Безопасность сети сегодня является одним из многочисленных уровней в общей системе построения системы защиты информации. Технические меры, среди которых правильная конфигурация архитектуры и технических средств сетевой инфраструктуры, должны быть реализованы на развернутых внутри организации серверах, автоматизированных рабочих местах администраторов и корпоративных пользователей. 

Для обеспечения сетевой безопасности существует ряд базовых принципов, соблюдение которых позволит снизить риск компрометации данных инфраструктуры и их утечки. Подробнее о базисе и основных моментах выстраивания сетевой безопасности расскажет Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим», центра компетенций по информационной безопасности.

Прежде всего обратимся к теоретической базе, в инфраструктуре всегда существуют вертикальный и горизонтальный трафики:

  • Вертикальный трафик  циркулирует между корпоративной сетью и Интернетом,  например, при обращении корпоративных пользователей к сайтам, так и в обратную сторону, при обращении внешних пользователей к сайту компании, размещенному в демилитаризованной зоне (DMZ). Сюда же относится локальный сервер, получающий обновление какого-либо программного обеспечения с ресурса разработчика.

  • Горизонтальный трафик  не выходит за пределы локальной сети, например, когда пользователь подключается со своего рабочего места к сервисам для обеспечения рабочих задач (например, 1С), а администратор осуществляет подключение к web-интерфейсу управления маршрутизатора.

«Недостаточный контроль за горизонтальным трафиком так же опасен по части последствий, как и неподконтрольный вертикальный. Кибератака, начавшаяся с  хоста в локальной сети, может привести к компрометации всей инфраструктуры. Поэтому базовые принципы сетевой безопасности должны применяться в одинаковой мере к обоим видам трафика», — отметил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».

Рассмотрим основные принципы для обеспечения сетевой безопасности:

Принцип № 1: сегментирование

Что из себя представляет сегментирование сети? Сегментирование сети — это разделение, в основном логическое, корпоративной сети на отдельные подсети. Например, при помощи Virtual Local Area Network (VLAN). При этом устанавливаются ограничения на прохождение трафика из одной подсети в другую, вплоть до полного запрета на передвижение между сегментами сети.

Разделение на подсети позволяет реализовать базовые правила разграничения доступа к ресурсам компании, в том числе, критическим. Это снижает скорость продвижения злоумышленника в случае атаки, увеличивает шансы его обнаружения и реагирования на инцидент.  

Минимальными пунктами к реализации первого принципа являются выделение четырех элементов:

  1. Публичные ресурсы (DMZ);

  2. Серверный сегмент;

  3. Сегмент администрирования;

  4. Пользовательский сегмент.

Принцип № 2: правила доступа

Правила доступа — это базовый инструмент для обеспечения защищенности инфраструктуры на любом уровне, в том числе, на сетевом. Они ограничивают прохождение трафика как между отдельными устройствами (или устройствами/сервисами и пользователями), так и между сегментами сети в целом.

Обязательные ограничения доступа:

  • Подключение к интерфейсам управления серверами разрешено только из сегмента администраторов;

  • Установление запрета на подключение к сегменту администрирования из пользовательской сети;

Правила доступа внутри сегмента:

  • Обязательное разграничение доступов по ролям (например, сетевой администратор имеет доступ только для работы с сетевым оборудованием, доступ же к контроллеру домена заблокирован);

  • Ограничение подключения пользователей друг к другу;

  • Запрет на прямое обращение серверов к внешним ресурсам за обновлениями (рекомендуется использовать единый сервер обновлений, организованный в демилитаризованной зоне (DMZ);

  • Выявление и полный запрет доступа неиспользуемых служб и протоколов (например, отключение IPv6, устаревших протоколов (SMBv1 или TLS 1.0/1.1), запрет подключения SSH там, где это в этом нет необходимости);

  • Обязательная замена паролей, установленных производителем, на учетных записях администраторов всех сетевых устройств. 

Принцип № 3: анализ трафика

Что такое анализ трафика (NTA)? Network Traffic Analysis (NTA) представляет процесс непрерывного сбора и изучения данных, проходящих через компьютерную сеть. Отличие правил этого принципа от предыдущих в том, что они не анализируют содержимое, так как являются сами пакетными фильтрами. Это приводит к тому, что разрешенный легальный трафик может содержать в себе потенциальную угрозу использования злоумышленником различных инструментов, а также работу с небезопасными ресурсами. 

Используемые инструменты для анализа трафика:

  • Контроль приложений (Application Control); 

  • Системы обнаружения и предотвращения вторжений (IDS/IPS);

  • SSL-инспекция;

  • Web-фильтрация (URL filtering).

На данный момент указанный выше функционал реализован в межсетевых экранах нового поколения (NGFW), корректная настройка которого необходима для полноценной системы защиты.  

«В этом плане анализ трафика можно сравнить с прохождением контроля пассажиров в аэропорту, где помимо идентификации личности идет детальная проверка на наличие у пассажира запрещенных к проносу на борт воздушного судна предметов», — подметил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».

Принцип № 4: отказоустойчивость

Для выстраивания эффективной сетевой безопасности инфраструктуры необходимо обеспечить отказоустойчивость критичных сетевых узлов, например, ядра или периметровых межсетевых экранов. 

Отказоустойчивость достигается за счет:

  • Кластерных решений;

  • Разработки процедур резервного копирования данных и восстановления работоспособности сетевой инфраструктуры в приемлемые сроки;

  • Применения резервных каналов связи и динамических протоколов маршрутизации трафика (OSPF, BGP и др).

Принцип № 5: управление изменениями

Со временем в любой системе происходит «конфигурационный дрейф»: настройки правил фильтрации и анализа трафика подвергаются изменениям и устаревают. Отсутствие контроля за данным процессом ведет к деградации отдельных функций и механизмов защиты, вплоть до полного их отсутствия. Чтобы этого избежать необходимо внедрить формализованный процесс управления изменениями в сетевой инфраструктуре.

«В компании должны быть описаны и выстроены процессы рассмотрения, согласования, проведения и фиксация всех изменений, проводимых в сетевой инфраструктуре. В этом случае динамически развивающаяся система будет сохранять свои показатели по защищенности, что существенно снизит возможности атакующих на всем промежутке времени функционирования системы», — уточнил Вячеслав Пронюшкин, первый заместитель технического директора компании «Анлим».

Создание сложно преодолеваемой системы защиты ИТ-инфраструктуры не просто набор технических решений, а продуманная, комплексная система, основанная на обязательных принципах и непрерывном контроле. Полагаться только на периметровую защиту или формальное выполнение требований недостаточно: современные злоумышленники постоянно развивают методы и техники атак, а источник угрозы может находиться как за пределами организации, так и внутри нее. Реализация таких базовых принципов, как сегментирование, правила доступа, анализ трафика, отказоустойчивость и управление изменениями, позволяет построить гибкую и устойчивую систему безопасности. Она не только снижает риск компрометации, но и обеспечивает оперативное обнаружение, реагирование и восстановление после инцидентов.