ProHoster > blog > Amministrazzjoni > Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. L-ewwel parti
Kif tieħu l-kontroll tal-infrastruttura tan-netwerk tiegħek. Kapitolu tlieta. Sigurtà tan-netwerk. L-ewwel parti
Dan l-artikolu huwa t-tielet minn sensiela ta’ artikli “Kif Tieħu Kontroll tal-Infrastruttura tan-Netwerk Tiegħek.” Il-kontenut tal-artikoli kollha fis-serje u l-links jistgħu jinstabu hawn.
M'hemmx għalfejn nitkellmu dwar l-eliminazzjoni kompletament tar-riskji tas-sigurtà. Fil-prinċipju, ma nistgħux innaqqsuhom għal żero. Irridu nifhmu wkoll li hekk kif nagħmlu ħilitna biex in-netwerk isir aktar u aktar sigur, is-soluzzjonijiet tagħna qed isiru aktar u aktar għaljin. Trid issib kompromess bejn l-ispiża, il-kumplessità u s-sigurtà li jagħmel sens għan-netwerk tiegħek.
Naturalment, id-disinn tas-sigurtà huwa integrat organikament fl-arkitettura ġenerali u s-soluzzjonijiet tas-sigurtà użati jaffettwaw l-iskalabbiltà, l-affidabbiltà, il-ġestjoni, ... tal-infrastruttura tan-netwerk, li għandhom jitqiesu wkoll.
Imma nfakkarkom li issa mhux qed nitkellmu dwar il-ħolqien ta' netwerk. Skond tagħna kundizzjonijiet inizjali diġà għażilna d-disinn, għażilna t-tagħmir, u ħloqna l-infrastruttura, u f'dan l-istadju, jekk possibbli, għandna "ngħixu" u nsibu soluzzjonijiet fil-kuntest tal-approċċ magħżul qabel.
Il-kompitu tagħna issa huwa li nidentifikaw ir-riskji assoċjati mas-sigurtà fil-livell tan-netwerk u nnaqqsuhom għal livell raġonevoli.
Verifika tas-sigurtà tan-netwerk
Jekk l-organizzazzjoni tiegħek implimentat proċessi ISO 27k, allura l-verifiki tas-sigurtà u l-bidliet fin-netwerk għandhom jidħlu bla xkiel fil-proċessi ġenerali fi ħdan dan l-approċċ. Iżda dawn l-istandards għadhom mhumiex dwar soluzzjonijiet speċifiċi, mhux dwar konfigurazzjoni, mhux dwar disinn... M'hemm l-ebda pariri ċari, l-ebda standards li jiddettaw fid-dettall kif għandu jkun in-netwerk tiegħek, din hija l-kumplessità u s-sbuħija ta 'dan il-kompitu.
Nixtieq nenfasizza diversi verifiki possibbli tas-sigurtà tan-netwerk:
Jidher li f'ħafna każijiet dan huwa l-aħjar punt tat-tluq għall-awditjar u t-titjib tas-sigurtà tan-netwerk tiegħek. IMHO, din hija turija tajba tal-liġi ta' Pareto (20% tal-isforz jipproduċi 80% tar-riżultat, u t-80% tal-isforz li jifdal jipproduċi biss 20% tar-riżultat).
L-aħħar nett hija li normalment ikollna rakkomandazzjonijiet minn bejjiegħa dwar "l-aħjar prattiki" għas-sigurtà meta nikkonfiguraw it-tagħmir. Dan jissejjaħ "ebusija".
Tista' wkoll ta' spiss issib kwestjonarju (jew toħloq wieħed lilek innifsek) ibbażat fuq dawn ir-rakkomandazzjonijiet, li jgħinek tiddetermina kemm il-konfigurazzjoni tat-tagħmir tiegħek tikkonforma ma' dawn l-"aħjar prattiki" u, skont ir-riżultat, tagħmel bidliet fin-netwerk tiegħek. . Dan jippermettilek tnaqqas b'mod sinifikanti r-riskji tas-sigurtà pjuttost faċilment, prattikament mingħajr spiża.
Abbażi ta' dawn id-dokumenti, tista' tinħoloq lista ta' rekwiżiti ta' konfigurazzjoni għal kull tip ta' tagħmir. Pereżempju, għal Cisco N7K VDC dawn ir-rekwiżiti jistgħu jidhru hekk.
B'dan il-mod, jistgħu jinħolqu fajls ta 'konfigurazzjoni għal tipi differenti ta' tagħmir attiv fl-infrastruttura tan-netwerk tiegħek. Sussegwentement, manwalment jew bl-użu ta 'awtomazzjoni, tista' "upload" dawn il-fajls ta 'konfigurazzjoni. Kif awtomat dan il-proċess se jiġi diskuss fid-dettall f'serje oħra ta 'artikoli dwar l-orkestrazzjoni u l-awtomazzjoni.
Verifika tad-disinn tas-sigurtà
Tipikament, netwerk ta' intrapriżi fih is-segmenti li ġejjin f'forma jew oħra:
DC (Servizzi Pubbliċi DMZ u Intranet data center)
Aċċess għall-Internet
Aċċess mill-bogħod VPN
tarf WAN
Fergħa
Kampus (Uffiċċju)
Core
Titoli meħuda minn Cisco SAFE mudell, iżda mhux meħtieġ, ovvjament, li jiġu mehmuża preċiżament ma 'dawn l-ismijiet u ma' dan il-mudell. Xorta waħda, irrid nitkellem dwar l-essenza u ma niddejjaqx fil-formalitajiet.
Għal kull wieħed minn dawn is-segmenti, ir-rekwiżiti tas-sigurtà, ir-riskji u, għaldaqstant, is-soluzzjonijiet se jkunu differenti.
Ejja nħarsu lejn kull wieħed minnhom separatament għall-problemi li tista' tiltaqa' magħhom mil-lat tad-disinn tas-sigurtà. Ovvjament, nerġa’ nerġa’ nirrepeti li dan l-artiklu bl-ebda mod ma jippretendi li hu komplut, li mhux faċli (jekk mhux impossibbli) li jinkiseb f’dan is-suġġett tassew profond u multidimensjonali, iżda jirrifletti l-esperjenza personali tiegħi.
M'hemm l-ebda soluzzjoni perfetta (għall-inqas għadu mhux). Huwa dejjem kompromess. Iżda huwa importanti li d-deċiżjoni li jintuża approċċ jew ieħor issir b'mod konxju, b'fehim kemm tal-vantaġġi kif ukoll tal-iżvantaġġi tiegħu.
Data Center
Is-segment l-aktar kritiku mil-lat tas-sigurtà.
U, bħas-soltu, lanqas hawn m'hemm l-ebda soluzzjoni universali. Kollox jiddependi ħafna fuq ir-rekwiżiti tan-netwerk.
Huwa meħtieġ firewall jew le?
Jidher li t-tweġiba hija ovvja, iżda kollox mhuwiex ċar daqs kemm jista’ jidher. U l-għażla tiegħek tista 'tiġi influwenzata mhux biss prezz.
Eżempju 1. Dewmien.
Jekk latency baxxa hija rekwiżit essenzjali bejn xi segmenti tan-netwerk, li huwa, pereżempju, veru fil-każ ta 'skambju, allura ma nkunux nistgħu nużaw firewalls bejn dawn is-segmenti. Huwa diffiċli li ssib studji dwar latency fil-firewalls, iżda ftit mudelli ta 'swiċċ jistgħu jipprovdu latency ta' inqas minn jew fuq l-ordni ta '1 mksec, għalhekk naħseb jekk mikrosekondi huma importanti għalik, allura firewalls mhumiex għalik.
Eżempju 2. Prestazzjoni.
It-throughput ta 'l-ogħla swiċċijiet L3 huwa normalment ordni ta' kobor ogħla mill-throughput ta 'l-aktar firewalls b'saħħithom. Għalhekk, fil-każ ta 'traffiku ta' intensità għolja, x'aktarx ikollok ukoll tħalli dan it-traffiku jevita l-firewalls.
Eżempju 3. Affidabilità
Firewalls, speċjalment NGFW moderni (Next-Generation FW) huma apparati kumplessi. Huma ħafna aktar kumplessi minn swiċċijiet L3/L2. Huma jipprovdu numru kbir ta 'servizzi u għażliet ta' konfigurazzjoni, għalhekk mhux sorprendenti li l-affidabbiltà tagħhom hija ħafna aktar baxxa. Jekk il-kontinwità tas-servizz hija kritika għan-netwerk, allura jista 'jkollok tagħżel dak li se jwassal għal disponibbiltà aħjar - sigurtà b'firewall jew is-sempliċità ta' netwerk mibni fuq swiċċijiet (jew diversi tipi ta 'drappijiet) li juża ACLs regolari.
Fil-każ tal-eżempji ta’ hawn fuq, x’aktarx (bħas-soltu) ikollok issib kompromess. Ħares lejn is-soluzzjonijiet li ġejjin:
jekk tiddeċiedi li ma tużax firewalls ġewwa ċ-ċentru tad-dejta, allura trid taħseb dwar kif tillimita l-aċċess madwar il-perimetru kemm jista 'jkun. Pereżempju, tista 'tiftaħ biss il-portijiet meħtieġa mill-Internet (għat-traffiku tal-klijenti) u aċċess amministrattiv għaċ-ċentru tad-dejta biss minn jump hosts. Fuq jump hosts, wettaq il-kontrolli kollha meħtieġa (awtentikazzjoni/awtorizzazzjoni, antivirus, logging, ...)
tista' tuża partizzjoni loġika tan-netwerk taċ-ċentru tad-dejta f'segmenti, simili għall-iskema deskritta f'PSEFABRIC eżempju p002. F'dan il-każ, ir-rotot għandu jiġi kkonfigurat b'tali mod li traffiku sensittiv għad-dewmien jew ta 'intensità għolja jmur "fi ħdan" segment wieħed (fil-każ ta' p002, VRF) u ma jgħaddix mill-firewall. It-traffiku bejn is-segmenti differenti se jkompli jgħaddi mill-firewall. Tista 'wkoll tuża tnixxija tar-rotta bejn VRFs biex tevita li t-traffiku jerġa' jidderieġi permezz tal-firewall
Tista 'wkoll tuża firewall f'modalità trasparenti u biss għal dawk il-VLANs fejn dawn il-fatturi (latenza/prestazzjoni) mhumiex sinifikanti. Imma għandek bżonn tistudja bir-reqqa r-restrizzjonijiet assoċjati mal-użu ta 'dan il-mod għal kull bejjiegħ
tista' tkun trid tikkunsidra li tuża arkitettura ta' katina ta' servizz. Dan jippermetti biss li t-traffiku meħtieġ jgħaddi mill-firewall. Fit-teorija tidher sabiħa, imma qatt ma rajt din is-soluzzjoni fil-produzzjoni. Aħna ttestjajna l-katina tas-servizz għal Cisco ACI / Juniper SRX / F5 LTM madwar 3 snin ilu, iżda dak iż-żmien din is-soluzzjoni dehret "mhux raffinat" għalina.
Livell ta' protezzjoni
Issa trid twieġeb il-mistoqsija dwar liema għodod trid tuża biex tiffiltra t-traffiku. Hawn huma xi wħud mill-karatteristiċi li huma ġeneralment preżenti fl-NGFW (per eżempju, hawn):
firewalling stateful (default)
applikazzjoni firewalling
prevenzjoni tat-theddid (antivirus, anti-spyware, u vulnerabbiltà)
imblukkar ta' fajls (imblukkar ta' tipi ta' fajls)
dos protezzjoni
U lanqas kollox huwa ċar. Jidher li iktar ma jkun għoli l-livell ta 'protezzjoni, aħjar. Imma trid tqis dan ukoll
Iktar ma tuża l-funzjonijiet tal-firewall ta’ hawn fuq, iktar ikun għali naturalment (liċenzji, moduli addizzjonali)
l-użu ta' xi algoritmi jista' jnaqqas b'mod sinifikanti l-passaġġ tal-firewall u jżid ukoll id-dewmien, ara pereżempju hawn
bħal kull soluzzjoni kumplessa, l-użu ta 'metodi ta' protezzjoni kumplessi jista 'jnaqqas l-affidabbiltà tas-soluzzjoni tiegħek, pereżempju, meta tuża firewalling tal-applikazzjoni, iltqajt ma' imblukkar ta 'xi applikazzjonijiet ta' ħidma pjuttost standard (dns, smb)
Bħal dejjem, trid issib l-aħjar soluzzjoni għan-netwerk tiegħek.
Huwa impossibbli li tingħata risposta definittiva għall-mistoqsija dwar liema funzjonijiet ta' protezzjoni jistgħu jkunu meħtieġa. L-ewwelnett, għax ovvjament jiddependi fuq id-dejta li qed tittrasmetti jew taħżen u tipprova tipproteġi. It-tieni nett, fir-realtà, ħafna drabi l-għażla tal-għodod tas-sigurtà hija kwistjoni ta 'fidi u fiduċja fil-bejjiegħ. Ma tafx l-algoritmi, ma tafx kemm huma effettivi, u ma tistax tittestjahom bis-sħiħ.
Għalhekk, f'segmenti kritiċi, soluzzjoni tajba tista' tkun li tuża offerti minn kumpaniji differenti. Pereżempju, tista 'tippermetti l-antivirus fuq il-firewall, iżda wkoll tuża protezzjoni antivirus (minn manifattur ieħor) lokalment fuq l-ospiti.
Segmentazzjoni
Qed nitkellmu dwar is-segmentazzjoni loġika tan-netwerk taċ-ċentru tad-dejta. Pereżempju, il-qsim f'VLANs u subnets huwa wkoll segmentazzjoni loġika, iżda mhux se nqisuha minħabba l-ovvju tagħha. Segmentazzjoni interessanti li tqis entitajiet bħal żoni ta' sigurtà FW, VRFs (u l-analogi tagħhom fir-rigward ta 'diversi bejjiegħa), apparat loġiku (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...
Eżempju ta 'segmentazzjoni loġika bħal din u d-disinn taċ-ċentru tad-dejta li hemm domanda bħalissa huwa mogħti fi p002 tal-proġett PSEFABRIC.
Wara li ddefinixxiet il-partijiet loġiċi tan-netwerk tiegħek, tista 'mbagħad tiddeskrivi kif it-traffiku jiċċaqlaq bejn segmenti differenti, fuq liema apparati se jitwettaq filtrazzjoni u b'liema mezzi.
Jekk in-netwerk tiegħek m'għandux partizzjoni loġika ċara u r-regoli għall-applikazzjoni ta' politiki ta' sigurtà għal flussi ta' dejta differenti mhumiex formalizzati, dan ifisser li meta tiftaħ dan jew dak l-aċċess, tkun imġiegħel issolvi din il-problema, u bi probabbiltà għolja inti se ssolviha kull darba b'mod differenti.
Ħafna drabi s-segmentazzjoni hija bbażata biss fuq żoni ta 'sigurtà FW. Imbagħad trid twieġeb il-mistoqsijiet li ġejjin:
liema żoni tas-sigurtà għandek bżonn
x'livell ta' protezzjoni trid tapplika għal kull waħda minn dawn iż-żoni
se jkun permess it-traffiku fi ħdan iż-żona awtomatikament?
jekk le, liema politiki ta' filtrazzjoni tat-traffiku se jiġu applikati f'kull żona
liema politiki ta' filtrazzjoni tat-traffiku se jiġu applikati għal kull par ta' żoni (sors/destinazzjoni)
TCAM
Problema komuni hija TCAM insuffiċjenti (Ternary Content Addressable Memory), kemm għar-rotot kif ukoll għall-aċċessi. IMHO, din hija waħda mill-aktar kwistjonijiet importanti meta tagħżel it-tagħmir, għalhekk għandek bżonn tittratta din il-kwistjoni bil-grad xieraq ta 'kura.
Eżempju 1. Tabella ta' Tressiq TCAM.
ejja nikkunsidraw Palo Alto 7k firewall
Naraw li d-daqs tat-tabella ta 'trażmissjoni IPv4* = 32K
Barra minn hekk, dan in-numru ta' rotot huwa komuni għall-VSYSs kollha.
Ejja nassumu li skond id-disinn tiegħek inti tiddeċiedi li tuża 4 VSYS.
Kull wieħed minn dawn il-VSYSs huwa konness permezz ta' BGP ma' żewġ PEs MPLS tal-cloud li tuża bħala BB. Għalhekk, 4 VSYS jiskambjaw ir-rotot speċifiċi kollha ma' xulxin u għandhom tabella ta' twassil b'madwar l-istess settijiet ta' rotot (iżda NHs differenti). Għax kull VSYS għandu 2 sessjonijiet BGP (bl-istess settings), allura kull rotta riċevuta permezz tal-MPLS għandha 2 NH u, għaldaqstant, 2 entrati FIB fit-Tabella ta 'Trasmissjoni. Jekk nassumu li dan huwa l-uniku firewall fiċ-ċentru tad-dejta u għandu jkun jaf dwar ir-rotot kollha, allura dan ikun ifisser li n-numru totali ta 'rotot fiċ-ċentru tad-dejta tagħna ma jistax ikun aktar minn 32K/(4 * 2) = 4K.
Issa, jekk nassumu li għandna 2 ċentri tad-dejta (bl-istess disinn), u rridu nużaw VLANs "miġbuda" bejn ċentri tad-dejta (per eżempju, għal vMotion), allura biex insolvu l-problema tar-routing, irridu nużaw rotot ospitanti . Iżda dan ifisser li għal ċentri tad-dejta 2 se jkollna mhux aktar minn 4096 host possibbli u, ovvjament, dan jista 'ma jkunx biżżejjed.
Eżempju 2. ACL TCAM.
Jekk qed tippjana li tiffiltra t-traffiku fuq swiċċijiet L3 (jew soluzzjonijiet oħra li jużaw swiċċijiet L3, pereżempju, Cisco ACI), allura meta tagħżel tagħmir għandek tagħti attenzjoni lit-TCAM ACL.
Ejja ngħidu li trid tikkontrolla l-aċċess fuq l-interfaces SVI taċ-Cisco Catalyst 4500. Imbagħad, kif jidher minn Dan l-artiklu, biex tikkontrolla t-traffiku ħerġin (kif deħlin) fuq interfaces, tista 'tuża biss 4096 linja TCAM. Li meta tuża TCAM3 jagħtik madwar 4000 elf ACE (linji ACL).
Jekk qed tiffaċċja l-problema ta 'TCAM insuffiċjenti, allura, l-ewwelnett, ovvjament, trid tikkunsidra l-possibbiltà ta' ottimizzazzjoni. Għalhekk, f'każ ta 'problema bid-daqs tat-Tabella ta' Trażmissjoni, trid tikkunsidra l-possibbiltà li r-rotot jiġu aggregati. F'każ ta' problema bid-daqs tat-TCAM għall-aċċessi, awditja l-aċċessi, neħħi r-rekords skaduti u li jikkoinċidu, u possibbilment tirrevedi l-proċedura għall-ftuħ tal-aċċessi (se tiġi diskussa fid-dettall fil-kapitolu dwar l-aċċessi tal-verifika).
Disponibbiltà Għolja
Il-mistoqsija hija: għandi nuża HA għall-firewalls jew ninstalla żewġ kaxxi indipendenti "b'mod parallel" u, jekk waħda minnhom tfalli, inrotot it-traffiku mit-tieni?
Jidher li t-tweġiba hija ovvja - uża HA. Ir-raġuni għaliex din il-mistoqsija għadha tqum hija li, sfortunatament, il-perċentwali teoretiċi u ta' reklamar 99 u bosta perċentwali deċimali ta' aċċessibbiltà fil-prattika jirriżultaw li mhumiex daqshekk wardji. HA hija loġikament ħaġa pjuttost kumplessa, u fuq tagħmir differenti, u b'bejjiegħa differenti (ma kien hemm l-ebda eċċezzjoni), qbidna problemi u bugs u waqfiet tas-servizz.
Jekk tuża HA, ser ikollok l-opportunità li titfi n-nodi individwali, taqleb bejniethom mingħajr ma twaqqaf is-servizz, li huwa importanti, pereżempju, meta tagħmel titjib, iżda fl-istess ħin għandek probabbiltà 'l bogħod minn żero li ż-żewġ nodi se tinkiser fl-istess ħin, u wkoll li l-aġġornament li jmiss mhux se jmur bla xkiel kif iwiegħed il-bejjiegħ (din il-problema tista 'tiġi evitata jekk ikollok l-opportunità li tittestja l-aġġornament fuq tagħmir tal-laboratorju).
Jekk ma tużax HA, allura mil-lat ta' falliment doppju r-riskji tiegħek huma ħafna aktar baxxi (peress li għandek 2 firewalls indipendenti), iżda peress li... sessjonijiet mhumiex sinkronizzati, allura kull darba li taqleb bejn dawn il-firewalls titlef it-traffiku. Tista', ovvjament, tuża firewalls mingħajr stat, iżda mbagħad il-punt li tuża firewall huwa fil-biċċa l-kbira mitluf.
Għalhekk, jekk bħala riżultat tal-verifika skoprejt firewalls solitarju, u qed taħseb biex iżżid l-affidabbiltà tan-netwerk tiegħek, allura HA, ovvjament, hija waħda mis-soluzzjonijiet rakkomandati, iżda għandek tqis ukoll l-iżvantaġġi assoċjati b'dan l-approċċ u, forsi, speċifikament għan-netwerk tiegħek, soluzzjoni oħra tkun aktar adattata.
Ġestibilità
Fil-prinċipju, HA hija wkoll dwar il-kontrollabbiltà. Minflok ma tikkonfigura 2 kaxxi separatament u tittratta l-problema li żżomm il-konfigurazzjonijiet sinkronizzati, timmaniġġjahom daqslikieku kellek apparat wieħed.
Imma forsi għandek ħafna ċentri tad-dejta u ħafna firewalls, allura din il-mistoqsija tqum f'livell ġdid. U l-mistoqsija mhix biss dwar il-konfigurazzjoni, iżda wkoll dwar
konfigurazzjonijiet tal-backup
aġġornamenti
titjib
monitoraġġ
qtugħ tas-siġar
U dan kollu jista 'jiġi solvut minn sistemi ta' ġestjoni ċentralizzati.
Allura, per eżempju, jekk qed tuża firewalls Palo Alto, allura View hija tali soluzzjoni.