主持人 > 博客 > 管理 > 如何控制您的網路基礎架構。 第三章。 網路安全。 第一部分

如何控制您的網路基礎架構。 第三章。 網路安全。 第一部分

本文是「如何控制網路基礎設施」系列文章的第三篇。 此系列所有文章內容及連結均可找到 這裡.

如何控制您的網路基礎架構。 第三章。 網路安全。 第一部分

談論完全消除安全風險是沒有意義的。 原則上,我們不能將它們減少到零。 我們還需要了解,隨著我們努力使網路變得越來越安全,我們的解決方案變得越來越昂貴。 您需要在成本、複雜性和安全性之間找到對您的網路有意義的權衡。

當然,安全設計是有機融入整體架構中的,所使用的安全解決方案會影響網路基礎設施的可擴展性、可靠性、可管理性…,這些也是必須考慮到的。

但讓我提醒您,現在我們不是在談論創建網路。 根據我們的 初始條件 我們已經選擇了設計,選擇了設備,創建了基礎設施,在這個階段,如果可能的話,我們應該「生活」並在先前選擇的方法的背景下找到解決方案。

我們現在的任務是識別與網路層級安全相關的風險並將其降低到合理水平。

網路安全審計

如果您的組織已實施 ISO 27k 流程,那麼安全審核和網路變更應無縫融入此方法的整體流程。 但這些標準仍然不是關於具體的解決方案,不是關於配置,不是關於設計……沒有明確的建議,沒有標準詳細規定你的網絡應該是什麼樣子,這就是這項任務的複雜性和美妙之處。

我想強調幾種可能的網路安全審計:

  • 設備配置審核(加固)
  • 安全設計審核
  • 訪問審核
  • 過程審核

設備配置審核(加固)

在大多數情況下,這似乎是審核和提高網路安全性的最佳起點。 恕我直言,這是帕累托定律的一個很好的證明(20%的努力產生80%的結果,而剩下的80%的努力只產生20%的結果)。

最重要的是,我們通常會從供應商那裡得到有關配置設備時安全性「最佳實踐」的建議。 這稱為“硬化”。

您通常也可以根據這些建議找到一份問卷(或自己建立一份),這將幫助您確定設備的配置與這些「最佳實踐」的符合程度,並根據結果對網路進行更改。 這將使您能夠輕鬆地大幅降低安全風險,而且幾乎不需要任何成本。

一些 Cisco 作業系統的幾個範例。

Cisco IOS 設定強化
Cisco IOS-XR 設定強化
思科 NX-OS 設定強化
思科基線安全檢查表

根據這些文檔,可以建立每種類型設備的配置要求清單。 例如,對於 Cisco N7K VDC,這些要求可能如下所示 所以.

透過這種方式,可以為網路基礎架構中不同類型的有源設備建立設定檔。 接下來,您可以手動或使用自動化「上傳」這些設定檔。 如何自動化此流程將在有關編排和自動化的另一系列文章中詳細討論。

安全設計審核

通常,企業網路包含以下一種或另一種形式的網段:

  • DC(公共服務DMZ與內網資料中心)
  • 互聯網接入
  • 遠程訪問VPN
  • 廣域網路邊緣
  • 校園(辦公室)
  • 核心

標題取自 思科安全 模型,但當然沒有必要精確地附加到這些名稱和該模型上。 不過我還是想講本質,不拘泥於形式。

對於每個細分市場,安全要求、風險以及相應的解決方案都會有所不同。

讓我們從安全設計的角度分別查看它們中的每一個,以了解您可能遇到的問題。 當然,我再次重申,本文絕不是假裝完整,在這個真正深入且多方面的主題中實現這一點並不容易(如果不是不可能),但它反映了我的個人經歷。

目前還沒有完美的解決方案(至少目前還沒有)。 這總是一種妥協。 但重要的是,要有意識地做出使用一種方法或另一種方法的決定,並了解其優點和缺點。

數據中心

從安全角度來看最關鍵的部分。
而且,像往常一樣,這裡也沒有通用的解決方案。 這在很大程度上取決於網路要求。

防火牆有必要嗎?

似乎答案是顯而易見的,但一切都不像看起來那麼清楚。 你的選擇不僅會受到影響 價格.

例如1。 延誤。

如果低延遲是某些網段之間的基本要求(例如在交換的情況下),那麼我們將無法在這些網段之間使用防火牆。 很難找到有關防火牆延遲的研究,但很少有交換器型號可以提供小於或大約 1 mksec 的延遲,因此我認為如果微秒對您很重要,那麼防火牆不適合您。

例如2。 性能。

頂級 L3 交換器的吞吐量通常比最強大的防火牆的吞吐量高出一個數量級。 因此,在高強度流量的情況下,您很可能還必須允許該流量繞過防火牆。

例如3。 可靠性。

防火牆,尤其是現代 NGFW(新一代防火牆)是複雜的設備。 它們比 L3/L2 交換器複雜得多。 它們提供了大量的服務和配置選項,因此它們的可靠性低得多也就不足為奇了。 如果服務連續性對網路至關重要,那麼您可能必須選擇能夠帶來更好可用性的方法 - 防火牆的安全性或使用常規 ACL 在交換器(或各種結構)上建立的網路的簡單性。

在上述範例的情況下,您很可能(像往常一樣)必須找到折衷方案。 尋求以下解決方案:

  • 如果您決定不在資料中心內使用防火牆,那麼您需要考慮如何盡可能限制外圍存取。 例如,您可以僅開啟來自 Internet 的必要連接埠(用於用戶端流量)以及僅從跳轉主機對資料中心的管理存取。 在跳轉主機上,執行所有必要的檢查(身份驗證/授權、防毒、日誌等)
  • 您可以使用資料中心網路的邏輯分割區來分段,類似於 PSEFABRIC 中所述的方案 範例 p002。 在這種情況下,必須以這樣一種方式配置路由,即延遲敏感或高強度流量在一個網段「內部」(在 p002、VRF 的情況下)並且不通過防火牆。 不同網段之間的流量將繼續通過防火牆。 您也可以使用 VRF 之間的路由洩漏來避免透過防火牆重定向流量
  • 您也可以在透明模式下使用防火牆,並且僅適用於這些因素(延遲/效能)不重要的 VLAN。 但您需要仔細研究每個供應商與使用此模組相關的限制
  • 您可能需要考慮使用服務鏈架構。 這將只允許必要的流量通過防火牆。 理論上看起來不錯,但我從未在生產中見過這個解決方案。 大約 5 年前,我們測試了 Cisco ACI/Juniper SRX/F3 LTM 的服務鏈,但當時這個解決方案對我們來說顯得「粗糙」。

防護等級

現在您需要回答要使用什麼工具來過濾流量的問題。 以下是 NGFW 中通常存在的一些功能(例如, 這裡):

  • 狀態防火牆(預設)
  • 應用程式防火牆
  • 威脅預防(防毒、反間諜軟體和漏洞)
  • URL過濾
  • 數據過濾(內容過濾)
  • 文件阻止(文件類型阻止)
  • dos保護

也並非一切都清楚。 看來防護等級越高越好。 但你還需要考慮到

  • 上述防火牆功能使用的越多,自然會越貴(許可證、附加模組)
  • 使用某些演算法可以顯著降低防火牆吞吐量並增加延遲,請參閱範例 這裡
  • 與任何複雜的解決方案一樣,使用複雜的保護方法會降低解決方案的可靠性,例如,在使用應用程式防火牆時,我遇到了一些相當標準的工作應用程式(dns、smb)的阻止

像往常一樣,您需要找到最適合您的網路的解決方案。

不可能明確回答可能需要什麼保護功能的問題。 首先,因為這當然取決於您正在傳輸或儲存並試圖保護的資料。 其次,實際上,安全工具的選擇通常取決於對供應商的信心和信任。 你不了解演算法,不知道它們有多有效,也無法完全測試它們。

因此,在關鍵領域,一個好的解決方案可能是使用不同公司的報價。 例如,您可以在防火牆上啟用防毒功能,但也可以在主機上本機使用防毒保護(來自其他製造商)。

分割

我們談論的是資料中心網路的邏輯分段。 例如,劃分VLAN和子網路也是邏輯劃分,但由於其顯而易見性,我們不會考慮它。 有趣的細分考慮到諸如 FW 安全區域、VRF(及其與各個供應商相關的類似物)、邏輯設備(PA VSYS、Cisco N7K VDC、Cisco ACI 租戶等)等實體,...

這種邏輯分段和當前需求的資料中心設計的範例在 PSEFABRIC 計畫的 p002.

定義網路的邏輯部分後,您可以描述流量如何在不同網段之間移動、將在哪些裝置上執行過濾以及透過什麼方式執行。

如果你的網路沒有清晰的邏輯分區,對不同資料流應用安全策略的規則也沒有形式化,這意味著當你打開這個或那個訪問時,你被迫解決這個問題,並且很有可能你每次都會以不同的方式解決它。

通常,分段僅基於韌體安全區域。 那麼您需要回答以下問題:

  • 您需要哪些安全區域
  • 您希望對每個區域套用什麼程度的保護
  • 預設允許區域內流量嗎?
  • 如果不是,每個區域內將套用哪些流量過濾策略
  • 每對區域(來源/目標)將套用哪些流量過濾策略

TCAM

一個常見的問題是 TCAM(三態內容可尋址記憶體)對於路由和存取而言都不足。 恕我直言,這是選擇設備時最重要的問題之一,因此您需要適當謹慎地對待這個問題。

範例 1. 轉發表 TCAM。

讓我們來看看 帕洛阿爾托 7k 防火牆
我們看到 IPv4 轉發表大小* = 32K
此外,這個數量的路由對於所有 VSYS 都是通用的。

我們假設根據您的設計,您決定使用 4 個 VSYS。
這些 VSYS 中的每一個都透過 BGP 連接到用作 BB 的雲中的兩個 MPLS PE。 因此,4個VSYS彼此交換所有特定路由,並具有包含大致相同的路由集(但NH不同)的轉發表。 因為每個VSYS有2個BGP會話(具有相同的設定),那麼透過MPLS接收的每條路由有2個NH,相應地,轉發表中有2個FIB條目。 如果我們假設這是資料中心中唯一的防火牆,而且它必須知道所有路由,那麼這將意味著我們資料中心中的路由總數不能超過 32K/(4 * 2) = 4K。

現在,如果我們假設我們有2個資料中心(具有相同的設計),並且我們想要在資料中心之間使用「延伸」的VLAN(例如,用於vMotion),那麼為了解決路由問題,我們必須使用主機路由。 但這意味著對於 2 個資料中心,我們將擁有不超過 4096 個可能的主機,當然,這可能還不夠。

範例 2.ACL TCAM。

如果您打算在L3交換器(或其他使用L3交換器的解決方案,例如Cisco ACI)上過濾流量,那麼在選擇裝置時應注意TCAM ACL。

假設您要控制Cisco Catalyst 4500的SVI介面上的存取。那麼,可以看出 本文,要控制介面上的傳出(以及傳入)流量,您只能使用 4096 TCAM 線路。 使用 TCAM3 時將為您提供約 4000 萬個 ACE(ACL 線)。

如果你面臨TCAM不足的問題,那麼,首先當然需要考慮優化的可能性。 因此,如果轉發表的大小出現問題,則需要考慮聚合路由的可能性。 如果訪問的 TCAM 大小出現問題,請審核訪問,刪除過時和重疊的記錄,並可能修改開放存取的程序(將在審核訪問的章節中詳細討論)。

高可用性

問題是:我應該對防火牆使用 HA,還是「並行」安裝兩個獨立的盒子,如果其中一個發生故障,則通過第二個路由流量?

看起來答案很明顯——使用 HA。 這個問題仍然存在的原因是,不幸的是,理論上和廣告上的 99 以及實踐中可訪問性的幾個小數百分比結果遠沒有那麼樂觀。 從邏輯上講,HA 是一件相當複雜的事情,在不同的設備上、不同的供應商(沒有例外)上,我們發現了問題、錯誤和服務停止。

如果您使用 HA,您將有機會關閉各個節點,在不停止服務的情況下在它們之間切換,這很重要,例如,在進行升級時,但同時兩個節點同時發生故障的機率遠非零會同時中斷,而且下次升級不會像供應商承諾的那樣順利(如果您有機會在實驗室設備上測試升級,則可以避免此問題)。

如果您不使用 HA,那麼從雙重故障的角度來看,您的風險要低得多(因為您有 2 個獨立的防火牆),但因為... 會話不同步,因此每次在這些防火牆之間切換時都會遺失流量。 當然,您可以使用無狀態防火牆,但這樣基本上就失去了使用防火牆的意義。

因此,如果審計的結果是您發現了孤立的防火牆,並且您正在考慮提高網路的可靠性,那麼 HA 當然是建議的解決方案之一,但您還應該考慮相關的缺點通過這種方法,也許,專門針對您的網絡,另一個解決方案會更合適。

可管理性

原則上,HA也是關於可控性的。 您無需分別配置 2 個設備並處理保持配置同步的問題,而是可以像管理一台設備一樣管理它們。

但也許你有很多資料中心和很多防火牆,那麼這個問題就會出現在一個新的層面。 而且問題不僅在於配置,還在於

  • 備份配置
  • 更新
  • 升級
  • 監控
  • 記錄

而這一切都可以透過集中管理系統來解決。

因此,例如,如果您使用帕洛阿爾托防火牆,那麼 景觀 就是這樣一個解決方案。

要繼續進行下去。

來源: www.habr.com

添加評論