Проектирование безопасной сети начинается с сегментации 

Проектирование безопасной сети начинается с сегментации 


В течение последнего года наблюдается значительное увеличение числа инцидентов, ассоциированных с несанкционированным доступом к учетным записям пользователей на корпоративных серверах. Такие нарушения безопасности влекут за собой ряд серьезных последствий. Примечательно, что основным пострадавшим является конечный пользователь, чьи персональные данные подвергаются утечке, создавая потенциальную угрозу их использования с недобросовестными намерениями. Кроме того, организации, подвергшиеся атакам, сталкиваются с репутационными потерями и финансовым ущербом, связанным с компрометацией данных.

Что могут сделать сетевые инженеры для решения этой проблемы? Существует миф, который гласит примерно следующее: "Утечки данных — это проблема приложений; сетевые инженеры не могут сильно повлиять на эти инциденты и внести свой вклад в их предотвращение". Это ошибочное утверждение на многих уровнях. Сеть может помочь построить безопасную систему, добавляя глубину к многоуровневой защите (defense-in-depth).

Что делает атакующий в первую очередь, когда взламывает систему? Устанавливает систему управления и контроля (command-and-control). Что вторым делом? Ищет способ перемещения внутри сети вглубь (laterally), чтобы атаковать и нарушать работу других систем.

Хотя проектирование сети не часто игрет роль в предотвращении первоначального проникновения в инфраструктуру организации, оно может помочь снизить эффективность системы управления и контроля и может помочь уменьшить масштаб горизонтального перемещения. 

Одним из способов создать дизайн сети, ориентированный на безопасность, обеспечивающей многоуровневую защиту, является применение сегментации сети.


Сегментация сети

Рассмотрим схему небольшого центра обработĸи данных и подĸлюченных ĸ нему хостов.

Допустим, что данная сеть использует внутренний BGP (iBGP) для организации внутренней маршрутизации (underlay) и внешний BGP EVPN для маршрутизации верхнего уровня (overlay), при этом настройки соединений eBGP выполняются между коммутаторами верхнего уровня (ToR) и гипервизорами. В случае, если злоумышленник сумеет получить контроль над сервером 1 — не только над каким-то отдельным процессом, но и над гипервизором или всем сервером в целом, какие последствия это повлечет?

Злоумышленник получит доступ к полной таблице маршрутизации верхнего уровня, включая все настроенные сегменты Ethernet (ES). Эта информация позволит ему детально понять сегментацию сети и определить точки подключения различных сервисов и хостов. Поскольку речь идет об EVPN, таблица маршрутизации будет содержать сопоставления Ethernet-адресов с IP-адресами.

Использование одного и того же протокола для внутренней маршрутизации и маршрутизации верхнего уровня дает злоумышленнику доступ к таблице маршрутизации внутренней маршрутизации. С доступом к внутренней маршрутизации злоумышленник может внедрять вредоносные маршруты, нарушая работу инфраструктуры и приводя к сбоям в работе центра обработки данных.

Однако доступ злоумышленника к плоскости управления внутренней маршрутизации может быть ограничен.

Как можно устранить эту угрозу с помощью конфигурации? В теории, можно использовать комьюнити для всех маршрутов внутренней маршрутизации iBGP, чтобы они никогда не распространялись за пределы сети, а затем установить фильтры на входящие маршруты, чтобы отсеивать все, что "известно" как принадлежащее к диапазону адресов инфраструктуры. Вручную настроенные фильтры могут быть эффективны, но трудны в обслуживании.

Как можно устранить эту угрозу на уровне дизайна сети? Можно использовать различные протоколы для внутренней маршрутизации и маршрутизации верхнего уровня — например, IS-IS для внутренней маршрутизации и BGP для EVPN верхнего уровня. Но не увеличит ли использование двух разных протоколов сложность системы и, как следствие, снизит ли безопасность? Возможно, но может быть и нет. На данный момент будем считать это вопросом открытым для обсуждения и продолжим размышлять о безопасности.

Разделение протоколов для внутренней маршрутизации и маршрутизации верхнего уровня является одной из форм сегментации, но не той, о которой мы обычно думаем. В действительности, любой вид сегментации может способствовать повышению безопасности. Сегментация всегда подразумевает функциональное разделение. В общем случае, сегментация может быть:


  • Горизонтальной, когда одна часть сетевой топологии отделяется от другой с помощью агрегации и суммирования маршрутов, исключая распространение информации о плоскости управления. 
  • Вертикальной, когда одна группа хостов или приложений отделяется от другой с помощью создания виртуальных топологий или функционального разделения на уровни. 

Любая форма сегментации обычно соответствует одному из этих двух подходов. Например, разделение по плоскостям управления является формой функционального разделения, которое перемещает инфраструктурные и "клиентские" маршруты в различные системы, минимизируя риски сбоев или нарушений безопасности в одной системе, которые могли бы повлиять на другую.


Оригинал статьи https://packetpushers.net/blog/secure-network-design-starts-with-segmentation/

Перевод подготовлен командой ИТ Роут


Report Page