Зона безопасности
При проектировании сетей специалисты часто применяют так называемые плоские коммутируемые сети второго уровня, поскольку они требуют меньше маршрутизаторов и коммутаторов, а также считаются более простыми в управлении и более эффективными. Однако с точки зрения безопасности такая организация сети создает некоторую проблему. Поскольку плоские архитектуры затрудняют внутренний мониторинг и, следовательно, обнаружение опасности или сбоя и реагирование на инциденты становится не только медленнее, но и дороже.
Лучше всего эту ситуацию может продемонстрировать аналогия с банком. Когда вы входите в банк, кассиры находятся за специальным экраном в безопасной зоне, а деньги хранятся в надежном хранилище вне зоны вашего доступа. Если бы вы вошли в банк, а кассиры сидели бы прямо перед вами за столами в модном нынче «оупен-спейсе» рядом с кучей денег, вы бы доверили такому банку хранить ваши финансы? Смеем предположить, что нет. Тогда зададимся вопросом, зачем создавать такие ИТ-среды?
При покушении на вашу ИТ-систему злоумышленники обычно используют фишинговую электронную почту или взломанный веб-сайт, чтобы получить доступ к ресурсу, а затем повысить привилегии на взломанной машине. Следующим их шагом будет сканирование среды для выявления серверов и других пользовательских хостов, которые можно скомпрометировать.
В плоской сети злоумышленник сможет видеть всё в сети, и нет очевидных точек, в которых можно было бы развернуть мониторинг для обнаружения факта процедуры распознавания и бокового перемещения. Таким образом, злоумышленник может легко идентифицировать целевые серверы и осуществить закрепление в системе путем компрометации других хостов без риска своего обнаружения.
Зонирование безопасности
Сегрегация или зонирование часто рассматриваются как меры, которые упрощают осуществление мониторинга, создавая точки межсетевого взаимодействия третьего уровня, чтобы ограничить боковое перемещение и улучшить видимость.
Однако простое зонирование помимо этого также позволяет применять другие защитные меры и должно рассматриваться как первый шаг в стратегии, направленной на то, чтобы сделать ИТ-среду вашей компании враждебной для злоумышленника. Это в основном достигается за счет ограничения функциональности сети, чтобы исключить возможности подключения, которые могут быть использованы злоумышленником, без ущерба для санкционированного использования.
Зонирование обычно достигается путем создания различных зон безопасности в среде на основе подсетей или диапазонов IP-адресов, и реализуется с использованием виртуальных локальных сетей (VLAN) для снижения стоимости инфраструктуры. Преобразование диапазонов IP-адресов в зоны безопасности тем самым упрощает наборы правил, необходимые в точках соединения, и упрощает обслуживание системы.
Зонирование позволяет группировать пользовательские хосты в одну или несколько зон, также могут быть созданы другие зоны, содержащие внешние службы, внутренние серверы, рабочие станции группы разработчиков и рабочие станции администратора. Это позволяет контролировать доступ между различными зонами в и из Интернета, используя маршрутизаторы уровня 3, межсетевые экраны или системы обнаружения вторжений (IDS).
Например, внутренним серверам не требуется прямой доступ к Интернету, он необходим только к серверу обновлений в демилитаризованной зоне либо в какой-либо другой. Поэтому, если злоумышленник сможет установить вредоносное ПО с пользовательской рабочей станции на сервер, он не сможет установить для него прямой канал управления и контроля.
Этот подход также позволяет активировать другие элементы управления, чтобы нарушить планы злоумышленника. Например, узлам пользователей потребуется доступ к внутренним серверам и Интернету, а администраторам – к узлам пользователей. Тем не менее, пользовательские хосты не должны подключаться к другим пользовательским хостам и не должны принимать административный трафик (например, WMI и удаленные команды PowerShell), кроме как с рабочих станций администратора.
Поскольку хосту не нужно обмениваться данными внутри своей зоны безопасности, брандмауэры хоста можно просто настроить для блокировки любого трафика внутри своей зоны безопасности и любого трафика администратора, кроме известных рабочих станций администратора. Есть много других примеров, где такие меры могут быть приняты, в правильно спроектированной зонированной сети они просты в реализации и управлении.
Затраты и экономия
Аналогичные принципы могут применяться с использованием программно-определяемых сетей (SDN) и в гибридных сетях как с локальными, так и с облачными службами, где концепции необходимо распространить на облако.
Подобные меры серьезно ограничивают способность злоумышленника устанавливать долгосрочный доступ и делают его деятельность гораздо более заметной, но на практике редко применяются в полной мере.
Возражениями против реализации такой стратегии обычно являются затраты на дополнительное оборудование для маршрутизации и мониторинга, увеличение накладных расходов на управление и влияние на производительность или функциональность.
При правильной реализации не должно быть потери функциональности, но при включении облачных сервисов может возникнуть проблема с производительностью, поскольку между пользователем и облаком должна быть как можно меньшая инфраструктура, чтобы поддерживать необходимые уровни производительности для пользователей.
Для добавления точек маршрутизации и мониторинга потребуются вложения, но такие стратегии могут быть реализованы с использованием базовых маршрутизаторов и межсетевых экранов и функций безопасности, встроенных в операционные системы. Следовательно, зонирование подходит для малых и средних предприятий, а также может позволить крупным предприятиям снизить свою зависимость от дорогих конечных точек и возможностей обнаружения сетей.
В случае правильной реализации, рабочие нагрузки на управление не должны возрастать. Однако политики должны быть четкими и практичными, поскольку у администраторов будет меньше возможностей использовать обходные пути.
В результате будет происходить постоянная экономия затрат на реагирование на инциденты, которые могут быть значительными, поскольку любое вторжение, вероятно, будет обнаружено раньше, и у злоумышленника будет гораздо меньше возможностей получить постоянный доступ к ресурсам предприятия. Снижение затрат на реагирование по инцидентам, а также сокращение других затрат, связанных с противодействием атакам и реагированием на них, могут перевесить любые дополнительные расходы.
Реализация зонирования может повлиять на производительность из-за дополнительной маршрутизации между зонами, где пользователям требуется доступ к большим объемам данных. В этих случаях потребуется тщательное проектирование сети, но в большинстве сетей пользователи не должны испытывать каких-либо дополнительных задержек или проблем с производительностью.
На практике основные проблемы при внедрении зонирования связаны с необходимостью реструктуризации существующих ИТ-инфраструктур, а также с отсутствием стратегического подхода, нацеленного на получение явных выгод, которые могут быть получены.
Хотя может быть сложно реорганизовать существующую среду, она может быть целесообразной и экономически эффективной, если все сделано правильно, и нет никаких сомнений в том, что при создании новой сетевой инфраструктуры следует разрабатывать и внедрять стратегический подход к зонированию, который будет сокращать издержки за счет длительного срока эксплуатации.
Стратегия должна разрабатываться совместно отделами безопасности, информационных технологий и менеджмента, с тем чтобы для всех сторон была понятна ценность преимуществ безопасности и вытекающих из этого преимуществ для бизнеса, а также убедиться, что окончательное решение обеспечивало надежную защиту в течение всего срока использования без негативного воздействия на цели работы компании или пользовательский опыт.