- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Обеспечение удаленного доступа к сети 207to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
В этом сценарии NAC отвечает не только за проверку текущего состояния |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
работоспособности удаленного устройства, но и за выполнение сегментации на уровне программного обеспечения, позволяя исходному устройству обме- ниваться данными только с предварительно определенными ресурсами, рас- положеннымилокально.Этодобавляетдополнительный уровеньсегментации и безопасности. Хотя данная схема не включает в себя брандмауэр, некоторые компании могут выбрать изоляцию всех пользователей удаленного доступа в одной конкретной виртуальной локальной сети и установить межсетевой экран между этим сегментом и корпоративной сетью для контроля трафика, поступающего от удаленных пользователей. Обычно это используется, когда выхотитеограничитьтипдоступа,которыйполучатпользователиприудален- ном доступе к системе.
Мы предполагаем, что часть аутентификации при этом обмене данными уже была выполнена и что для пользователей удаленного доступа одним из предпочтительных методов является использование протокола 802.1X или нечто совместимое.
Также важно иметь изолированную сеть, чтобы держать в карантине компьютеры , которые не отвечают минимальным требованиям для доступа к сетевым ресурсам. В этой карантинной сети должны иметься службы, отве- чающие за исправления, которые будут сканировать компьютер и применять соответствующее исправление, чтобы позволить ему получить доступ к кор- поративной сети.
VPN типа «сеть–сеть»
Один из распространенных сценариев для организаций, имеющих удаленные местоположения, состоит в том, чтобы иметь безопасный частный канал об- менаданными междуосновной сетьюкорпорации иудаленной сетью.Обычно этоделается черезVPNтипа «сеть–сеть».При планировании сегментации сети выдолжны подуматьоб этом сценарии и отом,как это подключение повлияет на вашу сеть.
Приведенная ниже диаграмма показывает пример этого подключения
(рис. 10.9).
В схеме сети, показанной на предыдущей диаграмме, у каждого филиала есть набор правил в брандмауэре. Это означает, что когда соединение будет установлено,у удаленного филиала не будетдоступа к основной сети всего го- ловного офиса,а только к некоторым сегментам.При планировании VPN типа «сеть–сеть» убедитесь, что вы используете принцип «нужно знать» и разре шаете доступтолько ктому,что действительно необходимо.Если Восточному филиалу не нужен доступ к VLAN отдела кадров, доступ к этой сети должен быть заблокирован.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
208 |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Сегментация сети
Удаленные
пользователи
VLAN удаленных пользователей
VLAN финансового |
Особые правила |
Восточный филиал |
|
Восточного филиала |
|||
отдела |
|||
|
|
VPN-концентратор |
|
|
Бранд- |
|
|
VLAN отдела |
мауэр |
|
|
|
|
||
кадров |
|
|
|
|
Особые правила |
|
|
|
Западного филиала |
Западный филиал |
|
VLAN |
|
|
|
с компьютерами |
|
|
|
с особо важными |
|
|
|
данными |
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис.10.9
Сегментация виртуальной сети
Безопасностьдолжнабытьвстроенавпроектсетинезависимооттого,физиче- ская это сеть или виртуальная. В данном случае речь идет не о VLAN, которые изначально реализованы в физической сети, а о виртуализации. Давайте ис- пользуем приведенную ниже диаграмму в качестве нашей отправной точки
(рис. 10.10).
При планировании сегментации виртуальной сети сначала необходимо по- лучить доступ к платформе виртуализации, чтобы узнать, какие возможности доступны. Однако вы можете приступить к планированию базовой сегмен- тации, используя подход, не зависящий от поставщика, поскольку основные принципы одинаковы независимо от платформы, что в основном и отражает предыдущая диаграмма. Обратите внимание, что внутри виртуального ком- мутатора есть изоляция.Другими словами,трафик из одной виртуальной сети невидимдлядругой виртуальной сети.Укаждой виртуальной сети можетбыть своя подсеть, и все виртуальные машины в виртуальной сети смогут обмени- ваться данными между собой, но не с другой виртуальной сетью. Что, если вы хотите иметь связь между двумя или более виртуальными сетями? В этом слу- чае вам нужен маршрутизатор (это может быть виртуальная машина с вклю- ченной службой маршрутизации) с несколькими виртуальными сетевыми адаптерами, по одному для каждой виртуальной сети.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Сервер с гипервизором
Внешний адрес
192.168.1.1/24
Сегментация виртуальной сети
Коммутатор физической сети
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
209to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Адаптер физической сети
Виртуальный
коммутатор
Адаптеры виртуальной сети
Виртуальная сеть
Внутренний адрес
10.1.1.0/24
Рис.10.10
Каквидно,основныеконцепцииоченьпохожинафизическуюсреду,аедин- ственное отличие заключается в реализации, которая может варьироваться в зависимости от поставщика. Используя Microsoft Hyper-V (Windows Server 2012 и более поздние версии) в качестве примера,можно реализоватьна уров- не виртуального коммутатора проверки безопасности с использованием вир- туальных расширений.Вот несколько примеров,которые можно использовать для повышения безопасности своей сети:
проверка сетевых пакетов;обнаружение вторжения или брандмауэр;фильтр сетевых пакетов.
Преимущество использования этих типов расширений заключается в том, что вы проверяете пакет перед его передачей в другие сети, что может быть очень полезно для вашей общей стратегии сетевой безопасности.
На рис. 10.11 показан пример расположения этих расширений. Вы можете получитьдоступкэтомуокнуспомощьюдиспетчераHyper-Vивыборасвойств
Virtual Switch Manager for ARGOS.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
210 |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Сегментация сети
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
||
w Click |
|
|
|
|
|
m |
|||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
- |
|
|
n |
e |
|
||
|
|
|
|
x cha |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
Рис.10.11
Часто трафик, исходящий из одной виртуальной машины, может проходить в физическую сеть и достигать другого хоста, подключенного к корпоратив- ной сети.По этой причине всегда важно думать,что хотятрафик и изолирован внутри виртуальной сети,если сетевые маршруты кдругим сетям определены, пакет все равно будетдоставлен по месту назначения.
Убедитесь, что вы также включили следующие возможности в своем вирту- альном коммутаторе:
защиту от подмены MAC-адреса, которая предотвращает отправку вредоносного трафика с поддельного адреса;
защиту DHCP, которая не дает виртуальным машинам вести себя (или отвечать) как DHCP-сервер;
защиту маршрутизатора, которая не дает виртуальным машинам вы- давать сообщения объявления маршрутизатора и сообщения о перена- правлении;
Port ACL (список контроля доступа), позволяющий настраивать опреде- ленные списки контроля доступа на основе MACили IP-адресов.
Это лишь некоторые примеры того, что вы можете реализовать в виртуаль- ном коммутаторе. Имейте в виду, что обычно можно расширить эти функции, используя сторонний виртуальный коммутатор.
Например, коммутатор Cisco Nexus 1000V для Microsoft Hyper-V предлага-
ет более детальный контроль и безопасность. Для получения дополнительной информации см. https://www.cisco.com/c/en/us/products/switches/nexus-1000v- switch-microsoft-hyper-v/index.html.
Безопасность гибридной облачной сети
СогласноотчетуMcAfeeBuildingTrustinaCloudySky,опубликованномувапреле 2017 г.,внедрение гибридного облака выросло в 3 раза по сравнению с преды- дущим годом, а именно число организаций, которые были опрошены, возрос- ло с 19 до 57 %.Говоря кратко,реалистично утверждать,что у вашей компании рано или поздно будет возможность подключения к облаку, и в соответствии с обычной тенденцией миграции первым шагом будет внедрение гибридного облака.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Безопасность гибридной облачной сети 211to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
Данный раздел охватывает только одно подмножество соображений безопасности для |
|
|
|
|
|
|
||||
|
|
|
|
-x cha |
|
|
|
|
гибридных облаков. Для получения подробной информации обратитесь к «Практи-
ческому руководству по гибридным облачным вычислениям». Загрузите его по адресу https://www.omg.org/cloud/deliverables/practical-guide-to-hybrid-cloud-computing.htm.
При проектировании гибридной облачной сети необходимо учитывать все ранее объясненные моменты и планировать, как это новообразование будет интегрироваться в вашу среду. Многие компании примут подход с использо- ванием VPN типа «сеть–сеть», чтобы напрямую подключиться к облаку и изо- лировать сегмент, обладающий подключением к облаку. Хотя это и хороший подход, как правило, VPN типа «сеть–сеть» сопряжено с дополнительными затратами и требует дополнительного обслуживания. Еще один вариант – ис- пользовать прямой маршрут к облаку, например Azure ExpressRoute.
Хотя вы располагаете полным контролем над локальной сетью и конфигу- рацией,облачная виртуальная сеть станетдля вас чем-то новым,чем вам при- дется управлять. По этой причине важно ознакомиться с сетевыми возмож- ностями, доступными в IaaS облачного провайдера, и тем, как защитить эту сеть. Используя Azure в качестве примера, одним из способов быстрой оцен- ки конфигурации этой виртуальной сети можно считать Azure Security Center. Azure Security Center просканирует виртуальную сеть Azure в вашей подписке и предложит способы нейтрализации возможных проблем безопасности, как показано на приведенном ниже рис. 10.12.
Рис.10.12
Список рекомендаций может варьироваться в зависимости от вашей виртуальной сети Azure (VNET) и от того, как настроены ресурсы для использо- вания этой сети. Давайте используем второе оповещение в качестве приме- ра. Это оповещение среднего уровня, которое сообщает: Restrict access through internet-facing endpoint (Ограничить доступ через конечную точку с выходом в интернет). Когда вы щелкнете по нему мышью, то увидите подробное объ- яснение этой конфигурации и поймете, что необходимо предпринять, чтобы сделать ее более безопасной (рис. 10.13).