Что такое сетевая безопасность
Сетевая безопасность. Вместо введения
В современном глобальном мире сетевая безопасность имеет решающее значение. Предприятиям необходимо обеспечивать безопасный доступ для сотрудников к сетевым ресурсам в любое время, для чего современная стратегия обеспечения сетевой безопасности должна учитывать ряд таких факторов, как увеличение надежности сети, эффективное управление безопасностью и защиту от постоянно эволюционирующих угроз и новых методов атак. Для многих компаний проблема обеспечения сетевой безопасности становится все более сложной, т.к. сегодняшние мобильные сотрудники, использующие личные смартфоны, ноутбуки и планшеты для работы, привносят новые потенциальные проблемы. При этом, хакеры тоже не сидят сложа руки и делают новые киберугрозы все более изощренными.
Недавний опрос ИТ-специалистов, управляющих сетевой безопасностью, [проведенный Slashdotmedia] показал, что среди важных факторов при выборе сетевых решений безопасности почти половина опрошенных на первое место поставила надежность выбранного сетевого решения.
Заданный вопрос: Когда вы выбираете решение по сетевой безопасности, какие факторы наиболее важны для вашей компании?
Уязвимости, связанные с сетевой безопасностью, оставляют открытым целый ряд потенциальных проблем и подвергают компанию различным рискам. ИТ системы могут быть скомпрометированы через них, информация может быть украдена, работники и клиенты могут получить проблемы с доступом к ресурсам, которые они уполномочены использовать, что может заставить заказчиков перейти к конкуренту.
Простой сервиса, связанный с проблемами с безопасностью, можете иметь и другие финансовые последствия. Например, неработающий в час-пик веб-сайт может генерировать как прямые убытки, так и мощный отрицательный PR, что очевидно скажется на уровне продаж в будущем. Кроме того, в некоторых отраслях есть строгие критерии по доступности ресурсов, нарушение которых может привести к регуляторным штрафам и другим неприятным последствиям.
Помимо надежности решений, есть еще целый ряд вопросов, вышедших сегодня на первый план. Например, около 23% опрошенных ИТ-специалистов выделяют стоимость решения, как одну из основных проблем, связанных с сетевой безопасностью; что не удивительно, учитывая, что ИТ-бюджеты последних нескольких лет были существенно ограничены. Далее, около 20% опрошенных выделили простоту интеграции, как приоритетный параметр при выборе решения. Что естественно в условиях, когда от ИТ отдела требуют выполнять больше меньшими ресурсами.
Завершая разговор про ключевые параметры в выборе решения, хотелось бы отметить, что только примерно 9% респондентов назвали сетевые функции как ключевой фактор при выборе решений в области сетевой безопасности. При выборе решения по обеспечению сетевой безопасности корпоративных систем и минимизации связанных с этим рисков, одним из важнейших факторов для почти половины (около 48%) опрошенных, была надежность сети и связанного с ней решения.
Заданный вопрос: Какой тип сетевых атак больше всего беспокоит вашу ИТ организацию?
Сегодня хакеры используют разнообразные методы атаки на сети компаний. Исследование показало, что ИТ-специалисты наиболее обеспокоены двумя конкретными типами атак: атаки на отказ в обслуживании (DoS) и подслушивание (Eavesdropping) — эти атаки указаны как наиболее опасные и приоритетные примерно у 25% респондентов. И по 15% респондентов выбрали в качестве ключевых угроз атаки типа IP Spoofing и MITM (man-in-the-middle). Остальные типы угроз оказались приоритетны менее чем для 12% респондентов.
Заданный вопрос: В плане мобильных уязвимостей, что больше всего беспокоит вашу ИТ-команду?
Сегодня растёт число мобильных сотрудников и адаптация политики использования собственных электронных устройств для работы (BOYD) предъявляют новые требования к сетевой безопасности. При этом, к сожалению, очень быстро растет число небезопасных сетевых приложений. В 2013 году компания HP провела тестирование более 2000 приложений, в результате которого было обнаружено, что 90% приложений имеют уязвимости в системах защиты. Эта ситуация представляет серьезную угрозу корпоративной безопасности и не удивительно, что 54% респондентов оценили угрозы от вредоносных приложений как наиболее опасные.
Поводя промежуточный итог вышесказанному, можно сделать следующий вывод: современные решения по обеспечению сетевой безопасности в числе прочего обязательно должны обладать следующими свойствами:
Соблюдение предприятиями требований федерального законодательства контролируют сегодня три государственных органа: Федеральная служба безопасности (ФСБ), Роскомнадзор и ФСТЭК. Контроль осуществляется путем проведения плановых и внезапных проверок, по итогам которых компания может быть привлечена к ответственности.
Таким образом, игнорирование проблемы обеспечения сетевой безопасности в нашей стране может не только принести большие убытки бизнесу, но и повлечь за собой уголовную ответственность конкретных руководителей компании.
Заключение
Угрозы информационной безопасности становятся все сложнее, хакеры и киберпреступники используют новые приемы и реализуют все более изощренные атаки с целью взлома систем и кражи данных.
Борьба с новыми атаками требует решений по обеспечению сетевой безопасности и разработки сетевой стратегии безопасности, отвечающей требованиям надежности, стоимости и вопросам интеграции с другими ИТ системами. Выработанные решения должны быть надежными, обеспечивать защиту от атак на уровне приложений и позволять идентифицировать трафик.
Из всего вышесказанного напрашивается простой вывод – в современном мире нельзя игнорировать вопросы информационной безопасности; в ответ на новые угрозы нужно искать новых подходы к реализации стратегии защиты информации и использовать новые методы и средства обеспечения сетевой безопасности.
Что такое система сетевой безопасности?
Система сетевой безопасности — это комплекс мер, направленных на поддержание удобства использования и защиту целостности сети и данных.
Связаться с Cisco
Средства обеспечения сетевой безопасности
Межсетевые экраны
Межсетевые экраны создают барьер между надежной внутренней сетью и ненадежными внешними сетями, такими как Интернет. Они используют набор определенных правил, которые разрешают или блокируют трафик. Межсетевой экран может быть аппаратным, программным или смешанного типа. Cisco предлагает устройства для унифицированного управления угрозами (UTM) и межсетевые экраны нового поколения, ориентированные на предотвращение угроз.
Защита электронной почты
Шлюзы электронной почты являются первоочередной целью для злоумышленников, которые хотят проникнуть в сеть. Хакеры анализируют личную информацию и прибегают к методам социальной инженерии для организации изощренных фишинговых кампаний, чтобы обмануть получателей и направить их на сайты с вредоносным ПО. Приложение для защиты электронной почты блокирует входящие атаки и контролирует исходящие сообщения для предотвращения потери конфиденциальных данных.
Антивирусы и программы для защиты от вредоносного ПО
Термин «вредоносное ПО» (сокращение от «вредоносное программное обеспечение») относится к вирусам, интернет-червям, троянам, вирусам-вымогателям и шпионскому ПО. Иногда вредоносное ПО может заражать сеть, не проявляя себя несколько дней или даже недель. Лучшие программы для защиты от вредоносного ПО не только сканируют на наличие вредоносного ПО входящий трафик, но и впоследствии непрерывно отслеживают файлы с целью поиска аномалий, удаления вредоносного ПО и устранения ущерба.
Сегментация сети
Программно-определяемая сегментация классифицирует сетевой трафик и упрощает применение политик безопасности. В идеале классификация должна быть основана на идентификации конечных устройств, а не просто на IP-адресах. Можно назначать права доступа на основе ролей, расположения и других факторов, чтобы предоставлять необходимый уровень доступа нужным пользователям, изолировать подозрительные устройства и устранять угрозы.
Управление доступом
Не у каждого пользователя должен быть доступ к сети. Для защиты от потенциальных хакеров необходимо распознавать каждого пользователя и каждое устройство. Только в этом случае можно обеспечить соблюдение политик безопасности. Можно блокировать конечные устройства, не соответствующие установленным требованиям, или предоставлять им только ограниченный доступ. Этот процесс называется контролем доступа к сети (NAC).
Безопасность приложений
Любое программное обеспечение, используемое в организации, необходимо защищать, независимо от того, создается оно ИТ-специалистами организации или приобретается на стороне. К сожалению, любое приложение может содержать лазейки (или уязвимости), которые хакеры могут использовать для проникновения в сеть. Система обеспечения безопасности приложений содержит аппаратное и программное обеспечение и процессы, которые вы используете для устранения этих уязвимостей.
Поведенческая аналитика
Для обнаружения аномального поведения сети необходимо знать, как выглядит нормальное. Средства поведенческой аналитики автоматически выявляют действия, отличающиеся от нормы. Это помогает отделу информационной безопасности эффективнее выявлять признаки компрометации, которые могут создавать проблемы, и быстро блокировать угрозы.
Предотвращение утечки данных
Организации должны быть уверены, что их сотрудники не передают конфиденциальную информацию за пределы сети. Технологии предотвращения утечки данных (DLP) могут препятствовать небезопасной загрузке, переадресации или даже печати важной информации пользователями.
Системы предотвращения вторжений
Система предотвращения вторжений (IPS) сканирует сетевой трафик и активно блокирует атаки. С этой целью устройства Cisco IPS нового поколения (NGIPS) сопоставляют огромные объемы информации, полученной с помощью глобальной аналитики угроз, что позволяет не только блокировать вредоносную активность, но и отслеживать путь подозрительных файлов и вредоносного ПО во всей сети для предотвращения распространения эпидемий и повторного заражения.
Безопасность мобильных устройств
Целью атак киберпреступников все чаще становятся мобильные устройства и приложения. В течение ближайших 3 лет 90 % ИТ-организаций могут организовать поддержку корпоративных приложений на личных мобильных устройствах. При этом, разумеется, необходимо контролировать доступ различных устройств к сети. Также требуется настраивать их подключения, чтобы сохранить конфиденциальность сетевого трафика.
Управление событиями и данными об информационной безопасности (SIEM)
Продукты SIEM группируют сведения, необходимые сотрудникам, занимающимся ИТ-безопасностью, чтобы выявлять угрозы и реагировать на них. Они могут иметь форму физических и виртуальных устройств и серверного ПО.
Сеть VPN
Виртуальная частная сеть шифрует подключение конечных устройств к сети, часто выполняемое через Интернет. Как правило, сети VPN для удаленного доступа используют протокол IPsec или SSL для аутентификации взаимодействия между устройством и сетью.
Безопасность веб-трафика
Решение для обеспечения безопасности веб-трафика контролирует использование Интернета сотрудниками, блокирует веб-угрозы и запрещает доступ к вредоносным веб-сайтам. Оно защищает веб-шлюз в локальной сети или в облаке. «Безопасность веб-трафика» также подразумевает меры по защите своего веб-сайта.
Безопасность беспроводного доступа
Беспроводные сети менее безопасны, чем проводные. Если не соблюдать строгие меры безопасности, развертывание беспроводной локальной сети не отличается от бесконтрольного размещения Ethernet-портов в свободном доступе. Чтобы предотвратить появление эксплойтов, необходимы продукты, специально предназначенные для защиты беспроводных сетей.
Как работает система сетевой безопасности?
Система сетевой безопасности состоит из нескольких уровней защиты как внутри сети, так и на ее периметре. На каждом уровне сетевой безопасности реализуются определенные политики и средства контроля. Авторизованные пользователи получают доступ к сетевым ресурсам, а использование эксплойтов и реализация угроз злоумышленниками блокируется.
Какие преимущества дает система сетевой безопасности?
Цифровизация изменила мир. Изменения коснулись нашего стиля жизни, досуга, подхода к работе и обучению. Каждая организация, которая хочет предоставлять услуги заказчикам и сотрудникам, должна защищать свою сеть. Система сетевой безопасности также помогает защитить конфиденциальную информацию от атак. В конечном счете речь идет и о защите репутации.
Как взять сетевую инфраструктуру под свой контроль. Глава третья. Сетевая безопасность. Часть первая
Эта статья является третьей в цикле статей «Как взять сетевую инфраструктуру под свой контроль». Содержание всех статей цикла и ссылки можно найти здесь.
Нет смысла говорить о полном устранении security рисков. Мы в принципе не можем снизить их до нуля. Также нужно понимать, что при стремлении сделать сеть более и более безопасной наши решения становятся все более и более дорогими. Необходимо найти разумный для вашей сети компромисс между ценой, сложностью и безопасностью.
Конечно, дизайн безопасности органично встроен в общую архитектуру и используемые security решения влияют на масштабируемость, надежность, управляемость, … сетевой инфраструктуры, что также должно учитываться.
Но, напомню, что сейчас мы не говорим о создании сети. В соответствии с нашими начальными условиями у нас уже выбран дизайн, выбрано оборудование, и создана инфраструктура, и на этом этапе мы, по возможности, должны «жить» и находить решения в контексте выбранного ранее подхода.
Наша задача сейчас – выявить риски, связанные с защищенностью на уровне сети и снизить их до разумной величины.
Аудит сетевой безопасности
Если в вашей организации внедрены процессы ISO 27k, то аудит безопасности и изменения сети должны быть органично вписаны в общие процессы в рамках этого подхода. Но эти стандарты все же не о конкретных решениях, не о конфигурации, не о дизайне… Нет однозначных советов, нет стандартов детально диктующих какой должна быть ваша сеть, в этом сложность и красота этой задачи.
Я бы выделил несколько возможных аудитов безопасности сети:
Аудит конфигурации оборудования (hardening)
Кажется, что в большинстве случаев это лучшая стартовая точка для аудита и улучшения безопасности вашей сети. ИМХО, это хорошая демонстраций закона Парето (20 % усилий дают 80 % результата, а остальные 80 % усилий — лишь 20 % результата).
Суть в том, что обычно у нас есть рекомендации от вендоров относительно «best practices» по безопасности при конфигурировании оборудования. Это называется “hardening”.
Также часто можно встретить опросник (или составить самим), на основе этих рекомендаций, который поможет вам определить, насколько конфигурация вашего оборудования соответствует этим «best practices» и в соответствии с результатом произвести изменения в вашей сети. Это позволит вам довольно легко, фактически без затрат, существенно снизить security риски.
Несколько примеров для некоторых операционных систем Cisco.
На основе этих документов может быть создан список требований к конфигурации для каждого типа оборудования. Например, для Cisco N7K VDC эти требования могут выглядеть так.
Таким образом, могут быть созданы конфигурационные файлы для разных типов активного оборудования вашей сетевой инфраструктуры. Далее, вручную или с применением автоматизации, вы можете «залить» эти конфигурационные файлы. Как автоматизировать этот процесс будет подробно рассмотрено в другой серии статей, посвященных оркестрации и автоматизации.
Аудит security дизайна
Обычно в сети предприятия (enterprise network) в том или ином виде присутствуют следующие сегменты:
Для каждого из этих сегментов требования к уровню безопасности, риски и, соответственно, решения будут отличаться.
Рассмотрим каждый из них по отдельности на предмет проблем, с которыми вы можете столкнуться с точки зрения security дизайна. Конечно, опять повторюсь, что ни в коей мере данная статья не претендует на полноту, достичь которую в этой действительно глубокой и многогранной теме непросто (если вообще возможно), но отражает мой личный опыт.
Не существует идеального решения (во всяком случае сейчас). Это всегда компромисс. Но важно, чтобы решение применить тот или иной подход было сделано осознанно, с пониманием как его плюсов, так и минусов.
Data Center
Наиболее критичный с точки зрения безопасности сегмент.
И, как обычно, здесь также нет универсального решения. Все сильно зависит от требований к сети.
Нужен или нет фаервол?
Если между какими-то сегментами сети низкая задержка является существенным требованием, что, например, справедливо в случае биржи, то между этими сегментами мы не сможем использовать фаерволы. Сложно найти исследования по задержкам в фаерволах, но лишь немногие модели коммутаторов могут предоставить задержки меньше или порядка 1 mksec, поэтому, думаю, что если для вас существенны микросекунды, то фаерволы — это не для вас.
Пропускная способность топовых L3 коммутаторов обычно на порядок выше чем пропускная способность самых производительных фаеролов. Поэтому в случае высокоинтенсивного трафика, вам также скорее всего придется пустить этот трафик в обход фаерволов.
Фаерволы, особенно современные NGFW (Next-Generation FW) – сложные устройства. Они значительно сложнее чем L3/L2 коммутаторы. Они предоставляют большое количество сервисов и возможностей конфигурирования, поэтому неудивительно, что их надежность значительно ниже. Если непрерывность сервиса является критичной для сети, то, возможно, вам придется выбирать, что приведет к лучшей availability — защищенность с помощью фаервола или простота сети, построенной на коммутаторах (или различного рода фабриках) с использованием обычных ACL.
В случае вышеперечисленных примеров вам скорее всего (как обычно) придется находить компромисс. Посмотрите в сторону следующих решений:
Уровень защиты
Теперь нужно ответить на вопрос, какие инструменты вы хотите применить для фильтрации трафика. Вот некоторые из возможностей, которые обычно присутствуют в NGFW (например, тут):
Невозможно однозначно ответить на вопрос какие функции защиты могут потребоваться. Во-первых, потому, что это конечно же зависит от тех данных, которые вы передаете или храните и пытаетесь защитить. Во-вторых, в действительности, часто выбор средств защиты — это вопрос веры и доверия вендору. Вы не знаете алгоритмы, не знаете насколько они эффективны и не можете полноценно протестировать их.
Поэтому в критических сегментах, хорошим решением может быть использование предложений от разных компаний. Например, вы можете включить антивирус на фаерволе, но также использовать антивирусную защиту (другого производителя) локально на хостах.
Сегментирование
Пример такой логической сегментации и востребованного на данный момент дизайна дата-центра приведена в p002 проекта PSEFABRIC.
Определив логические части вашей сети, далее вы можете описать, как движется трафик между разными сегментами, на каких устройствах будет производиться фильтрация и какими средствами.
Если в вашей сети отсутствует ясное логическое разбиение и не формализованы правила применения security политик для разных потоков данных (flow), то это значит, что при открытии того или иного доступа вы вынуждены решать эту задачу, и с большой вероятностью каждый раз вы будете решать ее по-разному.
Часто сегментация основана только на FW security зонах. Тогда вам нужно ответить на следующие вопросы:
Часто встречается проблема недостаточного TCAM (Ternary Content Addressable Memory), как для маршрутизации, так и для доступов. ИМХО, это один из самых важных вопросов при выборе оборудования, поэтому нужно отнестись к этому вопросу с надлежащей степенью аккуратности.
Пример 1. Forwarding Table TCAM.
Давайте рассмотрим Palo Alto 7k фаервол.
Видим, что IPv4 forwarding table size* = 32K
При этом это количество роутов общее для всех VSYS-ов.
Предположим, что в соответствии с вашим дизайном вы решили использовать 4 VSYS-а.
Каждый из этих VSYS-ов по BGP подключен к двум PE MPLS облака, которое вы используете в качестве BB. Таким образом, 4 VSYS-а обмениваются всеми специфическими роутами друг с другом и имеют forwarding table с приблизительно одинаковыми наборами маршрутов (но разными NH). Т.к. каждый VSYS имеет по 2 BGP сессии (с одинаковыми настройками), то каждый маршрут, полученный через MPLS имеет 2 NH и, соответственно, 2 FIB записи в Forwarding Table. Если предположить, что это единственный фаервол в дата-центре и он должен знать про все маршруты, то это будет значить, что общее количество маршрутов в нашем дата-центре не может быть более чем 32K/(4 * 2) = 4K.
Теперь, если предположить, что у нас 2 дата-центра (с одинаковым дизайном), и мы хотим использовать VLAN-ы, “растянутые» между дата-центрами (например, для vMotion), то, чтобы решить проблему маршрутизации, мы должны использовать хостовые роуты. Но это значит, что на 2 дата-центра у нас будет не больше чем 4096 возможных хостов и, конечно, этого может быть недостаточно.
Если вы планируете фильтровать трафик на L3 коммутаторах (или других решениях, использующих L3 коммутаторы, например, Cisco ACI), то при выборе оборудования вы должны обратить внимание на ACL TCAM.
Предположим вы хотите контролировать доступы на SVI интрефейсах Cisco Catalyst 4500. Тогда, как видно из этой статьи, для контроля исходящего (так же как и входящего) трафика на интерфейсах вы можете использовать лишь 4096 строчек TCAM. Что при использовании TCAM3 даст вам около 4000 тысяч ACE (строк ACL).
В случае, если вы столкнулись с проблемой недостаточного TCAM, то, в первую очередь, конечно, нужно рассмотреть возможность оптимизации. Так, в случае проблемы с размером Forwarding Table, нужно рассмотреть возможность агрегирования маршрутов. В случае проблемы с размером TCAM для доступов — аудит доступов, удаление устаревших и пересекающихся записей, а также, возможно, пересмотр процедуры открытия доступов (будет подробно рассмотрено в главе, посвященной аудиту доступов).
High Availability
Вопрос в том, использовать ли HA для фаерволов или поставить «параллельно» две независимые коробки и в случае падения одной из них маршрутизировать трафик через вторую?
Казалось бы, ответ очевиден – использовать HA. Причина, почему этот вопрос все же возникает заключается в том, что, к сожалению, теоретические и рекламные 99 и несколько девяток после запятой процентов доступности на практике оказываются далеко не такими радужными. HA — логически достаточно сложная штука, и на разном оборудовании, и с разными вендорами (исключений не было) мы отлавливали проблемы и баги и остановку сервиса.
В случае использования HA вы получите возможность выключать отдельные ноды, переключаться между ними без остановки сервиса, что важно, например, при апгрейдах, но при этом имеете далеко не нулевую вероятностью того, что у вас сломаются обе ноды одновременно, а также то, что очередной апгрейд пройдет не так гладко, как обещает вендор (эту проблему можно избежать, если у вас есть возможность протестировать апгрейд на лабораторном оборудовании).
Если вы не используете HA, то с точки зрения двойной поломки ваши риски значительно ниже (т.к. вы имеете 2 независимых фаервола), но т.к. сессии не синхронизированы, то каждый раз, когда будет происходить переключение между этими фаерволами вы будет терять трафик. Можно, конечно, использовать stateless firewalling, но тогда смысл использования фаервола во-многом теряется.
Поэтому, если в результате аудита вы обнаружили одиноко стоящие фаерволы, и вы задумываетесь об увеличении надежности вашей сети, то HA, конечно, является одним из рекомендованных решений, но вы должны учесть и минусы, связанные с этим подходом и, возможно, именно для вашей сети более подходящим будет другое решение.
Удобство в управлении (managability)
В принципе HA — это в том числе и об управляемости. Вместо конфигурирования 2-х коробок по отдельности и решения проблемы синхронизации конфигураций, вы управляете ими во многом так, как будто у вас одно устройство.
Но, возможно, у вас много дата-центров и много фаерволов, тогда этот вопрос встает на новом уровне. И вопрос не только о конфигурировании, но также о
Так, например, если вы используете Palo Alto фаерволы, то Panorama является таким решением.