Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Як за допомогою мікросегментації мережі забезпечити безпеку мультихмарної інфраструктури

2021-08-21
Автор: Телесфера

Більшість ЦОД мають традиційний захист, який передбачає залучення в оборонний рубіж тільки устаткування по периметру. Однак в мультихмарній інфраструктурі, на якій побудована переважаюча частина сучасних центрів обробки даних, такий підхід до забезпечення мережевої безпеки вже неактуальний. Функціонуючі в подібній інфраструктурі додатки представляють особливий інтерес для зловмисників і потребують високого рівня захисту. У той же час вони постійно доопрацьовуються, тому забезпечення безпеки має будуватися без шкоди для їх динамічного розвитку. Для вирішення завдань такого роду ми рекомендуємо використовувати мікросегментацію і концепцію нульової довіри.

Мікросегментація: особливості та основні варіанти

Мікросегментація - підхід, що дозволяє будувати гранулярний захист на рівні робочих навантажень. Простіше кажучи, мікросегментація дозволяє створити окремий міжмережевий екран для кожної програми.

Ключові особливості цього підходу - адаптивність і динамічність політик безпеки, а також можливість автоматичної генерації політик на основі аналізу взаємодії додатків, так як вручну підтримувати в актуальному стані правила для сотень або тисяч мікросегментів в постійно мінливому оточенні важко.

Мікросегментація лежить в основі концепції нульової довіри, адже мікросегмент для кожного робочого навантаження і гранулярні політики безпеки гарантують, що програма не отримає більше доступу, ніж йому потрібно. Крім того, ізоляція мікросегментів і повний контроль над трафіком обмежують горизонтальне поширення загроз, що зменшує поверхню атаки.

Основні варіанти мікросегментації:

  • на основі міжмережевих екранів (МЕ) рівня гіпервізора. У цьому випадку можливі проблеми сумісності з ІТ-інфраструктурою, тобто не завжди вийде захистити додатки, що працюють на фізичних серверах або гіпервізорах інших виробників;
  • на основі кінцевого хоста (наприклад, iptables або Windows Firewall). Цей варіант забезпечує захист будь-яких додатків в будь-якій ІТ-інфраструктурі, але передбачає використання агентів. Комусь наявність ще одного агента на хості може здатися недоліком, однак це відкриває додаткові можливості по збору flow-інформації безпосередньо з джерела.

Від теорії до практики

Розглянемо абстрактний приклад компанії Х. У неї є власний ЦОД, крім цього компанія користується послугами хмарного сервісу. На поточний момент застосовується традиційна сегментація. Всередині сегмента сервери вільно взаємодіють один з одним.

У ЦОД захист реалізований фізичними міжмережевими екранами: прикордонні МЕ забезпечують контроль комунікацій північ-південь, МЕ ядра контролюють трафік між сегментами. В хмарі для контролю вхідного трафіку і трафіку схід-захід використовуються віртуальні міжмережеві екрани.

Малюнок 1. Архітектура мережі при традиційній сегментації

Така архітектура частково обмежує горизонтальне просування, але якщо зловмисник отримає доступ до одного з досить великих сегментів, то під загрозою опиняться всі додатки всередині нього.

Інший істотний недолік - трудомісткий процес підтримки правил в актуальному стані. Кілька міжмережевих екранів, десятки сегментів, тисячі правил. В результаті при впровадженні нової програми або модифікації існуючого необхідне ручне коригування великої кількості правил.

Кілька коригувань + людський фактор = політики, засмічені дублюючими і перекриваючими один одного правилами, + інші помилки конфігурації. А вже про можливість перевірити вплив правил на додаток до їх застосування взагалі говорити не доводиться.

Ще одна проблема - недостатня поінформованість про додатки і їх мережеві комунікації. Збирати дані за допомогою Netflow (або іншого flow-протоколу) не дозволяє існуюча інфраструктура, тому що не всі комутатори його підтримують або мають достатньо ресурсів для роботи. Проблему підтримки Netflow можна вирішити за допомогою розгортання TAP або настройки SPAN на кожному комутаторі, але в масштабах ЦОД - це дороге задоволення, тому що буде потрібно впровадження пристроїв, що генерують flow на основі сирого трафіку.

Як же можна вирішити вищеозвученіе проблеми? Один з варіантів - автоматизація життєвого циклу політик додатків за допомогою збору великої телеметрії з серверів, застосування алгоритмічних підходів (машинне навчання та ін.).

Серед найбільш зручних інструментів можна виділити платформу Cisco Secure Workload (Tetration), призначену для цілісного захисту робочих навантажень для багатохмарних центрів обробки даних. Вона дозволяє:

  • здійснювати мікросегментацію для реалізації моделі нульової довіри на основі білого списку;
  • визначати базові показники поведінки робочого навантаження і завчасно виявляти аномалії;
  • виявляти уразливості, поширені і пов'язані з пакетами програмного забезпечення, встановленими на серверах;
  • використовувати проактивний захист, поміщаючи контрольовані вузли в карантин при виявленні вразливостей і блокуючи обмін даними при виявленні порушень політики;
  • забезпечити цілісне розуміння загального стану безпеки центру обробки даних.

Як це працює

Cisco Secure Workload вирішує проблеми безпеки гетерогенного мультихмарного середовища, надаючи можливість комплексного захисту робочих навантажень.

За допомогою сенсорів вона збирає дані, які потім використовуються при аналітичній обробці мережевих потоків трафіку і активних процесів, запущених в системі контрольованого вузла.

Ми отримуємо можливість превентивно ізолювати порушені сервери до походження інциденту зі збитком, використовуючи коригування правил брандмауера контрольованого вузла з подальшою мікросегментацією, проводячи аналіз базових показників поведінки і виявлених поширених вразливостей. Забезпечується послідовний захист робочих навантажень на ПАК, віртуальних машинах, АРМ, контейнерах. Завдяки цілісному підходу значно знижується поверхня атаки і прискорюється виявлення аномалій і підозрілої поведінки.

Компоненти рішення

Програмні сенсори: представляють собою ПЗ, яке встановлюється на серверах під управлінням операційних систем Linux або Microsoft Windows. Ці сервери можуть бути як stand-alone-рішенням, так і елементом середовища віртуалізації або контейнерного типу, розміщених в локальних центрах обробки даних або в будь-якій загальнодоступній хмарі. Навантаження на ЦПУ, здійснюване роботою ПЗ сенсора, за замовчуванням обмежена кількома відсотками і є контрольованою, щоб гарантувати угоду про рівень обслуговування (SLA). Сенсори можуть як збирати дані телеметрії, так і виступати в якості елемента керування на контрольованому вузлі для задач сегментації. Збираються такі дані телеметрії:

  • інформація про трафік робочого навантаження: містить відомості про те, коли потік трафіку почався, як довго був активний, а також про кінцеві точки потоку трафіку, протоколах, портах і т.д .;
  • варіативність поведінки: фіксує будь-які межпакетні варіації, що спостерігаються в потоці, включаючи варіації часу життя пакета (TTL), прапорів TCP/IP і довжини корисного навантаження;
  • відомості про процес: фіксує процеси, що виконуються на сервері, включаючи інформацію про параметри процесу, часу запуску та зупинки, двоїчному хеш-коді процесу і т. д .;
  • пакети програмного забезпечення: створює перелік всіх пакетів програмного забезпечення, встановлених на сервері, разом з інформацією про версію і розповсюджувача.

Апаратні сенсори: являють собою програмні рішення, вбудовані в програмно-апаратні комплекси. Відповідно до заяв вендора, Cisco Tetration здатна збирати вичерпну телеметричну інформацію на лінійній швидкості за необхідними портам, не збільшуючи затримки для пакетів і не впливаючи на продуктивність.

Прикладами таких рішень є сенсори:

  • Cisco Nexus Platform Switches
  • ERSPAN
  • Application Delivery Controller (ADC) - F5, Citrix NetScaler

Інші сенсори:

  • NetFlow
  • журнали AWS VPC

Можливості Cisco Secure Workload

Розглянемо можливості вирішення на приватному прикладі підключення нового користувацького пристрою з ОС MS Windows до існуючого ЦОД, що знаходиться під управлінням ПЗ Cisco Secure Workload. До складу ЦОД входять такі поширені базові компоненти, як сервери додатків, баз даних і балансувальник навантаження.


Малюнок 2. Структура компанії Х

Початкове налаштування

При вході в систему відбивається початковий екран панелі управління, на якому представлені дані робочих потоків, отримані від вже існуючих сенсорів.


Малюнок 3. Існуючі мережеві потоки

Додавання нового агента

Список існуючих подів на вкладці «моніторинг», яка відбиває підключені програмні агенти.


Малюнок 4. Список існуючих агентів

Рішенням представляється два варіанти установки програмного агента: з автоматичною прив'язкою і без. Для економії часу рекомендується до використання варіант з автоматичною прив'язкою. Для наочності будемо використовувати його в подальшій роботі компонентів рішення.


Малюнок 5. Вибір способу установки

Приклад установки ПЗ програмного сенсора на ОС MS Windows 2019.


Малюнок 6. Встановлення засобами PowerShell

Визначення пулу

Cisco Secure Workload може запускати алгоритми машинного навчання для будь-якого робочого навантаження, однак необхідно мати механізм, що задає певні межі. У зв'язку з цим в платформі існує концепція, яка називається «scoping». Вона дозволяє без труднощів здійснювати запити по зміні налаштувань, пов'язаних з певними областями інфраструктури, забезпечуючи гнучкість у міру розвитку структури організації.


Малюнок 7. Визначення нового «scope»

Картографування (mapping)

Cisco Secure Workload може автоматично виявляти і зіставляти відповідні політики і додатки. У рішенні цей процес називається зіставленням залежностей додатку (також відомий як ADM).

Налаштуємо процес запуску ADM для одного з додатків. Автоматично виявимо список дозволених політик для програми: для цього у вкладці "Segmentation" необхідно створити новий робочий простір.

Визначаємо політики мережевої безпеки. Кожна політика являє собою взаємозв'язок між набором робочих навантажень джерела і пункту призначення.


Малюнок 9. Виявлення існуючих політик

Під час запуску функціональності ADM Cisco Secure Workload використовує неконтрольоване користувачем машинне навчання для аналізу всіх метаданих заданої області і намагається згрупувати кінцеві точки в кластери.

Виявлені існуючі політики можна переглянути на вкладці "Policy".


Малюнок 10. Список існуючих політик

Використовуємо вбудовані засоби для розуміння необхідності існування політики.


Малюнок 11. Список агрегованих потоків

Даний спосіб дозволяє переглядати агреговані потоки протягом усього виконання ADM, навіть коли порт одержувача вилучений і за весь час існує тільки один запис.

Графічне представлення

У рішенні також забезпечується графічне представлення політик, що складається з вузлів і сполучних лінків. Вузли на карті представляють задіяні сторони політики. Лінк на графіку представляє одну або кілька політик між початковою і кінцевими точками. Межі політики згруповані по початковим і кінцевим точкам. Натиснувши на краю графіка, ми можемо вивчити всі аспекти політики, такі як служби (порти), дії (дозволити/заборонити) і протокол між споживачем і постачальником.


Малюнок 12. Графічне представлення політик

В даному прикладі тільки вузол load_balancers може відкривати з'єднання з веб-серверами і тільки веб-сервери можуть взаємодіяти з базами даних. Якщо відсутня конкретне дозволяюче правило, то буде узгоджена політика catch all.

Приклад додавання політик

Політики можна додавати або редагувати вручну на вкладці «Policy», як показано нижче.


Малюнок 13. Додавання політик

Аналіз політик

Аналіз політик дозволяє користувачеві зрозуміти, які ефекти політика матиме в середовищі до того, як вона розгорнута для робочих навантажень.

Аналіз політики Cisco Secure Workload надає інформацію про потік, включаючи інформацію аж до IP-адреси і порту, з якого виходив потік.


Малюнок 14. Запуск аналізу

Аналіз політик вирішує, чи дозволений активний потік, чи буде він скинутий або відхилений, на основі політики, виявленої в результатах ADM.

Застосування політик

Майстер застосування політик забезпечує прозорість і передбачуваність застосовуваних політик до того, як вони будуть реалізовані в робочих навантаженнях. Також він надає механізм для вибору змін політики, які повинні бути застосовані (або відкату), і перегляду потенційно зачеплених робочих навантажень в робочій області програми.


Малюнок 15. Застосування політик

Функціональність застосування політик примусово передає агенту настройки політик брандмауера. Агент програмує власний брандмауер, щоб дозволити тільки певний трафік.


Малюнок 16. Застосування політик

Перевірка застосованих політик

На вкладці "Policy" представлені правила політики, перенесені в робоче навантаження.


Малюнок 17. Перевірка політик

Результат впровадження мікросегментації

В результаті впровадження Cisco Secure Workload виконано поділ по зонах (продуктив, розробка і т.д.), усередині зон - згідно з додатками. Для кожного робочого навантаження засобами хостового МЕ створений мікросегмент. Трафік північ-південь як і раніше контролюється прикордонними МЕ.

Зсув точки застосування політики безпосередньо на хост дозволив контролювати трафік навіть між частинами однієї програми і реалізувати концепцію нульової довіри: дозволені тільки необхідні комунікації, непотрібні порти відключені. В таких умовах горизонтальне просування за межі скомпрометованого додатку блокується, зменшуючи можливу зону ураження.


Малюнок 18. Архітектура мережі після впровадження мікросегментації

На малюнку 19 показаний приклад поділу по зонах - робочим областям. Всередині робочої області кластери - згруповані за загальними властивостями робочі навантаження (Малюнок 19) - і політики, що застосовуються до них .


Малюнок 19. Сегментація по зонам


Малюнок 20. Сегментація за додатками

З впровадженням системи Cisco Secure Workload вдалося автоматизувати рутинні завдання по підтримці політик в актуальному стані.

Зараз алгоритм роботи з політиками виглядає так: за допомогою механізму ADM система самостійно групує робочі навантаження в кластери і генерує whitelist політики; потім адміністратор може затвердити або змінити результат роботи ADM.

У разі зміни членства робочого навантаження в кластері або робочої області ADM запускається повторно і видає оновлені політики, що відображають зміни потоків. При цьому адміністратор завжди може визначити свої власні whitelist- і blacklist-політики. Підсумкова політика буде являти собою упорядкований список правил, застосовуваний зверху вниз: абсолютні політики, створювані адміністратором (Малюнок 21), політики за замовчуванням, створювані в рамках роботи ADM (Малюнок 22), і політика catch all, зазвичай з дією deny (Малюнок 23).


Малюнок 21. Абсолютні політики


Малюнок 22. Політики за замовчуванням


Малюнок 23. Політика catch all

Перед застосуванням політик, які розсилаються засобами ADM, хотілося б розуміти, як вони вплинуть на додаток. Запускаємо функцію аналізу політик, щоб перевірити їх на живому трафіку, але без фактичного застосування (Малюнок 24). В результаті перевірки потоки трафіку діляться на чотири категорії:

  • Permitted - потік дозволений і мережею (завершений), і політикою;
  • Escaped - потік дозволений мережею (завершений), але відповідно до політики повинен бути заборонений;
  • Rejected - потік заборонений і мережею (не завершений), і політикою;
  • Mis-Dropped - потік заборонений мережею (не завершений), але відповідно до політики повинен бути дозволений.


Малюнок 24. Аналіз політик

Якщо за результатами аналізу порушень не виявлено - політику можна застосовувати. Якщо виявлені потоки, які порушують політику, то це привід для розслідування і можливість вирішити проблему в сегментації до її появи.

Використання на хостах агентів відкриває додаткові корисні можливості. Наприклад, можна робити інвентаризацію встановленого програмного забезпечення, а потім використовувати цю інформацію для ідентифікації відомих вразливостей. В результаті отримуємо: CVE-ідентифікатор уразливості (Малюнок 25); пакети, які необхідно виправити (Малюнок 26); робочі навантаження, на яких встановлені вразливі пакети (Малюнок 27).


Малюнок 25. CVE-інформація


Малюнок 26. Інформація по вразливих пакетах


Малюнок 27. Інформація по вразливих робочих навантаженнях

В якості тимчасового рішення інформація вразливостей може бути використана для створення динамічних політик, що закривають можливість експлуатації цих вразливостей. Використовуємо ідентифікатор CVE як фільтр для відбору вразливих робочих навантажень (Малюнок 28). Потім цей фільтр застосовується в якості параметра політики фільтрації (Малюнок 29). У міру виправлення вразливостей будуть змінюватися і налаштування динамічних політик.


Малюнок 28. Створення фільтру


Малюнок 29. Динамічна політика для захисту від вразливостей

Інша цікава можливість, доступна завдяки агентам - збір мережевої статистики безпосередньо з джерела. Агенти періодично експортують на колектор flow-інформацію (IP-протокол, IP джерела/призначення, L4-порти, кількість пакетів/байтів, TCP-прапори і т.д.), IP-інформацію (TTL, IP-прапори, IP options і т.д.), TCP-інформацію (sequence number, ack number, rcvd windows size). Крім того, агенти збирають інформацію про процеси, їх власників, команди, які використовуються для запуску процесів. У підсумку ми отримуємо повну і актуальну інформацію про всі мережеві взаємодії (Малюнок 30).


Малюнок 30. Мережева статистика

Крім мережевої статистики, агенти можуть збирати і експортувати інформацію, необхідну при розслідуванні інцидентів: по вдалим і невдалим спробам входу в систему, створення та видалення облікових записів, ескалації привілеїв, запуску раніше не використовуваних команд, зміни хешу виконуваних файлів і іншим аномаліям. Вона відправляється на двигун Форензік, де відбувається зіставлення виявлених подій із заздалегідь створеними правилами. У разі виявлення відповідності виконується одна з дій: Record - подія зберігається для подальшого аналізу; Alert - для події створюється повідомлення. Для кожної події доступна візуалізація (Малюнок 31). Можна наочно побачити батьківський процес, список породжених дочірніх процесів, тип облікового запису, з-під якого процес запущений. По кожному процесу доступна докладна інформація (Малюнок 32).


Малюнок 31. Візуалізація події


Малюнок 32. Деталі по процесу

Але частина міжмережевих екранів нікуди не поділася, тому з'являється нова проблема: потрібно забезпечити узгодженість політик, реалізованих на цих міжмережевих екранах, з політиками на робочих навантаженнях. У нашому прикладі ми інтегруємо Cisco Secure Workload з продуктом AlgoSec Security Management Suite, одним з основних завдань якого є управління змінами політик безпеки на міжмережевих екранах.

Cisco Secure Workload через Kafka обмінюється політиками додатку з модулем AlgoSec AppViz (Малюнок 33). Після того, як драфт політик завантажений і застосований (Малюнок 34), AlgoSec автоматично створює запит на зміну (Малюнок 35), який далі обробляється за допомогою модуля AlgoSec FireFlow. В процесі обробки модулем FireFlow запит проходить стадії:

  • планування, коли автоматично визначається список всіх пристроїв, що вимагають змін (Малюнок 36); якщо зміни не потрібні, то запит автоматично закривається;
  • оцінки ризиків, які можуть виникнути в результаті внесення змін (Малюнок 37);
  • автоматичного застосування змін на пристроях (Малюнок 38).


Малюнок 33. Імпорт додатку з Secure Workload


Малюнок 34. Застосування зміни потоків імпортованого додатку


Малюнок 35. Повідомлення про порушення


Малюнок 36. Стадія планування


Малюнок 37. Оцінка ризиків та затвердження запиту


Малюнок 38. Стадія реалізації

Резюме

Як ми бачимо, компанія Х отримала в свій арсенал гнучку і універсальну платформу для захисту і ЦОД, і хмари: система просто розгортається і управляється централізовано через стандартний веб-інтерфейс; реалізує мікросегментацію, попереджає про можливі інциденти безпеки, відстежує уразливості в програмному забезпеченні. Підвищилася ефективність роботи адміністраторів: скоротився час розгортання політик для нових додатків, рутинні завдання з налаштування політик автоматизовані, забезпечити узгодженість політик між ЦОД і хмарою стало значно простіше.

Джерело: https://habr.com/ru/company/step_logic/blog/571062/


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco: гібридна робота веде до відмови від паролів

Cisco: гібридна робота веде до відмови від паролів
Cisco,новини,Налаштування Cisco,cisco,cisco безпека

Cisco опублікувала новий звіт по ведучому рішенню багатофакторної аутентифікації (MFA) і безпечного доступу Duo Security, який підтвердив, що підприємства відмовляються від використання паролів для захисту гібридних працівників і переходять до природніх (low-friction) методів аутентифікації.

Рекомендації щодо захисту від вірусів-вимагачів

Рекомендації щодо захисту від вірусів-вимагачів
Cisco,Cisco Network,Налаштування Cisco,Блог Телесфера,cisco,cisco безпека

Віруси-вимагачі завдають величезної шкоди. Як від них захиститися? Віруси-вимагачі перестали бути проблемою тільки фахівців з кібербезпеки. Тепер вони всюди: про них говорять у вечірніх новинах і на саміті «Великої сімки». Вони набули масового характеру і стали спільною проблемою, оскільки хакери все частіше атакують системи найважливіших операторів інфраструктури, які не можуть дозволити собі збої або порушення роботи через кібератаки, - від постачальників продуктів харчування і транспортних компаній до енергетики і систем охорони здоров'я.

Актуальні тренди кібербезпеки в 2021 році

Актуальні тренди кібербезпеки в 2021 році
Блог Телесфера,Продуктивність,cisco безпека,Послуги Телесфера Інтеграція

Швидкість розвитку і зміни кіберпростору в останні роки вражають уяву вже не тільки недосвідчених користувачів, а й маститих фахівців в області ІТ та ІБ. Відбувається експоненціальний розвиток навіть не об'єму оброблюваних даних, кількості підключених до інтернету пристроїв або додатків/сервісів, а й самих концепцій і технологій, а всеосяжна цифровизация і перехід більшості бізнесів в онлайн у зв'язку з пандемією лише прискорили цей тренд. Еволюція сучасного кіберпростору і ландшафту кіберзагроз обумовлена в тому числі і розвитком інструментів створення нових, більш досконалих технологій, що, в свою чергу, тягне за собою подальше прискорення створення вже наступних поколінь технологій і інструментів.