|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Глубоко эшелонированная защита 199to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
резервное копирование и т.д.).Все эти элементы управления безопасностью– |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
этоуровнизащиты,атакжеуровнизащитывобластиинфраструктурыислужб. Для различных областей инфраструктур должны бытьдобавлены другие уров- ни защиты.
На той же диаграмме у вас присутствуют облачные вычисления. В данном случаеэтомодельИнфраструктура как услуга (IaaS),посколькуэтакомпания использует виртуальные машины, расположенные в облаке. Если вы уже по- строили модель угроз и внедрили средства управления безопасностьюлокаль- но, то вам необходимо пересмотреть возможность подключения к облачным вычислениям. Создав гибридную среду, вы должны будете повторно прове- рить угрозы, потенциальные точки входа и способы их эксплуатации. Резуль- татом этого упражнения обычно является вывод, что в действие должны быть введены другие элементы управления безопасностью.
Таким образом, безопасность инфраструктуры должна снизить количество и серьезность уязвимостей,сократить время обеспечениядоступа и увеличить сложность и стоимость эксплуатации. Используя многоуровневый подход, вы можете достичь этого.
Документы в процессе передачи
Хотятакая диаграмма относится к документам,это могут бытьданные любого типа, которые обычно уязвимы, когда они находятся в процессе передачи из одного меставдругое.Убедитесь,чтовы используетешифрованиедлязащиты данныхприпередаче.Крометого,недумайте,чтошифрованиеприпередаче– это нечто, что должно быть сделано только в общедоступных сетях. Это также должно быть реализовано и во внутренних сетях.
Например, все сегменты, доступные в локальной инфраструктуре, при- веденной на предыдущей диаграмме, должны использовать шифрование на уровне сети, такое как IPSec. Если вам нужно передавать документы по сети, убедитесь,что вы шифруете их на всем пути.Когда данные наконец достигнут пункта назначения, зашифруйте их, когда они будут находиться в состоянии покоя в хранилище.
Помимо шифрования, вы также должны добавить другие элементы управ- ления безопасностью для мониторинга и контроля доступа, как показано на рис. 10.2.
Обратитевнимание,чтовывосновномдобавляетеразличныеуровнизащи- ты и обнаружения,в чем и состоит вся суть подхода с использованием глубоко эшелонированной защиты.Воткак следуетрассматриватьданные,которые вы хотите защитить.
Давайте перейдем кдругому примеру,показанному на следующейдиаграм- ме. Это документ, который был зашифрован в состоянии покоя на локальном сервере. Он прошел через интернет, пользователь выполнил аутентификацию в облаке, и шифрование было сохранено в течение всего пути к мобильному устройству, которое также зашифровано в состоянии покоя в локальном хра- нилище (рис. 10.3).
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
200 |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Сегментация сети
Данные
Телефон на базе ОСAndroid
Локальные ресурсы
Мониторинг активности
Контроль доступа
Защита данных
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Рис.10.2
Брандмауэр
Рис.10.3
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Сегментация физической сети 201to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Эта диаграмма показывает, что в гибридном сценарии вектор атаки изме- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
нится. Вы должны рассмотреть весь сквозной канал связи для выявления по- тенциальных угроз и способов их нейтрализации.
Конечные точки
При планировании глубоко эшелонированной защиты конечных точек нуж- но думать не только о компьютерах. В настоящее время конечная точка – это практически любое устройство, которое может потреблять данные. Приложе- ние определяет, какие устройства будут поддерживаться. Пока вы работаете синхронно с вашей командой разработчиков, то должны знать, какие устрой- ства поддерживаются. В общем, большинство приложений будет доступно для мобильных устройств, а также и для компьютеров. Ряд других приложений выходит за рамки этого и обеспечивает доступ через переносные устройства, такие как Fitbit. Невзирая на форм-фактор, вы должны выполнить моделиро- вание угроз, чтобы раскрыть все векторы атак и соответствующим образом спланировать меры по нейтрализации. Некоторые из контрмер, применимых по отношению к конечным точкам, включают в себя:
разделение корпоративных и личных данных/приложений (изоляция);использование аппаратной защиты TPM;
усиление защиты ОС;шифрование хранилища.
Защита конечных точек должна учитывать корпоративные и BYOD-устройства. Чтобы узнатьбольше о независимом от поставщика подходе к BYOD, прочтите эту статью: https://blogs.technet.microsoft.com/yuridiogenes/2014/03/11/byod-article-published- at-issa-journal/.
Сегментация физической сети
Одна из самых больших проблем, с которой может столкнуться Синяя команда при работе с сегментацией сети,–это получение точного представления отом, как в настоящее время устроена сеть. Это происходит из-за того, что большую частьвременисетьбудетрастивсоответствиисоспросом,аеефункциибезопас ности не пересматриваются по мере ее расширения. Для крупных корпораций это означает переосмысление всей сети и,возможно,ее реорганизацию с нуля.
Первым шагом к созданию соответствующей физической сегментации сети является пониманиелогического распределения ресурсов в соответствии с по- требностями вашей компании. Это развенчивает миф о том, что один размер подходит всем, ведь на самом деле это не так. Вы должны проанализировать каждую сеть в каждом конкретном случае и спланировать сегментацию сети в соответствии с потребностями в ресурсах и логическим доступом. Для ма- лых и средних организаций может быть проще агрегировать ресурсы в соот- ветствии с их отделами (например, ресурсы, принадлежащие финансовому отделу, отделу кадров, операционному отделу и т. д.). Если это тот случай, вы
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
202 |
Сегментация сети |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
можете создать виртуальную локальную сеть (VLAN) для каждого отдела |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
и изолировать ресурсы для каждого отдела. Такая изоляция улучшит произво- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
дительность и общую безопасность. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Проблема тут состоит в отношениях между пользователями/группами и ре- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
сурсами.Давайте используем в качестве примера файловый сервер.Большин- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ствуотделоввкакой-томоментпонадобитсядоступкфайловомусерверу,аэто |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
означает,что им придется пересекать виртуальные локальные сети,чтобы по- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
лучить доступ к ресурсу. Для такого доступа потребуются правила, различные |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
условия доступа и дополнительное обслуживание. По этой причине крупные |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
сети обычно избегаюттакого подхода, но если он соответствует потребностям |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
вашей организации,вы можете использовать его.Другие способы агрегирова- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ния ресурсов могут основываться на следующих аспектах: |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
бизнес-цели – используя этот подход, вы можете создавать виртуаль- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
ные локальные сети с ресурсами на основе общих бизнес-целей; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
уровеньчувствительности при угрозе–предполагая,чтоувасестьак- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
туальная оценка риска ваших ресурсов, вы можете создавать виртуаль- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
ныелокальные сетинаоснове уровняриска(высокий,низкий,средний); |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
расположение – для крупных организаций иногда лучше организовать |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
ресурсы в зависимости от местоположения; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
зоны безопасности – обычно этот тип сегментации комбинирует- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
ся с другими типами для определенных целей (например, одна зона |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
безопасности |
для всех серверов, к которым обращаются партнеры). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Хотя это распространенные методы агрегации ресурсов, которые могут |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
привести к сегментации сети на основеVLAN,вы можете использовать все это |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
вместе. Приведенная ниже диаграмма показывает пример такого смешанного |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
подхода (рис. 10.4). |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
В этом случае у нас есть коммутаторы рабочей группы (например, Cisco Ca |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
talyst 4500) с возможностью настройки VLAN. Они подключены к центрально- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
му маршрутизатору, который будет выполнять управление маршрутизацией |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
для этих виртуальных сетей.В идеале этоткоммутатордолжен иметьфункции |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
безопасности, ограничивающие IP-трафик из ненадежных портов канально- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
го уровня. Эта функция известна как безопасность портов. Данный маршру- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
тизатор включает в себя контрольный список доступа, чтобы убедиться, что |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
через эти виртуальные локальные сети может проходить только авторизован- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ный трафик. Если вашей организации требуется более глубокая проверка че- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
рез VLAN, вы также можете использовать межсетевой экран для выполнения |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
данной маршрутизации и проверки. Обратите внимание, что сегментация по |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
VLAN выполняется с использованием разных подходов, что вполне нормаль- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
но, если вы планируете текущее состояние и то, что будет в дальнейшем. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
Если вы используете Catalyst 4500,убедитесь,что у вас включена функция dynamic ARP inspection. Эта функция защищает сеть от некоторых атак типа «человек посередине». Для получения дополнительной информации об этой функции перейдите по ссылке https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configu-
ration/guide/conf/dynarp.html.