主持人 > 博客 > 管理 > 如何控制您的网络基础设施。 第三章。 网络安全。 第一部分

如何控制您的网络基础设施。 第三章。 网络安全。 第一部分

本文是“如何控制网络基础设施”系列文章的第三篇。 该系列所有文章内容及链接均可找到 这里.

如何控制您的网络基础设施。 第三章。 网络安全。 第一部分

谈论完全消除安全风险是没有意义的。 原则上,我们不能将它们减少到零。 我们还需要了解,随着我们努力使网络变得越来越安全,我们的解决方案变得越来越昂贵。 您需要在成本、复杂性和安全性之间找到对您的网络有意义的权衡。

当然,安全设计是有机融入到整体架构中的,所使用的安全解决方案会影响网络基础设施的可扩展性、可靠性、可管理性……,这些也是必须考虑到的。

但让我提醒您,现在我们不是在谈论创建网络。 根据我们的 初始条件 我们已经选择了设计,选择了设备,创建了基础设施,在这个阶段,如果可能的话,我们应该“生活”并在之前选择的方法的背景下找到解决方案。

我们现在的任务是识别与网络级别安全相关的风险并将其降低到合理水平。

网络安全审计

如果您的组织已实施 ISO 27k 流程,那么安全审核和网络变更应无缝融入此方法的整体流程中。 但这些标准仍然不是关于具体的解决方案,不是关于配置,不是关于设计……没有明确的建议,没有标准详细规定你的网络应该是什么样子,这就是这项任务的复杂性和美妙之处。

我想强调几种可能的网络安全审计:

  • 设备配置审核(加固)
  • 安全设计审核
  • 访问审核
  • 过程审核

设备配置审核(加固)

在大多数情况下,这似乎是审核和提高网络安全性的最佳起点。 恕我直言,这是帕累托定律的一个很好的证明(20%的努力产生80%的结果,而剩下的80%的努力只产生20%的结果)。

最重要的是,我们通常会从供应商那里得到有关配置设备时安全性“最佳实践”的建议。 这称为“硬化”。

您通常还可以根据这些建议找到一份调查问卷(或自己创建一份),这将帮助您确定设备的配置与这些“最佳实践”的符合程度,并根据结果对网络进行更改。 这将使您能够轻松地显着降低安全风险,而且几乎不需要任何成本。

一些 Cisco 操作系统的几个示例。

Cisco IOS 配置强化
Cisco IOS-XR 配置强化
思科 NX-OS 配置强化
思科基线安全检查表

根据这些文档,可以创建每种类型设备的配置要求列表。 例如,对于 Cisco N7K VDC,这些要求可能如下所示 所以.

通过这种方式,可以为网络基础设施中不同类型的有源设备创建配置文件。 接下来,您可以手动或使用自动化“上传”这些配置文件。 如何自动化此过程将在有关编排和自动化的另一系列文章中详细讨论。

安全设计审核

通常,企业网络包含以下一种或另一种形式的网段:

  • DC(公共服务DMZ和内网数据中心)
  • 互联网线路
  • 远程访问VPN
  • 广域网边缘
  • 分支机构
  • 校园(办公室)
  • 核心

标题取自 思科安全 模型,但当然没有必要精确地附加到这些名称和该模型上。 不过我还是想讲本质,不拘泥于形式。

对于每个细分市场,安全要求、风险以及相应的解决方案都会有所不同。

让我们从安全设计的角度分别查看它们中的每一个,以了解您可能遇到的问题。 当然,我再次重申,本文绝不是假装完整,在这个真正深入且多方面的主题中实现这一点并不容易(如果不是不可能),但它反映了我的个人经历。

目前还没有完美的解决方案(至少目前还没有)。 这总是一种妥协。 但重要的是,必须有意识地做出使用一种方法或另一种方法的决定,并了解其优点和缺点。

数据中心

从安全角度来看最关键的部分。
而且,像往常一样,这里也没有通用的解决方案。 这在很大程度上取决于网络要求。

防火墙有必要吗?

似乎答案是显而易见的,但一切并不像看起来那么清楚。 你的选择不仅会受到影响 价格.

例如1。 延误。

如果低延迟是某些网段之间的基本要求(例如在交换的情况下),那么我们将无法在这些网段之间使用防火墙。 很难找到有关防火墙延迟的研究,但很少有交换机型号可以提供小于或大约 1 mksec 的延迟,因此我认为如果微秒对您很重要,那么防火墙不适合您。

例如2。 性能。

顶级 L3 交换机的吞吐量通常比最强大的防火墙的吞吐量高一个数量级。 因此,在高强度流量的情况下,您很可能还必须允许该流量绕过防火墙。

例如3。 可靠性。

防火墙,尤其是现代 NGFW(下一代防火墙)是复杂的设备。 它们比 L3/L2 交换机复杂得多。 它们提供了大量的服务和配置选项,因此它们的可靠性低得多也就不足为奇了。 如果服务连续性对网络至关重要,那么您可能必须选择能够带来更好可用性的方法 - 防火墙的安全性或使用常规 ACL 在交换机(或各种结构)上构建的网络的简单性。

在上述示例的情况下,您很可能(像往常一样)必须找到折衷方案。 寻求以下解决方案:

  • 如果您决定不在数据中心内部使用防火墙,那么您需要考虑如何尽可能限制外围访问。 例如,您可以仅打开来自 Internet 的必要端口(用于客户端流量)以及仅从跳转主机对数据中心的管理访问。 在跳转主机上,执行所有必要的检查(身份验证/授权、防病毒、日志记录等)
  • 您可以使用数据中心网络的逻辑分区来分段,类似于 PSEFABRIC 中描述的方案 示例 p002。 在这种情况下,必须以这样一种方式配置路由,即延迟敏感或高强度流量在一个网段“内部”(在 p002 的情况下,VRF)并且不通过防火墙。 不同网段之间的流量将继续通过防火墙。 您还可以使用 VRF 之间的路由泄漏来避免通过防火墙重定向流量
  • 您还可以在透明模式下使用防火墙,并且仅适用于这些因素(延迟/性能)不重要的 VLAN。 但您需要仔细研究每个供应商与使用此模组相关的限制
  • 您可能需要考虑使用服务链架构。 这将只允许必要的流量通过防火墙。 理论上看起来不错,但我从未在生产中见过这个解决方案。 大约 5 年前,我们测试了 Cisco ACI/Juniper SRX/F3 LTM 的服务链,但当时这个解决方案对我们来说显得“粗糙”。

保护等级

现在您需要回答要使用什么工具来过滤流量的问题。 以下是 NGFW 中通常存在的一些功能(例如, 这里):

  • 状态防火墙(默认)
  • 应用程序防火墙
  • 威胁预防(防病毒、反间谍软件和漏洞)
  • URL过滤
  • 数据过滤(内容过滤)
  • 文件阻止(文件类型阻止)
  • dos保护

也并非一切都清楚。 看来防护等级越高越好。 但你还需要考虑到

  • 上述防火墙功能使用的越多,自然会越贵(许可证、附加模块)
  • 使用某些算法可以显着降低防火墙吞吐量并增加延迟,请参见示例 这里
  • 与任何复杂的解决方案一样,使用复杂的保护方法会降低解决方案的可靠性,例如,在使用应用程序防火墙时,我遇到了一些相当标准的工作应用程序(dns、smb)的阻止

与往常一样,您需要找到最适合您的网络的解决方案。

不可能明确回答可能需要什么保护功能的问题。 首先,因为这当然取决于您正在传输或存储并试图保护的数据。 其次,实际上,安全工具的选择通常取决于对供应商的信心和信任。 你不了解算法,不知道它们有多有效,也无法完全测试它们。

因此,在关键领域,一个好的解决方案可能是使用不同公司的报价。 例如,您可以在防火墙上启用防病毒功能,但也可以在主机上本地使用防病毒保护(来自其他制造商)。

分割

我们谈论的是数据中心网络的逻辑分段。 例如,划分VLAN和子网也是逻辑划分,但由于其显而易见性,我们不会考虑它。 有趣的细分考虑到诸如固件安全区域、VRF(及其与各个供应商相关的类似物)、逻辑设备(PA VSYS、思科 N7K VDC、思科 ACI 租户等)等实体,...

这种逻辑分段和当前需求的数据中心设计的示例在 PSEFABRIC 项目的 p002.

定义网络的逻辑部分后,您可以描述流量如何在不同网段之间移动、将在哪些设备上执行过滤以及通过什么方式执行。

如果你的网络没有清晰的逻辑分区,对不同数据流应用安全策略的规则也没有形式化,这意味着当你打开这个或那个访问时,你被迫解决这个问题,并且很有可能你每次都会以不同的方式解决它。

通常,分段仅基于固件安全区域。 那么您需要回答以下问题:

  • 您需要哪些安全区域
  • 您希望对每个区域应用什么级别的保护
  • 默认允许区域内流量吗?
  • 如果不是,每个区域内将应用哪些流量过滤策略
  • 每对区域(源/目标)将应用哪些流量过滤策略

TCAM

一个常见的问题是 TCAM(三态内容可寻址内存)对于路由和访问而言都不足。 恕我直言,这是选择设备时最重要的问题之一,因此您需要适当谨慎地对待这个问题。

示例 1. 转发表 TCAM。

让我们来看看 帕洛阿尔托 7k 防火墙
我们看到 IPv4 转发表大小* = 32K
此外,这个数量的路由对于所有 VSYS 都是通用的。

我们假设根据您的设计,您决定使用 4 个 VSYS。
这些 VSYS 中的每一个都通过 BGP 连接到用作 BB 的云中的两个 MPLS PE。 因此,4个VSYS彼此交换所有特定路由,并具有包含大致相同的路由集(但NH不同)的转发表。 因为每个VSYS有2个BGP会话(具有相同的设置),那么通过MPLS接收的每条路由有2个NH,相应地,转发表中有2个FIB条目。 如果我们假设这是数据中心中唯一的防火墙,并且它必须知道所有路由,那么这将意味着我们数据中心中的路由总数不能超过 32K/(4 * 2) = 4K。

现在,如果我们假设我们有2个数据中心(具有相同的设计),并且我们想要在数据中心之间使用“延伸”的VLAN(例如,用于vMotion),那么为了解决路由问题,我们必须使用主机路由。 但这意味着对于 2 个数据中心,我们将拥有不超过 4096 个可能的主机,当然,这可能还不够。

示例 2.ACL TCAM。

如果您计划在L3交换机(或使用L3交换机的其他解决方案,例如Cisco ACI)上过滤流量,那么在选择设备时应注意TCAM ACL。

假设您要控制Cisco Catalyst 4500的SVI接口上的访问。那么,可以看出 这篇文章,要控制接口上的传出(以及传入)流量,您只能使用 4096 TCAM 线路。 使用 TCAM3 时将为您提供大约 4000 万个 ACE(ACL 线)。

如果你面临着TCAM不足的问题,那么,首先当然需要考虑优化的可能性。 因此,如果转发表的大小出现问题,则需要考虑聚合路由的可能性。 如果访问的 TCAM 大小出现问题,请审核访问,删除过时和重叠的记录,并可能修改开放访问的程序(将在审核访问的章节中详细讨论)。

高可用性

问题是:我应该对防火墙使用 HA,还是“并行”安装两个独立的盒子,如果其中一个出现故障,则通过第二个路由流量?

看起来答案很明显——使用 HA。 这个问题仍然存在的原因是,不幸的是,理论上和广告上的 99 以及实践中可访问性的几个小数百分比结果远没有那么乐观。 从逻辑上讲,HA 是一件相当复杂的事情,在不同的设备上、不同的供应商(没有例外)上,我们发现了问题、错误和服务停止。

如果您使用 HA,您将有机会关闭各个节点,在不停止服务的情况下在它们之间切换,这很重要,例如,在进行升级时,但同时两个节点同时发生故障的概率远非零会同时中断,而且下次升级不会像供应商承诺的那样顺利(如果您有机会在实验室设备上测试升级,则可以避免此问题)。

如果您不使用HA,那么从双重故障的角度来看,您的风险要低得多(因为您有2个独立的防火墙),但是因为... 会话不同步,因此每次在这些防火墙之间切换时都会丢失流量。 当然,您可以使用无状态防火墙,但这样就基本上失去了使用防火墙的意义。

因此,如果审计的结果是您发现了孤立的防火墙,并且您正在考虑提高网络的可靠性,那么 HA 当然是推荐的解决方案之一,但您还应该考虑相关的缺点通过这种方法,也许,专门针对您的网络,另一种解决方案会更合适。

可管理性

原则上,HA也是关于可控性的。 您无需分别配置 2 个设备并处理保持配置同步的问题,而是可以像管理一台设备一样管理它们。

但也许你有很多数据中心和很多防火墙,那么这个问题就会出现在一个新的层面上。 而且问题不仅仅在于配置,还在于

  • 备份配置
  • 更新
  • 升级
  • 监控
  • 记录

而这一切都可以通过集中管理系统来解决。

因此,例如,如果您使用帕洛阿尔托防火墙,那么 全景 就是这样一个解决方案。

要继续进行下去。

来源: habr.com

添加评论