Защита сетей с помощью модели "Никому не доверяй"
Большие данные предоставляют новые возможности для получения новых данных и получения конкурентных преимуществ. Уходит эра, в которой сети были четко определены и обычно относились к определенному географическому расположению. Облако, мобильные устройства и другие конечные точки расширяют границы и изменяют парадигму. Теперь нет обязательной определенной сети, которая должна быть защищена. Существует обширный портфель устройств и сетей, которые связаны посредством облака.
Вместо того, чтобы верить, что все, что находится за корпоративным брандмауэром, безопасно, сквозная стратегия "Не доверяй никому" предполагает, что нарушения безопасности неизбежны. Это означает, что каждый запрос следует проверять так, как если бы он поступил из неуправляемой сети — в этом важную роль играет управление удостоверениями.
В модели нулевого доверия есть три ключевые цели, когда речь идет о защите сетей:
Готовность отразить атаки до того, как они произойдут.
Минимизация степени повреждения и скорости его распространения.
Усложнение компрометации облачного следа.
Для достижения этих целей необходимо следовать трем принципам стратегии "Никому не доверяй":
Результаты проверки должны быть однозначными. Всегда проводите проверку подлинности и авторизацию на основе всех доступных данных, в том числе удостоверения пользователя, расположения, работоспособности устройства, службы или рабочей нагрузки, классификации данных и аномалий.
Использование доступа с минимальными привилегиями. Ограничьте доступ пользователям с помощью JIT-доступа и доступа в достаточном объеме (JIT/JEA), адаптивных политик на основе рисков и защиты данных, чтобы защитить как данные, так и производительность.
Предполагайте наличие нарушения защиты. Минимизируйте область нарушения защиты и предотвратите горизонтальное перемещение, сегментируя доступ по сети, пользователям, устройствам и приложениям. Убедитесь в том, что все сеансы имеют комплексное шифрование. Используйте аналитику для обеспечения видимости, обнаружения угроз и усиления защиты.
Цели развертывания сети с нулевым доверием
До реализации стратегии Никому не доверяй в большинстве организаций используется следующий подход к обеспечению безопасности сети:
-
Несколько периметров сетевой безопасности и открытые плоские сети.
-
Минимальная защита от угроз и статическая фильтрация трафика.
-
Незашифрованный внутренний трафик.
При внедрении сквозной инфраструктуры Zero Trust для защиты сетей мы рекомендуем в первую очередь сосредоточиться на следующих целях первоначального развертывания: |
|
II. Защита от угроз: облачная фильтрация и защита известных угроз. III. Шифрование: внутренний трафик между приложениями шифруется. |
|
После того, как они будут выполнены, сосредоточьтесь на следующих дополнительных целях развертывания: |
|
Руководство по развертыванию сети по модели "Никому не доверяй"
В контексте данного руководства представлены шаги, необходимые для защиты ваших сетей в соответствии с принципами "Никому не доверяй".
|
Основные цели развертывания |
I. Сегментация сети: несколько облачных микропериметров для входящего/исходящего трафика с некоторой микросегментацией.
Организациям не следует использовать лишь один большой канал для входящего и исходящего трафика. При использовании стратегии "Никому не доверяй" сети сегментируются на небольшие области, в которых содержатся определенные рабочие нагрузки. У каждого сегмента имеются собственные элементы управления входящим и исходящим трафиком, чтобы минимизировать "радиус поражения" в случае несанкционированного доступа к данным. Реализуя программно-определяемые периметры с детализированными элементами управления, вы увеличиваете для неавторизованных субъектов сложность распространения по всей сети и, таким образом, уменьшаете объем распространения угроз в сети.
Не существует универсальной архитектуры, которая удовлетворяла бы потребностям всех организаций. Доступно несколько конструктивных шаблонов для сегментирования сети в соответствии с моделью "Никому не доверяй".
В этом руководстве по развертыванию мы рассмотрим шаги по реализации одного из таких подходов: микросегментация.
Благодаря микросегментации организации могут перейти от простых централизованных периметров сети к комплексной и распределенной сегментации за счет программно-определяемых микропериметров.
Приложения распределяются по разным виртуальным сетям Azure и подключаются по звездообразной модели.
Выполните следующие действия:
Создайте выделенные виртуальные сети для различных приложений и (или) компонентов приложений.
Создайте центральную виртуальную сеть, чтобы обеспечить уровень безопасности для подключения между приложениями, и подключите виртуальные сети приложения, используя звездообразную модель.
Разверните Брандмауэр Azure в центральной виртуальной сети для отслеживания трафика между виртуальными сетями и управления им.
II. Защита от угроз: собственные фильтрация и защита в облаке в отношении известных угроз
Облачные приложения, у которых имеются конечные точки, доступные во внешних средах, например в Интернете или в локальной среде, подвергаются риску атак из этих сред. Поэтому необходимо сканировать трафик на предмет наличия в нем вредоносного атакующего кода и или логики.
Эти типы угроз делятся на две основные категории:
Известные атаки. Угрозы, обнаруженные поставщиком программного обеспечения или крупным сообществом. В таких случаях доступна сигнатура атаки, и необходимо убедиться, что каждый запрос проверяется по этим сигнатурам. Важно иметь возможность быстро обновить подсистему обнаружения с использованием информации обо всех новых обнаруженных атаках.
Неизвестные атаки. Это угрозы, которые не обнаруживаются ни одной из известных сигнатур. Такие типы угроз включают уязвимости нулевого дня и необычные шаблоны в трафике запроса. Возможность обнаружения таких атак зависит от того, насколько хорошо ваши средства защиты знают о том, что является нормой, а что — нет. Средства защиты должны постоянно обучаться и обновляться с учетом таких закономерностей по мере развития вашего бизнеса (и роста объемов соответствующего трафика).
Чтобы защититься от известных угроз, выполните следующие действия.
Используйте для защиты конечных точек с трафиком HTTP/S Брандмауэр веб-приложений Azure (WAF):
Включите набор правил по умолчанию или набор из 10 основных правил OWASP для защиты от известных атак на уровне Интернета.
Включите набор правил защиты от ботов, чтобы предотвратить извлечение данных вредоносными ботами, подстановку учетных данных и т. д.
Добавьте настраиваемые правила для защиты от угроз, характерных для вашего бизнеса.
Можно выбрать один из следующих вариантов:
Для всех конечных точек (HTTP или других) перед брандмауэром Azure для фильтрации на основе аналитики угроз на уровне 4:
III. Шифрование: шифрование внутреннего трафика от пользователя к приложению.
Третья основная цель, на достижении которой нужно сосредоточиться, — это добавление шифрования для обеспечения шифрования внутреннего трафика от пользователя к приложению.
Выполните следующие действия:
Настройте принудительное подключение только по протоколу HTTPS для веб-приложений, подключенных к Интернету, путем перенаправления трафика HTTP на HTTPS с помощью Azure Front Door.
Подключите удаленных сотрудников или партнеров к Microsoft Azure с помощью VPN-шлюза Azure.
- Включите шифрование для трафика типа "точка — сеть" в службе VPN-шлюза Azure.
Настройте защищенный доступ к виртуальным машинам Azure с помощью зашифрованного обмена данными через Бастион Azure.
|
Дополнительные цели развертывания |
IV. Сегментация сети: полностью распределенные облачные микропериметры для входящего/исходящего трафика и более глубокая микросегментация.
После выполнения трех основных задач следующий шаг заключается в дальнейшей сегментации сети.
Распределение компонентов приложения по разным подсетям
Выполните следующие действия:
В виртуальной сети добавьте подсети виртуальных сетей, чтобы отдельные компоненты приложения могли иметь свои периметры.
Примените правила группы безопасности сети, чтобы разрешить трафик только из подсетей, в которых есть подкомпонент приложения, идентифицированный как законный эквивалент связи.
Сегментация и принудительное применение внешних границ
Выполните следующие действия в зависимости от типа границы.
Граница Интернета
Если приложению требуется подключение к Интернету, которое должно маршрутизироваться через центральную виртуальную сеть, обновите правила группы безопасности сети в центральной виртуальной сети, чтобы разрешить подключение к Интернету.
Включите службу "Защита от атак DDoS Azure" уровня "Стандартный", чтобы защитить центральную виртуальную сеть от объемных атак уровня сети.
Если приложение использует протоколы HTTP/S, включите Брандмауэр веб-приложений Azure для защиты от угроз на уровне 7.
Граница локальной сети
Если приложению требуется подключение к локальному центру обработки данных, используйте Azure ExpressRoute в составе VPN Azure для подключения к центральной виртуальной сети.
Настройте Брандмауэр Azure в центральной виртуальной сети для проверки и контроля трафика.
Граница служб PaaS
- При использовании предоставляемых Azure служб PaaS (например, служб хранилища Azure, Azure Cosmos DB или веб-приложения Azure) используйте параметр подключения PrivateLink, чтобы обеспечить доступность всех операций обмена данных в частной IP-области, где трафик никогда не покидает сеть Майкрософт.
V. Защита от угроз: защита от угроз на основе машинного обучения и фильтрация с помощью сигналов на основе контекста.
Для дальнейшей защиты от угроз включите службу "Защита от атак DDoS Azure" уровня "Стандартный", чтобы постоянно отслеживать трафик приложений, размещаемых в Azure, использовать платформы на основе машинного обучения для определения базовых показателей, обнаружения объемных атак путем переполнения трафика и применения автоматических способов устранения.
Выполните следующие действия:
Настройка службы "Защита от атак DDoS Azure" уровня "Стандартный" и управление ею.
Настройка оповещений о метриках защиты от атак DDoS.
VI. Шифрование: шифрование всего трафика
Наконец, завершите защиту сети, убедившись, что весь трафик зашифрован.
Выполните следующие действия:
Шифрование внутреннего трафика приложения между виртуальными сетями.
Шифрование трафика между локальной средой и облаком:
Настройка VPN типа "сеть — сеть" через пиринговый канал Майкрософт ExpressRoute.
Настройка транспортного режима IPsec для частного пиринга ExpressRoute.
VII. Отказ от устаревшей технологии сетевой безопасности
Откажитесь от использования систем обнаружения сетевых вторжений или предотвращения сетевых вторжений (NIDS или NIPS) на основе сигнатур, а также предотвращения утечек или потерь сетевых данных (DLP).
Основные поставщики облачных служб уже фильтруют для неправильно сформированных пакетов и распространенных атак сетевого слоя, поэтому для обнаружения этих пакетов не требуется решение NIDS/NIPS. Кроме того, традиционные решения NIDS или NIPS обычно содержат подходы на основе сигнатур (которые считаются устаревшими), из-за этого злоумышленники могут легко их обойти. К тому же они, как правило, дают высокий уровень ложноположительных результатов.
Защита от потери данных на основе сети становится все менее эффективной при определении непреднамеренной и намеренной потери данных. Это связано с тем, что большинство современных протоколов и злоумышленников используют шифрование на уровне сети для входящей и исходящей связи. Единственным жизнеспособным решением для этого является "ssl-бриджинг", который предоставляет "авторизованный человек в середине", который завершает работу, а затем повторно возвращает зашифрованные сетевые подключения. Подход с использованием моста SSL стал менее популярным из-за уровня доверия, необходимого для партнера, использующего решение, а также используемых технологий.
Исходя из этого, рекомендуется прекратить использование этих устаревших технологий сетевой безопасности. Тем не менее, если ваш организационный опыт показывает, что эти технологии оказали ощутимое влияние на предотвращение и обнаружение реальных атак, вы можете рассмотреть возможность переноса их в свою облачную среду.
Продукты, описанные в данном руководстве
Microsoft Azure
Группы безопасности сети и группы безопасности приложений
Azure Брандмауэр веб-приложений
Заключение
Защита сетей является ключевым компонентом успешной реализации стратегии "Никому не доверяй". Для получения дополнительной информации или помощи в реализации, пожалуйста, свяжитесь с вашей командой по работе с клиентами или продолжайте читать другие главы этого руководства, которое охватывает все компоненты стратегии "Никому не доверяй".
Серия руководств по развертыванию с использованием модели "Никому не доверяй"