17, август 2015  — 

Блог старшего директора компании Cisco по маркетингу продуктов для ЦОД и облачных вычислений Шаши Кирана ( Shashi Kiran )

Сегодня в проектах развертывания облаков и центров обработки данных (ЦОД) во главу угла ставится информационная безопасность, и развитие систем обеспечения безопасности архитектур идет в ногу с появлением в цифровом мире новых угроз. Для отражения современных изощренных атак администратору сети требуются самые разнообразные средства, одно из которых — сегментирование сети.

Традиционно для сегментирования сети и разделения и изоляции доменов администраторы выделяли разным приложениям отдельные подсети и отображали их на виртуальные сети VLAN . Такой классический подход был довольно прост в реализации и облегчал определение политик для подсетей с использованием списков контроля доступа ( Access Control List , ACL ) на границе уровня L 3, которой обычно служили маршрутизатор первого транзитного участка или физический межсетевой экран. Но это приводило к нежелательному сопоставлению IP -подсетей и приложений. Кроме того, в результате со временем разбухали списки ACL (когда политик на базе подсетей оказывались недостаточно и, например, требовались списки ACL с указанием конкретных IP -адресов). Из-за этого, в свою очередь, затруднялась очистка списков ACL от неактуальных вхождений (более неиспользуемых приложений), что усложняло проблему управления списками ACL .

Так что, если общая концепция сегментации все еще актуальна, то требования современных приложений и информационной безопасности диктуют необходимость применения более тонких методов, способных обеспечить бОльшую безопасность, будучи при этом проще в эксплуатации.

Учитывая вышеизложенное, Cisco разработала принцип микросегментации, цели которого в общих чертах можно определить следующим образом:

• программное определение как можно более дробных сегментов для повышения гибкости (например, для ограничения горизонтального распространения угрозы или помещения в карантин скомпрометированной оконечной точки обширной системы);
• программная автоматизация управления сегментами и политиками на всем протяжении жизненного цикла приложений (от запуска до снятия с эксплуатации);
• внедрение модели нулевого доверия ( Zero - Trust ) для гетерогенных задач с целью улучшения информационной безопасности и масштабирования.

Микросегментация в ориентированной на приложения инфраструктуре Cisco ACI

В ориентированной на приложения инфраструктуре Cisco Application Centric Infrastructure ( ACI ) реализован весьма любопытный метод микросегментации, основанный на определении политик отделения сегментов от широковещательного домена. Здесь применяется новая концепция, учитывающая требования приложений и получившая название «группы оконечных точек» ( End - Point Group , EPG ). Ее суть в том, что разработчик приложений может определять оконечные точки в группах EPG вне зависимости от их IP -адресов и тех подсетей, к которым они принадлежат. Более того, сами оконечные точки нормализуются (оконечной точкой может быть физический сервер, виртуальная машина, Linux -контейнер или даже унаследованный мейнфрейм), т.е. их конкретное внутреннее содержание скрыто от внешнего мира, что существенно упрощает управление ими и делает его более гибким.

В Cisco ACI сохранилось понятие традиционного сегмента, который теперь называется мостовым доменом ( Bridge Domain , BD ), при этом таким доменам по-прежнему могут назначаться IP -подсети. Это дает возможность при необходимости сохранять любые действующие эксплуатационные модели, позволяя создавать домены BD с одной группой EPG , которая концептуально отображается на традиционную VLAN .

В архитектуре ACI эта модель получила свое дальнейшее развитие. Одному домену BD могут принадлежать несколько групп EPG , которые конфигурируются программно (как и всё внутри архитектуры ACI ) с помощью открытых интерфейсов прикладного программирования API , предоставляемых контроллером Cisco Application Policy Infrastructure Controller ( APIC ). В двух словах, группы EPG в архитектуре ACI — это микросегменты домена BD .

Группы оконечных точек EPG как микросегменты

Связь между отдельными группами EPG разрешается только на уровне политик, которые определяются с применением контрактной модели, работающей с белыми и черными списками. Соответствующие группы EPG и контракты составляют часть сетевого профиля приложения ( Application Network Profile , ANP ), который представляет собой программную структуру, определяющую требования приложения.

Группы EPG , определенные в рамках ANP , инвариантны по отношению к гипервизору и функционируют в физической и виртуальной конфигурациях. Например, в vCenter они определяются соответствующими PortGroups , в Hyper - V — это VMnetworks и т.д. В чисто аппаратных серверах ( bare metal servers ) EPG отображаются на физические порты, соединяющие их с фабрикой.

Микросегментация находит себе и другое применение, выходящее за рамки приведенных выше примеров. Например, устройства хранения таких вендоров, как NetApp и др., которые подключаются к фабрике как чисто аппаратные узлы, представляют собой виртуальные серверы в пределах файлера. Для таких аппаратных узлов необходимы микросегменты IP / DNS и политики взаимодействия между этими микросегментами, реализуемые в архитектуре Cisco ACI .

Микросегментация на базе атрибутов

Архитектура ACI позволяет расширить концепцию микросегментации с включением интеллектуальной классификации, основанной на «атрибутах». Так, можно ассоциировать оконечные точки с микросегментами на основании административных меток, или атрибутов, которые идентифицируют эти точки безотносительно их IP -адресов. Такими атрибутами могут быть имя ВМ, имя ОС, имя хост-системы или имя домена ( fully qualified domain name , FQDN ). В этом случае администратор сможет, например, указать, что все Linux -хосты, в имени которых содержится « prod - web - app 1-», должны принадлежать тому или иному микросегменту. Такая модель хорошо работает и при необходимости динамического присвоения оконечных точек группам EPG . Другим интересным и нужным применением, кроме микросегментации задач при разработке сетевого профиля приложения, может быть помещение скомпрометированной или злонамеренной оконечной точки в карантин.

Например, представим себе, что в профиле ANP указана необходимость перенаправлять копию трафика на систему IDS . В тот момент, когда IDS определит, что хост скомпрометирован, можно, используя IP или атрибут ВМ, поместить оконечную точку в отдельный микросегмент, которому разрешен доступ только к системам восстановления.

Управление микросегментами в гетерогенных конфигурациях

Заказчикам, работающим только с vSphere , не имеющим чисто аппаратных приложений и не рассматривающим в перспективе применение нескольких гипервизоров, вполне будет достаточно микросегментации на базе VMware NSX .

Тем же, кто в перспективе предполагает комплексную конфигурацию с множеством гипервизоров и единообразным применением политик в гетерогенной среде, больше подойдет инфраструктура Cisco ACI . Особенно ярко Cisco ACI проявляет себя, кардинально упрощая управление, там, где микросегменты охватывают аппаратные узлы, ВМ на разных гипервизорах и Linux -контейнеры.

Cisco ACI предлагает комплексную, инвариантную к гипервизорам модель, обеспечивающую единообразное применение по всей фабрике прикладных политик для микросегментов, которые могут создаваться на базе атрибутов IP , FQDN или VM .

Итак :

• инвариантная к гипервизорам микросегментация в Cisco ACI достигается путем разрешения различным гипервизорам отображать свои микросегментные структуры на группы EPG . Тот же принцип сохраняется в отношении контейнеров и аппаратных узлов.
• После завершения классификации политики применяются единообразно к микросегементным группам EPG , независимо от исходной ВМ, типа ВМ, аппаратного узла и т.п. Политики могут оказаться неоценимым средством определения и масштабирования структур информационной безопасности.
• Для виртуальных оконечных точек в одном хосте политика может быть реализована напрямую на уровне гипервизора. Это достигается применением открытого протокола OpFlex для прямой загрузки политик в Microsoft Hyper - V , KVM с Open vSwitch и в vSphere с Application Virtual Switch ( AVS ).

Доступность микросегментации в Cisco ACI

• Уже поставляется:
• микросегментация для VMware с использованием Cisco AVS .

• Планируется на конец 2015 г.:
• микросегментация для аппаратных узлов.
• Микросегментация для Hyper - V с применением Microsoft vSwitch и расширений ACI с такими открытыми протоколами, как OpFlex .

• Планируется на 2016 г.:
• микросегментация KVM/Xen
• Микросегментация контейнеров Linux

Заключение

Инфраструктура Cisco ACI позволяет реализовать более совершенный комплексный метод микросегментации, инвариантный к гипервизорам и действующий как для аппаратных узлов, так и для набирающих популярность контейнеров Linux . Рекомендуем провести оценку внедрения инфраструктуры ACI даже тем заказчикам, кто использует лишь один гипервизор, так как возможность интеграции политик для аппаратных серверов, унаследованных мэйнфреймов и физических устройств хранения существенно упрощает операции и облегчает согласованное обеспечение информационной безопасности в ЦОДах и облачных проектах.

Данная статья посвящена микросегментации, но это лишь один из множества инструментов системного администратора для обеспечения информационной безопасности. Cisco ACI предусматривает ряд комплексных функций защиты, в том числе зрелую технологию ввода сервисов ( service insertion technology ) для объединения передовых систем обеспечения информационной безопасности и управления угрозами. Стратегия обеспечения информационной безопасности должна также предусматривать отражение атак на всем временном континууме – до, после и во время атаки, включая ускоренное обнаружение, отражение и анализ. 

О компании Cisco

Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов.

Чистый объем продаж компании в 2015 финансовом году составил 49,2 млрд долларов. Информация о решениях, технологиях и текущей деятельности компании публикуется на сайтах www.cisco.ru и www.cisco.com .

Cisco, логотип Cisco, Cisco Systems и логотип Cisco Systems являются зарегистрированными торговыми знаками Cisco Systems, Inc. в США и некоторых других странах. Все прочие торговые знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев.