|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Обеспечение удаленного доступа к сети 207to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
В этом сценарии NAC отвечает не только за проверку текущего состояния |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
работоспособности удаленного устройства, но и за выполнение сегментации на уровне программного обеспечения, позволяя исходному устройству обме- ниваться данными только с предварительно определенными ресурсами, рас- положеннымилокально.Этодобавляетдополнительный уровеньсегментации и безопасности. Хотя данная схема не включает в себя брандмауэр, некоторые компании могут выбрать изоляцию всех пользователей удаленного доступа в одной конкретной виртуальной локальной сети и установить межсетевой экран между этим сегментом и корпоративной сетью для контроля трафика, поступающего от удаленных пользователей. Обычно это используется, когда выхотитеограничитьтипдоступа,которыйполучатпользователиприудален- ном доступе к системе.
Мы предполагаем, что часть аутентификации при этом обмене данными уже была выполнена и что для пользователей удаленного доступа одним из предпочтительных методов является использование протокола 802.1X или нечто совместимое.
Также важно иметь изолированную сеть, чтобы держать в карантине компьютеры , которые не отвечают минимальным требованиям для доступа к сетевым ресурсам. В этой карантинной сети должны иметься службы, отве- чающие за исправления, которые будут сканировать компьютер и применять соответствующее исправление, чтобы позволить ему получить доступ к кор- поративной сети.
VPN типа «сеть–сеть»
Один из распространенных сценариев для организаций, имеющих удаленные местоположения, состоит в том, чтобы иметь безопасный частный канал об- менаданными междуосновной сетьюкорпорации иудаленной сетью.Обычно этоделается черезVPNтипа «сеть–сеть».При планировании сегментации сети выдолжны подуматьоб этом сценарии и отом,как это подключение повлияет на вашу сеть.
Приведенная ниже диаграмма показывает пример этого подключения
(рис. 10.9).
В схеме сети, показанной на предыдущей диаграмме, у каждого филиала есть набор правил в брандмауэре. Это означает, что когда соединение будет установлено,у удаленного филиала не будетдоступа к основной сети всего го- ловного офиса,а только к некоторым сегментам.При планировании VPN типа «сеть–сеть» убедитесь, что вы используете принцип «нужно знать» и разре шаете доступтолько ктому,что действительно необходимо.Если Восточному филиалу не нужен доступ к VLAN отдела кадров, доступ к этой сети должен быть заблокирован.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
208 |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Сегментация сети
Удаленные
пользователи
VLAN удаленных пользователей
VLAN финансового |
Особые правила |
Восточный филиал |
|
Восточного филиала |
|||
отдела |
|||
|
|
VPN-концентратор |
|
|
Бранд- |
|
|
VLAN отдела |
мауэр |
|
|
|
|
||
кадров |
|
|
|
|
Особые правила |
|
|
|
Западного филиала |
Западный филиал |
|
VLAN |
|
|
|
с компьютерами |
|
|
|
с особо важными |
|
|
|
данными |
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Рис.10.9
Сегментация виртуальной сети
Безопасностьдолжнабытьвстроенавпроектсетинезависимооттого,физиче- ская это сеть или виртуальная. В данном случае речь идет не о VLAN, которые изначально реализованы в физической сети, а о виртуализации. Давайте ис- пользуем приведенную ниже диаграмму в качестве нашей отправной точки
(рис. 10.10).
При планировании сегментации виртуальной сети сначала необходимо по- лучить доступ к платформе виртуализации, чтобы узнать, какие возможности доступны. Однако вы можете приступить к планированию базовой сегмен- тации, используя подход, не зависящий от поставщика, поскольку основные принципы одинаковы независимо от платформы, что в основном и отражает предыдущая диаграмма. Обратите внимание, что внутри виртуального ком- мутатора есть изоляция.Другими словами,трафик из одной виртуальной сети невидимдлядругой виртуальной сети.Укаждой виртуальной сети можетбыть своя подсеть, и все виртуальные машины в виртуальной сети смогут обмени- ваться данными между собой, но не с другой виртуальной сетью. Что, если вы хотите иметь связь между двумя или более виртуальными сетями? В этом слу- чае вам нужен маршрутизатор (это может быть виртуальная машина с вклю- ченной службой маршрутизации) с несколькими виртуальными сетевыми адаптерами, по одному для каждой виртуальной сети.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Сервер с гипервизором
Внешний адрес
192.168.1.1/24
Сегментация виртуальной сети
Коммутатор физической сети
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
209to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Адаптер физической сети
Виртуальный
коммутатор
Адаптеры виртуальной сети
Виртуальная сеть
Внутренний адрес
10.1.1.0/24
Рис.10.10
Каквидно,основныеконцепцииоченьпохожинафизическуюсреду,аедин- ственное отличие заключается в реализации, которая может варьироваться в зависимости от поставщика. Используя Microsoft Hyper-V (Windows Server 2012 и более поздние версии) в качестве примера,можно реализоватьна уров- не виртуального коммутатора проверки безопасности с использованием вир- туальных расширений.Вот несколько примеров,которые можно использовать для повышения безопасности своей сети:
проверка сетевых пакетов;обнаружение вторжения или брандмауэр;фильтр сетевых пакетов.
Преимущество использования этих типов расширений заключается в том, что вы проверяете пакет перед его передачей в другие сети, что может быть очень полезно для вашей общей стратегии сетевой безопасности.
На рис. 10.11 показан пример расположения этих расширений. Вы можете получитьдоступкэтомуокнуспомощьюдиспетчераHyper-Vивыборасвойств
Virtual Switch Manager for ARGOS.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
210 |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Сегментация сети
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
m |
|||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
- |
|
|
n |
e |
|
||
|
|
|
|
x cha |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
Рис.10.11
Часто трафик, исходящий из одной виртуальной машины, может проходить в физическую сеть и достигать другого хоста, подключенного к корпоратив- ной сети.По этой причине всегда важно думать,что хотятрафик и изолирован внутри виртуальной сети,если сетевые маршруты кдругим сетям определены, пакет все равно будетдоставлен по месту назначения.
Убедитесь, что вы также включили следующие возможности в своем вирту- альном коммутаторе:
защиту от подмены MAC-адреса, которая предотвращает отправку вредоносного трафика с поддельного адреса;
защиту DHCP, которая не дает виртуальным машинам вести себя (или отвечать) как DHCP-сервер;
защиту маршрутизатора, которая не дает виртуальным машинам вы- давать сообщения объявления маршрутизатора и сообщения о перена- правлении;
Port ACL (список контроля доступа), позволяющий настраивать опреде- ленные списки контроля доступа на основе MACили IP-адресов.
Это лишь некоторые примеры того, что вы можете реализовать в виртуаль- ном коммутаторе. Имейте в виду, что обычно можно расширить эти функции, используя сторонний виртуальный коммутатор.
Например, коммутатор Cisco Nexus 1000V для Microsoft Hyper-V предлага-
ет более детальный контроль и безопасность. Для получения дополнительной информации см. https://www.cisco.com/c/en/us/products/switches/nexus-1000v- switch-microsoft-hyper-v/index.html.
Безопасность гибридной облачной сети
СогласноотчетуMcAfeeBuildingTrustinaCloudySky,опубликованномувапреле 2017 г.,внедрение гибридного облака выросло в 3 раза по сравнению с преды- дущим годом, а именно число организаций, которые были опрошены, возрос- ло с 19 до 57 %.Говоря кратко,реалистично утверждать,что у вашей компании рано или поздно будет возможность подключения к облаку, и в соответствии с обычной тенденцией миграции первым шагом будет внедрение гибридного облака.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Безопасность гибридной облачной сети 211to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
Данный раздел охватывает только одно подмножество соображений безопасности для |
|
|
|
|
|
|
||||
|
|
|
|
-x cha |
|
|
|
|
||
гибридных облаков. Для получения подробной информации обратитесь к «Практи-
ческому руководству по гибридным облачным вычислениям». Загрузите его по адресу https://www.omg.org/cloud/deliverables/practical-guide-to-hybrid-cloud-computing.htm.
При проектировании гибридной облачной сети необходимо учитывать все ранее объясненные моменты и планировать, как это новообразование будет интегрироваться в вашу среду. Многие компании примут подход с использо- ванием VPN типа «сеть–сеть», чтобы напрямую подключиться к облаку и изо- лировать сегмент, обладающий подключением к облаку. Хотя это и хороший подход, как правило, VPN типа «сеть–сеть» сопряжено с дополнительными затратами и требует дополнительного обслуживания. Еще один вариант – ис- пользовать прямой маршрут к облаку, например Azure ExpressRoute.
Хотя вы располагаете полным контролем над локальной сетью и конфигу- рацией,облачная виртуальная сеть станетдля вас чем-то новым,чем вам при- дется управлять. По этой причине важно ознакомиться с сетевыми возмож- ностями, доступными в IaaS облачного провайдера, и тем, как защитить эту сеть. Используя Azure в качестве примера, одним из способов быстрой оцен- ки конфигурации этой виртуальной сети можно считать Azure Security Center. Azure Security Center просканирует виртуальную сеть Azure в вашей подписке и предложит способы нейтрализации возможных проблем безопасности, как показано на приведенном ниже рис. 10.12.
Рис.10.12
Список рекомендаций может варьироваться в зависимости от вашей виртуальной сети Azure (VNET) и от того, как настроены ресурсы для использо- вания этой сети. Давайте используем второе оповещение в качестве приме- ра. Это оповещение среднего уровня, которое сообщает: Restrict access through internet-facing endpoint (Ограничить доступ через конечную точку с выходом в интернет). Когда вы щелкнете по нему мышью, то увидите подробное объ- яснение этой конфигурации и поймете, что необходимо предпринять, чтобы сделать ее более безопасной (рис. 10.13).