Мікросегментація мереж у прикладах як ця хитро закручена штука реагує на різні атаки

штука

Раніше, коли потрібно було щось розмежувати (наприклад, сервери з обробкою платежів та термінали користувачів офісу), просто будували дві незалежні мережі з мостом-файєрволом у середині. Це просто, надійно, але дорого і не завжди зручно.

Пізніше з'явилися інші види сегментації, зокрема з прав на основі карти транзакцій. Паралельно розвивалися рольові схеми, де машині, людині чи сервісу призначаються свої конкретні права. Наступний логічний виток – мікросегментація у віртуальних інфраструктурах, коли DMZ ставиться довкола кожної машини.

В Україні поки є поодинокі впровадження подібних захисних побудов, але скоро їх точно буде більше. А потім ми, можливо, не розумітимемо, як можна було жити без такого. Розгляньмо сценарії атак на таку мережу і як вона на це реагує.

Що таке мікросегментація

Мікросегментація - це метод безпеки, який дозволяє призначати додатків центру обробки даних мікрополітики безпеки, аж до рівня робочого навантаження. У прикладному застосуванні - це модель забезпечення безпеки центрів обробки даних. Застосування політик мережевої безпеки забезпечують брандмауери, інтегровані в гіпервізори, які вже є в ЦОД. Це забезпечує повсюдність захисту. Крім того, політики безпеки можна зручно змінювати, у тому числі автоматично, та динамічно адаптувати з урахуванням змін робочих навантажень.

Як це було раніше

Ось «кам'яне століття» сучасних мереж — некеровані мережі:

хитро

Точніше, кам'яним віком це було б, якби мережі взагалі були фізично розділені відсутністю лінків. Але тут вони з'єднаніроутером та захищені апаратними фаєрволами на місці перетинів. Це хороший варіант рівно доти, доки ви не потрапите в реальний світ.

Ось наступний виток еволюції захисту:

мікросегментація

Сьогодні більшість компаній використовують кластери серверів для того, щоб крутити свою інфраструктуру загалом. Ось приклад «Аероекспресу» — там, по суті, один кластер і дві віртуальні підмережі — для офісів продажу (звичайні користувачі) та для банкінгу, тобто розрахунків за квитками. До впровадження мережа була одна, і теоретично касир міг банально подати сервер з видачею квитків. Наступний логічний крок після такого поділу — ще більша віртуалізація та побудова мікросегментів, але не лише на рівні заліза, але в рівні гнучких прав сервісів. Це дуже полегшує адміністрування в порівнянні з класичним завданням дрібного поділу по 2-3 машини і дуже спрощує життя щодо надійності захисту в кластері. Кожен мікросегмент дивиться на сусідній як на зовнішній світ, а не як на свідомо довірений.

Це одна із найпростіших схем, де в залежності від завдань використовуються перетини різних периметрів. Ось так це може виглядати:

хитро

На цій схемі, як бачите, вирішені проблеми масштабування компонентів мережі (виробляється розгортанням нових VM), є можливість використовувати будь-яке мережеве обладнання, є можливість контролю горизонтального розповсюдження трафіку ВМ, VLAN замінено на VxLAN, обмеження яких становить близько 16 млн інтерфейсів. Більше того, якщо подивитися на розмежування кольорів схеми, на прикладі Особистого кабінету — 1 можна побачити наступні сценарії:

  1. сервери додатків, що знаходяться на різних фізичних майданчиках, розташовані в одній логічній мережі Р6 (помаранчеві овали);
  2. при цьому Web-сервери того жОсобистого кабінету - 1 знаходяться вже в різних логічних мережах (зелені овали Р4 та Р5);
  3. всі сервери, що реалізують Особистий кабінет - 1, у свою чергу знаходяться в єдиній логічній мережі Р10 (виділена пунктиром зона).

Можливо, ви вже все зрозуміли, і тепер хочете дізнатися, наскільки складно це підтримувати. Так ось, у нових версіях гіпервізорів такі структури підтримуються "з коробки".

Найголовніша тема таких впроваджень мікросегментації – захист критичних сервісів у контексті кластерних та персональних хмарних технологій.

Приклад: є робоча машина бухгалтера, на якій при звичайній повсякденній роботі застосовуються політики на кшталт «АРМ Бухгалтерії», за яких можна здійснювати вихід в Інтернет та загальні інфраструктурні сервіси. При запуску ж банк-клієнта політики відразу ж будуть пріоритетно обробляти правила, пов'язані саме з трафіком банк-клієнта, і його трафік пропускатимуть лише на заданий IP/DNS сервера банку, при цьому обов'язково пропускатимуть такий трафік через додаткові засоби захисту інформації (наприклад, DPI-сервер). Банк-клієнт закритий – знову стає «АРМ Бухгалтерії».