30.05.2020 | Лучшие практики проектирования архитектуры для обеспечения информационной безопасности при использовании межсетевых экранов (часть II) |
Владислав Кузнецов ведущий эксперт группы компаний Angara В первой части статьи были описаны подходы обеспечения всесторонней безопасности с использованием межсетевых экранов: - на границе сети Интернет; - в ядре центра обработки данных, локальной сети и выделенного сегмента управления инфраструктуры ИТ; - на границе зон ответственности и в качестве решения IDS. В настоящей заключительной части статьи рассмотрим лучшие практики проектирования архитектуры для обеспечения информационной безопасности при помощи межсетевых экранов: - в качестве решения по микросегментации в программно-определяемых сетях; - при защите облачных сред, в виде облачного сервиса и в качестве решения SD-WAN. Также будут рассмотрены критерии выбора межсетевых экранов, лучшие практики по настройке и аудиту сервисов безопасности. Назад в будущееСовременные сети, особенно в дата центрах, становятся все более программно-определяемыми. Самым известным решением SDN является продукт NSX от компании VMware. Рассмотрим архитектуру обеспечения микросегментации на его примере. С точки зрения информационной безопасности, применение SDN порождает следующие проблемы: - Недостаточная видимость горизонтального (east-west) трафика (информационные потоки между VM не выходят за пределы SDN и не попадают на периметровые средства защиты, а также на IDS и остаются невидимым для инженеров ИБ) (no visibility). - Слабая адаптивность, вызванная ручной настройкой параметров сетевой безопасности для существующих и новых бизнес-приложений (информационные потоки между VM не выходят за пределы SDN, что ограничивает возможности по категоризации и ограничению трафика в части используемых приложений и сетевой активности) (no control). Благодаря интеграции решений NGFW и VMware NSX можно получить следующий набор функций: - Расширенные функции безопасности, подразумевающие видимость трафика на уровне приложений с возможностью инспекции, обнаружение и предотвращение вредоносных активностей. - Упрощение операционных действий. Функции безопасности автоматизированы и прозрачны, не требуют дополнительных действий при установке новых виртуальных машин и добавлении хостов виртуализации. - Более быстрое внедрение критически важных бизнес-приложений и применение к ним соответствующих политик безопасности. - Централизованное управление политиками безопасности на всех хостах кластера. Для обеспечения информационной безопасности необходимо развернуть межсетевой экран в качестве службы на кластере серверов VMware ESXi, где был включен NSX, и перенаправлять весь необходимый трафик со встроенного компонента VMware NSX Distributed Firewall (DFW) на NGFW.
Принцип взаимодействия NGFW и VMware NSX: 1) Система управления межсетевыми экранами регистрирует NGFW в качестве сервиса на VMware NSX. 2) VMware NSX автоматически устанавливает NGFW на все хосты кластера ESXi. 3) Система управления межсетевыми экранами отправляет на установленные NGFW конфигурации и политики безопасности. 4) VMware NSX включает на NSX DFW политику перенаправления трафика на NGFW. 5) NSX DFW отправляет необходимый трафик для глубокого анализа на NGFW. 6) Если в полученном трафике угроз не обнаружено, NGFW возвращает его на NSX DFW. 7) NSX DFW отправляет проверенный трафик дальше в SDN VMware NSX для дальнейшей маршрутизации. 8) При изменении структуры SDN (IP-адреса VM и группы безопасности) VMware NSX передает эти данные на систему управления межсетевыми экранами, которая, в свою очередь, автоматически повторяет пункт 3 данной процедуры. Схема реализации решения обеспечения всесторонней безопасности с точки зрения виртуальной инфраструктуры выглядит следующим образом:
С точки зрения практического применения основными будут следующие два архитектурных подхода: 1) Микросегментация для трехуровневой архитектуры: выделим 3 группы VM SDN: представление (SG-WEB), обработка (SG-APP) и хранение данных (SG-DB). Каждая группа VM находится в одном L2-домене. При прохождении трафика между выделенными группами он инспектируется межсетевым экраном VM-Series, что позволяет проверить трафик на наличие угроз. Логическое представление прохождения трафика от пользователя до продуктивных виртуальных машин представлено на рисунке:
2) Обеспечение безопасности внутри сегмента: Архитектура NGFW VM-Series с VMware NSX дает возможность обеспечивать безопасность прохождения трафика внутри одного L2-сегмента SDN. Логическое представление прохождения трафика между виртуальными машинами одного сегмента представлено на рисунке:
Совместное использование VMware NSX и NGFW VM-Series обеспечивает следующие преимущества: - Отсутствие привязки к сетевой топологии: политики безопасности применяются к трафику конкретной VM, вне зависимости от ее расположения на физическом хосте. - Автоматизированная установка и конфигурация: NSX Manager регистрирует систему управления межсетевыми экранами в качестве платформы управления безопасностью и производит установку NGFW VM-Series на каждый ESXi-хост, зарегистрированный в vCenter. - Динамические политики безопасности на основе приложения, пользователя, контента или группы VM: NSX использует для VM логическое понятие security group, которое коррелируется с Dynamic address group в системе управления межсетевыми экранами. Эта связка позволяет применять правила политики для всех объектов внутри контейнеров security group без привязки к IP-адресам. - Применение современных механизмов защиты от киберугроз для виртуализации: благодаря использованию различных профилей безопасности, трафик внутри ЦОД инспектируется на наличие вредоносных активностей, эксплойтов, вирусов, утечек конфиденциальной информации и угроз нулевого дня. - Линейное масштабирование без операционных расходов: при добавлении нового гипервизора, он автоматически будет обеспечен необходимым сервисом безопасности. - Однородность представления политик и управления: политики безопасности имеют одинаковое представление и логику работы как для обеспечения безопасности east-west трафика SDN, так и для north-south физической сети. - Функциональность журналов событий безопасности: расширенные возможности по контролю и видимости событий и угроз информационной безопасности, используя тот же инструмент мониторинга, что и для физических межсетевых экранов. - Поддержка большинства функций hardware NGFW: использование User-id, App-id, Content-id (Threat Prevention, URL filtering и File blocking). - Разделение зон ответственности: NGFW VM-Series позволяет перевести задачу в части обеспечения ИБ внутри SDN из зоны ответственности администраторов NSX в зону ответственности профильных инженеров ИБ и четко разграничить эти зоны.
Витая в облакахКроме возможности обеспечить всестороннюю безопасность решения NSX, нельзя обойти стороной и архитектурный подход использования межсетевых экранов для защиты облачных сред. Виртуальные межсетевые экраны VM-Series предназначены для повышения эффективности сетевой безопасности в публичных и приватных облаках. Все основные поставщики облачных сервисов Google Cloud Platform (GCP), Amazon Web Services (AWS) и Microsoft Azure имеют возможность интегрировать в свою инфраструктуру NGFW VM-Series. Виртуальные межсетевые экраны VM-Series также рекомендуется использовать и в частных облаках как решение виртуализации функций сетевой безопасности. Мир, который нужно обезопасить, претерпевает огромные изменения: глобальная экспансия, мобильная рабочая сила и облачные вычисления меняют местоположение ваших приложений, данных и пользователей. Эти изменения открывают новые возможности для бизнеса, но они также создают ряд рисков кибербезопасности. Для обеспечения безопасности с эксплуатационной эффективностью и защиты постоянно расширяющегося периметра организации необходимо: - признать, что периметр организации, фактически, находится везде; - определить основные проблемы безопасности организации; - придерживаться трех принципов для надлежащей безопасности – Coverage, Visibility и Enforcement. Coverage – защита должна последовательно применяться для всех приложений сети, в облаке, и где бы ни находились пользователи и офисы. Visibility – необходимо иметь возможность видеть весь трафик для принятия обоснованных решений по безопасности. Enforcement – необходимо быть в состоянии остановить угрозы внутри сетевого трафика, а также адаптироваться к новым угрозам. Для соответствия этим вызовам и требованиям предлагается подход Security (Firewall) as a Service, который предполагает использовать межсетевой экран как облачный сервис всесторонней безопасности: - для удаленных сетей – облачный межсетевой экран защищает трафик удаленных филиалов к облачным приложениям и приложениям центров обработки данных, а также обеспечивают надежную связь с головным офисом; - для мобильных пользователей – облачный сервис предоставляет сеть межсетевых экранов, к которой могут подключаться пользователи, за счет чего трафик и приложения защищены целым набором функций NGFW. Основными преимуществами такой архитектуры являются: - обеспечение бескомпромиссной защиты всего периметра; - упрощение администрирования средств межсетевого экранирования; - уменьшение капитальных затрат путем преобразования их в операционные расходы; - простое добавление или удаление точек межсетевого экранирования при возникновении необходимости; - возможность обеспечения полносвязной топологии VPN без необходимости сложных настроек на стороне удаленной сети; - подключение к ближайшей точке терминирования IPsec/SSL VPN со стороны мобильного пользователя. И, в заключение, рассмотрим новейший подход к обеспечению всесторонней безопасности – решения SD-WAN для NGFW. Программно-определяемая сеть (SD-WAN) для NGFW – это технология, которая позволяет использовать несколько частных и интернет-сервисов для создания интеллектуальной и динамической сети, которая помогает снизить затраты, максимально повысить качество и предоставить все сервисы сетевой безопасности. Основными преимуществами такой архитектуры являются: - объединенное управление сетями и безопасностью; - выбор пути для каждого приложения на основе данных о Jitter, Drop и Delay на каналах связи; - автоматический QoS и Traffic Shaping; - возможность использования Zero Touch Provisioning для оборудования филиалов; - постоянный мониторинг пропускной способности и состояния безопасности на сети передачи данных в интерфейсе, удобном для администраторов и понятном для менеджмента. Выбрав конвергентную платформу SD-WAN для межсетевого экранирования, организация избегает добавления лишних точек отказа и значительно повышает надежность, качество и информационную безопасность на сети передачи данных.
Доверяй, но проверяйКроме выбора архитектурного решения при обеспечении всесторонней безопасности, критически важным также является и выбор конкретного межсетевого экрана. Кроме стандартных функциональных требований для любого современного NGFW, таких как Threat Prevention, Application-identification, User-identification, SSL/TLS decryption, URL filtering, File blocking, Routing, VPN, NAT, Logging, Clustering и QoS, необходимо обращать внимание на: - возможность разрешить одним правилом работу приложений и их подприложений только по их стандартным портам; - проверку приложений на нестандартных портах; - возможность расшифровки TLS 1.3 и HTTP/2; - наличие единого встроенного user friendly веб-интерфейса с широким функционалом по настройке, мониторингу, отладке и отчетности на межсетевом экране без необходимости в отдельно устанавливаемом софте или устройстве; - маршрутизацию трафика различных приложений по различным маршрутам передачи данных; - встроенное средство оптимизации политик безопасности (Policy Optimizer); - средство усиления защищенности системы от производителя (Hardening – Best Practices Analyzer); - средство анализа статистики межсетевого экрана от производителя (Security Lifecycle Review); - наличие функционала Virtual Router и Virtual System; - обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности, без отключения части проверок при высокой нагрузке на процессор; - параллельное аппаратное ускорение функций безопасности на специальных процессорах; - базовые возможности DOS Protection; - наличие функционала Credential Phishing Prevention; - разделение Management и Data Plane; - синхронизацию сессий в кластере на всех 7 уровнях модели OSI/ISO; - поддержку специализированных приложений сети (АСУТП и т.п.); - наличие логичного и структурированного Command Line Interface; - максимальное количество новых одновременных подключений через межсетевой экран и формируемых записей логов в секунду; - наличие инструмента миграции от производителя для переноса правил безопасности (firewall policy) и правил трансляции (NAT); - поддержку функционала Application Override для пользовательских приложений и приложений, использующих функционал ALG (Application Level Gateway), таких как SIP, H.323, FTP и т.п.; - возможность глубокого анализа сетевых сессий, проходящих через межсетевой экран, и их ручного сброса при необходимости. Также правильным подходом будет не верить данным из Datasheet, а провести тестирование NGFW на своем трафике. В процессе эксплуатации NGFW рекомендуется периодически проводить проверки по настройкам безопасности и качеству работы. В эти аудиты должны входить: - проверка утилизации Management CPU и при выявлении высокой нагрузки – отключение логирования начала сессий некритичных правил безопасности и автоматизированных отчетов; - оптимизация политик безопасности и удаление неиспользуемых правил; - анализ защищенности и тестирование на проникновение; - проверка необходимости и корректности правил NAT и VPN, а также статических маршрутов и анонсируемых сетей в VPN; - проверка наличия и срока действия лицензий и сервисов поддержки; - проверка срока действия необходимых сертификатов SSL/TLS; - установка рекомендуемой версии программного обеспечения межсетевого экрана и обновлений модулей безопасности; - создание резервных копий по схеме «3-2-1»; - тестирование резервирования блоков питания, нод кластера и каналов связи; - регулярная смена пароля локального администратора и проверка удаления уволенных администраторов из групп доступа к управлению; - наличие необходимых ограничений на Management Plane (ssh, login idle timeout, login attempt count, login banner, https, snmp, management network ACL и т.п.); - проверка наличия SYN flood и других DOS protection на внешних интерфейсах; - включение NetFlow на необходимых интерфейсах; - проверка свободного места на дисках и состояния внутренних датчиков; - проверка всех логов на сообщения уровня warning и выше. ЗаключениеСуществует большое количество различных подходов к проектированию архитектуры для обеспечения информационной безопасности при использовании межсетевых экранов. Выбор наилучшего для организации варианта зависит от особенностей имеющейся архитектуры сети передачи данных и определяется как требованиями департаментов информационной безопасности, так и возможностями отделов информационных технологий. Надеемся, что информация, приведенная в статье, окажется полезной для специалистов в области обеспечения информационной безопасности на сети передачи данных. Наряду с этим, отметим, что одним из наиболее эффективных подходов к проектированию и внедрению комплексных решений по обеспечению информационной безопасности является привлечение профессиональных команд исполнителей.
|
Проверить безопасность сайта