Mikrosegmentierung von Netzwerken in Beispielen: Wie dieses clever verdrehte Ding auf verschiedene Angriffe reagiert



    Wenn früher eine Unterscheidung erforderlich war (z. B. Server mit Zahlungsverarbeitung und Terminals von Büronutzern), bauten sie einfach zwei unabhängige Netzwerke mit einer Firewall-Brücke in der Mitte auf. Es ist einfach, zuverlässig, aber teuer und nicht immer bequem.

    Später erschienen andere Arten der Segmentierung, insbesondere Rechte, die auf einer Transaktionskarte basierten. Parallel dazu wurden Rollenschemata entwickelt, bei denen einer Maschine, Person oder Dienstleistung bestimmte Rechte zugewiesen werden. Die nächste logische Runde ist die Mikrosegmentierung in virtuellen Infrastrukturen, wenn DMZ um jede Maschine platziert wird.

    In Russland gibt es noch wenige Implementierungen solcher Verteidigungskonstruktionen, aber bald wird es definitiv mehr davon geben. Und dann werden wir vielleicht nicht einmal verstehen, wie es möglich war, ohne es zu leben. Schauen wir uns die Angriffsszenarien für ein solches Netzwerk an und wie es darauf reagiert.

    Was ist Mikrosegmentierung?


    Bei der Mikrosegmentierung handelt es sich um eine Sicherheitsmethode, mit der Sie Rechenzentrumsanwendungen Sicherheitsrichtlinien bis hinunter zur Arbeitslast zuweisen können. In einer eher angewandten Anwendung handelt es sich um ein Sicherheitsmodell für Rechenzentren. Netzwerksicherheitsrichtlinien werden von Firewalls erzwungen, die in Hypervisoren integriert sind, die bereits im Rechenzentrum vorhanden sind. Dies bietet allgegenwärtigen Schutz. Darüber hinaus können Sicherheitsrichtlinien bequem geändert werden, auch automatisch, und dynamisch an sich ändernde Arbeitslasten angepasst werden.

    Wie es vorher war


    Hier ist die "Steinzeit" der modernen Netzwerke - nicht verwaltete Netzwerke:



    Genauer gesagt, wäre es eine Steinzeit, wenn die Netzwerke im Allgemeinen durch das Fehlen von Verbindungen physisch getrennt wären. Hier sind sie jedoch über einen Router verbunden und an der Kreuzung durch Hardware-Firewalls geschützt. Dies ist eine gute Option, genau solange Sie nicht in die reale Welt gelangen.

    Hier ist die nächste Runde der Sicherheitsentwicklung:



    Heutzutage verwenden die meisten Unternehmen Servercluster, um ihre Infrastruktur als Ganzes zu verdrehen. Hier ist ein Beispiel für Aeroexpress- dort in der Tat ein Cluster und zwei virtuelle Subnetze - für Verkaufsbüros (normale Benutzer) und für Bankgeschäfte, dh Ticketabrechnungen. Vor der Einführung gab es nur ein Netzwerk, und theoretisch konnte der Kassierer den Server banal mit der Ausstellung von Tickets versorgen. Der nächste logische Schritt nach dieser Trennung ist eine noch stärkere Virtualisierung und der Aufbau von Mikrosegmenten, jedoch nicht auf Eisenebene, sondern auf der Ebene der Rechte für flexible Dienste. Dies vereinfacht die Administration im Vergleich zur klassischen Aufgabe der feinkörnigen Trennung von 2-3 Maschinen erheblich und vereinfacht die Lebensdauer in Bezug auf die Zuverlässigkeit des Schutzes im Cluster erheblich. Jedes Mikrosegment betrachtet das benachbarte als eine Außenwelt und nicht als eine bewusst vertrauenswürdige.

    Dies ist eines der einfachsten Schemata, bei denen je nach Aufgabenstellung Schnittpunkte unterschiedlicher Perimeter verwendet werden. Dies kann wie im folgenden Diagramm aussehen.



    Wie Sie sehen, ist es in diesem Diagramm möglich, die horizontale Verteilung des VM-Datenverkehrs zu steuern. VLANs werden durch VxLANs ersetzt, deren Grenze bei etwa 16 Millionen Schnittstellen liegt. Wenn Sie sich das Farbschema des Schemas am Beispiel von Mein Konto - 1 ansehen, sehen Sie außerdem die folgenden Szenarien:

    1. Anwendungsserver an verschiedenen physischen Standorten befinden sich im selben logischen Netzwerk P6 (orangefarbene Ovale).
    2. Gleichzeitig befinden sich Webserver desselben persönlichen Kontos - 1 bereits in verschiedenen logischen Netzwerken (grüne Ovale P4 und P5).
    3. Alle Server, die das persönliche Konto - 1 implementieren, befinden sich wiederum in einem einzelnen logischen Netzwerk P10 (einer mit einer gestrichelten Linie markierten Zone).

    Vielleicht haben Sie bereits alles verstanden und möchten nun herausfinden, wie schwierig es ist, es zu warten. In neuen Versionen von Hypervisoren werden solche Strukturen also "out of the box" unterstützt.

    Das Hauptthema solcher Mikrosegmentierungsimplementierungen ist der Schutz kritischer Dienste im Kontext von Cluster- und Personal Cloud-Technologien.

    Beispiel: Es gibt eine Arbeitsmaschine eines Buchhalters, auf der während der normalen täglichen Arbeit Richtlinien wie "Workstation of Accountancy" angewendet werden, mit denen Sie auf das Internet und allgemeine Infrastrukturdienste zugreifen können. Wenn eine Kundenbank gestartet wird, haben die Politiker sofort Vorrang vor der Verarbeitung der mit dem Datenverkehr des Kunden verbundenen Regeln. Der Datenverkehr wird nur an den IP / DNS-Server der Bank übertragen, und dieser Datenverkehr muss durch zusätzliche Mittel des Informationsschutzes weitergeleitet werden (zum Beispiel ein DPI-Server). Die Kundenbank ist geschlossen - sie wird wieder zu "AWP Accounting".

    Woraus besteht eine der NSX-Mikrosegmentierungsplattformen?


    Hier sind die Hauptkomponenten:

    Kommutierung



    Die logische Überlagerung der Schicht 2 wird über die gesamte geschaltete Matrix der Schicht 3 innerhalb und außerhalb des Rechenzentrums bereitgestellt. VXLAN-basierte Overlay-Unterstützung.



    Routing



    Das dynamische Routing zwischen virtuellen Netzwerken wird vom Kernel des Hypervisors verteilt ausgeführt. Die horizontale Skalierung wird mit einem Failover des Aktiv-Aktiv-Typs auf physische Router unterstützt. Statische und dynamische Routing-Protokolle (OSPF, BGP) werden unterstützt.



    Verteilte Firewall



    Im Kern des Hypervisors integrierte Stateful Distributed Firewall Services mit einem Durchsatz von bis zu 20 Gbit / s zum Hypervisor-Server. Active Directory-Unterstützung und Aktionsüberwachung. Darüber hinaus bietet NSX mit NSX Edge eine vertikale Firewall.



    Lastenausgleich



    Der Lastausgleich für die Stufen 4 bis 7 mit SSL-Lastübertragung und Ende-zu-Ende-Übertragung, Server-Integritätsprüfungen und Anwendungsregeln bieten Programmier- und Verkehrsmanipulationsfunktionen.



    VPN



    Remotezugriff über VPN und VPN-Verbindung zwischen Umgebung und Medium, nicht verwaltetes VPN für Cloud-Gateway-Dienste.



    NSX Gateway



    Das Bridging zwischen VXLANs und VLANs bietet eine optimale Konnektivität zu physischen Workloads. Diese Komponente ist in die NSX-Plattform integriert und wird auch von Rack-Switches unterstützt, die von Ökosystempartnern bereitgestellt werden.



    NSX-API



    REST-basierte APIs werden für die Integration in jedes Cloud-Management oder jede Benutzerplattform unterstützt



    Und jetzt betrachten wir die Szenarien verschiedener Bedrohungsereignisse, so dass es völlig klar wird.

    Szenario 1: Malwara


    Die Wege des Eindringens und der Infektion in großen Unternehmen sind ungefähr gleich: Phishing, gezielte Angriffe, "Reiseäpfel" in Form von Flash-Laufwerken. In der Regel infiziert die Malware eine der automatisierten Arbeitsstationen (z. B. einen Brief) und kann dann im Umkreis alles tun, bis sie erkannt wird. Ich habe kürzlich eine Situation in einer Bank gesehen. Ich muss sagen, dass sie seriöse Leute und ernsthafte Sicherheitsvorkehrungen haben, aber die Situation innerhalb des Netzwerks war so, dass eine umfangreiche Test-Malware (ohne Nutzlast) die Testumgebung "durchbrach" und mehrere Zweige infizierte, bis sie vom Schutzsystem erkannt wurde. Bei einigen ist das Benutzersegment überhaupt nicht vom kritischen Segment getrennt, und Benutzer hängen Malware auf 1C-Servern, Rechnern mit Finanztransaktionen, auf einem Webserver, einem Aktualisierungsserver usw. glücklich auf.

    In unserem Paradigma lautet der Schutz wie folgt: Mikrosegmentierung auf der Ebene von Servern, Diensten und Benutzern. Trennen Sie jede Gruppe mit einem Perimeter (wie im Bild oben). In der Regel ist eine virtuelle Maschine infiziert, die von einem Virenschutzprogramm auf der Höhe des Hypervisors erkannt wird. Eine Maschine mit untypischer Aktivität wird sofort automatisch in Quarantäne gestellt - ein spezielles Segment, in das alle hineinfallen, die etwas Ungewöhnliches tun.

    An diesem, beispielsweise einem typischen Sandkasten, können Standardmaße befestigt werden.

    Moderne Malware beruhigt sich auf einer einzelnen Workstation, sendet ein sehr kleines Signal an den Verwaltungsserver oder stellt den zweiten Block bereit, der bereits eine „nützliche“ Last enthält. In diesem Fall wird die zweite Generation der Malware erkannt - die erste "stille" bleibt im System. Wenn Sie Glück haben, kann das Antivirus-Programm beide Blöcke erkennen und sogar entfernen. Wahrscheinlich geschieht dies jedoch am Rande des Netzwerks, und danach müssen Sie eine Menge Arbeit leisten, um den Schaden aufzuspüren. Und die Integration von Antivirus selbst ohne Hypervisor-Level ist etwas komplizierter.

    Am 17. März 2017 hat Kaspersky Agentless Protection for NSX aktualisiert.

    Szenario 2: Gezielter Angriff auf einen kritischen Dienst


    Der Angriff auf besonders kritische Computer und Server (Buchhaltung, Computer mit Zugriff auf SWIFT, Verarbeitungsserver) beginnt häufig als DDoS und führt die Malware weiterhin aus heiterem Himmel. Es ist einfach zu lösen: Eine weitere (zwei, drei, je nach Bedarf) DMZ wird in Ihrer Servergruppe für eine vollständige Abschaltung erstellt. Natürlich müssen wir im Voraus darüber nachdenken.

    Ein normaler Administrator verfügt natürlich über separate Netzwerke. Es ist schwieriger, diese über viele Jahre ohne Lücken zu verwalten. Nun, ohne Zentralisierung. Und beim Übertragen eines Netzwerks oder einer virtuellen Maschine können Lücken auftreten, und im Fall einer Mikrosegmentierung ist die Wahrscheinlichkeit viel geringer.

    Szenario 3: Zufällige inkorrekte Migration oder vereinfachte Netzwerkinitialisierung


    Nur ein Drittel des Datenverlusts ist auf die Aktionen von Angreifern zurückzuführen. Der Rest ist ein banales Versehen oder nur ein Schwachsinn. Ein anschauliches Beispiel sind die sehr häufig auftretenden Änderungen im Netzwerk, z. B. die Migration eines Computers oder einer Gruppe von Computern von einem Subnetz in ein anderes (von einem sichereren zu einem weniger sicheren, wodurch der migrierte Computer vor Bedrohungen „nackt“ ist).

    Die Lösung ist die Mikrosegmentierung und Profilzuordnung zu einer Maschine oder Maschinengruppe. Daher bleiben die Sicherheitseinstellungen und alle erforderlichen Firewalls (vom Hypervisor implementiert) auf der VM, unabhängig davon, wie und wo sie migriert werden.

    Mein Lieblingsbeispiel ist, dass in einer Einzelhandelskette die Risiken falsch eingeschätzt wurden. Ticketschalter wurden in die Benutzerzone migriert (genauer gesagt, Benutzerrechte wurden nach sechs Monaten geändert). Jemand hat beim nächsten Patch etwas vergessen - und sie wurden mit einer nackten Datenbank herausgebracht.

    Szenario 4: besonders erfolgreicher Pentest


    Dies ist wirklich ein separates Szenario, da es für solche Pfosten sehr schmerzhaft ist, die Hände zu schlagen. Vor allem im Finanzsektor. Ich sah eine sehr einfache Geschichte: Eine Bank befahl das Eindringen einer bestimmten VM-Gruppe (in einer Testumgebung). Die Pentester nahmen die Flagge, ließen sich jedoch ein wenig mitreißen, gruben durch die Testumgebung, gingen in das Hauptsegment und stellten den ABS-Server für einen Tag auf. Dies ist nur ein Absatz!

    Im Allgemeinen hilft die Mikrosegmentierung dabei, sicherzustellen, dass Netzwerke sich nicht „physisch“ sehen, als ob sie überhaupt nicht verbunden wären. Sie werden immer noch nicht das Niveau des Hypervisors erreichen (zumindest ohne einen Weltklasse-0-Tag). Wenn etwas plötzlich Administratorrechte erhält und sich ausbreitet, wird es vom Hypervisor abgefangen. Und virtuelle Maschinen lassen sich viel einfacher zurücksetzen.

    Szenario 5: Angriff auf einen nach außen gerichteten Dienst, der zu internen Netzwerkproblemen führt


    Im Einzelhandel gibt es einen Webserver. Es gibt eine Front und offene Ports zwischen der Front und dem Web.
    Sie bekamen ihn, gleichzeitig ging auch die Kasse runter. Der Admin sucht gleich am nächsten Tag einen neuen Job. Im Allgemeinen besteht das Wesentliche des Angriffs darin, dass ein Angreifer die Sicherheitsanfälligkeit eines Anwendungsservers oder eines Webservers ausnutzt, auf den über das Internet zugegriffen werden kann, und Zugriff auf kritische Server und Datenbanken in der Unternehmensinfrastruktur erhält. Na ja, oder steckt einfach alles in die Didosomen.

    Das Paradigma geht von einer Mikrosegmentierung jedes Dienstservers aus, sodass für jeden Server, der seine Rolle ausübt, bestimmte Sicherheitseinstellungen festgelegt werden. Konfigurierbar mit Profilen.

    Andere Szenarien


    In der Regel werden andere Szenarien in etwa gleich ausgearbeitet. Zum Beispiel ist ein Insider aus unserer Sicht nur ein infizierter AWP. Und es ist egal, ob er handelt oder nur einen Account hat. Atypische Aktivität - Quarantäne - Verfahren und anschließendes Rollback der betroffenen VM.

    Wie gehts?


    Sprechen wir über einen der praktischen Fälle:

    1. Umfrage durchgeführt. In der Umfrage wurden die Netzwerktopologie, die Architektur der virtuellen Infrastruktur sowie die Arten der bereitgestellten Systeme und Dienste erfasst. In dieser Phase werden alle Informationsflüsse (Benutzer-, Dienst-, Verwaltungsverkehr, Überwachungs- und Aktualisierungsverkehr) ermittelt und aufgezeichnet.
    2. Die Analyse und der Entwurf von Änderungen an der virtuellen Infrastruktur, einschließlich des Netzwerks, werden unter Berücksichtigung der Kritikalitätsgruppen und bereitgestellten Funktionen durchgeführt, die im Stadium der Umfrage ermittelt wurden.
    3. Die Erstkonfiguration von Profilen (VM-Gruppen, Rollen, Sicherheitseinstellungen, ITU-Einstellungen, Benutzergruppenzugriffseinstellungen) für die VM-Testgruppe wird durchgeführt.
    4. Die generierten Profile werden übernommen, die Arbeit wird überwacht. Bei Bedarf werden Anpassungen vorgenommen. Bei der Implementierung der Mikrosegmentierung wird das „Zero-Trust“ -Modell angewendet. Mit diesem Modell vertrauen wir zunächst nichts, sondern erlauben nur verifizierte und vertrauenswürdige Interaktionen.
    5. Die Lösung ist auf die gesamte Infrastruktur skalierbar.

    Darüber hinaus wird die gesamte Infrastruktur zentral von einer einzigen Konsole aus mit einem Minimum an Personal verwaltet. Gruppen und Profile werden gebildet, ihr Zweck ist schnell genug. Zugewiesene Profile funktionieren überall in derselben virtuellen Infrastruktur. Neben der Verwaltung von ITU- und Sicherheitseinstellungen werden auch die Prozesse der Migration, Aktualisierung, Inbetriebnahme und Außerbetriebnahme von Servern und Diensten zentral verwaltet.

    Wichtige Punkte speziell für die erwähnte NSX-Lösung:

    • Muss die Cisco ASA 5520 Firewall ersetzen.
    • Die Möglichkeit, das Rechenzentrum unabhängig von Subnetz und VLAN in separate Segmente aufzuteilen.
    • Anwendung der Richtlinie auf die VM in Übereinstimmung mit dem Betriebssystem und dessen Namen.
    • Unterstützung der IPSec-Lösung für die Kommunikation mit Remote-Zweigstellen.

    Es gab ein solches Netzwerk:



    Vor der Implementierung haben wir ein Audit durchgeführt, um zu verstehen, wie der Datenverkehr im virtuellen Rechenzentrum mithilfe des VMware vRealize Network Insight-Dienstprogramms "verläuft". Es hilft nur, Mikrosegmentierungsregeln einzurichten. Es stellt sich so etwas heraus:


    Quelle

    Und verglich die für den Kunden interessanten Parameter (so bestand eine der Aufgaben darin, das VPN zu ersetzen):


    Cisco ASA 5520



    Cisco ASA 5515-X



    Cisco ASA 1000V



    Cisco ASA 5555-X



    VMware NSX Edge (X-Large)



    Typ



    Physisches Gerät



    Physisches Gerät



    Virtuelle Maschine



    Physisches Gerät



    Virtuelle Maschine



    Maximaler Firewall-Durchsatz (max.)



    0,4 Gbit / s



    1,2 Gbit / s



    1,2 Gbit / s



    4 Gbit / s



    9 Gbit / s



    Maximale Anzahl gleichzeitiger Sitzungen



    280.000



    245.000



    200.000



    1.000.000



    1.000.000



    Maximale Verbindungen pro Sekunde



    N / a



    6000



    10.000



    50.000



    131.000



    VPN-Bandbreite



    250 Mbit / s



    250 Mbit / s



    200 Mbit / s



    700 Mbit / s



    2 Gbit / s



    Maximale IPsec-Tunnel



    750



    250



    750



    5.000



    6.000



    Maximale SSL-Tunnel



    750



    250



    750



    5.000



    6.000



    Parallel dazu haben wir ein Netzwerkdiagramm der physischen Ausrüstung erstellt. Der Schlüssel für uns ist, die Bewegung des Datenverkehrs innerhalb des Rechenzentrums zu verstehen, um Richtlinien zu konfigurieren. Es wurde entfernt, sofort anwendbar. Wenn etwas abgeschnitten wird - einfach später hinzufügen. Ein oder zwei Wochen reichen aus, um eine gute Karte zu erstellen und alle Dienste zu bestimmen.

    Wir hatten eine ziemlich einfache Installation und platzierten sie auf zwei Blades. Kosten:


    Komponente



    Menge



    ∑ RAM (GB)



    ∑vCPU



    ∑HDD (GB)



    NSX Manager



    1



    16



    4



    60



    NSX-Controller



    3



    12



    12



    60



    NSX DLR



    2



    4



    8



    3



    NSX EDGE



    1



    2



    4



    2



    Der Kunde verfügte bereits über eine VMware vSphere-Virtualisierungsumgebung, sodass wir gerade Lizenzen für NSX gekauft haben. Zu dieser Zeit gab es keine NSX-Editionen, sie erschienen fast einen Monat nach dem Kauf der Lizenzen. Das Produkt selbst ist für Sockets lizenziert.

    Wir haben die Computer in Gruppen unterteilt und ihnen Tags zugewiesen, die Firewall-Regeln von der ASA an die verteilte Firewall übertragen und vRealize Network Insight erneut überprüft, um sicherzustellen, dass die Verkehrsströme korrekt angegeben und nichts vergessen wurden.

    GEWINN!

    Referenzen



    Jetzt auch beliebt: