jei norime, kad bendras mūsų biuro pralaidumas būtų bent 10–20 gigabitų, turime nusipirkti 4K versiją.
Pastaba
Kai kalbu apie bendrą pralaidumą, turiu galvoje srautą tarp potinklių (o ne vienoje vilanoje).
Iš GPL matome, kad HA Bundle with Threat Defense kaina priklausomai nuo modelio (4110 - 4150) svyruoja nuo ~0,5 iki 2,5 milijono dolerių.
Tai yra, mūsų dizainas pradeda panašėti į ankstesnį pavyzdį.
Ar tai reiškia, kad šis dizainas yra neteisingas?
Ne, tai nereiškia. „Cisco“ suteikia jums geriausią įmanomą apsaugą, atsižvelgdama į turimą produktų liniją. Bet tai nereiškia, kad tai būtina padaryti jums.
Iš esmės tai dažnas klausimas, kylantis projektuojant biurą ar duomenų centrą, ir tai tik reiškia, kad reikia ieškoti kompromiso.
Pavyzdžiui, neleiskite visam srautui eiti per užkardą, tokiu atveju 3 variantas man atrodo gana geras arba (žr. ankstesnį skyrių) galbūt jums nereikia apsaugos nuo grėsmių arba visai nereikia užkardos. tinklo segmente, ir tereikia apsiriboti pasyviu stebėjimu naudojant mokamus (nebrangius) ar atvirojo kodo sprendimus, arba reikia ugniasienės, bet iš kito tiekėjo.
Paprastai visada yra toks netikrumas ir nėra aiškaus atsakymo, kuris sprendimas jums yra geriausias.
Tai yra šios užduoties sudėtingumas ir grožis.
Šaltinis: www.habr.com