ProHoster > blog > Utawala > Jinsi ya kuchukua udhibiti wa miundombinu ya mtandao wako. Sura ya tatu. Usalama wa mtandao. Sehemu ya kwanza

Jinsi ya kuchukua udhibiti wa miundombinu ya mtandao wako. Sura ya tatu. Usalama wa mtandao. Sehemu ya kwanza

Makala hii ni ya tatu katika mfululizo wa makala “Jinsi ya Kudhibiti Miundombinu ya Mtandao Wako.” Yaliyomo katika nakala zote kwenye safu na viungo vinaweza kupatikana hapa.

Jinsi ya kuchukua udhibiti wa miundombinu ya mtandao wako. Sura ya tatu. Usalama wa mtandao. Sehemu ya kwanza

Hakuna maana katika kuzungumza juu ya kuondoa kabisa hatari za usalama. Kimsingi, hatuwezi kuzipunguza hadi sifuri. Tunahitaji pia kuelewa kwamba tunapojitahidi kufanya mtandao kuwa salama zaidi na zaidi, masuluhisho yetu yanakuwa ghali zaidi na zaidi. Unahitaji kupata maelewano kati ya gharama, utata na usalama ambayo inaleta maana kwa mtandao wako.

Bila shaka, usanifu wa usalama umeunganishwa kikaboni katika usanifu wa jumla na ufumbuzi wa usalama unaotumiwa huathiri uboreshaji, uaminifu, udhibiti, ... wa miundombinu ya mtandao, ambayo inapaswa pia kuzingatiwa.

Lakini nikukumbushe kwamba sasa hatuzungumzii kuunda mtandao. Kulingana na yetu masharti ya awali tayari tumechagua muundo, tumechagua vifaa, na kuunda miundombinu, na katika hatua hii, ikiwa inawezekana, tunapaswa "kuishi" na kutafuta ufumbuzi katika mazingira ya mbinu iliyochaguliwa hapo awali.

Jukumu letu sasa ni kutambua hatari zinazohusiana na usalama katika kiwango cha mtandao na kuzipunguza hadi kiwango cha kuridhisha.

Ukaguzi wa usalama wa mtandao

Ikiwa shirika lako limetekeleza michakato ya ISO 27k, basi ukaguzi wa usalama na mabadiliko ya mtandao yanapaswa kutoshea katika michakato ya jumla ndani ya mbinu hii. Lakini viwango hivi bado havihusu ufumbuzi maalum, si juu ya usanidi, si kuhusu kubuni ... Hakuna ushauri wa wazi, hakuna viwango vinavyoelezea kwa undani kile mtandao wako unapaswa kuwa, hii ni utata na uzuri wa kazi hii.

Ningeangazia ukaguzi kadhaa wa usalama wa mtandao unaowezekana:

  • ukaguzi wa usanidi wa vifaa (ugumu)
  • ukaguzi wa muundo wa usalama
  • ukaguzi wa ufikiaji
  • ukaguzi wa mchakato

Ukaguzi wa usanidi wa vifaa (ugumu)

Inaonekana kwamba katika hali nyingi hii ndiyo mahali pazuri pa kuanzia kwa ukaguzi na kuboresha usalama wa mtandao wako. IMHO, huu ni udhihirisho mzuri wa sheria ya Pareto (20% ya juhudi hutoa 80% ya matokeo, na 80% iliyobaki ya juhudi hutoa 20% tu ya matokeo).

Jambo la msingi ni kwamba kwa kawaida tuna mapendekezo kutoka kwa wachuuzi kuhusu "mbinu bora" za usalama wakati wa kusanidi vifaa. Hii inaitwa "ugumu".

Unaweza pia kupata dodoso mara nyingi (au kuunda mwenyewe) kulingana na mapendekezo haya, ambayo itakusaidia kuamua jinsi usanidi wa vifaa vyako unavyokubaliana na "mazoea bora" haya na, kwa mujibu wa matokeo, fanya mabadiliko katika mtandao wako. . Hii itakuruhusu kupunguza hatari za usalama kwa urahisi kabisa, bila gharama yoyote.

Mifano kadhaa kwa baadhi ya mifumo ya uendeshaji Cisco.

Ugumu wa Usanidi wa Cisco IOS
Ugumu wa Usanidi wa Cisco IOS-XR
Ugumu wa Usanidi wa Cisco NX-OS
Orodha ya Ukaguzi wa Usalama wa Msingi wa Cisco

Kulingana na nyaraka hizi, orodha ya mahitaji ya usanidi kwa kila aina ya vifaa inaweza kuundwa. Kwa mfano, kwa Cisco N7K VDC mahitaji haya yanaweza kuonekana kama hivyo.

Kwa njia hii, faili za usanidi zinaweza kuundwa kwa aina tofauti za vifaa vya kazi katika miundombinu ya mtandao wako. Ifuatayo, kwa mikono au kwa kutumia otomatiki, unaweza "kupakia" faili hizi za usanidi. Jinsi ya kubinafsisha mchakato huu itajadiliwa kwa undani katika mfululizo mwingine wa makala juu ya orchestration na automatisering.

Ukaguzi wa muundo wa usalama

Kwa kawaida, mtandao wa biashara una sehemu zifuatazo kwa namna moja au nyingine:

  • DC (Huduma za umma DMZ na kituo cha data cha mtandao wa intaneti)
  • Intaneti
  • VPN ya ufikiaji wa mbali
  • Ukingo wa WAN
  • Tawi
  • Chuo (Ofisi)
  • Core

Majina yamechukuliwa kutoka Cisco SALAMA mfano, lakini si lazima, bila shaka, kuunganishwa kwa usahihi kwa majina haya na kwa mfano huu. Bado, nataka kuzungumza juu ya kiini na sio kujisumbua katika taratibu.

Kwa kila moja ya sehemu hizi, mahitaji ya usalama, hatari na, ipasavyo, suluhisho zitakuwa tofauti.

Wacha tuangalie kila moja yao kando kwa shida ambazo unaweza kukutana nazo kutoka kwa mtazamo wa muundo wa usalama. Bila shaka, narudia tena kwamba kwa namna yoyote makala hii inajifanya kuwa kamili, ambayo si rahisi (ikiwa haiwezekani) kufikia katika mada hii ya kina na yenye vipengele vingi, lakini inaonyesha uzoefu wangu binafsi.

Hakuna suluhisho kamili (angalau bado). Daima ni maelewano. Lakini ni muhimu kwamba uamuzi wa kutumia mbinu moja au nyingine ufanywe kwa uangalifu, kwa ufahamu wa faida na hasara zake.

data Center

Sehemu muhimu zaidi kutoka kwa mtazamo wa usalama.
Na, kama kawaida, hakuna suluhisho la ulimwengu wote hapa. Yote inategemea sana mahitaji ya mtandao.

Je, firewall inahitajika au la?

Inaweza kuonekana kuwa jibu ni dhahiri, lakini kila kitu sio wazi kama inavyoweza kuonekana. Na uchaguzi wako unaweza kuathiriwa sio tu bei.

Mfano 1. Ucheleweshaji.

Ikiwa kusubiri kwa chini ni hitaji muhimu kati ya baadhi ya sehemu za mtandao, ambayo ni, kwa mfano, kweli katika kesi ya kubadilishana, basi hatutaweza kutumia ngome kati ya sehemu hizi. Ni vigumu kupata masomo kuhusu latency katika ngome, lakini miundo machache ya swichi inaweza kutoa latency ya chini ya au kwa mpangilio wa 1 mksec, kwa hivyo nadhani ikiwa microseconds ni muhimu kwako, basi ngome sio zako.

Mfano 2. Utendaji.

Upitishaji wa swichi za juu za L3 kwa kawaida ni mpangilio wa ukubwa wa juu kuliko upitishaji wa ngome zenye nguvu zaidi. Kwa hivyo, katika kesi ya trafiki ya kiwango cha juu, itabidi pia uruhusu trafiki hii kupita ukuta wa moto.

Mfano 3. Kuegemea

Firewalls, hasa NGFW ya kisasa (Next-Generation FW) ni vifaa changamano. Ni ngumu zaidi kuliko swichi za L3/L2. Wanatoa idadi kubwa ya huduma na chaguzi za usanidi, kwa hivyo haishangazi kuwa kuegemea kwao ni chini sana. Ikiwa uendelezaji wa huduma ni muhimu kwa mtandao, basi unaweza kuchagua kile kitakachosababisha upatikanaji bora - usalama na firewall au unyenyekevu wa mtandao uliojengwa kwenye swichi (au aina mbalimbali za vitambaa) kwa kutumia ACL za kawaida.

Katika kesi ya mifano hapo juu, uwezekano mkubwa (kama kawaida) utalazimika kupata maelewano. Angalia suluhisho zifuatazo:

  • ukiamua kutotumia firewalls ndani ya kituo cha data, basi unahitaji kufikiria jinsi ya kupunguza ufikiaji karibu na mzunguko iwezekanavyo. Kwa mfano, unaweza kufungua bandari muhimu tu kutoka kwa Mtandao (kwa trafiki ya mteja) na upatikanaji wa utawala kwenye kituo cha data tu kutoka kwa majeshi ya kuruka. Kwenye seva pangishi zinazoruka, fanya ukaguzi wote unaohitajika (uthibitishaji/uidhinishaji, antivirus, ukataji miti, ...)
  • unaweza kutumia kizigeu cha kimantiki cha mtandao wa kituo cha data katika sehemu, sawa na mpango uliofafanuliwa katika PSEFABRIC. mfano p002. Katika hali hii, uelekezaji lazima usanidiwe kwa njia ambayo trafiki nyeti kwa kuchelewa au ya kiwango cha juu huenda "ndani ya" sehemu moja (katika kesi ya p002, VRF) na haipiti kwenye ngome. Trafiki kati ya sehemu tofauti itaendelea kupitia ngome. Unaweza pia kutumia njia inayovuja kati ya VRF ili kuzuia kuelekeza trafiki kupitia ngome
  • Unaweza pia kutumia ngome katika hali ya uwazi na kwa VLAN hizo pekee ambapo vipengele hivi (muda/utendaji) si muhimu. Lakini unahitaji kujifunza kwa uangalifu vikwazo vinavyohusiana na matumizi ya mod hii kwa kila muuzaji
  • unaweza kutaka kufikiria kutumia usanifu wa mnyororo wa huduma. Hii itaruhusu trafiki muhimu tu kupita kwenye firewall. Inaonekana nzuri katika nadharia, lakini sijawahi kuona suluhisho hili katika uzalishaji. Tulijaribu msururu wa huduma kwa Cisco ACI/Juniper SRX/F5 LTM takriban miaka 3 iliyopita, lakini wakati huo suluhisho hili lilionekana kuwa "ghafi" kwetu.

Kiwango cha ulinzi

Sasa unahitaji kujibu swali la zana gani unataka kutumia ili kuchuja trafiki. Hapa kuna baadhi ya vipengele ambavyo kwa kawaida huwa katika NGFW (kwa mfano, hapa):

  • firewalling ya hali (chaguo-msingi)
  • maombi ya firewalling
  • kuzuia tishio (antivirus, anti-spyware, na mazingira magumu)
  • Uchujaji wa URL
  • kuchuja data (kuchuja yaliyomo)
  • kuzuia faili (kuzuia aina za faili)
  • ulinzi wa dos

Na sio kila kitu kiko wazi pia. Inaweza kuonekana kuwa kiwango cha juu cha ulinzi, ni bora zaidi. Lakini pia unahitaji kuzingatia hilo

  • Kadiri unavyotumia vitendakazi zaidi vya ngome-mtandao hapo juu, ndivyo itakavyokuwa ghali zaidi (leseni, moduli za ziada)
  • matumizi ya baadhi ya algoriti yanaweza kupunguza kwa kiasi kikubwa upitishaji wa ngome na pia kuongeza ucheleweshaji, angalia kwa mfano hapa
  • kama suluhisho lolote ngumu, utumiaji wa njia ngumu za ulinzi zinaweza kupunguza kuegemea kwa suluhisho lako, kwa mfano, wakati wa kutumia firewalling ya programu, nilikumbana na kizuizi cha programu zingine za kawaida za kufanya kazi (dns, smb)

Kama kawaida, unahitaji kupata suluhisho bora kwa mtandao wako.

Haiwezekani kujibu kwa uhakika swali la kazi gani za ulinzi zinaweza kuhitajika. Kwanza, kwa sababu bila shaka inategemea data unayotuma au kuhifadhi na kujaribu kulinda. Pili, kwa kweli, mara nyingi uchaguzi wa zana za usalama ni suala la imani na uaminifu kwa muuzaji. Hujui algorithms, hujui jinsi zinavyofaa, na huwezi kuzijaribu kikamilifu.

Kwa hiyo, katika makundi muhimu, suluhisho nzuri inaweza kuwa kutumia matoleo kutoka kwa makampuni mbalimbali. Kwa mfano, unaweza kuwezesha antivirus kwenye firewall, lakini pia utumie ulinzi wa antivirus (kutoka kwa mtengenezaji mwingine) ndani ya nchi kwenye majeshi.

Mgawanyiko

Tunazungumza juu ya mgawanyiko wa kimantiki wa mtandao wa kituo cha data. Kwa mfano, kugawanya katika VLAN na subnets pia ni sehemu ya kimantiki, lakini hatutazingatia kwa sababu ya uwazi wake. Sehemu za kuvutia zinazozingatia vyombo kama vile maeneo ya usalama ya FW, VRF (na analogi zao kuhusiana na wachuuzi mbalimbali), vifaa vya kimantiki (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

Mfano wa sehemu kama hizo za kimantiki na muundo wa kituo cha data unaohitajika kwa sasa umetolewa p002 ya mradi wa PSEFABRIC.

Baada ya kufafanua sehemu za kimantiki za mtandao wako, basi unaweza kueleza jinsi trafiki inavyosonga kati ya sehemu tofauti, ambazo uchujaji wa vifaa utafanywa na kwa njia gani.

Ikiwa mtandao wako hauna kizigeu wazi cha kimantiki na sheria za kutumia sera za usalama kwa mtiririko tofauti wa data hazijarasimishwa, hii inamaanisha kwamba unapofungua ufikiaji huu au ule, unalazimika kutatua shida hii, na kwa uwezekano mkubwa wewe. itasuluhisha kila wakati tofauti.

Mara nyingi sehemu inategemea tu maeneo ya usalama ya FW. Kisha unahitaji kujibu maswali yafuatayo:

  • unahitaji kanda gani za usalama
  • ni kiwango gani cha ulinzi unachotaka kutumia kwa kila moja ya kanda hizi
  • trafiki ya ndani ya eneo itaruhusiwa kwa chaguo-msingi?
  • ikiwa sivyo, ni sera gani za uchujaji wa trafiki zitatumika ndani ya kila eneo
  • ni sera gani za uchujaji wa trafiki zitatumika kwa kila jozi ya maeneo (chanzo/lengwa)

TCAM

Tatizo la kawaida ni TCAM haitoshi (Kumbukumbu Inayoshughulikiwa ya Maudhui ya Kitaifa), kwa kuelekeza na kwa ufikiaji. IMHO, hii ni mojawapo ya masuala muhimu zaidi wakati wa kuchagua vifaa, kwa hiyo unahitaji kutibu suala hili kwa kiwango sahihi cha huduma.

Mfano 1. Jedwali la Usambazaji TCAM.

Hebu fikiria Palo Alto 7k firewall
Tunaona kwamba ukubwa wa jedwali la usambazaji wa IPv4 * = 32K
Zaidi ya hayo, idadi hii ya njia ni ya kawaida kwa VSYS zote.

Wacha tufikirie kuwa kulingana na muundo wako unaamua kutumia 4 VSYS.
Kila moja ya VSYS hizi imeunganishwa kupitia BGP hadi MPLS PE mbili za wingu unazotumia kama BB. Kwa hivyo, VSYS 4 hubadilishana njia zote maalum na kila mmoja na kuwa na jedwali la usambazaji na takriban seti sawa za njia (lakini NH tofauti). Kwa sababu kila VSYS ina vipindi 2 vya BGP (pamoja na mipangilio sawa), kisha kila njia inayopokelewa kupitia MPLS ina NH 2 na, ipasavyo, maingizo 2 ya FIB kwenye Jedwali la Usambazaji. Ikiwa tunadhania kuwa hii ndiyo firewall pekee katika kituo cha data na ni lazima ijue kuhusu njia zote, basi hii itamaanisha kwamba idadi ya jumla ya njia katika kituo chetu cha data haiwezi kuwa zaidi ya 32K/(4 * 2) = 4K.

Sasa, ikiwa tunadhania kuwa tuna vituo 2 vya data (vilivyo na muundo sawa), na tunataka kutumia VLAN "zilizopanuliwa" kati ya vituo vya data (kwa mfano, kwa vMotion), kisha kutatua tatizo la uelekezaji, ni lazima tutumie njia za seva pangishi. . Lakini hii ina maana kwamba kwa vituo 2 vya data hatutakuwa na majeshi zaidi ya 4096 iwezekanavyo na, bila shaka, hii inaweza kuwa haitoshi.

Mfano 2. ACL TCAM.

Ikiwa unapanga kuchuja trafiki kwenye swichi za L3 (au suluhisho zingine zinazotumia swichi za L3, kwa mfano, Cisco ACI), basi wakati wa kuchagua vifaa unapaswa kuzingatia TCAM ACL.

Tuseme unataka kudhibiti ufikiaji kwenye miingiliano ya SVI ya Cisco Catalyst 4500. Kisha, kama inavyoweza kuonekana kutoka Makala hii, ili kudhibiti trafiki inayotoka (pamoja na inayoingia) kwenye miingiliano, unaweza kutumia mistari 4096 tu ya TCAM. Ambayo unapotumia TCAM3 itakupa takriban elfu 4000 za ACE (mistari ya ACL).

Ikiwa unakabiliwa na tatizo la TCAM haitoshi, basi, kwanza kabisa, bila shaka, unahitaji kuzingatia uwezekano wa optimization. Kwa hiyo, katika kesi ya tatizo na ukubwa wa Jedwali la Usambazaji, unahitaji kuzingatia uwezekano wa njia za kukusanya. Iwapo kutakuwa na tatizo la ukubwa wa TCAM wa upatikanaji, ukaguzi hufikia, kuondoa rekodi zilizopitwa na wakati na zinazoingiliana, na ikiwezekana kurekebisha utaratibu wa kufungua ufikiaji (utajadiliwa kwa kina katika sura ya ufikiaji wa ukaguzi).

Upatikanaji wa Juu

Swali ni: je, nitumie HA kwa firewalls au kufunga masanduku mawili ya kujitegemea "sambamba" na, ikiwa mmoja wao atashindwa, njia ya trafiki kupitia pili?

Inaweza kuonekana kuwa jibu ni dhahiri - tumia HA. Sababu kwa nini swali hili bado linatokea ni kwamba, kwa bahati mbaya, kinadharia na matangazo 99 na asilimia kadhaa ya decimal ya upatikanaji katika mazoezi hugeuka kuwa mbali sana. HA ni jambo la kimantiki kabisa, na kwa vifaa tofauti, na kwa wachuuzi tofauti (hakukuwa na ubaguzi), tulipata matatizo na mende na kuacha huduma.

Ikiwa unatumia HA, utakuwa na fursa ya kuzima nodes za kibinafsi, kubadili kati yao bila kuacha huduma, ambayo ni muhimu, kwa mfano, wakati wa kufanya uboreshaji, lakini wakati huo huo una mbali na uwezekano wa sifuri kwamba nodes zote mbili. itavunjika wakati huo huo, na pia kwamba uboreshaji unaofuata hautaenda vizuri kama vile muuzaji anavyoahidi (tatizo hili linaweza kuepukwa ikiwa una fursa ya kupima uboreshaji kwenye vifaa vya maabara).

Ikiwa hutumii HA, basi kutoka kwa mtazamo wa kushindwa mara mbili hatari zako ni za chini sana (kwani una firewalls 2 za kujitegemea), lakini tangu ... vipindi havijasawazishwa, basi kila wakati unapobadilisha kati ya ngome hizi utapoteza trafiki. Unaweza, bila shaka, kutumia firewalling isiyo na taifa, lakini basi hatua ya kutumia firewall inapotea kwa kiasi kikubwa.

Kwa hiyo, ikiwa kutokana na ukaguzi umegundua firewalls za upweke, na unafikiri juu ya kuongeza uaminifu wa mtandao wako, basi HA, bila shaka, ni mojawapo ya ufumbuzi uliopendekezwa, lakini unapaswa pia kuzingatia hasara zinazohusiana. kwa njia hii na, labda, haswa kwa mtandao wako, suluhisho lingine lingefaa zaidi.

Usimamizi

Kimsingi, HA pia inahusu udhibiti. Badala ya kusanidi visanduku 2 kando na kushughulika na tatizo la kuweka usanidi katika usawazishaji, unazisimamia kana kwamba una kifaa kimoja.

Lakini labda una vituo vingi vya data na ngome nyingi, basi swali hili linatokea kwa kiwango kipya. Na swali sio tu juu ya usanidi, lakini pia kuhusu

  • usanidi wa chelezo
  • sasisho
  • maboresho
  • ufuatiliaji
  • ukataji miti

Na yote haya yanaweza kutatuliwa na mifumo ya usimamizi wa kati.

Kwa hiyo, kwa mfano, ikiwa unatumia firewalls za Palo Alto, basi View ni suluhisho kama hilo.

Ili kuendelea.

Chanzo: mapenzi.com

Kuongeza maoni