Новости: Лучшие практики проектирования архитектуры для обеспечения информационной безопасности при использовании межсетевых экранов (часть II)
05.06.2020

Лучшие практики проектирования архитектуры для обеспечения информационной безопасности при использовании межсетевых экранов (часть II)

Лучшие практики проектирования архитектуры для обеспечения информационной безопасности при использовании межсетевых экранов (часть II) Лучшие практики проектирования архитектуры для обеспечения информационной безопасности при использовании межсетевых экранов (часть II)

В первой части статьи были описаны подходы обеспечения всесторонней безопасности с использованием межсетевых экранов:

- на границе сети Интернет;

- в ядре центра обработки данных, локальной сети и выделенного сегмента управления инфраструктуры ИТ;

- на границе зон ответственности и в качестве решения IDS.

В настоящей заключительной части статьи рассмотрим лучшие практики проектирования архитектуры для обеспечения информационной безопасности при помощи межсетевых экранов:

- в качестве решения по микросегментации в программно-определяемых сетях;

- при защите облачных сред, в виде облачного сервиса и в качестве решения SD-WAN.

Также будут рассмотрены критерии выбора межсетевых экранов, лучшие практики по настройке и аудиту сервисов безопасности.

Назад в будущее

Современные сети, особенно в дата центрах, становятся все более программно-определяемыми. Самым известным решением SDN является продукт NSX от компании VMware. Рассмотрим архитектуру обеспечения микросегментации на его примере.

С точки зрения информационной безопасности, применение SDN порождает следующие проблемы:

- Недостаточная видимость горизонтального (east-west) трафика (информационные потоки между VM не выходят за пределы SDN и не попадают на периметровые средства защиты, а также на IDS и остаются невидимым для инженеров ИБ) (no visibility).

- Слабая адаптивность, вызванная ручной настройкой параметров сетевой безопасности для существующих и новых бизнес-приложений (информационные потоки между VM не выходят за пределы SDN, что ограничивает возможности по категоризации и ограничению трафика в части используемых приложений и сетевой активности) (no control).

Благодаря интеграции решений NGFW и VMware NSX можно получить следующий набор функций:

- Расширенные функции безопасности, подразумевающие видимость трафика на уровне приложений с возможностью инспекции, обнаружение и предотвращение вредоносных активностей.

- Упрощение операционных действий. Функции безопасности автоматизированы и прозрачны, не требуют дополнительных действий при установке новых виртуальных машин и добавлении хостов виртуализации.

- Более быстрое внедрение критически важных бизнес-приложений и применение к ним соответствующих политик безопасности.

- Централизованное управление политиками безопасности на всех хостах кластера.

Для обеспечения информационной безопасности необходимо развернуть межсетевой экран в качестве службы на кластере серверов VMware ESXi, где был включен NSX, и перенаправлять весь необходимый трафик со встроенного компонента VMware NSX Distributed Firewall (DFW) на NGFW.

Рисунок 1.png

Принцип взаимодействия NGFW и VMware NSX:

1) Система управления межсетевыми экранами регистрирует NGFW в качестве сервиса на VMware NSX.

2) VMware NSX автоматически устанавливает NGFW на все хосты кластера ESXi.

3) Система управления межсетевыми экранами отправляет на установленные NGFW конфигурации и политики безопасности.

4) VMware NSX включает на NSX DFW политику перенаправления трафика на NGFW.

5) NSX DFW отправляет необходимый трафик для глубокого анализа на NGFW.

6) Если в полученном трафике угроз не обнаружено, NGFW возвращает его на NSX DFW.

7) NSX DFW отправляет проверенный трафик дальше в SDN VMware NSX для дальнейшей маршрутизации.

8) При изменении структуры SDN (IP-адреса VM и группы безопасности) VMware NSX передает эти данные на систему управления межсетевыми экранами, которая, в свою очередь, автоматически повторяет пункт 3 данной процедуры.

Схема реализации решения обеспечения всесторонней безопасности с точки зрения виртуальной инфраструктуры выглядит следующим образом:

Рисунок 2.png

С точки зрения практического применения основными будут следующие два архитектурных подхода:

1) Микросегментация для трехуровневой архитектуры: выделим 3 группы VM SDN: представление (SG-WEB), обработка (SG-APP) и хранение данных (SG-DB). Каждая группа VM находится в одном L2-домене. При прохождении трафика между выделенными группами он инспектируется межсетевым экраном VM-Series, что позволяет проверить трафик на наличие угроз. Логическое представление прохождения трафика от пользователя до продуктивных виртуальных машин представлено на рисунке:

Рисунок 3.png

2) Обеспечение безопасности внутри сегмента: Архитектура NGFW VM-Series с VMware NSX дает возможность обеспечивать безопасность прохождения трафика внутри одного L2-сегмента SDN. Логическое представление прохождения трафика между виртуальными машинами одного сегмента представлено на рисунке:

Рисунок 4.png

Совместное использование VMware NSX и NGFW VM-Series обеспечивает следующие преимущества:

- Отсутствие привязки к сетевой топологии: политики безопасности применяются к трафику конкретной VM, вне зависимости от ее расположения на физическом хосте.

- Автоматизированная установка и конфигурация: NSX Manager регистрирует систему управления межсетевыми экранами в качестве платформы управления безопасностью и производит установку NGFW VM-Series на каждый ESXi-хост, зарегистрированный в vCenter.

- Динамические политики безопасности на основе приложения, пользователя, контента или группы VM: NSX использует для VM логическое понятие security group, которое коррелируется с Dynamic address group в системе управления межсетевыми экранами. Эта связка позволяет применять правила политики для всех объектов внутри контейнеров security group без привязки к IP-адресам.

- Применение современных механизмов защиты от киберугроз для виртуализации: благодаря использованию различных профилей безопасности, трафик внутри ЦОД инспектируется на наличие вредоносных активностей, эксплойтов, вирусов, утечек конфиденциальной информации и угроз нулевого дня.

- Линейное масштабирование без операционных расходов: при добавлении нового гипервизора, он автоматически будет обеспечен необходимым сервисом безопасности.

- Однородность представления политик и управления: политики безопасности имеют одинаковое представление и логику работы как для обеспечения безопасности east-west трафика SDN, так и для north-south физической сети.

- Функциональность журналов событий безопасности: расширенные возможности по контролю и видимости событий и угроз информационной безопасности, используя тот же инструмент мониторинга, что и для физических межсетевых экранов.

- Поддержка большинства функций hardware NGFW: использование User-id, App-id, Content-id (Threat Prevention, URL filtering и File blocking).

- Разделение зон ответственности: NGFW VM-Series позволяет перевести задачу в части обеспечения ИБ внутри SDN из зоны ответственности администраторов NSX в зону ответственности профильных инженеров ИБ и четко разграничить эти зоны.

Витая в облаках

Кроме возможности обеспечить всестороннюю безопасность решения NSX, нельзя обойти стороной и архитектурный подход использования межсетевых экранов для защиты облачных сред. Виртуальные межсетевые экраны VM-Series предназначены для повышения эффективности сетевой безопасности в публичных и приватных облаках. Все основные поставщики облачных сервисов Google Cloud Platform (GCP), Amazon Web Services (AWS) и Microsoft Azure имеют возможность интегрировать в свою инфраструктуру NGFW VM-Series. Виртуальные межсетевые экраны VM-Series также рекомендуется использовать и в частных облаках как решение виртуализации функций сетевой безопасности.

Мир, который нужно обезопасить, претерпевает огромные изменения: глобальная экспансия, мобильная рабочая сила и облачные вычисления меняют местоположение ваших приложений, данных и пользователей. Эти изменения открывают новые возможности для бизнеса, но они также создают ряд рисков кибербезопасности.

Для обеспечения безопасности с эксплуатационной эффективностью и защиты постоянно расширяющегося периметра организации необходимо:

- признать, что периметр организации, фактически, находится везде;

- определить основные проблемы безопасности организации;

- придерживаться трех принципов для надлежащей безопасности – Coverage, Visibility и Enforcement.

Coverage – защита должна последовательно применяться для всех приложений сети, в облаке, и где бы ни находились пользователи и офисы. Visibility – необходимо иметь возможность видеть весь трафик для принятия обоснованных решений по безопасности. Enforcement – необходимо быть в состоянии остановить угрозы внутри сетевого трафика, а также адаптироваться к новым угрозам.

Для соответствия этим вызовам и требованиям предлагается подход Security (Firewall) as a Service, который предполагает использовать межсетевой экран как облачный сервис всесторонней безопасности:

- для удаленных сетей – облачный межсетевой экран защищает трафик удаленных филиалов к облачным приложениям и приложениям центров обработки данных, а также обеспечивают надежную связь с головным офисом;

- для мобильных пользователей – облачный сервис предоставляет сеть межсетевых экранов, к которой могут подключаться пользователи, за счет чего трафик и приложения защищены целым набором функций NGFW.

Основными преимуществами такой архитектуры являются:

- обеспечение бескомпромиссной защиты всего периметра;

- упрощение администрирования средств межсетевого экранирования;

- уменьшение капитальных затрат путем преобразования их в операционные расходы;

- простое добавление или удаление точек межсетевого экранирования при возникновении необходимости;

- возможность обеспечения полносвязной топологии VPN без необходимости сложных настроек на стороне удаленной сети;

- подключение к ближайшей точке терминирования IPsec/SSL VPN со стороны мобильного пользователя.

И, в заключение, рассмотрим новейший подход к обеспечению всесторонней безопасности – решения SD-WAN для NGFW. Программно-определяемая сеть (SD-WAN) для NGFW – это технология, которая позволяет использовать несколько частных и интернет-сервисов для создания интеллектуальной и динамической сети, которая помогает снизить затраты, максимально повысить качество и предоставить все сервисы сетевой безопасности.

Основными преимуществами такой архитектуры являются:

- объединенное управление сетями и безопасностью;

- выбор пути для каждого приложения на основе данных о Jitter, Drop и Delay на каналах связи;

- автоматический QoS и Traffic Shaping;

- возможность использования Zero Touch Provisioning для оборудования филиалов;

- постоянный мониторинг пропускной способности и состояния безопасности на сети передачи данных в интерфейсе, удобном для администраторов и понятном для менеджмента.

Выбрав конвергентную платформу SD-WAN для межсетевого экранирования, организация избегает добавления лишних точек отказа и значительно повышает надежность, качество и информационную безопасность на сети передачи данных.

Доверяй, но проверяй

Кроме выбора архитектурного решения при обеспечении всесторонней безопасности, критически важным также является и выбор конкретного межсетевого экрана.

Кроме стандартных функциональных требований для любого современного NGFW, таких как Threat Prevention, Application-identification, User-identification, SSL/TLS decryption, URL filtering, File blocking, Routing, VPN, NAT, Logging, Clustering и QoS, необходимо обращать внимание на:

- возможность разрешить одним правилом работу приложений и их подприложений только по их стандартным портам;

- проверку приложений на нестандартных портах;

- возможность расшифровки TLS 1.3 и HTTP/2;

- наличие единого встроенного user friendly веб-интерфейса с широким функционалом по настройке, мониторингу, отладке и отчетности на межсетевом экране без необходимости в отдельно устанавливаемом софте или устройстве;

- маршрутизацию трафика различных приложений по различным маршрутам передачи данных;

- встроенное средство оптимизации политик безопасности (Policy Optimizer);

- средство усиления защищенности системы от производителя (Hardening – Best Practices Analyzer);

- средство анализа статистики межсетевого экрана от производителя (Security Lifecycle Review);

- наличие функционала Virtual Router и Virtual System;

- обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности, без отключения части проверок при высокой нагрузке на процессор;

- параллельное аппаратное ускорение функций безопасности на специальных процессорах;

- базовые возможности DOS Protection;

- наличие функционала Credential Phishing Prevention;

- разделение Management и Data Plane;

- синхронизацию сессий в кластере на всех 7 уровнях модели OSI/ISO;

- поддержку специализированных приложений сети (АСУТП и т.п.);

- наличие логичного и структурированного Command Line Interface;

- максимальное количество новых одновременных подключений через межсетевой экран и формируемых записей логов в секунду;

- наличие инструмента миграции от производителя для переноса правил безопасности (firewall policy) и правил трансляции (NAT);

- поддержку функционала Application Override для пользовательских приложений и приложений, использующих функционал ALG (Application Level Gateway), таких как SIP, H.323, FTP и т.п.;

- возможность глубокого анализа сетевых сессий, проходящих через межсетевой экран, и их ручного сброса при необходимости.

Также правильным подходом будет не верить данным из Datasheet, а провести тестирование NGFW на своем трафике.

В процессе эксплуатации NGFW рекомендуется периодически проводить проверки по настройкам безопасности и качеству работы. В эти аудиты должны входить:

- проверка утилизации Management CPU и при выявлении высокой нагрузки – отключение логирования начала сессий некритичных правил безопасности и автоматизированных отчетов;

- оптимизация политик безопасности и удаление неиспользуемых правил;

- анализ защищенности и тестирование на проникновение;

- проверка необходимости и корректности правил NAT и VPN, а также статических маршрутов и анонсируемых сетей в VPN;

- проверка наличия и срока действия лицензий и сервисов поддержки;

- проверка срока действия необходимых сертификатов SSL/TLS;

- установка рекомендуемой версии программного обеспечения межсетевого экрана и обновлений модулей безопасности;

- создание резервных копий по схеме «3-2-1»;

- тестирование резервирования блоков питания, нод кластера и каналов связи;

- регулярная смена пароля локального администратора и проверка удаления уволенных администраторов из групп доступа к управлению;

- наличие необходимых ограничений на Management Plane (ssh, login idle timeout, login attempt count, login banner, https, snmp, management network ACL и т.п.);

- проверка наличия SYN flood и других DOS protection на внешних интерфейсах;

- включение NetFlow на необходимых интерфейсах;

- проверка свободного места на дисках и состояния внутренних датчиков;

- проверка всех логов на сообщения уровня warning и выше.

Заключение

Существует большое количество различных подходов к проектированию архитектуры для обеспечения информационной безопасности при использовании межсетевых экранов. Выбор наилучшего для организации варианта зависит от особенностей имеющейся архитектуры сети передачи данных и определяется как требованиями департаментов информационной безопасности, так и возможностями отделов информационных технологий.

Надеемся, что информация, приведенная в статье, окажется полезной для специалистов в области обеспечения информационной безопасности на сети передачи данных. Наряду с этим, отметим, что одним из наиболее эффективных подходов к проектированию и внедрению комплексных решений по обеспечению информационной безопасности является привлечение профессиональных команд исполнителей.

Источник: SecurityLab


Другие новости

Присоединиться к #AngaraTeam!