Узнайте, как спланировать и реализовать проект по микросегментации из руководства AlgoSec.
Что такое микросегментация
Микросегментация – это метод создания безопасных зон в сетях. Она позволяет компаниям изолировать рабочие нагрузки друг от друга и вводить жесткий контроль над внутренним доступом к конфиденциальным данным. Это делает сетевую безопасность более детализированной.
Микросегментация – это «апгрейд» сегментации сети.
Компании уже давно используют брандмауэры, виртуальные локальные сети и списки контроля доступа (ACL) для сегментации своей сети. Сегментация сети – это ключевая стратегия глубокой обороны, позволяющая разделить и защитить данные компании и ограничить боковые перемещения злоумышленников.
Рассмотрим пример с физическим нарушителем, проникшим в закрытый поселок. Несмотря на то, что злоумышленник проник через ворота, он не может свободно войти в дома сообщества, поскольку, помимо внешних ворот, каждый дом имеет замки на дверях. Микросегментация позволяет сделать еще один шаг вперед: даже если злоумышленник проникнет в дом, он не сможет получить доступ ко всем комнатам.
Зачем нужна микросегментация?
Организации часто применяют микросегментацию для блокирования боковых перемещений. Два распространенных типа боковых перемещений – это инсайдерские угрозы и вымогательство.
Инсайдерские угрозы – это получение сотрудниками или подрядчиками доступа к данным, на которые они не имеют права.
Вымогательство – это тип атаки вредоносного ПО, при котором злоумышленник блокирует и шифрует данные жертвы, а затем требует заплатить за их разблокировку и расшифровку. Если злоумышленник захватил один компьютер или один сервер в вашем центре и запустил вредоносное ПО, необходимо уменьшить «радиус взрыва» и сделать так, чтобы вредоносное ПО не смогло распространиться по всему центру обработки данных.
А если вы решите не платить выкуп? Отчет Datto о глобальном состоянии канала Ransomware Report сообщает нам следующее:
- Стоимость простоя в 23 раза превышает средний запрашиваемый выкуп в 2019 году.
- Затраты на простой из-за вымогательства выросли на 200 % по сравнению с прошлым годом.
Решение SDN
В программно-определяемых сетях, таких как Cisco ACI и VMware NSX, микросегментация может быть достигнута без развертывания дополнительных средств контроля, таких как брандмауэры. Поскольку центр обработки данных управляется программным обеспечением, в его структуру встроены возможности фильтрации. Это означает, что можно вводить правила политики без добавления нового оборудования.
Решения SDN могут фильтровать потоки как внутри центра обработки данных (трафик с востока на запад), так и потоки, входящие в центр обработки данных или выходящие из него (трафик с севера на юг).
Технология SDN, поддерживающая ваш центр обработки данных, устраняет многие из ранее существовавших препятствий для микросегментации.
Однако, несмотря на то что программно-определяемая структура делает сегментацию возможной, существует еще множество проблем, мешающих воплотить ее в жизнь.
Что такое хорошая политика фильтрации
К хорошей политике фильтрации предъявляются три требования:
1 – Разрешает весь бизнес-трафик
Последнее, чего вы хотите, – это написать политику с микросегментами, а она нарушит необходимые бизнес-коммуникации, что приведет к остановке работы приложений.
2 – Не допускает ничего другого
По умолчанию весь остальной трафик должен быть запрещен.
3 – Защита на будущее
Изменения в сетевом окружении не должны нарушать правила. Если вы напишете свои политики слишком узко, то любое изменение в сети, например новый сервер или приложение, может привести к тому, что что-то перестанет работать. Пишите с учетом масштабируемости.
Как организациям добиться выполнения этих требований? Они должны знать, каковы потоки трафика, а также что должно быть разрешено и что должно быть запрещено.
Это сложно, поскольку большая часть трафика не документирована. Нет четкой записи о приложениях в центре обработки данных и о том, от каких сетевых потоков они зависят. Чтобы получить точную информацию, необходимо выполнить процесс «обнаружения».
Схема создания политики микросегментации
Схема микросегментации
Обнаружение
Вам нужно выяснить, какой трафик необходимо разрешить, а затем решить, что не разрешать. Два распространенных способа реализации процесса обнаружения – это обнаружение на основе трафика и обнаружение на основе содержимого.
Обнаружение на основе трафика
Обнаружение на основе трафика – это процесс понимания потоков трафика – наблюдение за трафиком, проходящим через центр обработки данных, его анализ и определение целей потоков путем сопоставления их с приложениями, которые они поддерживают.
Вы можете собирать необработанный трафик с помощью сниффера трафика/сетевого TAP или использовать поток NetFlow.
Подход на основе содержания или данных
При использовании подхода, основанного на содержании, системы центра обработки данных разбиваются на сегменты в зависимости от чувствительности обрабатываемых ими данных. Например, приложение электронной коммерции может обрабатывать информацию о кредитных картах, что регулируется стандартом PCI DSS. Поэтому необходимо определить серверы, поддерживающие приложение электронной коммерции, и разделить их в политике фильтрации.
.
Обнаружение потоков трафика в центре обработки данных
Схема микросегментации
Использование NetFlow для отображения трафика
Источником трафика, на котором проще всего основывать обнаружение приложений, является NetFlow. Большинство маршрутизаторов и коммутаторов могут быть настроены на передачу NetFlow без необходимости развертывания агентов по всему центру обработки данных.
Потоки в NetFlow группируются по бизнес-приложениям на основе повторяющихся IP-адресов и корреляции во времени. Например, если HTTPS-соединение с клиента 172.7.1.11 на 10.3.3.3 наблюдается в 10 утра, а соединение с PostgreSQL с того же 10.3.3.3 на 10.1.1.1 наблюдается через 0,5 секунды, ясно, что все три системы поддерживают одно приложение, которое можно обозначить таким именем, как «Trading System».
Выявление общих потоков трафика на основе общих IP-адресов
NetFlow часто создает тысячи записей «тонких потоков» (от одного IP к другому IP), даже для одного приложения. В приведенном выше примере может быть запись NetFlow для каждого клиентского рабочего стола. Важно объединить их в «толстые потоки» (например, пропускающие всех клиентов в диапазоне 172.7.1.0/24). Помимо того, что это позволяет избежать резкого увеличения количества потоков, агрегирование также обеспечивает более высокий уровень понимания, а также защищает политики от колебаний в распределении IP-адресов.
Использование платформы обнаружения в AlgoSec Security Management Suite для определения потоков в сочетании с информацией от ваших брандмауэров поможет вам решить, где установить границы ваших сегментов и какие политики поместить в эти фильтры.
Схема микросегментации
Определение логических сегментов
После обнаружения бизнес-приложений, трафик которых проходит через центр обработки данных (с помощью обнаружения на основе трафика), а также определения чувствительности данных (с помощью подхода на основе контента) вы сможете определить сегменты.
Помните, что весь трафик, ограниченный сегментом, разрешен. Трафик, проходящий между сегментами, по умолчанию блокируется и должен быть явно разрешен правилом политики.
Есть две возможные отправные точки:
- Разделите системы, обрабатывающие конфиденциальные данные, на отдельные сегменты. Возможно, вам придется сделать это в любом случае по нормативным причинам.
- Разделите сети, подключающиеся к клиентским системам (настольные компьютеры, ноутбуки, беспроводные сети), на сегменты «человеческой зоны». Клиентские системы часто являются точками входа вредоносных программ и всегда являются источником злонамеренных атак инсайдеров.
Затем разместите оставшиеся серверы, поддерживающие каждое приложение, каждый в своем сегменте. Это избавит вас от необходимости писать явные правила политики для разрешения трафика, который является внутренним только для одного бизнес-приложения.
Пример сегмента в центре обработки данных
Схема микросегментации
Создание политики фильтрации
Когда сегменты определены, нам нужно написать политику. Трафик, ограниченный сегментом, автоматически разрешен, поэтому нам не нужно больше беспокоиться об этом. Нам нужно написать политику для трафика, пересекающего границы микросегментов.
В конечном итоге последнее правило политики должно быть по умолчанию запрещающим: «из любого места в любое место, с любым сервисом – DENY».
Однако применение такого правила на ранних этапах проекта микросегментации, пока не написана вся остальная часть политики, чревато нарушением взаимодействия многих приложений. Поэтому начните с (совершенно небезопасного) правила «разрешить по умолчанию», пока ваша политика не будет готова, а затем переключитесь на правило «запретить по умолчанию» в «день D» («день запрета»). Мы еще поговорим о дне D.
Какие типы правил мы будем писать?
Межсегментные потоки – разрешение трафика между сегментами: например, разрешить серверам электронной коммерции доступ к кредитным картам.
Потоки в/из центра обработки данных – например, разрешить сотрудникам финансового отдела подключаться к финансовым данным в центре обработки данных со своих машин в человеческой зоне или разрешить доступ из Интернета к внешним веб-серверам электронной коммерции.
Пользователям, находящимся за пределами центра обработки данных, необходим доступ к данным, находящимся в центре обработки данных
Схема микросегментации
Разрешить по умолчанию – с протоколированием
Чтобы избежать серьезных сбоев в подключении, начинайте проект микросегментации осторожно. Вместо того чтобы писать правило «DENY» в конце политики, напишите правило «ALLOW» – которое явно небезопасно – но включите ведение журнала для этого правила ALLOW. Это создаст журнал всех соединений, которые соответствуют правилу «разрешить по умолчанию». Изначально вы получите много записей в журнале от правила default-allow; ваша цель в проекте – устранить их.
Для этого вы просматриваете обнаруженные ранее приложения, пишете правила политики, поддерживающие межсегментные потоки каждого приложения, и помещаете их над правилом default-allow. Это означает, что трафик каждого приложения, с которым вы работаете, больше не будет соответствовать правилу default-allow (он будет соответствовать новым правилам, которые вы написали) – и количество журналов default-allow уменьшится.
Продолжайте добавлять правила, приложение за приложением, пока последнее разрешающее правило не перестанет генерировать журналы. В этот момент вы достигаете последней вехи проекта – дня «D».
Схема микросегментации
Подготовка к дню «D»
Как только журнал, созданный правилом default-allow, перестанет указывать на новые потоки, которые необходимо добавить в политику фильтрации, вы можете начать подготовку к дню «D». Это тот день, когда вы переключите выключатель и измените окончательное правило с «разрешить по умолчанию» на «запретить по умолчанию». Как только вы это сделаете, весь необнаруженный трафик будет запрещен фильтрующей структурой, и у вас наконец-то будет защищенный, микросегментированный центр обработки данных. Это очень важно!
Однако вы должны понимать, что день «D» приведет к большим организационным изменениям. С этого дня каждый разработчик приложения, которому требуется новый трафик через центр обработки данных, должен будет запрашивать разрешение на этот трафик; он должен будет следовать процессу, который включает в себя открытие запроса на изменение, а затем ждать, пока это изменение будет реализовано. Свободные дни закончились.
Вам нужно подготовиться к дню «D». Рассмотрите такие шаги, как:
- Добиться согласия руководства
- Донести информацию об изменении до всей организации
- Установить окно контроля изменений
- Собрать «все силы» в день «D», чтобы быстро исправить все, что могло быть упущено и привести к сбоям в работе приложений.
Схема микросегментации
Запросы на изменение и соответствие
Обратите внимание, что после дня D любое изменение в подключении приложений требует подачи «запроса на изменение». Когда команда информационной безопасности оценивает запрос на изменение, она должна проверить, соответствует ли запрос политике «допустимого трафика».
Общепринятым методом управления политикой на высоком уровне является использование таблицы, в которой каждая строка представляет сегмент, и каждый столбец – сегмент. В каждой ячейке таблицы перечислены все службы, которые разрешены от сегмента «строка» до сегмента «столбец».
Сохранение этой таблицы в машиночитаемом формате, например в электронной таблице Excel, позволяет программным системам выполнять проверку риска «что-если», которая сравнивает каждый запрос на изменение с приемлемой политикой и отмечает любые несоответствия до развертывания новых правил.
Такая проверка рисков «что-если» также важна для соответствия нормативным требованиям. Такие нормативные акты, как PCI и ISO27001, требуют от организаций определения такой политики и сравнения себя с ней; демонстрация политики часто является частью сертификации или аудита.
Обеспечение микросегментации с помощью AlgoSec
AlgoSec Security Management Suite (ASMS) позволяет легко определить и реализовать стратегию микросегментации в центре обработки данных, гарантируя, что она не блокирует критически важные бизнес-сервисы и соответствует нормативным требованиям.
Мощные возможности автоматического обнаружения AlgoSec помогут вам понять сетевые потоки в вашей организации. Вы можете автоматически связать распознанные потоки трафика с использующими их бизнес-приложениями. Как только сегменты установлены, AlgoSec легко управляет политикой сетевой безопасности во всей гибридной сети. AlgoSec проактивно проверяет каждый запрос на изменение правил брандмауэра в соответствии со стратегией сегментации, чтобы убедиться, что изменения не нарушают стратегию сегментации, не создают рисков и не нарушают требований соответствия.
AlgoSec обеспечивает соблюдение микросегментации путем:
- Генерирования пользовательского отчета о соблюдении требований политики микросегментации
- Идентификации незащищенных сетевых потоков, которые не пересекают брандмауэры и не фильтруются для приложений
- Автоматического выявления изменений, нарушающих стратегию микросегментации
- Автоматического внедрения изменений сетевой безопасности
- Автоматического подтверждения изменений
Зоны безопасности в AppViz от AlgoSec
Об AlgoSec
AlgoSec, мировой лидер в области кибербезопасности, предоставляет организациям возможность обеспечить безопасность подключения приложений путем автоматизации потоков подключения и политики безопасности в любом месте. Платформа AlgoSec позволяет самым сложным организациям мира получить видимость, снизить риски и обрабатывать изменения в гибридной сети в режиме «zero-touch». Запатентованное AlgoSec представление гибридной сети, ориентированное на приложения, позволяет владельцам бизнеса, приложений и специалистам по информационной безопасности говорить на одном языке, чтобы организации могли быстрее предоставлять бизнес-приложения, обеспечивая при этом повышенную безопасность. Более 1800 ведущих мировых организаций доверяют AlgoSec защиту своих наиболее важных рабочих нагрузок в публичных, частных облаках, контейнерах и локальных сетях, используя преимущества почти двух десятилетий лидерства в области управления политиками сетевой безопасности. Узнайте больше о решениях AlgoSec.
