Базис защиты: пять ключевых принципов для обеспечения сетевой безопасности
Изображение: recraft
Безопасность сети сегодня является одним из многочисленных уровней в общей системе защиты информации. Технические меры, среди которых правильная конфигурация архитектуры и технических средств сетевой инфраструктуры, должны быть реализованы на развернутых внутри организации серверах, автоматизированных рабочих местах администраторов и корпоративных пользователей.
Для обеспечения сетевой безопасности существует ряд базовых принципов, соблюдение которых позволит снизить риск компрометации данных инфраструктуры и их утечки. Подробнее о базисе и основных моментах выстраивания сетевой безопасности расскажет Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим», центра компетенций по информационной безопасности.
Прежде всего обратимся к теоретической базе: в инфраструктуре всегда существуют вертикальный и горизонтальный трафики:
- Вертикальный трафик циркулирует между корпоративной сетью и Интернетом, например, при обращении корпоративных пользователей к сайтам, так и в обратную сторону, при обращении внешних пользователей к сайту компании, размещенному в демилитаризованной зоне (DMZ). Сюда же относится локальный сервер, получающий обновление какого-либо программного обеспечения с ресурса разработчика;
- Горизонтальный трафик не выходит за пределы локальной сети, например, когда пользователь подключается со своего рабочего места к сервисам для обеспечения рабочих задач (например, 1С), а администратор осуществляет подключение к web-интерфейсу управления маршрутизатора.
«Недостаточный контроль за горизонтальным трафиком так же опасен по части последствий, как и неподконтрольный вертикальный. Кибератака, начавшаяся с хоста в локальной сети, может привести к компрометации всей инфраструктуры. Поэтому базовые принципы сетевой безопасности должны применяться в одинаковой мере к обоим видам трафика», — отметил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Рассмотрим основные принципы для обеспечения сетевой безопасности:
Принцип №1: сегментирование
Что из себя представляет сегментирование сети? Сегментирование сети — это разделение, в основном логическое, корпоративной сети на отдельные подсети. Например, при помощи Virtual Local Area Network (VLAN). При этом устанавливаются ограничения на прохождение трафика из одной подсети в другую, вплоть до полного запрета на передвижение между сегментами сети.
Разделение на подсети позволяет реализовать базовые правила разграничения доступа к ресурсам компании, в том числе критическим. Это снижает скорость продвижения злоумышленника в случае атаки, увеличивает шансы его обнаружения и реагирования на инцидент.
Минимальными пунктами к реализации первого принципа являются выделение четырех элементов:
- Публичные ресурсы (DMZ);
- Серверный сегмент;
- Сегмент администрирования;
- Пользовательский сегмент.
Принцип №2: правила доступа
Правила доступа — это базовый инструмент для обеспечения защищенности инфраструктуры на любом уровне, в том числе на сетевом. Они ограничивают прохождение трафика как между отдельными устройствами (или устройствами/сервисами и пользователями), так и между сегментами сети в целом.
Обязательные ограничения доступа:
- Подключение к интерфейсам управления серверами разрешено только из сегмента администраторов;
- Установление запрета на подключение к сегменту администрирования из пользовательской сети.
Правила доступа внутри сегмента:
- Обязательное разграничение доступов по ролям (например, сетевой администратор имеет доступ только для работы с сетевым оборудованием, доступ же к контроллеру домена заблокирован);
- Ограничение подключения пользователей друг к другу;
- Запрет на прямое обращение серверов к внешним ресурсам за обновлениями (рекомендуется использовать единый сервер обновлений, организованный в демилитаризованной зоне (DMZ));
- Выявление и полный запрет доступа неиспользуемых служб и протоколов (например, отключение IPv6, устаревших протоколов (SMBv1 или TLS 1.0/1.1), запрет подключения SSH там, где в этом нет необходимости);
- Обязательная замена паролей, установленных производителем, в учетных записях администраторов всех сетевых устройств.
Принцип 3: анализ трафика
Что такое анализ трафика? Network Traffic Analysis (NTA) представляет процесс непрерывного сбора и изучения данных, проходящих через компьютерную сеть. Отличие правил этого принципа от предыдущих в том, что они не анализируют содержимое, так как они сами являются пакетными фильтрами. Это приводит к тому, что разрешенный легальный трафик может содержать в себе потенциальную угрозу использования злоумышленником различных инструментов, а также работу с небезопасными ресурсами.
Используемые инструменты для анализа трафика:
- Контроль приложений (Application Control);
- Системы обнаружения и предотвращения вторжений (IDS/IPS);
- SSL-инспекция;
- Web-фильтрация (URL filtering).
На данный момент указанный выше функционал реализован в межсетевых экранах нового поколения (NGFW), корректная настройка которых необходима для полноценной системы защиты.
«В этом плане анализ трафика можно сравнить с прохождением контроля пассажиров в аэропорту, где помимо идентификации личности идет детальная проверка на наличие у пассажира запрещенных к проносу на борт воздушного судна предметов», — подметил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Принцип № 4: отказоустойчивость
Для выстраивания эффективной сетевой безопасности инфраструктуры необходимо обеспечить отказоустойчивость критических сетевых узлов, например, ядра или периметровых межсетевых экранов.
Отказоустойчивость достигается за счет:
- Кластерных решений;
- Разработки процедур резервного копирования данных и восстановления работоспособности сетевой инфраструктуры в приемлемые сроки;
- Применения резервных каналов связи и динамических протоколов маршрутизации трафика (OSPF, BGP и др).
Принцип № 5: управление изменениями
Со временем в любой системе происходит «конфигурационный дрейф»: настройки правил фильтрации и анализа трафика подвергаются изменениям и устаревают. Отсутствие контроля за данным процессом ведет к деградации отдельных функций и механизмов защиты, вплоть до полного их отсутствия. Чтобы этого избежать, необходимо внедрить формализованный процесс управления изменениями в сетевой инфраструктуре.
«В компании должны быть описаны и выстроены процессы рассмотрения, согласования, проведения и фиксации всех изменений, проводимых в сетевой инфраструктуре. В этом случае динамически развивающаяся система будет сохранять свои показатели по защищенности, что существенно снизит возможности атакующих в течение всего времени функционирования системы», — уточнил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».
Создание сложно преодолеваемой системы защиты ИТ-инфраструктуры не просто набор технических решений, а продуманная, комплексная система, основанная на обязательных принципах и непрерывном контроле. Полагаться только на периметровую защиту или формальное выполнение требований недостаточно: современные злоумышленники постоянно развивают методы и техники атак, а источник угрозы может находиться как за пределами организации, так и внутри нее. Реализация таких базовых принципов, как сегментирование, правила доступа, анализ трафика, отказоустойчивость и управление изменениями, позволяет построить гибкую и устойчивую систему безопасности. Она не только снижает риск компрометации, но и обеспечивает оперативное обнаружение, реагирование и восстановление после инцидентов.
