ПроХостер > блог > Администрација > Како преузети контролу над вашом мрежном инфраструктуром. Треће поглавље. Мрежна безбедност. Први део

Како преузети контролу над вашом мрежном инфраструктуром. Треће поглавље. Мрежна безбедност. Први део

Овај чланак је трећи у низу чланака „Како преузети контролу над својом мрежном инфраструктуром“. Садржај свих чланака у серији и линкови се могу пронаћи овде.

Како преузети контролу над вашом мрежном инфраструктуром. Треће поглавље. Мрежна безбедност. Први део

Нема смисла говорити о потпуном елиминисању безбедносних ризика. У принципу, не можемо их свести на нулу. Такође морамо да схватимо да, како настојимо да учинимо мрежу све безбеднијом, наша решења постају све скупља. Морате пронаћи компромис између трошкова, сложености и сигурности који има смисла за вашу мрежу.

Наравно, безбедносни дизајн је органски интегрисан у целокупну архитектуру и коришћена безбедносна решења утичу на скалабилност, поузданост, управљивост, ... мрежне инфраструктуре, што се такође мора узети у обзир.

Али да вас подсетим да сада не говоримо о стварању мреже. Према нашим почетни услови већ смо изабрали дизајн, одабрали опрему и направили инфраструктуру, а у овој фази, ако је могуће, треба да „живимо” и пронађемо решења у контексту претходно изабраног приступа.

Наш задатак је сада да идентификујемо ризике повезане са безбедношћу на нивоу мреже и сведемо их на разуман ниво.

Ревизија безбедности мреже

Ако је ваша организација имплементирала ИСО 27к процесе, онда би безбедносне ревизије и промене мреже требало да се неприметно уклопе у свеукупне процесе у оквиру овог приступа. Али ови стандарди се и даље не односе на конкретна решења, не на конфигурацију, не на дизајн... Нема јасних савета, нема стандарда који детаљно диктирају каква би ваша мрежа требало да буде, у томе је сложеност и лепота овог задатка.

Истакнуо бих неколико могућих ревизија безбедности мреже:

  • ревизија конфигурације опреме (очвршћавање)
  • ревизија безбедносног дизајна
  • ревизија приступа
  • ревизија процеса

Ревизија конфигурације опреме (очвршћавање)

Чини се да је у већини случајева ово најбоља полазна тачка за ревизију и побољшање безбедности ваше мреже. ИМХО, ово је добра демонстрација Паретовог закона (20% напора даје 80% резултата, а преосталих 80% напора даје само 20% резултата).

Суштина је да обично имамо препоруке од добављача у вези са „најбољим праксама“ за безбедност приликом конфигурисања опреме. Ово се зове "очвршћавање".

Такође често можете пронаћи упитник (или га сами креирати) на основу ових препорука, који ће вам помоћи да утврдите колико је конфигурација ваше опреме у складу са овим „најбољим праксама“ и, у складу са резултатом, извршите промене у вашој мрежи . Ово ће вам омогућити да значајно смањите безбедносне ризике прилично лако, практично без трошкова.

Неколико примера за неке Цисцо оперативне системе.

Учвршћивање Цисцо ИОС конфигурације
Учвршћивање конфигурације Цисцо ИОС-КСР
Учвршћивање конфигурације Цисцо НКС-ОС
Листа за проверу безбедности Цисцо Баселине

На основу ових докумената може се направити листа захтева за конфигурацију за сваку врсту опреме. На пример, за Цисцо Н7К ВДЦ ови захтеви могу изгледати овако тако.

На овај начин се могу креирати конфигурациони фајлови за различите типове активне опреме у вашој мрежној инфраструктури. Затим, ручно или помоћу аутоматизације, можете „пребацити“ ове конфигурационе датотеке. Како аутоматизовати овај процес биће детаљно размотрени у другој серији чланака о оркестрацији и аутоматизацији.

Ревизија безбедносног дизајна

Типично, мрежа предузећа садржи следеће сегменте у овом или оном облику:

  • ДЦ (Јавне услуге ДМЗ и Интранет дата центар)
  • Приступ Интернету
  • ВПН за даљински приступ
  • ВАН ивица
  • Филијала
  • Кампус (канцеларија)
  • Језгро

Наслови преузети из Цисцо САФЕ моделу, али није неопходно, наравно, везати се управо за ове називе и за овај модел. Ипак, желим да причам о суштини и да не заглибим у формалности.

За сваки од ових сегмената биће различити безбедносни захтеви, ризици и, сходно томе, решења.

Хајде да погледамо сваки од њих посебно за проблеме на које можете наићи са становишта безбедносног дизајна. Наравно, опет понављам да овај чланак ни на који начин не претендује на потпун, што није лако (ако не и немогуће) постићи у овој заиста дубокој и вишезначној теми, али одражава моје лично искуство.

Не постоји савршено решење (бар не још). То је увек компромис. Али важно је да се одлука о коришћењу једног или другог приступа донесе свесно, уз разумевање и предности и мана.

Центар за податке

Најкритичнији сегмент са безбедносне тачке гледишта.
А, као и обично, ни овде нема универзалног решења. Све у великој мери зависи од мрежних захтева.

Да ли је заштитни зид неопходан или не?

Чини се да је одговор очигледан, али све није тако јасно као што се чини. И на ваш избор може утицати не само цена.

Пример КСНУМКС. Кашњења.

Ако је мала латенција суштински услов између неких сегмената мреже, што је, на пример, тачно у случају размене, тада нећемо моћи да користимо заштитне зидове између ових сегмената. Тешко је пронаћи студије о кашњењу у заштитним зидовима, али неколико модела прекидача може да обезбеди кашњење мање од или реда величине 1 мксец, тако да мислим да ако су вам микросекунде важне, онда заштитни зидови нису за вас.

Пример КСНУМКС. Перформансе.

Пропусност врхунских Л3 прекидача је обично за ред величине већа од пропусности најмоћнијих заштитних зидова. Стога, у случају саобраћаја високог интензитета, такође ћете највероватније морати да дозволите овом саобраћају да заобиђе заштитне зидове.

Пример КСНУМКС. Поузданост.

Заштитни зидови, посебно модерни НГФВ (Нект-Генератион ФВ) су сложени уређаји. Они су много сложенији од Л3/Л2 прекидача. Они пружају велики број услуга и опција конфигурације, тако да није изненађујуће што је њихова поузданост много нижа. Ако је континуитет услуге критичан за мрежу, онда ћете можда морати да изаберете шта ће довести до боље доступности – безбедност са заштитним зидом или једноставност мреже изграђене на прекидачима (или разним врстама тканина) користећи обичне АЦЛ-ове.

У случају горе наведених примера, највероватније ћете (као и обично) морати да нађете компромис. Погледајте следећа решења:

  • ако одлучите да не користите заштитне зидове унутар центра података, онда морате размислити о томе како да ограничите приступ око периметра што је више могуће. На пример, можете отворити само потребне портове са Интернета (за клијентски саобраћај) и административни приступ центру података само са јумп хостова. На јумп хостовима извршите све потребне провере (аутентификација/ауторизација, антивирус, логовање, ...)
  • можете користити логичку партицију мреже центара података на сегменте, слично шеми описаној у ПСЕФАБРИЦ пример п002. У овом случају, рутирање мора бити конфигурисано на такав начин да саобраћај осетљив на кашњење или саобраћај високог интензитета иде „унутар” једног сегмента (у случају п002, ВРФ) и да не пролази кроз заштитни зид. Саобраћај између различитих сегмената ће наставити да иде кроз заштитни зид. Такође можете да користите пропуштање рута између ВРФ-ова да бисте избегли преусмеравање саобраћаја кроз заштитни зид
  • Такође можете да користите заштитни зид у транспарентном режиму и само за оне ВЛАН мреже где ови фактори (латенција/перформансе) нису значајни. Али морате пажљиво проучити ограничења повезана са употребом овог мода за сваког продавца
  • можда бисте желели да размислите о коришћењу архитектуре ланца услуга. Ово ће омогућити само неопходном саобраћају да прође кроз заштитни зид. У теорији изгледа лепо, али никада нисам видео ово решење у производњи. Тестирали смо ланац услуга за Цисцо АЦИ/Јунипер СРКС/Ф5 ЛТМ пре око 3 године, али нам се у то време ово решење чинило „грубо“.

Ниво заштите

Сада морате да одговорите на питање које алате желите да користите за филтрирање саобраћаја. Ево неких карактеристика које су обично присутне у НГФВ (нпр. овде):

  • заштитни зид са стањем (подразумевано)
  • заштитни зид апликација
  • превенција претњи (антивирус, анти-шпијунски софтвер и рањивост)
  • Филтрирање УРЛ-а
  • филтрирање података (филтрирање садржаја)
  • блокирање датотека (блокирање типова датотека)
  • дос заштита

А није ни све јасно. Чини се да што је виши ниво заштите, то боље. Али и то морате узети у обзир

  • Што више горе наведених функција заштитног зида користите, то ће природно бити скупље (лиценце, додатни модули)
  • употреба неких алгоритама може значајно смањити пропусност заштитног зида и такође повећати кашњења, види на пример овде
  • као и свако сложено решење, употреба сложених метода заштите може да умањи поузданост вашег решења, на пример, када се користи заштитни зид апликација, наишао сам на блокирање неких сасвим стандардних радних апликација (днс, смб)

Као и увек, морате пронаћи најбоље решење за своју мрежу.

Немогуће је дефинитивно одговорити на питање које функције заштите могу бити потребне. Прво, јер то наравно зависи од података које преносите или чувате и покушавате да заштитите. Друго, у стварности, често је избор безбедносних алата ствар вере и поверења у продавца. Не познајете алгоритме, не знате колико су ефикасни и не можете их у потпуности тестирати.

Стога, у критичним сегментима, добро решење може бити коришћење понуда различитих компанија. На пример, можете да омогућите антивирус на заштитном зиду, али и да користите антивирусну заштиту (од другог произвођача) локално на хостовима.

Сегментација

Говоримо о логичној сегментацији мреже центара података. На пример, партиционисање на ВЛАН мреже и подмреже је такође логична сегментација, али је нећемо разматрати због њене очигледности. Занимљива сегментација узимајући у обзир ентитете као што су ФВ сигурносне зоне, ВРФ-ови (и њихови аналоги у односу на различите добављаче), логички уређаји (ПА ВСИС, Цисцо Н7К ВДЦ, Цисцо АЦИ Тенант, ...), ...

Дат је пример такве логичке сегментације и тренутно тражени дизајн дата центра п002 пројекта ПСЕФАБРИЦ.

Након што дефинишете логичке делове ваше мреже, можете описати како се саобраћај креће између различитих сегмената, на којим уређајима ће се вршити филтрирање и на који начин.

Ако ваша мрежа нема јасну логичку партицију и правила за примену безбедносних политика за различите токове података нису формализована, то значи да када отворите овај или онај приступ, принуђени сте да решите овај проблем и са великом вероватноћом решиће га сваки пут другачије.

Често се сегментација заснива само на сигурносним зонама ФВ-а. Затим морате да одговорите на следећа питања:

  • које сигурносне зоне су вам потребне
  • који ниво заштите желите да примените на сваку од ових зона
  • да ли ће саобраћај унутар зоне бити подразумевано дозвољен?
  • ако не, које политике филтрирања саобраћаја ће се примењивати унутар сваке зоне
  • које политике филтрирања саобраћаја ће се применити за сваки пар зона (извор/одредиште)

ТЦАМ

Чест проблем је недовољан ТЦАМ (тернарна адресабилна меморија за садржај), како за рутирање тако и за приступе. ИМХО, ово је једно од најважнијих питања при избору опреме, тако да се према овом питању треба односити са одговарајућим степеном пажње.

Пример 1. Табела прослеђивања ТЦАМ.

размотримо Пало Алто 7к ватрени зид
Видимо да је величина табеле за прослеђивање ИПв4* = 32К
Штавише, овај број рута је заједнички за све ВСИС.

Претпоставимо да сте према вашем дизајну одлучили да користите 4 ВСИС.
Сваки од ових ВСИС-ова је повезан преко БГП-а са два МПЛС ПЕ-а у облаку који користите као ББ. Дакле, 4 ВСИС размењују све специфичне руте једни са другима и имају табелу прослеђивања са приближно истим скуповима рута (али различитим НХ). Јер сваки ВСИС има 2 БГП сесије (са истим подешавањима), тада свака рута примљена преко МПЛС-а има 2 НХ и, сходно томе, 2 ФИБ уноса у табели прослеђивања. Ако претпоставимо да је ово једини заштитни зид у центру података и да мора да зна за све руте, онда ће то значити да укупан број рута у нашем дата центру не може бити већи од 32К/(4 * 2) = 4К.

Сада, ако претпоставимо да имамо 2 дата центра (са истим дизајном) и желимо да користимо ВЛАН мреже „растегнуте“ између центара података (на пример, за вМотион), онда да бисмо решили проблем рутирања, морамо користити руте домаћина . Али то значи да за 2 дата центра нећемо имати више од 4096 могућих хостова и, наравно, то можда неће бити довољно.

Пример 2. АЦЛ ТЦАМ.

Ако планирате да филтрирате саобраћај на Л3 прекидачима (или другим решењима која користе Л3 прекидаче, на пример, Цисцо АЦИ), онда приликом избора опреме треба обратити пажњу на ТЦАМ АЦЛ.

Претпоставимо да желите да контролишете приступ на СВИ интерфејсима Цисцо Цаталист 4500. Затим, као што се може видети из овај чланак, за контролу одлазног (као и долазног) саобраћаја на интерфејсима, можете користити само 4096 ТЦАМ линија. Што ће вам када користите ТЦАМ3 дати око 4000 хиљада АЦЕ (АЦЛ линија).

Ако се суочите са проблемом недовољног ТЦАМ-а, онда, пре свега, наравно, морате размотрити могућност оптимизације. Дакле, у случају проблема са величином табеле прослеђивања, морате размотрити могућност агрегирања рута. У случају проблема са величином ТЦАМ за приступе, извршите ревизију приступа, уклоните застареле и преклапајуће записе и евентуално ревидирајте процедуру за отварање приступа (детаљно ће бити размотрено у поглављу о ревизији приступа).

Висока доступност

Питање је: да ли да користим ХА за заштитне зидове или да инсталирам две независне кутије „паралелно“ и, ако један од њих не успе, да усмерим саобраћај кроз други?

Чини се да је одговор очигледан - користите ХА. Разлог зашто се ово питање и даље поставља је то што се, нажалост, теоријски и рекламни 99 и неколико децималних процената доступности у пракси испоставило да су далеко од тако ружичастих. ХА је логично прилично сложена ствар, и на различитој опреми, и код различитих добављача (није било изузетака), ухватили смо проблеме и грешке и зауставили сервис.

Ако користите ХА, имаћете прилику да искључите појединачне чворове, прелазите између њих без заустављања услуге, што је важно, на пример, када правите надоградњу, али истовремено имате далеко од нулте вероватноће да ће оба чвора ће се истовремено покварити, а такође и да следећа надоградња неће ићи тако глатко као што је продавац обећао (овај проблем се може избећи ако имате прилику да тестирате надоградњу на лабораторијској опреми).

Ако не користите ХА, онда су са становишта двоструког квара ваши ризици много мањи (пошто имате 2 независна заштитна зида), али пошто... сесије нису синхронизоване, онда ћете сваки пут када се пребаците између ових заштитних зидова изгубити саобраћај. Можете, наравно, да користите заштитни зид без стања, али тада је смисао коришћења заштитног зида у великој мери изгубљен.

Стога, ако сте као резултат ревизије открили усамљене заштитне зидове, и размишљате о повећању поузданости ваше мреже, онда је ХА, наравно, једно од препоручених решења, али такође треба да узмете у обзир и недостатке повезане са овим приступом и, можда, посебно за вашу мрежу, друго решење би било прикладније.

Управљивост

У принципу, ХА се такође односи на управљивост. Уместо да засебно конфигуришете 2 кутије и да се бавите проблемом синхронизације конфигурација, њима управљате као да имате један уређај.

Али можда имате много центара података и много заштитних зидова, онда се ово питање поставља на новом нивоу. И питање није само у конфигурацији, већ и о

  • резервне конфигурације
  • ажурирања
  • надоградње
  • праћење
  • сече

А све ово се може решити централизованим системима управљања.

Дакле, на пример, ако користите Пало Алто заштитне зидове, онда Прегледати је такво решење.

Наставити.

Извор: ввв.хабр.цом

Додај коментар