Обычно сегменты сети изолируют по требованиям безопасности, так сегменты сети, в которых обрабатывается информация с высоким уровнем секретности должны быть физически изолированы от остальной сети.

Благодаря изоляции сетей или устройств нарушение в одной подсети или на одном устройстве не приводит к автоматической угрозе для всей сети, поскольку нарушение находится в пределах данного сегмента.

Изоляция может быть реализована как физически (например, разные кабели Ethernet для разных сегментов), так и логически (например, с помощью программного обеспечения для логического разделения сети). Различные методы включают в себя брандмауэры и более старые методы, такие как виртуальные локальные сети (VLAN) и списки контроля доступа (ACL).

Однако, не всегда можно (и нужно) физически изолировать сеть. Когда речь заходит о секретности на уровне гостайны, там изоляция сети является обязательным условием. Но если мы говорим о защите коммерческой информации, то там зачастую нельзя или нецелесообразно физически изолировать отдельные сегменты. Далее в статье мы будем говорить о различных способах изоляции, их преимуществах и недостатках.

Почему изоляция сети важна для кибербезопасности?

Изоляция сети (физическая или логическая) — это фундаментальный аспект кибербезопасности, поскольку она помогает защитить конфиденциальные данные и критически важные системы от несанкционированного доступа и потенциальных угроз. Изолируя различные сегменты сети, организации могут локализовать бреши и предотвратить перемещение вредоносных программ и злоумышленников по сети.

Такая изоляция уменьшает поверхность атаки и ограничивает ущерб, который может быть нанесен в результате инцидента безопасности. Кроме того, изоляция сети способствует соблюдению нормативных требований, обеспечивая хранение и обработку конфиденциальных данных в безопасных контролируемых средах.

Таким образом, изоляция сети служит основополагающим аспектом стратегии безопасности организации, ограничивая подверженность угрозам, снижая потенциальный ущерб и улучшая общее управление и контроль сети.

Типы сетевой изоляции

Сетевая изоляция может быть реализована различными способами, чтобы соответствовать различным организационным потребностям и требованиям безопасности. К основным типам изоляции относятся: физическая, виртуальная, логическая и изоляция приложений.

С физической изоляцией все достаточно просто. Она подразумевает использование физического отключения отдельных сегментов от остальной сети, что делает ее очень безопасной. Однако физическая изоляция может быть дорогой и сложной в управлении из‑за необходимости использования специального оборудования и инфраструктуры.

Также не всегда можно использовать физическую изоляцию. Допустим у нас, имеется промышленная сеть, в которой находятся АСУ металлургического производства (плавильные печи и сопутствующее оборудование). Заводу необходимо в режиме реального времени сообщать данные по выплавке металла, для их дальнейшей публикации на корпоративных веб ресурсах, так как от этой информации зависит стоимость акций компании. В таком случае физическая изоляция промышленного сегмента невозможна и для обеспечения защиты необходимо использовать другие способы.

Мнимая «физика» и другие иллюзии

Но прежде, чем рассматривать другие способы давайте поговорим о тех ошибках, которые допускают при физической изоляции сегментов сети.

Как‑то на одном заводе пентестеры собирались проводить тестирование на проникновение. Но, как известно, шила в мешке не утаишь, и местные ИТшники тоже узнали, что их будут «ломать». И они не придумали ничего лучше, чем физически разъединить корпоративный и промышленный сегменты сети предприятия. По‑видимому, каких‑то серьезных проблем такое временное разъединение сетей не создавало.

Пентестерам необходимо было по результатам тестирования показать возможность проникновения в промышленную сеть, в самом промышленном сегменте никакие атакующие действия естественно не проводятся. Расчет ИТшников был на то, что мертво умереть не может при отсутствии физической связности пентест будет неудачным по определению.

Но не тут то было. В процессе тестирования на проникновение атакующие нашли несколько машин с двумя сетевыми картами. Одна карта смотрела в корпоративную сеть, другая в промышленную. Инженерам так было удобнее выполнять свою работу, при этом ИТшники завода вообще не знали о таких каналах связи с промышленным сегментом.

Это история про то, что админы должны знать свою сеть. Не должно быть каких‑то обходных путей, при которых физическая изоляция просто теряет смысл и превращается в фикцию.

Но, если даже у вас сегмент действительно физически изолирован, не стоит считать, что вы в полной безопасности. Достаточно вспомнить историю иранских центрифуг и вируса Stuxnet. Тот вирус попал в изолированную через флешку.

Так как в изолированный сегмент действительно необходимо доставлять различные файлы и обновления, то необходимо позаботиться о том, чтобы узел, к которому подключаются съемные носители имел необходимые средства защиты: антивирус, EDR, не использовались привилегированные учетные записи и т. д.

Угроза из воздуха

Говоря об изоляции, мы обычно думаем только о проводных каналах связи. Вот выдернем шнурок и все будет безопасно. Но не стоит забывать о беспроводных каналах связи, которые могут сделать самый изолированный сегмент подключенным к Интернету, причем без всяких средств защиты.

И это история не про какие‑то шпионские устройства, тайно внедряемые злоумышленниками. Людям на работе часто бывает скучно. Для борьбы с этим они поднимают собственные точки доступа, например на смартфонах, подключают к ним рабочие компьютеры, чтобы с большого экрана было удобнее лайкать фотки в соцсетях. Как правило, они делают это без злого умысла, но в результате появляется серьезная брешь в безопасности сети, ведь при таком подключении нас не защищают периметровые средства защиты, по сути все что остается это только СЗИ установленные на хосте пользователя.

Для борьбы с этим в организации должны быть внедрены различные механизмы защиты, начиная от организационных мер, когда пользователям под роспись разъясняется, что так делать нельзя и заканчивая техническими: запретом подключения к сторонним сетям, подключения посторонних устройств USB порт и т. д. Также средства анализа сетевого трафика должны уметь выявлять появление посторонних каналов связи, а для этого нам опять таки необходимо знать топологию своей сети.

Полуизоляция

В продолжении темы физической изоляции стоит упомянуть однонаправленные шлюзы (диоды данных). Это устройство, которое позволяет данным перемещаться только в одном направлении: передача данных в другом направлении физически невозможна.

Обычно, диоды данных используют, когда необходимо что‑то передавать из более доверенного сегмента в менее доверенный и при этом необходимо гарантировать, что из менее доверенного сегмента не будет никакого влияния в более доверенный.

Диоды хорошо работают при передаче SPAN трафика или использовании в качестве транспорта UDP. Протоколы на основе TCP тоже поддерживаются, но не все.

Но главная проблема при использовании однонаправленных шлюзов аналогична проблеме с двумя картами в истории про пентест завода. У нас не должно быть никаких обходных маршрутов, через которые можно было бы попасть в изолируемый сегмент. Если такие маршруты есть, однонаправленный шлюз также становится бесполезен.

На этом, полагаю с физической изоляцией можно закончить и перейти к рассмотрению других способов изоляции.

Виртуальная изоляция

Конечно, физическая изоляция является наиболее надежным средством обеспечения защиты. Но что делать если по тем или иным причинам мы не можем его использовать. Есть несколько вариантов изоляции и начнем мы с виртуальной изоляции.

Виртуальная изоляция использует такие технологии, как VLAN и виртуальные машины (VM), для создания изолированных сегментов в рамках одной и той же физической сетевой инфраструктуры.

VLAN (Virtual Local Area Network) — это технология, которая позволяет логически разделить физическую сеть на несколько виртуальных сетей. Каждая из них функционирует как отдельная локальная сеть, несмотря на то что все устройства могут физически находиться в одной и той же сети.

Если наше приложение использует виртуализацию, то здесь также можем изолировать одни машины от других с помощью механизмов, аналогичных VLAN.

Конечно, этот метод обеспечивает гибкость и экономию средств при сохранении определенного уровня безопасности. Также, виртуальная изоляция позволяет эффективно использовать ресурсы и упрощает управление сетью.

Но здесь важно понимать, что если злоумышленник сможет реализовать такие атаки как VLAN Hopping, Double Tagging и другие атаки на коммутаторы, либо просто захватит машину сетевого администратора, то он сможет обойти механизмы изоляции.

Аналогично с виртуализацией, если злоумышленник сможет получить доступ к гипервизору, то он без труда обойдет изоляцию.

Логическая изоляция

Логическая изоляция реализуется с помощью сетевых протоколов и конфигураций, таких как брандмауэры и политики контроля доступа. Этот тип изоляции контролирует поток данных между сегментами на основе заранее определенных правил. Логическая изоляция легко адаптируется и проще в управлении, чем физическая, что делает ее популярным выбором для многих организаций. Она также помогает устранить недостатки сегментации второго уровня и виртуальных локальных сетей.

Здесь самым распространенным решением является использование межсетевых экранов и политик доступа. Устаревший подход предполагает использование для разграничения доступа IP адреса и сетевые порты. При таком подходе не производится анализ пакетов выше транспортного уровня и как следствие у злоумышленника появляется возможность обойти эти политики различными способами.

Более правильным вариантом является разбор пакетов до уровня приложений, анализ содержимого на прикладном уровне. Например, некоторые промышленные межсетевые экраны разбирают пакеты до прикладного уровня и смотрят какие команды передаются. Если к примеру, злоумышленник отправит команду на повышение верхнего порога температуры в котле, а политики экрана не позволяют поднимать температуру выше определенного значения, такая команда будет заблокирована.

Кроме того, хорошей практикой при разработке политик доступа является отказ от использования IP адресов и портов в пользу имен пользователей и целевых приложений. То есть, при составлении политики доступа мы указываем какому конкретно пользователю мы даем доступ к какому приложению. С этими задачами эффективно справляются межсетевые экраны NGFW.

Ну а здесь основная проблема примерно та же, мы должны четко понимать какие у нас есть приложения, NGFW должны уметь разбирать соответствующие прикладные пакеты и мы должны понимать каким пользователям у нас куда требуется доступ. Без этих знаний мы не сможем написать эффективную политику доступа.

Изоляция приложений

Изоляция приложений ограничивает взаимодействие между приложениями с помощью таких методов, как контейнеризация. Мы можем обеспечить работу приложений в изолированных средах, снижая риск возникновения уязвимостей между компонентами прикладного уровня. Изоляция приложений повышает безопасность, предотвращая несанкционированный доступ и минимизируя потенциальное воздействие брешей в системе безопасности.

Сами среды контейнеризации позволяют обеспечить изоляцию достаточно эффективно, но важно грамотно построить архитектуру приложения, работающего в контейнере. Так, если у нас все микросервисы при обмене данными доверяют друг другу и не используются механизмы аутентификации при взаимодействии между ними, то в случае компрометации одного сервиса злоумышленник сможет достаточно быстро захватить все сервисы. При этом нам не поможет прекрасно настроенная изоляция среды контейнеризации от остальной сети. Необходимо также обеспечивать безопасность взаимодействия самих микросервисов.

Заключение

В целом, изоляция сети помогает защитить конфиденциальную информацию, уменьшить перегрузку сети, повысить эффективность работы и усилить защиту от вредоносного ПО и киберугроз.

Но обеспечивать изоляцию надо грамотно, с учетом используемых технологий и приложений. В противном случае даже физическая изоляция будет бесполезной, если к примеру у нас будут другие обходные маршруты.

В заключение рекомендую посетить открытый урок по Performance Testing в микросервисах. Узнайте, как избежать коллапса под нагрузкой и повысить эффективность своих систем. Урок пройдет сегодня, 17 апреля, в 20:00. Запись — на странице курса

Подробнее про архитектуру приложений вы можете узнать в рамках онлайн‑курсов от практикующих экспертов отрасли. Подробности в каталоге. А в календаре — можно посмотреть список всех открытых уроков.