ProHoster > Blog > Идораи > Чӣ тавр инфрасохтори шабакаи худро назорат кардан мумкин аст. Боби сеюм. Амнияти шабака. Қисми якум

Чӣ тавр инфрасохтори шабакаи худро назорат кардан мумкин аст. Боби сеюм. Амнияти шабака. Қисми якум

Ин мақола сеюм дар силсилаи мақолаҳост "Чӣ тавр инфрасохтори шабакавии худро назорат кунед". Мундариҷаи ҳама мақолаҳои силсила ва истинодҳоро пайдо кардан мумкин аст дар ин ҷо.

Чӣ тавр инфрасохтори шабакаи худро назорат кардан мумкин аст. Боби сеюм. Амнияти шабака. Қисми якум

Дар бораи комилан аз байн бурдани хавфи бехатарй сухан рондан чоиз нест. Аслан мо онхоро ба сифр кам карда наметавонем. Мо инчунин бояд фаҳмем, ки вақте ки мо барои бештар ва бехатартар кардани шабака кӯшиш мекунем, қарорҳои мо торафт гаронтар мешаванд. Ба шумо лозим аст, ки байни арзиш, мураккабӣ ва амният, ки барои шабакаи шумо маъно дорад, муомила пайдо кунед.

Албатта, тарҳи амният ба таври органикӣ ба меъмории умумӣ муттаҳид карда шудааст ва қарорҳои амниятии истифодашуда ба миқёспазирӣ, эътимоднокӣ, идорашавандагӣ, ... инфрасохтори шабака таъсир мерасонанд, ки онро низ бояд ба назар гирифт.

Аммо хотиррасон мекунам, ки холо мо дар бораи ташкили шабака сухан намеравем. Ба гуфтаи мо шароити ибтидоӣ мо аллакай лоихаро интихоб карда, тачхизотро интихоб карда, инфраструктураро ба вучуд овардем ва дар ин мархила, агар имкон бошад, бояд дар заминаи равиши пештар интихобшуда "зиндаги кунем" ва роҳҳои ҳалли онро пайдо кунем.

Вазифаи мо ҳоло муайян кардани хатарҳои марбут ба амният дар сатҳи шабака ва коҳиш додани онҳо ба сатҳи оқилона аст.

Аудити амнияти шабака

Агар ташкилоти шумо равандҳои ISO 27k-ро амалӣ карда бошад, пас аудитҳои амниятӣ ва тағироти шабака бояд ба равандҳои умумӣ дар доираи ин равиш мувофиқат кунанд. Аммо ин стандартҳо ҳанӯз на дар бораи ҳалли мушаххас ҳастанд, на дар бораи конфигуратсия, на дар бораи тарҳрезӣ... Ҳеҷ як маслиҳати возеҳ, стандартҳое вуҷуд надоранд, ки ба таври муфассал дикта мекунанд, ки шабакаи шумо бояд чӣ гуна бошад, ин мураккабӣ ва зебоии ин вазифа аст.

Ман якчанд аудитҳои эҳтимолии амнияти шабакаро қайд мекунам:

  • аудити конфигуратсияи таҷҳизот (сахтсозӣ)
  • аудити тарҳрезии амният
  • аудити дастрасӣ
  • аудити раванд

Аудити конфигуратсияи таҷҳизот (сахтгардонӣ)

Чунин ба назар мерасад, ки дар аксари ҳолатҳо ин беҳтарин нуқтаи ибтидоӣ барои аудит ва беҳтар кардани амнияти шабакаи шумост. IMHO, ин як намоиши хуби қонуни Парето аст (20% кӯшиш 80% натиҷа медиҳад ва 80% боқимонда танҳо 20% натиҷа медиҳад).

Хулоса ин аст, ки мо одатан аз фурӯшандагон дар бораи "таҷрибаҳои беҳтарин" барои амният ҳангоми танзими таҷҳизот тавсияҳо дорем. Инро "сахтшавӣ" меноманд.

Шумо инчунин метавонед дар асоси ин тавсияҳо саволномаеро пайдо кунед (ё худатон онро эҷод кунед), ки ба шумо кӯмак мекунад, ки конфигуратсияи таҷҳизоти шумо ба ин "таҷрибаҳои беҳтарин" мувофиқат кунад ва мувофиқи натиҷа дар шабакаи шумо тағирот ворид кунед. . Ин ба шумо имкон медиҳад, ки хатарҳои амниятро ба осонӣ, бидуни хароҷот кам кунед.

Якчанд мисолҳо барои баъзе системаҳои оператсионии Cisco.

Сахтсозии конфигуратсияи Cisco IOS
Cisco IOS-XR конфигуратсияи сахтафзор
Cisco NX-OS конфигуратсия сахтафзор
Рӯйхати санҷиши амнияти Cisco Baseline

Дар асоси ин ҳуҷҷатҳо рӯйхати талаботҳои конфигуратсияро барои ҳар як намуди таҷҳизот сохтан мумкин аст. Масалан, барои Cisco N7K VDC ин талаботҳо метавонанд монанд бошанд ҳамин тавр.

Бо ин роҳ, файлҳои конфигуратсияро барои намудҳои гуногуни таҷҳизоти фаъол дар инфрасохтори шабакаи шумо эҷод кардан мумкин аст. Баъдан, дастӣ ё бо истифода аз автоматизатсия, шумо метавонед ин файлҳои конфигуратсияро "бор кунед". Чӣ тавр автоматикунонии ин раванд дар як силсила мақолаҳои дигар оид ба оркестрсозӣ ва автоматизатсия муфассал баррасӣ карда мешавад.

Аудити тарҳрезии амният

Одатан, шабакаи корхона дар ин ё он шакл сегментҳои зеринро дар бар мегирад:

  • DC (Хизматрасониҳои ҷамъиятӣ DMZ ва маркази додаҳои интранет)
  • Дастрасии Интернет
  • Дастрасии дурдаст VPN
  • канори WAN
  • Филиали
  • Кампус (офис)
  • Core

Унвонҳо аз Cisco SAFE модел, вале зарур нест, албатта, ба ин номҳо ва ба ин модел замима карда мешавад. Бо вуҷуди ин, ман мехоҳам дар бораи моҳият сӯҳбат кунам ва ба расмиятчигӣ дучор нашавам.

Барои ҳар яке аз ин сегментҳо, талаботҳои амниятӣ, хатарҳо ва мувофиқан ҳалли онҳо гуногун хоҳад буд.

Биёед ҳар яки онҳоро барои мушкилоте, ки шумо аз нуқтаи назари тарҳрезии амният дучор шудаед, дар алоҳидагӣ дида бароем. Албатта, бори дигар такрор мекунам, ки ин мақола ба ҳеҷ ваҷҳ худро мукаммал вонамуд намекунад, ки дар ин мавзӯи воқеан амиқ ва гуногунҷабҳа ба даст овардани он осон нест (агар имконнопазир бошад), аммо он таҷрибаи шахсии маро инъикос мекунад.

Ягон ҳалли комил вуҷуд надорад (ҳадди аққал ҳоло не). Ин ҳамеша як созиш аст. Аммо муҳим аст, ки қарор дар бораи истифода бурдани ин ё он равиш бошуурона, бо дарки ҳам мусбат ва ҳам манфии он қабул карда шавад.

Маркази иттилоотӣ

Бахши муҳимтарин аз нуқтаи назари бехатарӣ.
Ва, чун маъмул, дар ин ҷо ҳам ҳалли универсалӣ вуҷуд надорад. Ҳама чиз аз талаботи шабака вобаста аст.

Оё девори девор лозим аст ё не?

Чунин ба назар мерасад, ки ҷавоб равшан аст, аммо ҳама чиз он қадар равшан нест, ки ба назар мерасад. Ва интихоби шумо метавонад на танҳо таъсир расонад нарх.

Намунаи 1. Таъхирҳо.

Агар таъхири паст як талаботи муҳим байни баъзе сегментҳои шабака бошад, ки масалан, дар мавриди мубодила дуруст аст, пас мо наметавонем брандмауэрҳоро байни ин сегментҳо истифода барем. Дарёфти таҳқиқот дар бораи таъхир дар брандмауэрҳо душвор аст, аммо чанд модели коммутаторӣ метавонад таъхири камтар аз 1 мкссекро таъмин кунад, бинобар ин ман фикр мекунам, ки агар микросонияҳо барои шумо муҳим бошанд, пас деворҳои деворҳо барои шумо нестанд.

Намунаи 2. Иҷрои.

Гузаронидани коммутаторҳои болоии L3 одатан нисбат ба интиқоли деворҳои пуриқтидор баландтар аст. Аз ин рӯ, дар ҳолати трафики шиддатнок, шумо инчунин бояд ба ин трафик иҷозат диҳед, ки аз деворҳои брандмауэр гузарад.

Намунаи 3. Боварӣ.

Сипар деворҳо, махсусан NGFW (Next-Generation FW) таҷҳизоти мураккаб мебошанд. Онҳо нисбат ба коммутаторҳои L3/L2 хеле мураккабтаранд. Онҳо шумораи зиёди хидматҳо ва имконоти конфигуратсияро пешниҳод мекунанд, бинобар ин тааҷҷубовар нест, ки эътимоднокии онҳо хеле пасттар аст. Агар давомнокии хидмат барои шабака муҳим бошад, пас шумо бояд интихоб кунед, ки чӣ боиси дастрасии беҳтар мегардад - амният бо девори девор ё соддагии шабакае, ки дар коммутаторҳо (ё намудҳои гуногуни матоъҳо) бо истифода аз ACL-ҳои муқаррарӣ сохта шудааст.

Дар мавриди мисолҳои дар боло овардашуда, шумо эҳтимолан (чун маъмул) бояд созиш пайдо кунед. Ба роҳҳои ҳалли зерин нигаред:

  • агар шумо қарор надоред, ки деворҳоро дар дохили маркази додаҳо истифода набаред, пас шумо бояд дар бораи маҳдуд кардани дастрасӣ ба периметр фикр кунед. Масалан, шумо метавонед танҳо бандарҳои заруриро аз Интернет кушоед (барои трафики муштарӣ) ва дастрасии маъмурӣ ба маркази додаҳо танҳо аз ҳостҳои гузариш. Дар ҳостҳои гузариш, ҳама санҷишҳои заруриро иҷро кунед (автентификатсия/авторизатсия, антивирус, сабти ном, ...)
  • шумо метавонед як қисмати мантиқии шабакаи маркази додаҳоро ба сегментҳо истифода баред, ки ба схемаи дар PSEFABRIC тавсифшуда монанд аст мисол p002. Дар ин ҳолат, масир бояд тавре танзим карда шавад, ки трафики ҳассос ба таъхир ё шиддати баланд "дар дохили як сегмент" (дар ҳолати p002, VRF) мегузарад ва аз девори девор нагузарад. Трафик байни сегментҳои гуногун тавассути брандмауэр идома хоҳад ёфт. Шумо инчунин метавонед хатсайри ихроҷро дар байни VRF-ҳо истифода баред, то аз интиқоли трафик тавассути брандмауэр пешгирӣ карда шавад
  • Шумо инчунин метавонед девори деворро дар реҷаи шаффоф ва танҳо барои он VLAN-ҳое истифода баред, ки ин омилҳо (даҳқонӣ/иҷрои) муҳим нестанд. Аммо шумо бояд маҳдудиятҳои марбут ба истифодаи ин модулро барои ҳар як фурӯшанда бодиққат омӯзед
  • шумо метавонед истифодаи меъмории занҷири хидматро баррасӣ кунед. Ин имкон медиҳад, ки танҳо трафики зарурӣ тавассути девор гузарад. Аз ҷиҳати назариявӣ хуб ба назар мерасад, аммо ман ҳеҷ гоҳ ин ҳалли худро дар истеҳсолот надидаам. Мо тақрибан 5 сол пеш занҷири хидматрасонии Cisco ACI/Juniper SRX/F3 LTM-ро санҷида будем, аммо он вақт ин ҳалли худро ба назари мо “хом” менамуд.

Сатҳи муҳофизат

Акнун ба шумо лозим аст, ки ба саволе ҷавоб диҳед, ки кадом асбобҳоро барои филтр кардани трафик истифода кардан мехоҳед. Инҳоянд баъзе аз хусусиятҳое, ки одатан дар NGFW мавҷуданд (масалан, дар ин ҷо):

  • Сипари ҳолати давлатӣ (пешфарз)
  • девори барнома
  • пешгирии таҳдид (антивирус, зидди ҷосусӣ ва осебпазирӣ)
  • Филтри URL
  • филтркунии маълумот (филтри мундариҷа)
  • бастани файл (банд кардани намудҳои файл)
  • муҳофизат мекунад

Ва на ҳама чиз равшан аст. Чунин ба назар мерасад, ки сатҳи муҳофизат баландтар аст, ҳамон қадар беҳтар аст. Аммо шумо бояд инро низ ба назар гиред

  • Чӣ қадаре ки шумо аз функсияҳои дар боло зикршудаи брандмауэр истифода баред, ҳамон қадар он табиатан гаронтар мешавад (литсензияҳо, модулҳои иловагӣ)
  • истифодаи баъзе алгоритмҳо метавонад интиқоли деворро ба таври назаррас коҳиш диҳад ва инчунин таъхирҳоро зиёд кунад, масалан нигаред дар ин ҷо
  • ба монанди ҳама гуна ҳалли мураккаб, истифодаи усулҳои мураккаби муҳофизат метавонад эътимоднокии ҳалли шуморо коҳиш диҳад, масалан, ҳангоми истифодаи девори барнома, ман бо бастани баъзе барномаҳои кори стандартии (dns, smb) дучор омадам.

Чун ҳамеша, шумо бояд беҳтарин роҳи ҳалли шабакаи худро пайдо кунед.

Ба саволе, ки кадом вазифаҳои муҳофизат метавонанд талаб карда шаванд, ҷавоби дақиқ додан ғайриимкон аст. Аввалан, зеро он албатта аз маълумоте, ки шумо интиқол медиҳед ё нигоҳ медоред ва муҳофизат кардан мехоҳед, вобаста аст. Дуюм, дар асл, аксар вақт интихоби воситаҳои амниятӣ масъалаи имон ва эътимод ба фурӯшанда аст. Шумо алгоритмҳоро намедонед, шумо намедонед, ки онҳо то чӣ андоза самараноканд ва шумо онҳоро пурра санҷида наметавонед.

Аз ин рӯ, дар сегментҳои муҳим, ҳалли хуб метавонад истифодаи пешниҳодҳои ширкатҳои гуногун бошад. Масалан, шумо метавонед антивирусро дар брандмауэр фаъол созед, аммо инчунин муҳофизати антивирусро (аз истеҳсолкунандаи дигар) ба таври маҳаллӣ дар ҳостҳо истифода баред.

Сегментатсия

Сухан дар бораи сегментатсияи мантиқии шабакаи маркази додаҳо меравад. Масалан, тақсимот ба VLANҳо ва зершабакаҳо низ сегментатсияи мантиқӣ аст, аммо мо аз сабаби возеҳ будани он онро баррасӣ намекунем. Сегментатсияи ҷолиб бо назардошти чунин объектҳо ба монанди минтақаҳои амнияти FW, VRFs (ва аналогҳои онҳо дар робита бо фурӯшандагони гуногун), дастгоҳҳои мантиқӣ (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

Намунаи чунин сегментатсияи мантиқӣ ва тарроҳии маркази додаҳо дар айни замон дар дода шудааст p002 лоиҳаи PSEFABRIC.

Пас аз муайян кардани қисмҳои мантиқии шабакаи шумо, шумо метавонед тасвир кунед, ки трафик дар байни сегментҳои гуногун чӣ гуна ҳаракат мекунад, филтр дар кадом дастгоҳҳо ва бо кадом восита анҷом дода мешавад.

Агар шабакаи шумо қисмати равшани мантиқӣ надошта бошад ва қоидаҳои татбиқи сиёсати амниятӣ барои ҷараёнҳои гуногуни додаҳо ба расмият дароварда нашуда бошанд, ин маънои онро дорад, ки ҳангоми кушодани ин ё он дастрасӣ шумо маҷбур мешавед ин мушкилотро ҳал кунед ва бо эҳтимоли зиёд шумо онро хар дафъа ба таври дигар хал мекунад.

Аксар вақт сегментатсия танҳо ба минтақаҳои амнияти FW асос ёфтааст. Пас шумо бояд ба саволҳои зерин ҷавоб диҳед:

  • ба шумо кадом минтақаҳои амниятӣ лозим аст
  • Шумо ба ҳар яке аз ин минтақаҳо кадом сатҳи муҳофизатро татбиқ кардан мехоҳед
  • Оё трафики дохилиминтақавӣ бо нобаёнӣ иҷозат дода мешавад?
  • дар акси ҳол, дар ҳар як минтақа кадом сиёсатҳои филтркунии трафик татбиқ карда мешаванд
  • барои ҳар як ҷуфти минтақаҳо кадом сиёсатҳои филтркунии трафик татбиқ карда мешаванд (манбаъ/маҳалли таъинот)

TCAM

Мушкилоти маъмул ин нокифоя будани TCAM (Хотираи секунҷаи Content Addressable Memory), ҳам барои масир ва ҳам барои дастрасӣ мебошад. IMHO, ин яке аз масъалаҳои муҳимтарин ҳангоми интихоби таҷҳизот аст, бинобар ин шумо бояд ба ин масъала бо дараҷаи мувофиқ муносибат кунед.

Мисоли 1. Ҷадвали интиқоли TCAM.

Биёед бубинем Пало Алто 7к девори девор
Мо мебинем, ки андозаи ҷадвали интиқоли IPv4* = 32К
Ғайр аз он, ин шумораи хатсайрҳо барои ҳама VSYS маъмуланд.

Фарз мекунем, ки мувофиқи тарҳи худ шумо қарор қабул мекунед, ки 4 VSYS-ро истифода баред.
Ҳар яке аз ин VSYS тавассути BGP ба ду MPLS PE абре, ки шумо ҳамчун BB истифода мебаред, пайваст карда мешавад. Ҳамин тариқ, 4 VSYS ҳамаи масирҳои мушаххасро бо ҳамдигар мубодила мекунанд ва дорои ҷадвали интиқоли тақрибан як қатор масирҳо мебошанд (вале NH-ҳои гуногун). Зеро ҳар як VSYS дорои 2 сессияи BGP (бо танзимоти якхела), пас ҳар як масири тавассути MPLS гирифташуда 2 NH ва мутаносибан 2 вурудоти FIB дар Ҷадвали интиқол дорад. Агар мо фарз кунем, ки ин ягона брандмауэр дар маркази додаҳост ва он бояд дар бораи ҳамаи хатсайрҳо донад, пас ин маънои онро дорад, ки шумораи умумии хатсайрҳо дар маркази додаҳои мо набояд аз 32К/(4 * 2) = 4К зиёд бошад.

Ҳоло, агар мо фарз кунем, ки мо 2 маркази додаҳо дорем (бо тарҳи якхела) ва мо мехоҳем VLAN-ҳои "дарозии" байни марказҳои додаҳоро истифода барем (масалан, барои vMotion), пас барои ҳалли мушкилоти масир, мо бояд хатсайрҳои мизбонро истифода барем. . Аммо ин маънои онро дорад, ки барои 2 маркази додаҳо мо на бештар аз 4096 ҳостҳои имконпазир нахоҳем дошт ва, албатта, ин метавонад кофӣ набошад.

Мисоли 2. ACL TCAM.

Агар шумо нақшаи филтр кардани трафикро дар коммутаторҳои L3 (ё дигар қарорҳое, ки коммутаторҳои L3 истифода мебаранд, масалан, Cisco ACI), пас ҳангоми интихоби таҷҳизот шумо бояд ба TCAM ACL диққат диҳед.

Фарз мекунем, ки шумо мехоҳед дастрасӣ ба интерфейсҳои SVI-и Cisco Catalyst 4500-ро назорат кунед. Сипас, тавре ки аз он дида мешавад, ин мақола, барои назорати трафики содиротӣ (инчунин воридотӣ) дар интерфейсҳо, шумо метавонед танҳо 4096 хатҳои TCAM-ро истифода баред. Ки ҳангоми истифодаи TCAM3 ба шумо тақрибан 4000 ҳазор ACE (хатҳои ACL) медиҳад.

Агар шумо бо мушкилоти нокифояи TCAM дучор шавед, пас, пеш аз ҳама, албатта, шумо бояд имкони оптимизатсияро баррасӣ кунед. Ҳамин тавр, дар сурати мушкилот бо андозаи ҷадвали интиқол, шумо бояд имкони ҷамъоварии хатсайрҳоро баррасӣ кунед. Дар сурати мушкилот бо андозаи TCAM барои дастрасӣ, дастрасии аудит, хориҷ кардани сабтҳои кӯҳна ва такроршаванда ва эҳтимолан тартиби кушодани дастрасӣ (дар боби аудити дастрасӣ ба таври муфассал баррасӣ хоҳад шуд).

Мавҷудияти баланд

Савол ин аст: оё ман бояд HA-ро барои деворҳои деворӣ истифода барам ё ду қуттии мустақилро "дар баробари" насб кунам ва агар яке аз онҳо кор накунад, трафикро тавассути дуввум гузаронам?

Чунин ба назар мерасад, ки ҷавоб равшан аст - HA-ро истифода баред. Сабаби то ҳол ба миён омадани ин савол дар он аст, ки мутаассифона, 99-и назариявӣ ва таблиғотӣ ва якчанд фоизи даҳии дастрасӣ дар амал аз он қадар гулобӣ дур нест. HA мантиқан як чизи хеле мураккаб аст ва дар таҷҳизоти гуногун ва бо фурӯшандагони гуногун (ҳеҷ истисно набуданд), мо мушкилот ва хатогиҳоро мушоҳида кардем ва хидматрасониро қатъ кардем.

Агар шумо HA-ро истифода баред, шумо имкони хомӯш кардани гиреҳҳои инфиродӣ, гузаштан байни онҳо бидуни қатъ кардани хидматро доред, ки ин муҳим аст, масалан, ҳангоми такмилдиҳӣ, аммо дар айни замон шумо эҳтимолияти аз сифр дуртар доред, ки ҳарду гиреҳ ҳамзамон шикаста мешавад ва инчунин, ки навсозӣ он тавре ки фурӯшанда ваъда медиҳад, осон нахоҳад буд (агар шумо имкони санҷиши такмилро дар таҷҳизоти лабораторӣ дошта бошед, ин мушкилотро пешгирӣ кардан мумкин аст).

Агар шумо HA-ро истифода набаред, пас аз нуқтаи назари нокомии дукарата хатарҳои шумо хеле камтаранд (азбаски шумо 2 девори мустақил доред), аммо азбаски... сессияҳо ҳамоҳанг карда намешаванд, пас ҳар дафъае, ки шумо байни ин деворҳо гузаред, шумо трафикро аз даст медиҳед. Шумо метавонед, албатта, девори бедавлатиро истифода баред, аммо баъдан нуқтаи истифодаи девор ба таври назаррас гум мешавад.

Аз ин рӯ, агар дар натиҷаи аудит шумо деворҳои бекасро кашф карда бошед ва шумо дар бораи баланд бардоштани эътимоднокии шабакаи худ фикр карда бошед, пас HA, албатта, яке аз роҳҳои тавсияшаванда аст, аммо шумо инчунин бояд камбудиҳои алоқамандро ба назар гиред. бо ин равиш ва шояд, махсусан барои шабакаи шумо, ҳалли дигар мувофиқтар хоҳад буд.

Қобилияти идоракунӣ

Аслан, HA инчунин дар бораи назоратшаванда аст. Ба ҷои конфигуратсияи 2 қуттии алоҳида ва ҳалли мушкилоти ҳамоҳангсозии конфигуратсияҳо, шумо онҳоро тавре идора мекунед, ки гӯё як дастгоҳ дошта бошед.

Аммо шояд шумо бисёр марказҳои додаҳо ва бисёр деворҳо дошта бошед, пас ин савол дар сатҳи нав ба миён меояд. Ва савол на танҳо дар бораи конфигуратсия, балки дар бораи он аст

  • конфигуратсияҳои эҳтиётӣ
  • навсозиҳо
  • такомулот
  • мониторинг
  • дарахтбурӣ

Ва хамаи инро системахои марказонидашудаи идоракунй хал кардан мумкин аст.

Ҳамин тавр, масалан, агар шумо деворҳои Palo Alto-ро истифода баред, пас Панорама чунин халли аст.

Идома дода шавад.

Манбаъ: will.com

Илова Эзоҳ