Безопасность сети сегодня является одним из многочисленных уровней в общей системе построения системы защиты информации. Технические меры, среди которых правильная конфигурация архитектуры и технических средств сетевой инфраструктуры, должны быть реализованы на развернутых внутри организации серверах, автоматизированных рабочих местах администраторов и корпоративных пользователей.
Для обеспечения сетевой безопасности существует ряд базовых принципов, соблюдение которых позволит снизить риск компрометации данных инфраструктуры и их утечки. Подробнее о базисе и основных моментах выстраивания сетевой безопасности расскажет Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим», центра компетенций по информационной безопасности.
Для обеспечения сетевой безопасности существует ряд базовых принципов, соблюдение которых позволит снизить риск компрометации данных инфраструктуры и их утечки. Подробнее о базисе и основных моментах выстраивания сетевой безопасности расскажет Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим», центра компетенций по информационной безопасности.
Прежде всего обратимся к теоретической базе, в инфраструктуре всегда существуют вертикальный и горизонтальный трафики:
- Вертикальный трафик циркулирует между корпоративной сетью и Интернетом, например, при обращении корпоративных пользователей к сайтам, так и в обратную сторону, при обращении внешних пользователей к сайту компании, размещенному в демилитаризованной зоне (DMZ). Сюда же относится локальный сервер, получающий обновление какого-либо программного обеспечения с ресурса разработчика.
- Горизонтальный трафик не выходит за пределы локальной сети, например, когда пользователь подключается со своего рабочего места к сервисам для обеспечения рабочих задач (например, 1С), а администратор осуществляет подключение к web-интерфейсу управления маршрутизатора.
«Недостаточный контроль за горизонтальным трафиком так же опасен по части последствий, как и неподконтрольный вертикальный. Кибератака, начавшаяся с хоста в локальной сети, может привести к компрометации всей инфраструктуры. Поэтому базовые принципы сетевой безопасности должны применяться в одинаковой мере к обоим видам трафика», — отметил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Рассмотрим основные принципы для обеспечения сетевой безопасности:
Принцип №1: сегментирование
Что из себя представляет сегментирование сети? Сегментирование сети — это разделение, в основном логическое, корпоративной сети на отдельные подсети. Например, при помощи Virtual Local Area Network (VLAN). При этом устанавливаются ограничения на прохождение трафика из одной подсети в другую, вплоть до полного запрета на передвижение между сегментами сети.
Разделение на подсети позволяет реализовать базовые правила разграничения доступа к ресурсам компании, в том числе, критическим. Это снижает скорость продвижения злоумышленника в случае атаки, увеличивает шансы его обнаружения и реагирования на инцидент.
Минимальными пунктами к реализации первого принципа являются выделение четырех элементов:
Разделение на подсети позволяет реализовать базовые правила разграничения доступа к ресурсам компании, в том числе, критическим. Это снижает скорость продвижения злоумышленника в случае атаки, увеличивает шансы его обнаружения и реагирования на инцидент.
Минимальными пунктами к реализации первого принципа являются выделение четырех элементов:
- Публичные ресурсы (DMZ);
- Серверный сегмент;
- Сегмент администрирования;
- Пользовательский сегмент
Принцип №2: правила доступа
Правила доступа — это базовый инструмент для обеспечения защищенности инфраструктуры на любом уровне, в том числе, на сетевом. Они ограничивают прохождение трафика как между отдельными устройствами (или устройствами/сервисами и пользователями), так и между сегментами сети в целом.
Обязательные ограничения доступа:
- Подключение к интерфейсам управления серверами разрешено только из сегмента администраторов;
- Установление запрета на подключение к сегменту администрирования из пользовательской сети;
Правила доступа внутри сегмента:
- Обязательное разграничение доступов по ролям (например, сетевой администратор имеет доступ только для работы с сетевым оборудованием, доступ же к контроллеру домена заблокирован);
- Ограничение подключения пользователей друг к другу;
- Запрет на прямое обращение серверов к внешним ресурсам за обновлениями (рекомендуется использовать единый сервер обновлений, организованный в демилитаризованной зоне (DMZ);
- Выявление и полный запрет доступа неиспользуемых служб и протоколов (например, отключение IPv6, устаревших протоколов (SMBv1 или TLS 1.0/1.1), запрет подключения SSH там, где это в этом нет необходимости);
- Обязательная замена паролей, установленных производителем, на учетных записях администраторов всех сетевых устройств.
Принцип №3: анализ трафика
Что такое анализ трафика (NTA)? Network Traffic Analysis (NTA) представляет процесс непрерывного сбора и изучения данных, проходящих через компьютерную сеть. Отличие правил этого принципа от предыдущих в том, что они не анализируют содержимое, так как являются сами пакетными фильтрами. Это приводит к тому, что разрешенный легальный трафик может содержать в себе потенциальную угрозу использования злоумышленником различных инструментов, а также работу с небезопасными ресурсами.
Используемые инструменты для анализа трафика:
На данный момент указанный выше функционал реализован в межсетевых экранах нового поколения (NGFW), корректная настройка которого необходима для полноценной системы защиты.
Используемые инструменты для анализа трафика:
- Контроль приложений (Application Control);
- Системы обнаружения и предотвращения вторжений (IDS/IPS);
- SSL-инспекция;
- Web-фильтрация (URL filtering).
На данный момент указанный выше функционал реализован в межсетевых экранах нового поколения (NGFW), корректная настройка которого необходима для полноценной системы защиты.
«В этом плане анализ трафика можно сравнить с прохождением контроля пассажиров в аэропорту, где помимо идентификации личности идет детальная проверка на наличие у пассажира запрещенных к проносу на борт воздушного судна предметов», — подметил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Принцип №4: отказоустойчивость
Для выстраивания эффективной сетевой безопасности инфраструктуры необходимо обеспечить отказоустойчивость критичных сетевых узлов, например, ядра или периметровых межсетевых экранов.
Отказоустойчивость достигается за счет:
Отказоустойчивость достигается за счет:
- Кластерных решений;
- Разработки процедур резервного копирования данных и восстановления работоспособности сетевой инфраструктуры в приемлемые сроки;
- Применения резервных каналов связи и динамических протоколов маршрутизации трафика (OSPF, BGP и др).
Принцип №5: управление изменениями
Со временем в любой системе происходит «конфигурационный дрейф»: настройки правил фильтрации и анализа трафика подвергаются изменениям и устаревают. Отсутствие контроля за данным процессом ведет к деградации отдельных функций и механизмов защиты, вплоть до полного их отсутствия. Чтобы этого избежать необходимо внедрить формализованный процесс управления изменениями в сетевой инфраструктуре.
«В компании должны быть описаны и выстроены процессы рассмотрения, согласования, проведения и фиксация всех изменений, проводимых в сетевой инфраструктуре. В этом случае динамически развивающаяся система будет сохранять свои показатели по защищенности, что существенно снизит возможности атакующих на всем промежутке времени функционирования системы», — уточнил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Создание сложно преодолеваемой системы защиты ИТ-инфраструктуры не просто набор технических решений, а продуманная, комплексная система, основанная на обязательных принципах и непрерывном контроле. Полагаться только на периметровую защиту или формальное выполнение требований недостаточно: современные злоумышленники постоянно развивают методы и техники атак, а источник угрозы может находиться как за пределами организации, так и внутри нее. Реализация таких базовых принципов, как сегментирование, правила доступа, анализ трафика, отказоустойчивость и управление изменениями, позволяет построить гибкую и устойчивую систему безопасности. Она не только снижает риск компрометации, но и обеспечивает оперативное обнаружение, реагирование и восстановление после инцидентов.