โปรโฮสต์ > บล็อก > การบริหาร > วิธีควบคุมโครงสร้างพื้นฐานเครือข่ายของคุณ บทที่สาม ความปลอดภัยของเครือข่าย ส่วนที่ XNUMX

วิธีควบคุมโครงสร้างพื้นฐานเครือข่ายของคุณ บทที่สาม ความปลอดภัยของเครือข่าย ส่วนที่ XNUMX

บทความนี้เป็นบทความที่ห้าในซีรีส์ “วิธีควบคุมโครงสร้างพื้นฐานเครือข่ายของคุณ” เนื้อหาบทความทั้งหมดในซีรีส์และลิงก์ต่างๆ สามารถพบได้ ที่นี่.

ส่วนนี้จะเน้นไปที่กลุ่ม Campus (Office) และการเข้าถึงระยะไกล VPN

วิธีควบคุมโครงสร้างพื้นฐานเครือข่ายของคุณ บทที่สาม ความปลอดภัยของเครือข่าย ส่วนที่ XNUMX

การออกแบบเครือข่ายสำนักงานอาจดูเหมือนง่าย

อันที่จริงเราใช้สวิตช์ L2/L3 และเชื่อมต่อเข้าด้วยกัน ต่อไป เราจะดำเนินการตั้งค่าพื้นฐานของ vilans และเกตเวย์เริ่มต้น ตั้งค่าการกำหนดเส้นทางอย่างง่าย เชื่อมต่อตัวควบคุม WiFi จุดเชื่อมต่อ ติดตั้งและกำหนดค่า ASA สำหรับการเข้าถึงระยะไกล เราดีใจที่ทุกอย่างทำงานได้ดี โดยพื้นฐานแล้วอย่างที่ฉันเขียนไปแล้วในอันก่อนหน้านี้ บทความ ในรอบนี้ นักเรียนเกือบทุกคนที่ได้เข้าร่วม (และเรียนรู้) สองภาคการศึกษาของหลักสูตรโทรคมนาคมสามารถออกแบบและกำหนดค่าเครือข่ายสำนักงานเพื่อให้ "ใช้งานได้"

แต่ยิ่งคุณเรียนรู้มากเท่าไร งานนี้ก็ยิ่งดูเรียบง่ายน้อยลงเท่านั้น สำหรับฉันเป็นการส่วนตัวแล้ว หัวข้อนี้ ซึ่งเป็นหัวข้อของการออกแบบเครือข่ายสำนักงาน ดูเหมือนจะไม่ง่ายเลย และในบทความนี้ ฉันจะพยายามอธิบายว่าทำไม

กล่าวโดยสรุป มีปัจจัยบางประการที่ต้องพิจารณา บ่อยครั้งปัจจัยเหล่านี้ขัดแย้งกันและต้องหาทางประนีประนอมที่สมเหตุสมผล
ความไม่แน่นอนนี้ถือเป็นปัญหาหลัก เมื่อพูดถึงเรื่องความปลอดภัย เรามีสามเหลี่ยมที่มีจุดยอด XNUMX จุด ได้แก่ ความปลอดภัย ความสะดวกสำหรับพนักงาน ราคาของโซลูชัน
และทุกครั้งคุณต้องมองหาการประนีประนอมระหว่างสามคนนี้

สถาปัตยกรรม

ฉันขอแนะนำตัวอย่างสถาปัตยกรรมสำหรับสองส่วนนี้ดังในบทความก่อนหน้านี้ ซิสโก้เซฟ แบบอย่าง: วิทยาเขตองค์กร, ขอบอินเทอร์เน็ตระดับองค์กร.

เอกสารเหล่านี้ค่อนข้างล้าสมัย ฉันนำเสนอสิ่งเหล่านี้ที่นี่เพราะแผนงานพื้นฐานและแนวทางไม่เปลี่ยนแปลง แต่ในขณะเดียวกันฉันก็ชอบการนำเสนอมากกว่าใน เอกสารใหม่.

โดยที่ไม่สนับสนุนให้คุณใช้โซลูชันของ Cisco ฉันยังคงคิดว่าการศึกษาการออกแบบนี้อย่างรอบคอบจะมีประโยชน์

ตามปกติบทความนี้ไม่ได้เสแสร้งว่าสมบูรณ์แต่อย่างใด แต่เป็นข้อมูลเพิ่มเติมจากข้อมูลนี้

ในตอนท้ายของบทความ เราจะวิเคราะห์การออกแบบสำนักงาน Cisco SAFE ในแง่ของแนวคิดที่สรุปไว้ที่นี่

หลักการทั่วไป

แน่นอนว่าการออกแบบเครือข่ายสำนักงานต้องเป็นไปตามข้อกำหนดทั่วไปที่ได้กล่าวถึงไปแล้ว ที่นี่ ในบท “เกณฑ์การประเมินคุณภาพการออกแบบ” นอกจากราคาและความปลอดภัยที่เราตั้งใจจะพูดถึงในบทความนี้แล้ว ยังมีเกณฑ์สามประการที่เราต้องพิจารณาเมื่อออกแบบ (หรือทำการเปลี่ยนแปลง):

  • ความสามารถในการขยายขนาด
  • ใช้งานง่าย (การจัดการ)
  • ความพร้อมใช้งาน

สิ่งที่พูดคุยกันมาก ศูนย์ข้อมูล นี่เป็นเรื่องจริงสำหรับสำนักงานด้วย

แต่ถึงกระนั้น ส่วนสำนักงานก็มีลักษณะเฉพาะของตัวเอง ซึ่งมีความสำคัญอย่างยิ่งในมุมมองด้านความปลอดภัย สาระสำคัญของความเฉพาะเจาะจงนี้คือส่วนนี้ถูกสร้างขึ้นเพื่อให้บริการเครือข่ายแก่พนักงาน (รวมถึงหุ้นส่วนและแขก) ของบริษัท และด้วยเหตุนี้เราจึงมีหน้าที่สองประการในการพิจารณาปัญหาในระดับสูงสุด:

  • ปกป้องทรัพยากรของบริษัทจากการกระทำที่เป็นอันตรายซึ่งอาจมาจากพนักงาน (แขก คู่ค้า) และจากซอฟต์แวร์ที่พวกเขาใช้ รวมถึงการป้องกันการเชื่อมต่อเครือข่ายโดยไม่ได้รับอนุญาตด้วย
  • ปกป้องระบบและข้อมูลผู้ใช้

และนี่เป็นเพียงด้านเดียวของปัญหา (หรือค่อนข้างจะเป็นจุดยอดหนึ่งของสามเหลี่ยม) อีกด้านคือความสะดวกของผู้ใช้และราคาของโซลูชั่นที่ใช้

เริ่มต้นด้วยการดูว่าผู้ใช้คาดหวังอะไรจากเครือข่ายสำนักงานสมัยใหม่

ความสะดวกสบาย

“สิ่งอำนวยความสะดวกด้านเครือข่าย” สำหรับผู้ใช้ออฟฟิศในความคิดของฉันมีดังต่อไปนี้:

  • การเคลื่อนไหว
  • ความสามารถในการใช้อุปกรณ์และระบบปฏิบัติการที่คุ้นเคยอย่างเต็มรูปแบบ
  • เข้าถึงทรัพยากรของบริษัทที่จำเป็นทั้งหมดได้อย่างง่ายดาย
  • ความพร้อมใช้งานของทรัพยากรอินเทอร์เน็ต รวมถึงบริการคลาวด์ต่างๆ
  • "การทำงานที่รวดเร็ว" ของเครือข่าย

ทั้งหมดนี้ใช้ได้กับทั้งพนักงานและแขก (หรือหุ้นส่วน) และเป็นหน้าที่ของวิศวกรของบริษัทที่จะต้องแยกแยะการเข้าถึงสำหรับกลุ่มผู้ใช้ที่แตกต่างกันตามการอนุญาต

มาดูรายละเอียดแต่ละด้านเหล่านี้กัน

การเคลื่อนไหว

เรากำลังพูดถึงโอกาสในการทำงานและใช้ทรัพยากรของบริษัทที่จำเป็นทั้งหมดจากทุกที่ในโลก (แน่นอนว่า ในพื้นที่ที่มีอินเทอร์เน็ต)

สิ่งนี้ใช้กับสำนักงานอย่างสมบูรณ์ สะดวกเมื่อคุณมีโอกาสทำงานต่อจากที่ใดก็ได้ในสำนักงาน เช่น รับจดหมาย สื่อสารในโปรแกรมส่งข้อความขององค์กร สนทนาทางวิดีโอได้ ... ดังนั้น ในทางกลับกัน สิ่งนี้จะช่วยให้คุณ เพื่อแก้ไขปัญหาบางอย่างในการสื่อสารแบบ "สด" (เช่น เข้าร่วมการชุมนุม) และในทางกลับกัน ให้ออนไลน์อยู่เสมอ จับชีพจรและแก้ไขงานเร่งด่วนที่มีลำดับความสำคัญสูงอย่างรวดเร็ว สะดวกมากและปรับปรุงคุณภาพการสื่อสารอย่างแท้จริง

ซึ่งสามารถทำได้โดยการออกแบบเครือข่าย WiFi ที่เหมาะสม

คำพูด

มักจะมีคำถามเกิดขึ้น: ใช้ WiFi เพียงอย่างเดียวเพียงพอหรือไม่ หมายความว่าคุณสามารถหยุดใช้พอร์ต Ethernet ในสำนักงานได้หรือไม่ หากเรากำลังพูดถึงเฉพาะผู้ใช้ และไม่เกี่ยวกับเซิร์ฟเวอร์ ซึ่งยังคงสมเหตุสมผลในการเชื่อมต่อกับพอร์ตอีเธอร์เน็ตปกติ โดยทั่วไปแล้ว คำตอบก็คือ: ใช่ คุณสามารถจำกัดตัวเองให้ใช้ WiFi เท่านั้น แต่มีความแตกต่าง

มีกลุ่มผู้ใช้ที่สำคัญที่ต้องการแนวทางแยกกัน แน่นอนว่านี่คือผู้ดูแลระบบ โดยหลักการแล้ว การเชื่อมต่อ WiFi มีความน่าเชื่อถือน้อยกว่า (ในแง่ของการสูญเสียการรับส่งข้อมูล) และช้ากว่าพอร์ตอีเธอร์เน็ตทั่วไป สิ่งนี้อาจมีความสำคัญสำหรับผู้ดูแลระบบ นอกจากนี้ โดยหลักการแล้ว ผู้ดูแลระบบเครือข่ายสามารถมีเครือข่ายอีเทอร์เน็ตเฉพาะของตนเองสำหรับการเชื่อมต่อนอกแบนด์ได้

อาจมีกลุ่ม/แผนกอื่นๆ ในบริษัทของคุณซึ่งมีปัจจัยเหล่านี้มีความสำคัญเช่นกัน

มีอีกจุดสำคัญคือโทรศัพท์ บางทีด้วยเหตุผลบางอย่างที่คุณไม่ต้องการใช้ Wireless VoIP และต้องการใช้โทรศัพท์ IP ที่มีการเชื่อมต่ออีเธอร์เน็ตปกติ

โดยทั่วไป บริษัทที่ฉันทำงานด้วยมักจะมีทั้งการเชื่อมต่อ WiFi และพอร์ตอีเธอร์เน็ต

ฉันต้องการให้ความคล่องตัวไม่ได้จำกัดอยู่เพียงในสำนักงานเท่านั้น

เพื่อให้แน่ใจว่าสามารถทำงานจากที่บ้านได้ (หรือสถานที่อื่น ๆ ที่มีอินเทอร์เน็ตเข้าถึงได้) จึงมีการใช้การเชื่อมต่อ VPN ในขณะเดียวกัน ก็เป็นที่พึงปรารถนาที่พนักงานจะไม่รู้สึกถึงความแตกต่างระหว่างการทำงานจากที่บ้านและการทำงานระยะไกลซึ่งถือว่ามีการเข้าถึงแบบเดียวกัน เราจะหารือถึงวิธีการจัดระเบียบสิ่งนี้ในภายหลังในบท “ระบบการรับรองความถูกต้องและการอนุญาตแบบรวมศูนย์แบบรวมศูนย์”

คำพูด

เป็นไปได้มากว่าคุณจะไม่สามารถให้บริการที่มีคุณภาพเดียวกันกับการทำงานระยะไกลที่คุณมีในสำนักงานได้อย่างเต็มที่ สมมติว่าคุณกำลังใช้ Cisco ASA 5520 เป็นเกตเวย์ VPN ของคุณ ตาม แผ่นข้อมูล อุปกรณ์นี้สามารถ "ย่อย" การรับส่งข้อมูล VPN เพียง 225 Mbit ซึ่งแน่นอนว่าในแง่ของแบนด์วิธ การเชื่อมต่อผ่าน VPN นั้นแตกต่างจากการทำงานในออฟฟิศอย่างมาก นอกจากนี้ หากเวลาแฝง การสูญเสีย ความกระวนกระวายใจ (เช่น คุณต้องการใช้โทรศัพท์ IP ในสำนักงาน) สำหรับบริการเครือข่ายของคุณมีความสำคัญ ด้วยเหตุผลบางประการ คุณจะไม่ได้รับคุณภาพเช่นเดียวกับที่คุณอยู่ในสำนักงาน ดังนั้นเมื่อพูดถึงเรื่องความคล่องตัว เราต้องคำนึงถึงข้อจำกัดที่เป็นไปได้ด้วย

เข้าถึงทรัพยากรของบริษัททั้งหมดได้อย่างง่ายดาย

งานนี้ควรได้รับการแก้ไขร่วมกับแผนกเทคนิคอื่น ๆ
สถานการณ์ในอุดมคติคือเมื่อผู้ใช้ต้องการตรวจสอบสิทธิ์เพียงครั้งเดียว และหลังจากนั้นเขาสามารถเข้าถึงทรัพยากรที่จำเป็นทั้งหมดได้
การให้การเข้าถึงที่ง่ายดายโดยไม่กระทบต่อความปลอดภัยสามารถปรับปรุงประสิทธิภาพการทำงานและลดความเครียดในหมู่เพื่อนร่วมงานของคุณได้อย่างมาก

หมายเหตุ 1

ความง่ายในการเข้าถึงไม่ใช่แค่คุณต้องป้อนรหัสผ่านกี่ครั้งเท่านั้น ตัวอย่างเช่น ตามนโยบายความปลอดภัยของคุณ หากต้องการเชื่อมต่อจากสำนักงานไปยังศูนย์ข้อมูล คุณต้องเชื่อมต่อกับเกตเวย์ VPN ก่อน และในขณะเดียวกัน คุณก็สูญเสียการเข้าถึงทรัพยากรของสำนักงาน นี่ก็เป็นเรื่องสำคัญเช่นกัน ไม่สะดวกมาก

หมายเหตุ 2

มีบริการต่างๆ (เช่น การเข้าถึงอุปกรณ์เครือข่าย) ซึ่งโดยปกติแล้วเราจะมีเซิร์ฟเวอร์ AAA เฉพาะของตัวเอง และนี่เป็นเรื่องปกติที่ในกรณีนี้ เราต้องตรวจสอบสิทธิ์หลายครั้ง

ความพร้อมใช้งานของทรัพยากรอินเทอร์เน็ต

อินเทอร์เน็ตไม่เพียงแต่เป็นความบันเทิงเท่านั้น แต่ยังเป็นชุดบริการที่มีประโยชน์มากสำหรับการทำงานอีกด้วย นอกจากนี้ยังมีปัจจัยทางจิตวิทยาล้วนๆ คนสมัยใหม่เชื่อมต่อกับผู้อื่นผ่านทางอินเทอร์เน็ตผ่านเธรดเสมือนจริงมากมาย และในความคิดของฉัน ไม่มีอะไรผิดหากเขายังคงรู้สึกถึงการเชื่อมต่อนี้แม้ในขณะที่ทำงาน

จากมุมมองของการเสียเวลา ไม่มีอะไรผิดหากพนักงานใช้ Skype และใช้เวลา 5 นาทีในการสื่อสารกับคนที่คุณรักหากจำเป็น

นี่หมายความว่าอินเทอร์เน็ตควรจะพร้อมใช้งานตลอดเวลา หมายความว่าพนักงานสามารถเข้าถึงทรัพยากรทั้งหมดและไม่สามารถควบคุมทรัพยากรเหล่านั้นได้ในทางใดทางหนึ่งใช่หรือไม่

ไม่ไม่ได้หมายความว่าอย่างนั้นแน่นอน ระดับของการเปิดกว้างของอินเทอร์เน็ตอาจแตกต่างกันไปในแต่ละบริษัท ตั้งแต่การปิดกิจการไปจนถึงการเปิดกว้างโดยสมบูรณ์ เราจะหารือถึงวิธีการควบคุมการจราจรในภายหลังในหัวข้อมาตรการรักษาความปลอดภัย

ความสามารถในการใช้อุปกรณ์ที่คุ้นเคยอย่างเต็มรูปแบบ

จะสะดวกเมื่อคุณมีโอกาสที่จะใช้วิธีการสื่อสารทั้งหมดที่คุณคุ้นเคยในที่ทำงานต่อไป ไม่มีปัญหาในการใช้งานทางเทคนิคนี้ ในการทำเช่นนี้คุณต้องมี WiFi และแขก wilan

นอกจากนี้ยังเป็นการดีหากคุณมีโอกาสใช้ระบบปฏิบัติการที่คุณคุ้นเคย แต่จากการสังเกตของฉัน โดยทั่วไปจะอนุญาตเฉพาะผู้จัดการ ผู้ดูแลระบบ และนักพัฒนาเท่านั้น

ตัวอย่าง

แน่นอนคุณสามารถปฏิบัติตามเส้นทางของข้อห้าม ห้ามการเข้าถึงระยะไกล ห้ามการเชื่อมต่อจากอุปกรณ์มือถือ จำกัดทุกอย่างไว้เฉพาะการเชื่อมต่อ Ethernet แบบคงที่ จำกัดการเข้าถึงอินเทอร์เน็ต บังคับยึดโทรศัพท์มือถือและอุปกรณ์ที่จุดตรวจ... และเส้นทางนี้ จริงๆ แล้วตามมาด้วยบางองค์กรที่มีข้อกำหนดด้านความปลอดภัยที่เพิ่มขึ้น และในบางกรณีนี่อาจสมเหตุสมผล แต่... คุณต้องยอมรับว่านี่ดูเหมือนเป็นความพยายามที่จะหยุดความคืบหน้าในองค์กรเดียว แน่นอนว่าฉันต้องการรวมโอกาสที่เทคโนโลยีสมัยใหม่มอบให้กับการรักษาความปลอดภัยในระดับที่เพียงพอ

"การทำงานที่รวดเร็ว" ของเครือข่าย

ความเร็วการถ่ายโอนข้อมูลในทางเทคนิคประกอบด้วยหลายปัจจัย และความเร็วของพอร์ตการเชื่อมต่อของคุณมักจะไม่ใช่ความเร็วที่สำคัญที่สุด การทำงานที่ช้าของแอปพลิเคชันไม่ได้เกี่ยวข้องกับปัญหาเครือข่ายเสมอไป แต่สำหรับตอนนี้เราสนใจเฉพาะในส่วนของเครือข่ายเท่านั้น ปัญหาที่พบบ่อยที่สุดกับเครือข่ายท้องถิ่น "ช้าลง" เกี่ยวข้องกับการสูญเสียแพ็กเก็ต ซึ่งมักเกิดขึ้นเมื่อมีปัญหาคอขวดหรือปัญหา L1 (OSI) บ่อยครั้งที่การออกแบบบางอย่าง (เช่น เมื่อซับเน็ตของคุณมีไฟร์วอลล์เป็นเกตเวย์เริ่มต้น และทำให้การรับส่งข้อมูลทั้งหมดผ่านไปได้) ประสิทธิภาพของฮาร์ดแวร์อาจขาดหายไป

ดังนั้น เมื่อเลือกอุปกรณ์และสถาปัตยกรรม คุณต้องเชื่อมโยงความเร็วของพอร์ตปลายทาง ทรั้งก์ และประสิทธิภาพของอุปกรณ์

ตัวอย่าง

สมมติว่าคุณกำลังใช้สวิตช์ที่มีพอร์ต 1 กิกะบิตเป็นสวิตช์เลเยอร์การเข้าถึง เชื่อมต่อกันผ่าน Etherchannel 2 x 10 กิกะบิต ในฐานะเกตเวย์เริ่มต้น คุณจะใช้ไฟร์วอลล์ที่มีพอร์ตกิกะบิต เพื่อเชื่อมต่อกับเครือข่ายสำนักงาน L2 ที่คุณใช้พอร์ต 2 กิกะบิตรวมกันเป็นอีเธอร์แชนเนล

สถาปัตยกรรมนี้ค่อนข้างสะดวกจากมุมมองของการใช้งาน เพราะ... การรับส่งข้อมูลทั้งหมดต้องผ่านไฟร์วอลล์ และคุณสามารถจัดการนโยบายการเข้าถึงได้อย่างสะดวกสบาย และใช้อัลกอริธึมที่ซับซ้อนเพื่อควบคุมการรับส่งข้อมูลและป้องกันการโจมตีที่เป็นไปได้ (ดูด้านล่าง) แต่จากมุมมองของปริมาณงานและประสิทธิภาพ การออกแบบนี้แน่นอนว่าอาจมีปัญหาที่อาจเกิดขึ้น ตัวอย่างเช่น โฮสต์ 2 ตัวที่ดาวน์โหลดข้อมูล (ด้วยความเร็วพอร์ต 1 กิกะบิต) สามารถโหลดการเชื่อมต่อ 2 กิกะบิตไปยังไฟร์วอลล์ได้อย่างสมบูรณ์ และส่งผลให้บริการลดลงสำหรับส่วนสำนักงานทั้งหมด

เราได้ดูที่จุดยอดหนึ่งของสามเหลี่ยมแล้ว ตอนนี้เรามาดูกันว่าเราจะรักษาความปลอดภัยได้อย่างไร

การเยียวยา

ดังนั้น แน่นอนว่า โดยปกติแล้วความปรารถนาของเรา (หรือความปรารถนาของฝ่ายบริหารของเรา) คือการบรรลุสิ่งที่เป็นไปไม่ได้ กล่าวคือ มอบความสะดวกสบายสูงสุดด้วยความปลอดภัยสูงสุดและต้นทุนขั้นต่ำ

มาดูกันว่าเราต้องป้องกันด้วยวิธีใดบ้าง

สำหรับสำนักงาน ฉันจะเน้นสิ่งต่อไปนี้:

  • แนวทางการออกแบบแบบ Zero Trust
  • การป้องกันระดับสูง
  • การมองเห็นเครือข่าย
  • ระบบการรับรองความถูกต้องและการอนุญาตแบบรวมศูนย์แบบรวมศูนย์
  • การตรวจสอบโฮสต์

ต่อไป เราจะมาดูรายละเอียดเพิ่มเติมอีกเล็กน้อยเกี่ยวกับแต่ละแง่มุมเหล่านี้

ความน่าเชื่อถือเป็นศูนย์

โลกไอทีกำลังเปลี่ยนแปลงอย่างรวดเร็ว ในช่วง 10 ปีที่ผ่านมา การเกิดขึ้นของเทคโนโลยีและผลิตภัณฑ์ใหม่ๆ ได้นำไปสู่การแก้ไขแนวคิดด้านความปลอดภัยครั้งใหญ่ เมื่อสิบปีที่แล้ว จากมุมมองด้านความปลอดภัย เราได้แบ่งเครือข่ายออกเป็นโซนที่เชื่อถือได้ dmz และโซนที่ไม่น่าเชื่อถือ และใช้สิ่งที่เรียกว่า "การป้องกันขอบเขต" ซึ่งมีแนวป้องกัน 2 แนว: ความไม่ไว้วางใจ -> dmz และ dmz -> เชื่อมั่น. นอกจากนี้ การป้องกันมักจะจำกัดอยู่ที่รายการเข้าถึงตามส่วนหัว L3/L4 (OSI) (IP, พอร์ต TCP/UDP, แฟล็ก TCP) ทุกอย่างที่เกี่ยวข้องกับระดับที่สูงกว่า รวมถึง L7 จะถูกปล่อยให้เป็นระบบปฏิบัติการและผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งบนโฮสต์ปลายทาง

ขณะนี้สถานการณ์มีการเปลี่ยนแปลงอย่างมาก แนวคิดสมัยใหม่ ศูนย์ความไว้วางใจ มาจากความจริงที่ว่าไม่สามารถพิจารณาระบบภายในได้อีกต่อไปนั่นคือระบบภายในปริมณฑลที่เชื่อถือได้และแนวคิดเรื่องปริมณฑลเองก็เบลอ
นอกจากการเชื่อมต่ออินเทอร์เน็ตแล้วเรายังมี

  • ผู้ใช้ VPN เข้าถึงระยะไกล
  • อุปกรณ์ส่วนตัวต่างๆ แล็ปท็อปที่นำมา เชื่อมต่อผ่าน WiFi ของสำนักงาน
  • สำนักงานอื่น ๆ (สาขา)
  • บูรณาการกับโครงสร้างพื้นฐานคลาวด์

แนวทาง Zero Trust มีลักษณะอย่างไรในทางปฏิบัติ?

ตามหลักการแล้ว ควรอนุญาตเฉพาะการรับส่งข้อมูลที่จำเป็นเท่านั้น และหากเรากำลังพูดถึงอุดมคติ การควบคุมไม่ควรอยู่ที่ระดับ L3/L4 เท่านั้น แต่ในระดับแอปพลิเคชันด้วย

ตัวอย่างเช่นหากคุณมีความสามารถในการส่งผ่านการรับส่งข้อมูลทั้งหมดผ่านไฟร์วอลล์คุณสามารถลองเข้าใกล้อุดมคติได้มากขึ้น แต่แนวทางนี้สามารถลดแบนด์วิดท์รวมของเครือข่ายของคุณได้อย่างมาก และนอกจากนี้ การกรองตามแอปพลิเคชันก็ไม่ได้ผลดีเสมอไป

เมื่อควบคุมการรับส่งข้อมูลบนเราเตอร์หรือสวิตช์ L3 (โดยใช้ ACL มาตรฐาน) คุณจะประสบปัญหาอื่น ๆ :

  • นี่เป็นการกรอง L3/L4 เท่านั้น ไม่มีอะไรหยุดผู้โจมตีจากการใช้พอร์ตที่อนุญาต (เช่น TCP 80) สำหรับแอปพลิเคชันของพวกเขา (ไม่ใช่ http)
  • การจัดการ ACL ที่ซับซ้อน (ยากต่อการแยกวิเคราะห์ ACL)
  • นี่ไม่ใช่ไฟร์วอลล์แบบเต็มสถานะ ซึ่งหมายความว่าคุณต้องอนุญาตการรับส่งข้อมูลย้อนกลับอย่างชัดเจน
  • ด้วยสวิตช์ คุณมักจะถูกจำกัดด้วยขนาดของ TCAM ค่อนข้างแน่นหนา ซึ่งอาจกลายเป็นปัญหาได้อย่างรวดเร็วหากคุณใช้แนวทาง "อนุญาตเฉพาะสิ่งที่คุณต้องการ"

คำพูด

เมื่อพูดถึง Reverse Traffic เราต้องจำไว้ว่าเรามีโอกาสดังต่อไปนี้ (Cisco)

อนุญาตให้ tcp ใด ๆ ที่จัดตั้งขึ้น

แต่คุณต้องเข้าใจว่าบรรทัดนี้เทียบเท่ากับสองบรรทัด:
อนุญาตให้ tcp ack ใด ๆ
อนุญาตให้ tcp ใด ๆ ครั้งแรก

ซึ่งหมายความว่าแม้ว่าจะไม่มีเซ็กเมนต์ TCP เริ่มต้นที่มีแฟล็ก SYN (นั่นคือ เซสชัน TCP ไม่ได้เริ่มสร้างด้วยซ้ำ) ACL นี้จะอนุญาตแพ็กเก็ตที่มีแฟล็ก ACK ซึ่งผู้โจมตีสามารถใช้เพื่อถ่ายโอนข้อมูลได้

นั่นคือบรรทัดนี้จะไม่เปลี่ยนเราเตอร์หรือสวิตช์ L3 ของคุณให้เป็นไฟร์วอลล์แบบ statefull แต่อย่างใด

การปกป้องระดับสูง

В статье ในส่วนของศูนย์ข้อมูล เราได้พิจารณาวิธีการป้องกันต่อไปนี้

  • ไฟร์วอลล์ stateful (ค่าเริ่มต้น)
  • การป้องกันดีดอส/ดอส
  • ไฟร์วอลล์แอปพลิเคชัน
  • การป้องกันภัยคุกคาม (แอนตี้ไวรัส แอนตี้สปายแวร์ และช่องโหว่)
  • การกรอง URL
  • การกรองข้อมูล (การกรองเนื้อหา)
  • การบล็อกไฟล์ (การบล็อกประเภทไฟล์)

ในกรณีของสำนักงาน สถานการณ์จะคล้ายกัน แต่ลำดับความสำคัญจะแตกต่างกันเล็กน้อย ความพร้อมใช้งานของสำนักงาน (ความพร้อมใช้งาน) มักจะไม่สำคัญเท่ากับในกรณีของศูนย์ข้อมูล ในขณะที่โอกาสที่การรับส่งข้อมูลที่เป็นอันตราย “ภายใน” นั้นมีลำดับความสำคัญที่สูงกว่า
ดังนั้น วิธีการป้องกันต่อไปนี้สำหรับเซ็กเมนต์นี้จึงมีความสำคัญ:

  • ไฟร์วอลล์แอปพลิเคชัน
  • การป้องกันภัยคุกคาม (แอนตี้ไวรัส แอนตี้สปายแวร์ และช่องโหว่)
  • การกรอง URL
  • การกรองข้อมูล (การกรองเนื้อหา)
  • การบล็อกไฟล์ (การบล็อกประเภทไฟล์)

แม้ว่าวิธีการป้องกันเหล่านี้ทั้งหมด ยกเว้นไฟร์วอลล์ของแอปพลิเคชัน จะได้รับการแก้ไขและยังคงได้รับการแก้ไขบนโฮสต์ปลายทาง (เช่น โดยการติดตั้งโปรแกรมป้องกันไวรัส) และการใช้พรอกซี แต่ NGFW สมัยใหม่ก็ให้บริการเหล่านี้เช่นกัน

ผู้จำหน่ายอุปกรณ์รักษาความปลอดภัยมุ่งมั่นที่จะสร้างการป้องกันที่ครอบคลุม ดังนั้นพวกเขาจึงนำเสนอเทคโนโลยีคลาวด์และซอฟต์แวร์ไคลเอ็นต์สำหรับโฮสต์ (การป้องกันจุดสิ้นสุด/EPP) ควบคู่ไปกับการป้องกันเฉพาะที่ ตัวอย่างเช่นจาก การ์ตเนอร์ เมจิก ควอแดรนท์ ปี 2018 เราเห็นว่า Palo Alto และ Cisco มี EPP ของตัวเอง (PA: Traps, Cisco: AMP) แต่ยังห่างไกลจากผู้นำ

แน่นอนว่าการเปิดใช้งานการป้องกันเหล่านี้ (โดยปกติโดยการซื้อใบอนุญาต) บนไฟร์วอลล์ของคุณนั้นไม่จำเป็น (คุณสามารถใช้วิธีเดิมได้) แต่จะให้ประโยชน์บางประการ:

  • ในกรณีนี้ มีการใช้วิธีการป้องกันเพียงจุดเดียว ซึ่งช่วยเพิ่มการมองเห็น (ดูหัวข้อถัดไป)
  • หากมีอุปกรณ์ที่ไม่ได้รับการป้องกันบนเครือข่ายของคุณ อุปกรณ์ดังกล่าวจะยังคงอยู่ภายใต้ “ร่ม” ของการป้องกันไฟร์วอลล์
  • ด้วยการใช้การป้องกันไฟร์วอลล์ร่วมกับการป้องกันโฮสต์ปลายทาง เราจะเพิ่มโอกาสในการตรวจจับการรับส่งข้อมูลที่เป็นอันตราย ตัวอย่างเช่น การใช้การป้องกันภัยคุกคามบนโฮสต์ในพื้นที่และบนไฟร์วอลล์จะเพิ่มโอกาสในการตรวจจับ (แน่นอนว่าโซลูชันเหล่านี้ขึ้นอยู่กับผลิตภัณฑ์ซอฟต์แวร์ที่แตกต่างกัน)

คำพูด

ตัวอย่างเช่น หากคุณใช้ Kaspersky เป็นโปรแกรมป้องกันไวรัสทั้งบนไฟร์วอลล์และโฮสต์ปลายทาง แน่นอนว่าสิ่งนี้จะไม่เพิ่มโอกาสในการป้องกันการโจมตีของไวรัสในเครือข่ายของคุณมากนัก

การมองเห็นเครือข่าย

ความคิดหลัก ง่ายดาย - "ดู" สิ่งที่เกิดขึ้นบนเครือข่ายของคุณ ทั้งแบบเรียลไทม์และข้อมูลในอดีต

ผมจะแบ่ง “วิสัยทัศน์” นี้ออกเป็นสองกลุ่ม:

กลุ่มที่หนึ่ง: สิ่งที่ระบบการตรวจสอบของคุณมักจะให้คุณ

  • กำลังโหลดอุปกรณ์
  • กำลังโหลดช่อง
  • การใช้ความจำ
  • การใช้งานดิสก์
  • การเปลี่ยนตารางเส้นทาง
  • สถานะลิงก์
  • ความพร้อมของอุปกรณ์ (หรือโฮสต์)
  • ...

กลุ่มที่สอง: ข้อมูลที่เกี่ยวข้องกับความปลอดภัย

  • สถิติประเภทต่างๆ (เช่น ตามแอปพลิเคชัน ตามปริมาณการใช้ URL ประเภทข้อมูลที่ดาวน์โหลด ข้อมูลผู้ใช้)
  • สิ่งที่ถูกบล็อกโดยนโยบายความปลอดภัยและด้วยเหตุผลอะไรคือ
    • แอปพลิเคชันที่ต้องห้าม
    • ห้ามตาม ip/โปรโตคอล/พอร์ต/แฟล็ก/โซน
    • การป้องกันภัยคุกคาม
    • การกรอง URL
    • การกรองข้อมูล
    • การบล็อกไฟล์
    • ...
  • สถิติการโจมตี DOS/DDOS
  • ความพยายามในการระบุตัวตนและการอนุญาตล้มเหลว
  • สถิติสำหรับเหตุการณ์การละเมิดนโยบายความปลอดภัยข้างต้นทั้งหมด
  • ...

ในบทเกี่ยวกับการรักษาความปลอดภัยนี้ เราสนใจในส่วนที่สอง

ไฟร์วอลล์สมัยใหม่บางตัว (จากประสบการณ์ใน Palo Alto ของฉัน) ให้การมองเห็นในระดับที่ดี แต่แน่นอนว่าการรับส่งข้อมูลที่คุณสนใจจะต้องผ่านไฟร์วอลล์นี้ (ซึ่งในกรณีนี้คุณสามารถบล็อกการรับส่งข้อมูลได้) หรือมิเรอร์ไปยังไฟร์วอลล์ (ใช้สำหรับการตรวจสอบและวิเคราะห์เท่านั้น) และคุณต้องมีใบอนุญาตในการเปิดใช้งานทั้งหมด บริการเหล่านี้

แน่นอนว่ามีวิธีอื่นหรือวิธีดั้งเดิมมากกว่า เช่น

  • สถิติเซสชันสามารถรวบรวมผ่าน netflow จากนั้นจึงใช้ยูทิลิตี้พิเศษเพื่อวิเคราะห์ข้อมูลและแสดงข้อมูลเป็นภาพ
  • การป้องกันภัยคุกคาม – โปรแกรมพิเศษ (ป้องกันไวรัส, ป้องกันสปายแวร์, ไฟร์วอลล์) บนโฮสต์ปลายทาง
  • การกรอง URL การกรองข้อมูล การบล็อกไฟล์ – บนพร็อกซี
  • นอกจากนี้ยังสามารถวิเคราะห์ tcpdump โดยใช้เช่น เสียงหายใจรุนแรง

คุณสามารถรวมทั้งสองแนวทางเข้าด้วยกัน เสริมคุณสมบัติที่ขาดหายไปหรือทำซ้ำเพื่อเพิ่มโอกาสในการตรวจจับการโจมตี

คุณควรเลือกแนวทางใด?
ขึ้นอยู่กับคุณสมบัติและความชอบของทีมของคุณเป็นอย่างมาก
มีทั้งข้อดีและข้อเสีย

ระบบการรับรองความถูกต้องและการอนุญาตแบบรวมศูนย์แบบรวมศูนย์

เมื่อได้รับการออกแบบมาอย่างดี ความคล่องตัวที่เราพูดถึงในบทความนี้จะถือว่าคุณมีสิทธิ์เข้าถึงแบบเดียวกัน ไม่ว่าคุณจะทำงานจากสำนักงานหรือที่บ้าน จากสนามบิน จากร้านกาแฟ หรือที่อื่นๆ (โดยมีข้อจำกัดที่เรากล่าวถึงข้างต้น) ดูเหมือนว่าปัญหาคืออะไร?
เพื่อให้เข้าใจถึงความซับซ้อนของงานนี้ได้ดีขึ้น มาดูการออกแบบทั่วไปกัน

ตัวอย่าง

  • คุณได้แบ่งพนักงานทั้งหมดออกเป็นกลุ่ม คุณได้ตัดสินใจที่จะให้การเข้าถึงโดยกลุ่ม
  • ภายในสำนักงาน คุณสามารถควบคุมการเข้าถึงไฟร์วอลล์ของสำนักงานได้
  • คุณควบคุมการรับส่งข้อมูลจากสำนักงานไปยังศูนย์ข้อมูลบนไฟร์วอลล์ของศูนย์ข้อมูล
  • คุณใช้ Cisco ASA เป็นเกตเวย์ VPN และเพื่อควบคุมการรับส่งข้อมูลที่เข้าสู่เครือข่ายของคุณจากไคลเอนต์ระยะไกล คุณใช้ ACL ภายใน (บน ASA)

ตอนนี้ สมมติว่าคุณถูกขอให้เพิ่มการเข้าถึงเพิ่มเติมให้กับพนักงานบางคน ในกรณีนี้ คุณจะถูกขอให้เพิ่มการเข้าถึงเฉพาะเขาเท่านั้น และไม่มีใครจากกลุ่มของเขา

สำหรับสิ่งนี้เราต้องสร้างกลุ่มแยกต่างหากสำหรับพนักงานรายนี้นั่นคือ

  • สร้างกลุ่ม IP แยกต่างหากบน ASA สำหรับพนักงานรายนี้
  • เพิ่ม ACL ใหม่บน ASA และผูกเข้ากับไคลเอนต์ระยะไกลนั้น
  • สร้างนโยบายความปลอดภัยใหม่บนไฟร์วอลล์สำนักงานและศูนย์ข้อมูล

คงจะดีถ้างานนี้หายาก แต่ในทางปฏิบัติของฉันมีสถานการณ์ที่พนักงานมีส่วนร่วมในโครงการต่างๆ และโครงการชุดนี้สำหรับบางคนมีการเปลี่ยนแปลงค่อนข้างบ่อย ไม่ใช่ 1-2 คน แต่เป็นหลายสิบคน แน่นอนว่าต้องมีการเปลี่ยนแปลงบางอย่างที่นี่

สิ่งนี้ได้รับการแก้ไขด้วยวิธีต่อไปนี้

เราตัดสินใจว่า LDAP จะเป็นแหล่งความจริงเพียงแหล่งเดียวที่กำหนดการเข้าถึงของพนักงานที่เป็นไปได้ทั้งหมด เราสร้างกลุ่มทุกประเภทที่กำหนดชุดการเข้าถึง และเรากำหนดผู้ใช้แต่ละรายให้กับกลุ่มตั้งแต่หนึ่งกลุ่มขึ้นไป

เช่น สมมติว่ามีกลุ่ม

  • แขก (อินเทอร์เน็ต)
  • การเข้าถึงทั่วไป (การเข้าถึงทรัพยากรที่ใช้ร่วมกัน: เมล ฐานความรู้ ...)
  • การบัญชี
  • โครงการ 1
  • โครงการ 2
  • ผู้ดูแลระบบฐานข้อมูล
  • ผู้ดูแลระบบลินุกซ์
  • ...

และหากพนักงานคนใดคนหนึ่งมีส่วนร่วมในทั้งโครงการ 1 และโครงการ 2 และเขาต้องการการเข้าถึงที่จำเป็นในการทำงานในโครงการเหล่านี้ พนักงานคนนี้ก็จะได้รับมอบหมายให้อยู่ในกลุ่มต่อไปนี้:

  • ผู้เข้าพัก
  • การเข้าถึงทั่วไป
  • โครงการ 1
  • โครงการ 2

ตอนนี้เราจะเปลี่ยนข้อมูลนี้ให้เข้าถึงอุปกรณ์เครือข่ายได้อย่างไร?

นโยบายการเข้าถึงแบบไดนามิกของ Cisco ASA (DAP) (ดู www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next- generation-firewalls/108000-dap-deploy-guide.html) โซลูชันนี้เหมาะสำหรับงานนี้โดยเฉพาะ

สั้น ๆ เกี่ยวกับการนำไปใช้งานของเรา ในระหว่างกระบวนการระบุตัวตน/การอนุญาต ASA ได้รับชุดของกลุ่มจาก LDAP ที่สอดคล้องกับผู้ใช้ที่กำหนด และ "รวบรวม" จาก ACL ท้องถิ่นหลายรายการ (แต่ละอันสอดคล้องกับกลุ่ม) ACL แบบไดนามิกพร้อมการเข้าถึงที่จำเป็นทั้งหมด ซึ่งตรงกับความปรารถนาของเราอย่างเต็มที่

แต่นี่เป็นเพียงการเชื่อมต่อ VPN เท่านั้น เพื่อให้สถานการณ์เดียวกันสำหรับทั้งพนักงานที่เชื่อมต่อผ่าน VPN และพนักงานในสำนักงาน จึงได้ดำเนินการขั้นตอนต่อไปนี้

เมื่อเชื่อมต่อจากสำนักงาน ผู้ใช้ที่ใช้โปรโตคอล 802.1x จะจบลงที่ LAN แบบเกสต์ (สำหรับเกสต์) หรือ LAN ที่ใช้ร่วมกัน (สำหรับพนักงานบริษัท) นอกจากนี้ เพื่อให้ได้รับการเข้าถึงที่เฉพาะเจาะจง (เช่น โครงการในศูนย์ข้อมูล) พนักงานจะต้องเชื่อมต่อผ่าน VPN

ในการเชื่อมต่อจากสำนักงานและจากที่บ้าน มีการใช้กลุ่มทันเนลที่แตกต่างกันบน ASA นี่เป็นสิ่งจำเป็นเพื่อให้ผู้ที่เชื่อมต่อจากสำนักงาน รับส่งข้อมูลไปยังทรัพยากรที่ใช้ร่วมกัน (ใช้โดยพนักงานทุกคน เช่น เมล ไฟล์เซิร์ฟเวอร์ ระบบตั๋ว DNS ... ) จะไม่ผ่าน ASA แต่ผ่านเครือข่ายท้องถิ่น . ดังนั้นเราจึงไม่ได้โหลด ASA ด้วยการรับส่งข้อมูลที่ไม่จำเป็น รวมถึงการรับส่งข้อมูลที่มีความเข้มข้นสูง

ดังนั้นปัญหาจึงได้รับการแก้ไข
เราได้รับ

  • ชุดการเข้าถึงเดียวกันสำหรับทั้งการเชื่อมต่อจากสำนักงานและการเชื่อมต่อระยะไกล
  • ไม่มีการเสื่อมสภาพของบริการเมื่อทำงานจากสำนักงานที่เกี่ยวข้องกับการรับส่งข้อมูลที่มีความหนาแน่นสูงผ่าน ASA

ข้อดีอื่น ๆ ของแนวทางนี้คืออะไร?
ในการบริหารการเข้าถึง การเข้าถึงสามารถเปลี่ยนแปลงได้ง่ายในที่เดียว
ตัวอย่างเช่น หากพนักงานลาออกจากบริษัท คุณเพียงลบเขาออกจาก LDAP และเขาจะสูญเสียสิทธิ์การเข้าถึงทั้งหมดโดยอัตโนมัติ

การตรวจสอบโฮสต์

ด้วยความเป็นไปได้ของการเชื่อมต่อระยะไกล เราจึงเสี่ยงที่จะไม่เพียงแต่ให้พนักงานของบริษัทเข้าสู่เครือข่ายเท่านั้น แต่ยังรวมไปถึงซอฟต์แวร์ที่เป็นอันตรายทั้งหมดที่อาจปรากฏบนคอมพิวเตอร์ของเขา (เช่น ที่บ้าน) และยิ่งไปกว่านั้น เราผ่านซอฟต์แวร์นี้ อาจให้การเข้าถึงเครือข่ายของเราแก่ผู้โจมตีโดยใช้โฮสต์นี้เป็นพร็อกซี

เป็นเรื่องเหมาะสมที่โฮสต์ที่เชื่อมต่อระยะไกลจะใช้ข้อกำหนดด้านความปลอดภัยเดียวกันกับโฮสต์ในสำนักงาน

นอกจากนี้ยังถือว่าระบบปฏิบัติการ ซอฟต์แวร์ป้องกันไวรัส ป้องกันสปายแวร์ และไฟร์วอลล์และการอัปเดตเวอร์ชัน “ถูกต้อง” อีกด้วย โดยทั่วไป ความสามารถนี้มีอยู่ในเกตเวย์ VPN (สำหรับ ASA โปรดดูตัวอย่าง ที่นี่).

นอกจากนี้ คุณควรใช้การวิเคราะห์การรับส่งข้อมูลและการบล็อกเทคนิคเดียวกัน (ดู "การป้องกันระดับสูง") ที่นโยบายความปลอดภัยของคุณใช้กับการรับส่งข้อมูลในสำนักงาน

มีเหตุผลที่จะสรุปได้ว่าเครือข่ายสำนักงานของคุณไม่ได้จำกัดอยู่เพียงอาคารสำนักงานและโฮสต์ภายในอาคารอีกต่อไป

ตัวอย่าง

เทคนิคที่ดีคือการจัดเตรียมแล็ปท็อปที่ดีและสะดวกให้กับพนักงานแต่ละคนที่ต้องการการเข้าถึงจากระยะไกล และต้องการให้พวกเขาทำงานทั้งในสำนักงานและจากที่บ้านจากเครื่องนั้นเท่านั้น

ไม่เพียงแต่จะปรับปรุงความปลอดภัยของเครือข่ายของคุณเท่านั้น แต่ยังสะดวกจริงๆ และโดยปกติแล้วพนักงานจะมองว่าดี (หากเป็นแล็ปท็อปที่ดีและใช้งานง่ายจริงๆ)

เกี่ยวกับความรู้สึกของสัดส่วนและความสมดุล

โดยพื้นฐานแล้ว นี่คือการสนทนาเกี่ยวกับจุดยอดที่สามของสามเหลี่ยมของเรา - เกี่ยวกับราคา
ลองดูตัวอย่างสมมุติ

ตัวอย่าง

คุณมีสำนักงานสำหรับ 200 คน คุณตัดสินใจที่จะทำให้สะดวกและปลอดภัยที่สุดเท่าที่จะเป็นไปได้

ดังนั้น คุณจึงตัดสินใจส่งการรับส่งข้อมูลทั้งหมดผ่านไฟร์วอลล์ ดังนั้นสำหรับซับเน็ตสำนักงานทั้งหมด ไฟร์วอลล์จึงเป็นเกตเวย์เริ่มต้น นอกเหนือจากซอฟต์แวร์ความปลอดภัยที่ติดตั้งบนโฮสต์ปลายทางแต่ละเครื่อง (ซอฟต์แวร์ป้องกันไวรัส สปายแวร์ และไฟร์วอลล์) คุณยังตัดสินใจใช้วิธีการป้องกันที่เป็นไปได้ทั้งหมดกับไฟร์วอลล์อีกด้วย

เพื่อให้มั่นใจถึงความเร็วในการเชื่อมต่อที่สูง (ทั้งหมดเพื่อความสะดวก) คุณเลือกสวิตช์ที่มีพอร์ตการเข้าถึง 10 กิกะบิตเป็นสวิตช์การเข้าถึง และเลือกไฟร์วอลล์ NGFW ประสิทธิภาพสูงเป็นไฟร์วอลล์ เช่น ซีรีส์ Palo Alto 7K (พร้อมพอร์ต 40 กิกะบิต) โดยธรรมชาติพร้อมใบอนุญาตทั้งหมด รวมอยู่ด้วยและแน่นอนว่าเป็นคู่ความพร้อมใช้งานสูง

นอกจากนี้ แน่นอนว่าในการทำงานกับอุปกรณ์กลุ่มนี้ เราจำเป็นต้องมีวิศวกรรักษาความปลอดภัยที่มีคุณสมบัติสูงอย่างน้อยสองสามคน

ต่อไป คุณตัดสินใจมอบแล็ปท็อปที่ดีให้กับพนักงานแต่ละคน

รวมแล้วประมาณ 10 ล้านดอลลาร์สำหรับการดำเนินการ และหลายแสนดอลลาร์ (ฉันคิดว่าเกือบล้านดอลลาร์) สำหรับการสนับสนุนประจำปีและเงินเดือนสำหรับวิศวกร

สำนักงาน จำนวน 200 คน...
สะดวกสบาย? ฉันเดาว่ามันใช่

คุณมาพร้อมกับข้อเสนอนี้ต่อฝ่ายบริหารของคุณ...
บางทีอาจมีบริษัทหลายแห่งในโลกที่วิธีนี้เป็นที่ยอมรับและโซลูชั่นที่ถูกต้อง หากคุณเป็นพนักงานของบริษัทนี้ ฉันขอแสดงความยินดี แต่ในกรณีส่วนใหญ่ ฉันแน่ใจว่าความรู้ของคุณจะไม่ได้รับการชื่นชมจากฝ่ายบริหาร

ตัวอย่างนี้เกินจริงหรือไม่? บทต่อไปจะตอบคำถามนี้

หากบนเครือข่ายของคุณ คุณไม่เห็นสิ่งใดๆ ข้างต้น แสดงว่าเป็นเรื่องปกติ
สำหรับแต่ละกรณี คุณจะต้องค้นหาการประนีประนอมที่สมเหตุสมผลระหว่างความสะดวก ราคา และความปลอดภัย บ่อยครั้งที่คุณไม่จำเป็นต้องใช้ NGFW ในสำนักงานของคุณ และไม่จำเป็นต้องมีการป้องกัน L7 บนไฟร์วอลล์ การมอบการมองเห็นและการแจ้งเตือนในระดับที่ดีก็เพียงพอแล้ว และสามารถทำได้โดยใช้ผลิตภัณฑ์โอเพ่นซอร์ส เป็นต้น ใช่ ปฏิกิริยาของคุณต่อการโจมตีจะไม่เกิดขึ้นทันที แต่สิ่งสำคัญคือคุณจะเห็นมัน และด้วยกระบวนการที่เหมาะสมในแผนกของคุณ คุณจะสามารถต่อต้านการโจมตีได้อย่างรวดเร็ว

และให้ฉันเตือนคุณว่า ตามแนวคิดของบทความชุดนี้ คุณไม่ได้ออกแบบเครือข่าย คุณเพียงพยายามปรับปรุงสิ่งที่คุณได้รับเท่านั้น

การวิเคราะห์สถาปัตยกรรมสำนักงานอย่างปลอดภัย

ให้ความสนใจกับจัตุรัสสีแดงนี้ซึ่งฉันจัดสรรสถานที่ในแผนภาพ คู่มือสถาปัตยกรรมวิทยาเขตที่ปลอดภัยของ SAFEซึ่งผมอยากจะหารือที่นี่

วิธีควบคุมโครงสร้างพื้นฐานเครือข่ายของคุณ บทที่สาม ความปลอดภัยของเครือข่าย ส่วนที่ XNUMX

นี่เป็นหนึ่งในสถานที่สำคัญทางสถาปัตยกรรมและเป็นหนึ่งในความไม่แน่นอนที่สำคัญที่สุด

คำพูด

ฉันไม่เคยตั้งค่าหรือทำงานร่วมกับ FirePower (จากกลุ่มผลิตภัณฑ์ไฟร์วอลล์ของ Cisco - มีเพียง ASA เท่านั้น) ดังนั้นฉันจะปฏิบัติต่อมันเหมือนกับไฟร์วอลล์อื่นๆ เช่น Juniper SRX หรือ Palo Alto โดยสมมติว่ามีความสามารถเหมือนกัน

จากการออกแบบปกติ ฉันเห็นเพียง 4 ตัวเลือกที่เป็นไปได้สำหรับการใช้ไฟร์วอลล์ด้วยการเชื่อมต่อนี้:

  • เกตเวย์เริ่มต้นสำหรับแต่ละเครือข่ายย่อยคือสวิตช์ ในขณะที่ไฟร์วอลล์อยู่ในโหมดโปร่งใส (นั่นคือการรับส่งข้อมูลทั้งหมดผ่านไปได้ แต่ไม่ได้สร้าง L3 hop)
  • เกตเวย์เริ่มต้นสำหรับแต่ละเครือข่ายย่อยคืออินเทอร์เฟซย่อยไฟร์วอลล์ (หรืออินเทอร์เฟซ SVI) สวิตช์มีบทบาทเป็น L2
  • มีการใช้ VRF ที่แตกต่างกันบนสวิตช์ และการรับส่งข้อมูลระหว่าง VRF ผ่านไฟร์วอลล์ การรับส่งข้อมูลภายใน VRF เดียวจะถูกควบคุมโดย ACL บนสวิตช์
  • การรับส่งข้อมูลทั้งหมดจะถูกมิเรอร์ไปยังไฟร์วอลล์เพื่อการวิเคราะห์และการตรวจสอบ การรับส่งข้อมูลไม่ผ่าน

หมายเหตุ 1

การรวมกันของตัวเลือกเหล่านี้เป็นไปได้ แต่เพื่อความง่ายเราจะไม่พิจารณาพวกมัน

โน้ต 2

นอกจากนี้ยังมีความเป็นไปได้ในการใช้ PBR (สถาปัตยกรรมห่วงโซ่บริการ) แต่สำหรับตอนนี้ แม้ว่าจะเป็นวิธีแก้ปัญหาที่สวยงามในความคิดของฉัน แต่ก็ค่อนข้างแปลกใหม่ ดังนั้นฉันจึงไม่ได้พิจารณาที่นี่

จากคำอธิบายของโฟลว์ในเอกสารเราจะเห็นว่าการรับส่งข้อมูลยังคงผ่านไฟร์วอลล์นั่นคือตามการออกแบบของ Cisco ตัวเลือกที่สี่จะถูกกำจัดออกไป

มาดูสองตัวเลือกแรกกันก่อน
ด้วยตัวเลือกเหล่านี้ การรับส่งข้อมูลทั้งหมดจะต้องผ่านไฟร์วอลล์

ตอนนี้เรามาดูกัน แผ่นข้อมูล, ดู ซิสโก้ จีพีแอล และเราเห็นว่าหากเราต้องการแบนด์วิดท์รวมสำหรับสำนักงานของเราอย่างน้อยประมาณ 10 - 20 กิกะบิต เราต้องซื้อเวอร์ชัน 4K

คำพูด

เมื่อฉันพูดถึงแบนด์วิธทั้งหมด ฉันหมายถึงการรับส่งข้อมูลระหว่างซับเน็ต (ไม่ใช่ภายในวิลานาเดียว)

จาก GPL เราพบว่าสำหรับ HA Bundle พร้อม Threat Defense ราคาขึ้นอยู่กับรุ่น (4110 - 4150) จะแตกต่างกันไปตั้งแต่ ~0,5 - 2,5 ล้านดอลลาร์

นั่นคือการออกแบบของเราเริ่มคล้ายกับตัวอย่างก่อนหน้านี้

นี่หมายความว่าการออกแบบนี้ผิดหรือเปล่า?
ไม่ นั่นไม่ได้หมายความว่ามัน Cisco ให้การป้องกันที่ดีที่สุดเท่าที่จะเป็นไปได้โดยพิจารณาจากสายผลิตภัณฑ์ที่มีอยู่ แต่นั่นไม่ได้หมายความว่าเป็นสิ่งที่ต้องทำสำหรับคุณ

โดยหลักการแล้ว นี่เป็นคำถามทั่วไปที่เกิดขึ้นเมื่อออกแบบสำนักงานหรือศูนย์ข้อมูล และนั่นหมายถึงว่าจำเป็นต้องหาทางประนีประนอมเท่านั้น

ตัวอย่างเช่น อย่าปล่อยให้การรับส่งข้อมูลทั้งหมดผ่านไฟร์วอลล์ ซึ่งในกรณีนี้ตัวเลือกที่ 3 ดูค่อนข้างดีสำหรับฉัน หรือ (ดูหัวข้อก่อนหน้า) บางทีคุณอาจไม่ต้องการการป้องกันภัยคุกคาม หรือไม่ต้องการไฟร์วอลล์เลย ส่วนเครือข่าย และคุณเพียงแค่ต้องจำกัดตัวเองให้อยู่ในการตรวจสอบแบบพาสซีฟโดยใช้โซลูชันโอเพ่นซอร์สแบบชำระเงิน (ไม่แพง) หรือคุณต้องการไฟร์วอลล์ แต่จากผู้ขายรายอื่น

โดยปกติแล้วจะมีความไม่แน่นอนอยู่เสมอ และไม่มีคำตอบที่ชัดเจนว่าการตัดสินใจใดดีที่สุดสำหรับคุณ
นี่คือความซับซ้อนและความสวยงามของงานนี้

ที่มา: will.com

เพิ่มความคิดเห็น