(Русский) Микросегментация сети: как свести риски распространения угроз к минимуму

Sorry, this entry is only available in Russian. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.


Опробовав микросегментацию сети на нескольких проектах, можем сказать, что это эффективный инструмент защиты. Да, он требует дополнительных расходов, возможно, даже новой штатной единицы для управления сетью и мониторинга. Но сегодня множество компаний тратят деньги на вещи, которые в плане обеспечения цифровой безопасности откровенно устарели. Случаев внедрения микросегментации в России в ближайшем будущем точно станет больше.

 

Как возникла концепция микросегментации

Коммерческие компании чаще всего используют в своей работе локальные сети, облачные SaaS сервисы и VPN соединения с отдаленными филиалами. Каждая из этих технологий требует надежной защиты, ведь многие приложения сейчас используют по несколько отдаленных серверов, в том числе публичных, что создает дополнительные уязвимости.

Приложения стали более распределенными, динамичными и гибридными. Мы своими глазами видели приложение, которое задействует с десяток дата-центров. Как вообще его можно защитить с помощью файервола?

Обычно злоумышленники используют боковую атаку, ведь прямое проникновение на нужный сервер, как правило, сильно затруднено, поскольку ключевые элементы сети надежно защищены. Но найдя даже одно слабое звено, будь то компьютер кладовщика или офис-менеджера, хакеры могут получить доступ к остальным элементам сети.

Что делали раньше? Задействовали физические перегородки. Например, под каждый важный узел (сервер обработки платежей, хранилище данных) строили отдельную сеть, соединяя их файерволом. Доступ пользователей (не важно, машина, сервис или человек) ограничивали назначением конкретных прав.

В 2014 году с подачи VMware возникла идея микросегментации. В этой схеме перегородки ставят в самих виртуальных структурах. Машины взаимодействуют между собой не по принципу физического нахождения в одной сети, а на виртуальном программном уровне. Вся сеть разбивается на сегменты любой величины, вплоть до одного процесса, и взаимодействие с соседними элементами происходит по принципу нулевого доверия (Zero-Trust), если приходит нестандартный запрос.  Физическое перемещение части сети в другую подсеть не меняет принципов микросегментации. За соблюдением правил игры следит гипервизор (виртуальная надстройка), которая и контролирует все процессы.

В центре внимания инструменты сегментации корпоративной сети оказались после принятия новых жестких требования, прописанных в стандарте безопасности платежных карт (Payment Card Industry Data Security Standard).

 

Как это работает

Микросегментация необходима сервисам, предоставляющим пользовательский доступ к своим данным. Это ЦОДы, облачные сервисы, банки, платежные системы, мобильные операторы, интернет-магазины. Просто потому что угрозы, с которыми им приходится сталкиваться, эволюционируют стремительно. Кстати, общая концепция сегментации все еще актуальна. Но, как уверяют вендоры, именно микросегментирование дает большую безопасность, проще в настройке и эксплуатации.

Классическую структуру сети большинства компаний можно сравнить с крепостью: массивная стена, которую постоянно укрепляют, за которой следят, и практически нулевая защита внутри. Злоумышленник, найдя даже небольшую лазейку в периметре, проникает и легко перемещается к любой жизненно важной точке.

Микросегментация – это система дверей, которая четко знает что, например, из дома торговца может выйти только торговец или казначей и никто другой. Если что-то происходит не так, дом торговца блокируется. Крепость по сути становится сетью контролируемых ячеек. Такой подход упреждает горизонтальное распространение угрозы. Все процессы сразу же локализируются и помещаются в карантин.

При использовании микросегментации ситуация когда офис-менеджер, просто открыв вложение в письме, помогает злоумышленникам взломать операционные сервера банка, в принципе невозможна. Компьютер офис-менеджера, скорее всего, будет «знаком» только с принтером и кофеваркой, хотя физически может находится в одной комнате в сети с сервером работающим со SWIFT.

Вот как это выглядит принцип «нулевого доверия» в сравнении со стандартной инфраструктурой, разбитой на несколько подсетей.

Традиционный-дата-центр-NSX-дата-центр

Традиционный дата-центр и NSX дата-центр NSX – одна из платформ микросегментации от VMware.

 

Как внедрить микросегментацию

Хотя микросегменты формируются на программном уровне независимо от физической локализации серверов и процессов, иногда при их реализации требуется замена некоторых программно-аппаратных элементов сетевого оборудования. В остальных случаях это просто готовая лицензионная программа, которая внедряется в следующей последовательности:

  1. Анализ существующей сети: архитектуры, трафика, зависимости приложений.
  2. Составление плана будущей сегментации.
  3. Тестовое внедрение на небольшой группе.
  4. Анализ, корректировка процессов.
  5. Масштабирование на всю сеть.

По сути затраты на микросегментацию состоят из лицензии на программный продукт и стоимости услуги внедрения и настройки. Более детализированный контроль, который подразумевает принцип «нулевого доверия», может привести к усложнению всей инфраструктуры, особенно в вопросах управления идентификацией и мониторинга. Вероятно, потребуется задействовать больше людей в администрировании. Это дополнительный бюджет не только на установку, но и на последующую поддержку.

 

Выгоды от внедрения микросегментации сети

Выгода от использования микросегментации очевидна. Ведь возможные финансовые и репутационные потери в случае взлома ваших серверов многократно превзойдут стоимость внедрения этой системы. Помимо усиления безопасности, в теории вашим специалистам должно стать проще. Теперь системному администратору не надо тратить время на поддержание актуальности списков ACL, а все процессы легко отслеживаются через один гипервизор. Упрощается локализация даже «спящих» зловредов, которые могут не проявлять себя месяцами. Они не смогут выйти за пределы своего сегмента, что значительно облегчает поиск источника заражения.

Преимущество данного решения в том, что оно виртуальное, то есть не требует закупки дополнительного оборудования, кроме случаев когда необходима модернизация существующего. Зато вы получаете возможность отделить друг от друга разные сети, которые используют одни и те же сетевые модули и снабдить каждую машину гибким и производительным виртуальным сетевым экраном.

Важно понимать, что главная задача микросегментации – предотвращение горизонтального распространения угрозы в сети. Защита от заражения отдельно взятой машины – это уже задача антивирусов и всех привычных процедур защиты. Микросегментация не отменяет традиционные инструменты, а лишь дополняет их и делает боковую атаку хакеров маловероятной.

Материал оказался полезным? Поделитесь с друзьями: