ProHoster > Blog > Ma'muriyat > Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Birinchi qism

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Birinchi qism

Ushbu maqola "Tarmoq infratuzilmangizni qanday nazorat qilish kerak" turkumidagi uchinchi maqoladir. Seriyadagi barcha maqolalarning mazmuni va havolalarni topishingiz mumkin shu yerda.

Tarmoq infratuzilmangizni qanday nazorat qilish kerak. Uchinchi bob. Tarmoq xavfsizligi. Birinchi qism

Xavfsizlik xavflarini butunlay yo'q qilish haqida gapirishdan ma'no yo'q. Aslida, biz ularni nolga tushira olmaymiz. Shuningdek, biz tarmoqni yanada xavfsizroq qilishga intilayotganimiz sababli, yechimlarimiz tobora qimmatlashib borayotganini tushunishimiz kerak. Tarmog'ingiz uchun mantiqiy bo'lgan xarajat, murakkablik va xavfsizlik o'rtasidagi kelishuvni topishingiz kerak.

Albatta, xavfsizlik dizayni umumiy arxitekturaga organik tarzda birlashtirilgan va foydalaniladigan xavfsizlik echimlari tarmoq infratuzilmasi miqyosi, ishonchliligi, boshqarilishi va ... ta'sir qiladi, bu ham hisobga olinishi kerak.

Ammo shuni eslatib o'tamanki, hozir biz tarmoq yaratish haqida gapirmayapmiz. Bizningcha boshlang'ich sharoitlar biz allaqachon dizaynni tanladik, uskunani tanladik va infratuzilmani yaratdik va bu bosqichda, agar iloji bo'lsa, avval tanlangan yondashuv kontekstida "yashashimiz" va echimlarni topishimiz kerak.

Endi bizning vazifamiz tarmoq darajasida xavfsizlik bilan bog'liq xavflarni aniqlash va ularni oqilona darajaga tushirishdir.

Tarmoq xavfsizligi auditi

Agar tashkilotingiz ISO 27k jarayonlarini amalga oshirgan bo'lsa, xavfsizlik tekshiruvlari va tarmoqdagi o'zgarishlar ushbu yondashuv doirasidagi umumiy jarayonlarga to'liq mos kelishi kerak. Ammo bu standartlar hali ham aniq echimlar haqida emas, konfiguratsiya haqida emas, dizayn haqida emas ... Sizning tarmog'ingiz qanday bo'lishi kerakligini batafsil aytib beradigan aniq maslahatlar, standartlar yo'q, bu vazifaning murakkabligi va go'zalligi.

Men bir nechta mumkin bo'lgan tarmoq xavfsizligi tekshiruvlarini ta'kidlayman:

  • uskunalar konfiguratsiyasi auditi (qattiqlashuv)
  • xavfsizlik dizayni auditi
  • kirish auditi
  • jarayon auditi

Uskuna konfiguratsiyasi auditi (qattiqlashuv)

Ko'rinib turibdiki, aksariyat hollarda bu sizning tarmog'ingiz xavfsizligini tekshirish va yaxshilash uchun eng yaxshi boshlanish nuqtasidir. IMHO, bu Pareto qonunining yaxshi namoyishi (20% harakatlar natijaning 80% ni, qolgan 80% kuch esa faqat 20% natijani beradi).

Xulosa shuki, biz odatda sotuvchilardan uskunani sozlashda xavfsizlik bo'yicha "eng yaxshi amaliyotlar" bo'yicha tavsiyalarga egamiz. Bu "qattiqlashish" deb ataladi.

Shuningdek, siz ushbu tavsiyalar asosida tez-tez anketani topishingiz mumkin (yoki o'zingiz yaratasiz), bu sizning uskunangiz konfiguratsiyasi ushbu "eng yaxshi amaliyotlar" ga qanchalik mos kelishini aniqlashga yordam beradi va natijaga ko'ra tarmog'ingizga o'zgartirishlar kiritadi. . Bu sizga deyarli hech qanday xarajatsiz, xavfsizlik xavfini sezilarli darajada kamaytirish imkonini beradi.

Ba'zi Cisco operatsion tizimlari uchun bir nechta misollar.

Cisco IOS konfiguratsiyasini qattiqlashtirish
Cisco IOS-XR konfiguratsiyasini qattiqlashtirish
Cisco NX-OS konfiguratsiyasini qattiqlashtirish
Cisco Baseline Xavfsizlik Tekshirish Ro'yxati

Ushbu hujjatlar asosida har bir turdagi uskunalar uchun konfiguratsiya talablari ro'yxati tuzilishi mumkin. Masalan, Cisco N7K VDC uchun bu talablar shunday ko'rinishi mumkin shunday.

Shunday qilib, tarmoq infratuzilmangizdagi har xil turdagi faol uskunalar uchun konfiguratsiya fayllari yaratilishi mumkin. Keyinchalik, qo'lda yoki avtomatlashtirishdan foydalanib, siz ushbu konfiguratsiya fayllarini "yuklashingiz" mumkin. Ushbu jarayonni qanday avtomatlashtirish haqida orkestratsiya va avtomatlashtirish bo'yicha boshqa maqolalar seriyasida batafsil muhokama qilinadi.

Xavfsizlik dizayni auditi

Odatda korporativ tarmoq u yoki bu shaklda quyidagi segmentlarni o'z ichiga oladi:

  • DC (Davlat xizmatlari DMZ va Intranet ma'lumotlar markazi)
  • Internetga ulanish
  • Masofaviy kirish VPN
  • WAN chekkasi
  • filial
  • Kampus (ofis)
  • Core

Sarlavhalar dan olingan Cisco SAFE model, lekin bu nomlarga va ushbu modelga aniq biriktirilishi shart emas. Shunga qaramay, men mohiyat haqida gapirmoqchiman va rasmiyatchiliklarga berilib qolmayman.

Ushbu segmentlarning har biri uchun xavfsizlik talablari, xavflar va shunga mos ravishda echimlar boshqacha bo'ladi.

Keling, xavfsizlik dizayni nuqtai nazaridan duch kelishi mumkin bo'lgan muammolar uchun ularning har birini alohida ko'rib chiqaylik. Albatta, takror aytamanki, ushbu maqola hech qanday tarzda o'zini to'liq deb ko'rsatmaydi, bu haqiqatan ham chuqur va ko'p qirrali mavzuda erishish oson emas (agar imkonsiz bo'lsa ham), lekin bu mening shaxsiy tajribamni aks ettiradi.

Hech qanday mukammal yechim yo'q (hech bo'lmaganda hali). Bu har doim murosa. Ammo u yoki bu yondashuvni qo'llash to'g'risida qaror ongli ravishda, uning ijobiy va salbiy tomonlarini tushungan holda qabul qilinishi muhimdir.

Ma'lumotlar markazi

Xavfsizlik nuqtai nazaridan eng muhim segment.
Va odatdagidek, bu erda ham universal echim yo'q. Bularning barchasi tarmoq talablariga bog'liq.

Xavfsizlik devori kerakmi yoki yo'qmi?

Javob aniq ko'rinadi, lekin hamma narsa ko'rinadigan darajada aniq emas. Va sizning tanlovingiz nafaqat ta'sir qilishi mumkin narxlari.

Misol 1. Kechikishlar.

Agar past kechikish ba'zi tarmoq segmentlari o'rtasida muhim talab bo'lsa, masalan, almashinuv holatida to'g'ri bo'lsa, biz ushbu segmentlar o'rtasida xavfsizlik devorlaridan foydalana olmaymiz. Xavfsizlik devorlarida kechikish bo'yicha tadqiqotlarni topish qiyin, biroq bir nechta switch modellari 1 mkssekdan kam yoki undan kam kechikishni ta'minlay oladi, shuning uchun agar mikrosekundlar siz uchun muhim bo'lsa, xavfsizlik devori siz uchun emas deb o'ylayman.

Misol 2. Ishlash.

Yuqori L3 kalitlarining o'tkazuvchanligi odatda eng kuchli xavfsizlik devorlarining o'tkazuvchanligidan kattaroq tartibdir. Shuning uchun, yuqori zichlikdagi trafik holatida siz ushbu trafikni xavfsizlik devorlarini chetlab o'tishga ruxsat berishingiz kerak bo'ladi.

Misol 3. Ishonchlilik.

Faervollar, ayniqsa zamonaviy NGFW (Next-Generation FW) murakkab qurilmalardir. Ular L3/L2 kalitlariga qaraganda ancha murakkab. Ular ko'plab xizmatlar va konfiguratsiya variantlarini taqdim etadilar, shuning uchun ularning ishonchliligi ancha past bo'lishi ajablanarli emas. Agar xizmatning uzluksizligi tarmoq uchun juda muhim bo'lsa, unda siz yaxshiroq mavjudligiga nima olib kelishini tanlashingiz kerak bo'lishi mumkin - xavfsizlik devori bilan xavfsizlik yoki oddiy ACLlar yordamida kalitlarga (yoki turli xil matolarga) qurilgan tarmoqning soddaligi.

Yuqoridagi misollarda siz (odatdagidek) murosaga kelishingiz kerak bo'ladi. Quyidagi echimlarni ko'rib chiqing:

  • agar siz ma'lumotlar markazi ichida xavfsizlik devorlarini ishlatmaslikka qaror qilsangiz, unda perimetr bo'ylab kirishni iloji boricha cheklash haqida o'ylashingiz kerak. Masalan, siz Internetdan faqat kerakli portlarni ochishingiz mumkin (mijoz trafigi uchun) va ma'lumotlar markaziga faqat o'tish xostlaridan ma'muriy kirish. O'tish xostlarida barcha kerakli tekshiruvlarni bajaring (autentifikatsiya/avtorizatsiya, antivirus, logging, ...)
  • siz PSEFABRIC-da tasvirlangan sxemaga o'xshash segmentlarga ma'lumotlar markazi tarmog'ining mantiqiy bo'linmasidan foydalanishingiz mumkin. misol p002. Bunday holda, marshrutni shunday sozlash kerakki, kechikishga sezgir yoki yuqori intensiv trafik bitta segment ichida (p002, VRF holatida) va xavfsizlik devori orqali o'tmaydi. Turli segmentlar orasidagi trafik xavfsizlik devori orqali o'tishda davom etadi. Xavfsizlik devori orqali trafikni qayta yo'naltirishni oldini olish uchun siz VRFlar o'rtasida marshrut oqishidan ham foydalanishingiz mumkin
  • Bundan tashqari, xavfsizlik devoridan shaffof rejimda va faqat ushbu omillar (kechikish/ishlash) ahamiyatsiz bo'lgan VLANlar uchun foydalanishingiz mumkin. Ammo har bir sotuvchi uchun ushbu moddan foydalanish bilan bog'liq cheklovlarni diqqat bilan o'rganishingiz kerak
  • xizmat zanjiri arxitekturasidan foydalanishni ko'rib chiqishingiz mumkin. Bu xavfsizlik devori orqali faqat kerakli trafikni o'tkazishga imkon beradi. Nazariy jihatdan yaxshi ko'rinadi, lekin men bu yechimni ishlab chiqarishda hech qachon ko'rmaganman. Biz taxminan 5 yil oldin Cisco ACI/Juniper SRX/F3 LTM uchun xizmat ko'rsatish zanjirini sinab ko'rdik, ammo o'sha paytda bu yechim bizga "xom" tuyuldi.

Himoya darajasi

Endi siz trafikni filtrlash uchun qanday vositalardan foydalanmoqchi ekanligingiz haqidagi savolga javob berishingiz kerak. Bu erda odatda NGFWda mavjud bo'lgan ba'zi xususiyatlar (masalan, shu yerda):

  • davlat xavfsizlik devori (standart)
  • dastur xavfsizlik devori
  • tahdidlarning oldini olish (antivirus, josuslarga qarshi dastur va zaiflik)
  • URLni filtrlash
  • ma'lumotlarni filtrlash (kontentni filtrlash)
  • fayllarni bloklash (fayl turlarini bloklash)
  • himoya qilish

Va hamma narsa ham aniq emas. Himoya darajasi qanchalik baland bo'lsa, shuncha yaxshi bo'ladi. Lekin buni ham hisobga olish kerak

  • Yuqoridagi xavfsizlik devori funksiyalaridan qanchalik ko'p foydalansangiz, u tabiiy ravishda qimmatroq bo'ladi (litsenziyalar, qo'shimcha modullar)
  • ba'zi algoritmlardan foydalanish xavfsizlik devori o'tkazuvchanligini sezilarli darajada kamaytirishi va kechikishlarni oshirishi mumkin, masalan, qarang. shu yerda
  • Har qanday murakkab yechim singari, murakkab himoya usullaridan foydalanish yechimingizning ishonchliligini pasaytirishi mumkin, masalan, dasturning xavfsizlik devoridan foydalanganda, men ba'zi bir standart ishlaydigan ilovalarni blokirovka qilishga duch keldim (dns, smb)

Har doimgidek, siz tarmog'ingiz uchun eng yaxshi echimni topishingiz kerak.

Qanday himoya funktsiyalari talab qilinishi mumkinligi haqidagi savolga aniq javob berish mumkin emas. Birinchidan, chunki bu, albatta, siz uzatayotgan yoki saqlayotgan va himoya qilishga harakat qilayotgan ma'lumotlaringizga bog'liq. Ikkinchidan, haqiqatda, ko'pincha xavfsizlik vositalarini tanlash sotuvchiga ishonish va ishonch masalasidir. Siz algoritmlarni bilmaysiz, ular qanchalik samarali ekanligini bilmaysiz va ularni to'liq sinab ko'ra olmaysiz.

Shuning uchun, tanqidiy segmentlarda turli kompaniyalarning takliflaridan foydalanish yaxshi echim bo'lishi mumkin. Misol uchun, siz xavfsizlik devorida antivirusni yoqishingiz mumkin, shuningdek, xostlarda mahalliy ravishda antivirus himoyasidan (boshqa ishlab chiqaruvchidan) foydalanishingiz mumkin.

Segmentatsiya

Gap ma'lumotlar markazi tarmog'ining mantiqiy segmentatsiyasi haqida bormoqda. Misol uchun, VLAN va pastki tarmoqlarga bo'linish ham mantiqiy segmentatsiyadir, ammo biz buni aniqligi sababli ko'rib chiqmaymiz. FW xavfsizlik zonalari, VRFlar (va ularning turli ishlab chiqaruvchilarga nisbatan analoglari), mantiqiy qurilmalar (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ... kabi ob'ektlarni hisobga olgan holda qiziqarli segmentatsiya.

Bunday mantiqiy segmentatsiya va hozirda talab qilinadigan ma'lumotlar markazi dizayni misolida keltirilgan PSEFABRIC loyihasining p002.

Tarmoqingizning mantiqiy qismlarini aniqlagandan so'ng, siz trafikning turli segmentlar o'rtasida qanday harakatlanishini, qaysi qurilmalarda filtrlash amalga oshirilishini va qanday vositalarni tasvirlab berishingiz mumkin.

Если в вашей сети отсутствует ясное логическое разбиение и не формализованы правила применения security политик для разных потоков данных (flow), то это значит, что при открытии того или иного доступа вы вынуждены решать эту задачу, и с большой вероятностью каждый раз вы будете решать ее har xil.

Ko'pincha segmentatsiya faqat FW xavfsizlik zonalariga asoslanadi. Keyin quyidagi savollarga javob berishingiz kerak:

  • sizga qanday xavfsizlik zonalari kerak
  • ushbu zonalarning har biriga qanday himoya darajasini qo'llamoqchisiz
  • sukut bo'yicha zona ichidagi harakatga ruxsat beriladimi?
  • bo'lmasa, har bir zonada qanday trafik filtrlash siyosati qo'llaniladi
  • Har bir zonalar juftligi uchun qanday trafik filtrlash siyosati qo'llaniladi (manba/maqsad)

TCAM

Keng tarqalgan muammo - bu marshrutlash uchun ham, kirish uchun ham TCAM (Ternary Content Addressable Memory) yetarli emas. IMHO, bu uskunani tanlashda eng muhim masalalardan biri, shuning uchun siz ushbu muammoni tegishli darajada ehtiyotkorlik bilan davolashingiz kerak.

Misol 1. TCAM yo'naltirish jadvali.

ko'rib chiqaylik Palo Alto 7k xavfsizlik devori
Biz IPv4 yo'naltirish jadvalining hajmi * = 32K ekanligini ko'ramiz
Bundan tashqari, ushbu marshrutlar soni barcha VSYSlar uchun umumiydir.

Faraz qilaylik, dizayningizga ko'ra siz 4 VSYS dan foydalanishga qaror qildingiz.
Ushbu VSYSlarning har biri BGP orqali siz BB sifatida foydalanadigan bulutning ikkita MPLS PE-siga ulangan. Shunday qilib, 4 VSYS barcha maxsus marshrutlarni bir-biri bilan almashtiradi va taxminan bir xil marshrutlar to'plamlari (lekin turli NHlar) bilan yo'naltirish jadvaliga ega. Chunki har bir VSYSda 2 ta BGP seansi mavjud (bir xil sozlamalar bilan), keyin MPLS orqali qabul qilingan har bir marshrutda 2 NH va shunga mos ravishda Forwarding Jadvalidagi 2 FIB yozuvlari mavjud. Agar bu ma'lumotlar markazidagi yagona xavfsizlik devori va u barcha yo'nalishlar haqida bilishi kerak deb hisoblasak, bu bizning ma'lumotlar markazimizdagi marshrutlarning umumiy soni 32K/(4 * 2) = 4K dan oshmasligini anglatadi.

Endi, agar bizda ikkita ma'lumot markazlari (bir xil dizayndagi) bor deb hisoblasak va biz ma'lumotlar markazlari o'rtasida "cho'zilgan" VLAN-lardan foydalanmoqchi bo'lsak (masalan, vMotion uchun), marshrutlash muammosini hal qilish uchun biz xost marshrutlaridan foydalanishimiz kerak. . Ammo bu shuni anglatadiki, 2 ta ma'lumot markazlari uchun bizda 2 dan ortiq mumkin bo'lgan xostlar bo'lmaydi va, albatta, bu etarli bo'lmasligi mumkin.

2-misol. ACL TCAM.

Agar siz L3 kalitlarida (yoki L3 kalitlarini ishlatadigan boshqa echimlarda, masalan, Cisco ACI) trafikni filtrlashni rejalashtirmoqchi bo'lsangiz, uskunani tanlashda siz TCAM ACL ga e'tibor berishingiz kerak.

Faraz qilaylik, siz Cisco Catalyst 4500 ning SVI interfeyslariga kirishni nazorat qilmoqchisiz. Undan ko'rinib turibdiki. Ushbu maqolaning, interfeyslarda chiquvchi (shuningdek, kiruvchi) trafikni boshqarish uchun siz faqat 4096 TCAM liniyasidan foydalanishingiz mumkin. Bu TCAM3 dan foydalanganda sizga taxminan 4000 ming ACE (ACL liniyalari) beradi.

Agar siz TCAM-ning etarli emasligi muammosiga duch kelsangiz, unda, birinchi navbatda, optimallashtirish imkoniyatini ko'rib chiqishingiz kerak. Shunday qilib, yo'naltirish jadvalining o'lchami bilan bog'liq muammo yuzaga kelganda, siz marshrutlarni birlashtirish imkoniyatini ko'rib chiqishingiz kerak. Kirishlar, kirishlar uchun TCAM o'lchami bilan bog'liq muammo yuzaga kelganda, eskirgan va bir-biriga o'xshash yozuvlarni olib tashlang va, ehtimol, kirishlarni ochish tartibini qayta ko'rib chiqing (bu haqda kirishni tekshirish bobida batafsil muhokama qilinadi).

Oliy mavjudligi

Savol tug'iladi: xavfsizlik devorlari uchun HA-dan foydalanishim kerakmi yoki ikkita mustaqil qutini "parallel" o'rnatishim kerak va agar ulardan biri muvaffaqiyatsiz bo'lsa, trafikni ikkinchisiga yo'naltirish kerakmi?

Javob aniq ko'rinadi - HA dan foydalaning. Bu savolning hanuzgacha paydo bo'lishining sababi shundaki, afsuski, amalda mavjudlikning nazariy va reklama 99 va bir necha o'nlik foizlari juda qizg'in emas. HA mantiqan juda murakkab narsa va turli xil uskunalarda va turli sotuvchilarda (hech qanday istisnolar yo'q edi) biz muammolar va xatolarni aniqladik va xizmat ko'rsatishni to'xtatdik.

Agar siz HA dan foydalansangiz, siz alohida tugunlarni o'chirib qo'yish, xizmatni to'xtatmasdan ular o'rtasida almashish imkoniyatiga ega bo'lasiz, bu muhim, masalan, yangilanishlarni amalga oshirishda, lekin ayni paytda ikkala tugunning ham noldan uzoqda bo'lish ehtimoli bor. bir vaqtning o'zida buziladi, shuningdek, keyingi yangilanish sotuvchi va'da qilganidek muammosiz o'tmaydi (agar siz yangilanishni laboratoriya jihozlarida sinab ko'rish imkoniga ega bo'lsangiz, bu muammodan qochishingiz mumkin).

Agar siz HA dan foydalanmasangiz, ikki tomonlama nosozlik nuqtai nazaridan sizning xavflaringiz ancha past bo'ladi (chunki sizda 2 ta mustaqil xavfsizlik devori mavjud), lekin ... seanslar sinxronlashtirilmagan bo'lsa, har safar ushbu xavfsizlik devorlari o'rtasida almashsangiz, siz trafikni yo'qotasiz. Siz, albatta, fuqaroligi bo'lmagan xavfsizlik devoridan foydalanishingiz mumkin, ammo keyin xavfsizlik devoridan foydalanish nuqtasi asosan yo'qoladi.

Shuning uchun, agar audit natijasida siz yolg'iz xavfsizlik devorlarini aniqlagan bo'lsangiz va siz tarmog'ingizning ishonchliligini oshirish haqida o'ylayotgan bo'lsangiz, unda HA, albatta, tavsiya etilgan echimlardan biridir, ammo bu bilan bog'liq kamchiliklarni ham hisobga olishingiz kerak. ushbu yondashuv bilan va, ehtimol, sizning tarmog'ingiz uchun boshqa yechim ko'proq mos keladi.

Boshqarish qobiliyati

Printsipial jihatdan, HA ham nazorat qilish imkoniyati bilan bog'liq. 2 ta qutini alohida sozlash va konfiguratsiyalarni sinxronlashtirish muammosi bilan shug'ullanish o'rniga, siz ularni xuddi bitta qurilmangiz kabi boshqarasiz.

Ammo, ehtimol, sizda ko'plab ma'lumotlar markazlari va ko'plab xavfsizlik devorlari mavjud bo'lsa, unda bu savol yangi darajada paydo bo'ladi. Va savol nafaqat konfiguratsiya, balki haqida ham

  • zaxira konfiguratsiyalar
  • yangilanishlar
  • yangilanishlar
  • monitoring
  • ro'yxatga olish

Va bularning barchasini markazlashtirilgan boshqaruv tizimlari bilan hal qilish mumkin.

Masalan, agar siz Palo Alto xavfsizlik devoridan foydalansangiz, u holda Panorama shunday yechimdir.

Davomi bor.

Manba: www.habr.com

a Izoh qo'shish