Микросегментация как еще один компонент защиты

7 ноябрь, 2018 - 12:54Леонід Бараш

Для большинства ИТ-специалистов «сегментация сети» является знакомой, но несколько устаревшей концепцией. Вот почему «микросегментация» сначала звучит как незначительное инкрементальное улучшение. Однако это далеко не так.

Микросегментация устраняет критические проблемы, связанные с безопасностью и гибкостью бизнеса. Это новый и мощный подход к снижению риска и адаптация безопасности к динамичным ИТ-средам.

Как следует из названия, микросегментация защищает приложения на более гранулированном уровне, чем обычная сегментация сети. Не менее важно, что она адаптивна - политики безопасности «следуют» за приложениями при их перемещении и масштабировании.

Благодаря микросегментации безопасность становится более динамичной, масштабируемой и согласованной как внутри облака, так и в среде между облаком и ЦОД. Приложения могут быть развернуты быстрее, ЦОД могут быть переконфигурированы с меньшим количеством ошибок, а офицеры безопасности и сетевые администраторы могут тратить меньше времени на рутинные задачи, такие как написание правил для брандмауэров.

Традиционный мир сетей начинался со статических доменов. Классическая модель сети делила клиентов и пользователей на две группы: доверенных и не доверенных. К первым относились пользователи внутри сети, а ко вторым – вне сети. Последние могли быть либо мобильными пользователями, либо партнерами. Для того чтобы не доверенный пользователь стал доверенным в типичном случае для доступа к внутренней сети использовались VPN.

Внутренние сети затем делились на множество сегментов, которые обычно были видны как зоны. Обычно внутри данной зоны серверы могли свободно обмениваться данными друг с другом и разделять общий широковещательный домен. В типичном случае трафик входил в DMZ для проверки и затем мог быль предоставлен доступ к внутренним ресурсам. Пользователям предоставлялся доступ на презентационном уровне. Презентационный уровень связывался с уровнем приложений, а тот, в свою очередь, предоставлял доступ к БД. В итоге, эта архитектура требовала объемного трафика в направлении «север—юг», то есть, большая часть трафика входила и покидала ЦОД.

Рождение виртуализации многое изменило и оказало значительное влияние на трафик. Появилось множество приложений внутри ЦОД, которые требовали перекрестных коммуникаций. Это запустило новый поток трафика, известного как «восток—запад». Проблема традиционной модели заключалась в том, что она не обеспечивала защиту для трафика в этом направлении.

Если злоумышленник находил уязвимость в одном из серверов БД в какой-либо зоне, он мог легко перемещаться и пытаться скомпрометировать другие серверы БД. К сожалению, такая архитектура все еще достаточно широко распространена в корпоративном сегменте.

Традиционная сегментация сети может ограничить горизонтальное перемещение атакующих, но она не является ни гранулярной, ни гибкой.

Есть несколько технологий, которые потенциально могут улучшить как безопасность, так и гибкость бизнеса одновременно. Микросегментация является одной из этих редких технологий.

Сегодня большинство крупных ЦОД разбиваются на большие зоны, которые могут включать облачную платформу и зоны внутри корпоративного ЦОД.

Микросегментация как еще один компонент защиты

Обычная сегментация сети


Трафик между зонами проходит через несколько фильтрующих точек – брандмауэров в типичном случае. Политики фильтрации трафика задаются на каждом брандмауэре. Эта форма сегментации обеспечивает некоторую защиту при горизонтальном перемещении данных. Атакующий, который проник в одну зону, не может легко проникнуть в другие. Однако традиционная сегментация сети обладает рядом недостатков. Так, если зоны большие, то злоумышленник получает доступ ко многим приложениям внутри зоны. Высокая стоимость брандмауэров и необходимость изменения архитектуры сети делает дорогостоящим создание новых зон. Брандмауэры обычно конфигурируются посредством нескольких тысяч правил, и даже небольшая модификация приложений или инфраструктуры может привести к необходимости ручного пересмотра, модификации и тестирования сотен правил. Есть и другие трудности.

В то же время микросегментация позволяет с тонкой гранулярностью присваивать политики безопасности приложениям. Она выстраивается вокруг двух ключевых принципов: гранулярность и динамическая адаптация. Применение этих принципов делает микросегментацию принципиально отличной от обычной сегментации сети.

Однако в современной динамичной среде гранулярная сегментация будет непрактичной, если администраторы должны будут вручную создавать и управлять правилами безопасности для каждого микросегмента. Увеличение количества микросегментов будет приводить к меньшей гибкости и большим возможностям для ошибок.

Динамическая сегментация делает гранулярный подход к сегментации легче реализуемым посредством объединения абстракции,  интеллектуальности и автоматизации. В контексте динамической сегментации «абстракция» обозначает способность выразить политики безопасности в терминах концепций приложений (таких как веб-приложения, базы данных и приложения), а не в терминах сетевых конструкций (IP-адресов, подсетей и VLAN); «интеллектуальность» - способность определять, когда изменяются приложения, а когда инфраструктура, и затем реконфигурировать политики в соответствии с этими изменениями; «автоматизация» заключается в способности быстро разворачивать новые и пересмотренные политики безопасности для мониторинга сегментов без вмешательства оператора.

В зависимости от реализации микросегментация может повысить адаптивность также и другими способами, такими как помощь в обеспечении согласующихся политик безопасности по всем ЦОД и облачным платформам.

Микросегментация решает проблемы блокирования горизонтального перемещения данных путем деления ИТ-среды на управляемые разделы. Это делает безопасность динамичной, позволяя выразить политики безопасности в терминах концепций приложений и реконфигурировать их автоматически при изменениях приложений или инфраструктуры. Кроме этого, микросегментация может быть очень экономичной, если использовать уже имеющиеся инфраструктурные компоненты, а не дорогие брандмауэры, в том числе и нового поколения (NGFW), в качестве точек сегментации.

Как уже упоминалось, блокирование горизонтального перемещения данных является одним из ключевых преимуществ микросегментации. Теперь рассмотрим, почему управлять приложениями столь сложно и обсудим различные способы, как сделать микросегментацию менее затратной.

Доступ имеет несколько значений в ИТ-контексте. Часто он относится к разрешению определенным пользователям взаимодействовать с сетью и некоторыми системными ресурсами. Это не тот тип доступа, о котором пойдет речь далее. Здесь обсуждается доступ в терминах уровней ПО и сервисов, обменивающихся данными между собой. Так, в трехуровневом веб-приложении веб-сервер должен иметь доступ к серверу приложений, а тот, в свою очередь, к серверу БД. В этом контексте управление доступом означает разрешение или запрещение трафика между программными модулями и сервисами в приложениях.

Большой проблемой для управления доступом этого типа является то, что количество возможных соединений между программными модулями растет почти экспоненциально, а точнее, как (N x (N – 1))/2.

Микросегментация как еще один компонент защиты

Соединения между 4, 6 и 10 программными модулями

Для ЦОД или для облачной платформы ситуация становится еще более сложной. Здесь могут быть программные модули, работающие на разных физических серверах, обменивающихся данными посредством многочисленных сервисов через многочисленные порты, или модули в разных виртуальных машинах на одном сервере, также обменивающиеся данными посредством многочисленных сервисов и портов.

Рассмотрим изоляцию приложений и рабочей нагрузки. Здесь мы переходим к обсуждению сегментирования среды, или микросегментации приложений и рабочей нагрузки. Средой в данном контексте может служить среда разработки, продуктивная среда или разные среды заказчиков, если речь идет о сервис-провайдерах.

В дальнейшем под приложениями подразумевается набор рабочих нагрузок, которые решают задачи бизнеса или технические задачи. Рабочие нагрузки – это дискретные экземпляры ОС, под управлением которых работают один или более программных модулей, сервисов или контейнеров. Вычислительная среда определяется как набор приложений и сервисов, которые составляют рабочие нагрузки и связи между ними. Рабочие нагрузки или контейнеры могут выполняться на физических системах или на ВМ, в ЦОД, на публичных или частных облачных платформах.
 

Микросегментация как еще один компонент защиты

Вычислительная среда

С этой точки зрения микросегментация может рассматриваться как процесс изоляции сред, приложений или рабочих нагрузок посредством разрешения трафика только через одобренные связи.

В действительности, микросегментация предотвращает использование атакующими неодобренных связей (т. е. связей, которые не являются частью дизайна приложений) для горизонтального перемещения из скомпрометированного приложения.

При определении границ сегментации возможны три подхода. Как осуждалось выше, брандмауэры работают как фильтрующие точки, которые управляют каналами связи «в» и «из» ЦОД, а также между зонами внутри ЦОД и облачных платформ. Но зоны в типичном случае содержат много приложений, так что всегда имеются много открытых каналов связи между ними. Атакующий, который подключился к одному открытому соединению, может достичь всех приложений и рабочих нагрузок внутри зоны.

Производители сетевых коммутаторов добавили в них особенности, которые позволяют сетевым администраторам разделять зоны на подсети и VLAN. Однако эти подразделы все еще содержат много приложений, и может быть достаточно трудно отлеживать все политики для каждого из них. Однако сетевая сегментация это не то же самое, что сегментация на зоны безопасности. Теоретически, можно изолировать приложения, установив больше брандмауэров. Но брандмауэры довольно дорогостоящие и к тому же недостаточно гибкие, чтобы обеспечить гранулярную сегментацию по разумной цене. К счастью, производители средств ИТ-безопасности нашли альтернативы, которые могут действовать как недорогие точки сегментации для политик безопасности.

Один из подходов заключается в использовании сетевого оборудования, такого как коммутаторы, маршрутизаторы и балансировщики нагрузки как точки приложения политик безопасности.

Большинство средних и больших организаций разворачивают сотни сетевых устройств, так что они могут разделить ЦОД и сети на большее количество зон, чем это возможно с помощью брандмауэров, в том числе и NGFW. Преимущество таких решений заключается в том, что они часто интегрируются с другими предложениями от производителей сетевого оборудования, например, продуктами для оркестрации сетевых сервисов.

С другой стороны, недостатком подходов, основанных на сетевом оборудовании, является то, что модели их политик опираются на сетевые конструкции, такие как IP-адреса и VLAN, так что администраторы должны часто выполнять несвойственные для них функции (с точки зрения приложений). Наконец, решения по микросегментации, предоставляемые каждым производителем сетевого оборудования, ограничиваются областью производимых им устройств, то есть они не могут расширяться до облачных платформ или ЦОД, где используется сетевое оборудование других производителей.

Микросегментация может быть проведена на уровне гипервизора. Для этого на уровень гипервизора платформы виртуализации добавляются возможности брандмауэра. Затем гипервизор может определить политики безопасности для трафика «к» и «из» рабочих нагрузок, работающих в ВМ.

Использование гипервизоров в качестве точек приложения обеспечивает гранулярную сегментацию для всех приложений и рабочих нагрузок, развернутых на общей платформе, а также интеграцию с другими базированными на гипервизоре инструментами управления от того же производителя.

Недостатком микросегментации на базе гипервизора является то, что она не обеспечивает защиту для программ, работающих на физических серверах, под управлением гипервизоров от других производителей  или на облачных платформах, которые не поддерживают данный бренд гипервизора. Это становится проблемой в контейнерных средах.

Третий подход к микросегментации использует преимущества от ПО, встроенного в основные ОС. Наиболее важным здесь являются IP-таблицы в Linux и Windows Filtering Platform на Windows-серверах. Эти утилиты выполняет мониторинг сетевого трафика и применяют политики безопасности к специфическим приложениям и рабочим нагрузкам, обеспечивая гранулярную сегментацию. Поскольку они являются частью стандартных ОС, они доступны везде, где развернуты эти ОС: на физических и виртуальных машинах и даже на платформах с контейнерными технологиями, подобными Docker. Другим преимуществом хост-базированных решений микросегментации является их способность собирать и использовать информацию об индивидуальных приложениях и сервисах полностью не зависимую от сети. Основной проблемой для решений микросегментации на основе хостов является необходимость разворачивания программных агентов на множестве распределенных систем.

Архитектура решений микросегментации содержит два базовых компонента.
                

Микросегментация как еще один компонент защиты

        Базовые компоненты решения микросегментации

Машина политик, или контроллер политик, является центральной точкой, которая обеспечивает видимость соединений и управление политиками безопасности. Среди других его задач – обнаружение приложений и рабочих нагрузок посредством сбора данных из точек мониторинга, идентификация активных соединений, помощь в определении и верификации политик безопасности.

Точки мониторинга и принуждения (Monitoring and Enforcement Points) собирают данные об информационных потоках, чтобы предоставить администраторам видимость трафика, проходящего через одобренные соединения.  Большинство точек мониторинга поддерживаются сетевыми устройствами, гипервизорами и имеющимися хост-базированными утилитами. Когда точки мониторинга базируются на устройствах или на ОС, они в типичном случае требуют программных модулей или программных агентов для управления политиками безопасности. В зависимости от продукта эти модули или агенты могут быть частью ОС или распространяться как сценарии, инструменты оркестрации или другие инструменты автоматизированного распределения ПО.

Динамическая микросегментация помогает безопасности стать такой же динамичной, как и другие области ИТ. Она сокращает «время доставки» новых и модифицированных приложений посредством улучшения видимости соединений между средами, приложениями и рабочими нагрузками; позволяет выразить требования к соединениям в терминах логики приложения, а не сетевых конструкций; транслирует естественный язык политик в принудительные правила.

Имеется много способов предотвратить свободный доступ киберпреступникам и хакерам к ресурсам ЦОД. Микросегментация предоставляет решение этой проблемы. Это одна из немногих технологий, которые могут улучшить безопасность и гибкость одновременно.