Микросегментация: повышение информационной безопасности и упрощение операций в архитектуре Cisco ACI
17, август 2015 Блог старшего директора компании Cisco по маркетингу продуктов для ЦОД и облачных вычислений Шаши Кирана ( Shashi Kiran ) Сегодня в проектах развертывания облаков и центров обработки данных (ЦОД) во главу угла ставится информационная безопасность, и развитие систем обеспечения безопасности архитектур идет в ногу с появлением в цифровом мире новых угроз. Для отражения современных изощренных атак администратору сети требуются самые разнообразные средства, одно из которых — сегментирование сети. Традиционно для сегментирования сети и разделения и изоляции доменов администраторы выделяли разным приложениям отдельные подсети и отображали их на виртуальные сети VLAN . Такой классический подход был довольно прост в реализации и облегчал определение политик для подсетей с использованием списков контроля доступа ( Access Control List , ACL ) на границе уровня L 3, которой обычно служили маршрутизатор первого транзитного участка или физический межсетевой экран. Но это приводило к нежелательному сопоставлению IP -подсетей и приложений. Кроме того, в результате со временем разбухали списки ACL (когда политик на базе подсетей оказывались недостаточно и, например, требовались списки ACL с указанием конкретных IP -адресов). Из-за этого, в свою очередь, затруднялась очистка списков ACL от неактуальных вхождений (более неиспользуемых приложений), что усложняло проблему управления списками ACL . Так что, если общая концепция сегментации все еще актуальна, то требования современных приложений и информационной безопасности диктуют необходимость применения более тонких методов, способных обеспечить бОльшую безопасность, будучи при этом проще в эксплуатации. Учитывая вышеизложенное, Cisco разработала принцип микросегментации, цели которого в общих чертах можно определить следующим образом:
Микросегментация в ориентированной на приложения инфраструктуре Cisco ACI В ориентированной на приложения инфраструктуре Cisco Application Centric Infrastructure ( ACI ) реализован весьма любопытный метод микросегментации, основанный на определении политик отделения сегментов от широковещательного домена. Здесь применяется новая концепция, учитывающая требования приложений и получившая название «группы оконечных точек» ( End - Point Group , EPG ). Ее суть в том, что разработчик приложений может определять оконечные точки в группах EPG вне зависимости от их IP -адресов и тех подсетей, к которым они принадлежат. Более того, сами оконечные точки нормализуются (оконечной точкой может быть физический сервер, виртуальная машина, Linux -контейнер или даже унаследованный мейнфрейм), т.е. их конкретное внутреннее содержание скрыто от внешнего мира, что существенно упрощает управление ими и делает его более гибким. В Cisco ACI сохранилось понятие традиционного сегмента, который теперь называется мостовым доменом ( Bridge Domain , BD ), при этом таким доменам по-прежнему могут назначаться IP -подсети. Это дает возможность при необходимости сохранять любые действующие эксплуатационные модели, позволяя создавать домены BD с одной группой EPG , которая концептуально отображается на традиционную VLAN . В архитектуре ACI эта модель получила свое дальнейшее развитие. Одному домену BD могут принадлежать несколько групп EPG , которые конфигурируются программно (как и всё внутри архитектуры ACI ) с помощью открытых интерфейсов прикладного программирования API , предоставляемых контроллером Cisco Application Policy Infrastructure Controller ( APIC ). В двух словах, группы EPG в архитектуре ACI — это микросегменты домена BD . Группы оконечных точек EPG как микросегменты Связь между отдельными группами EPG разрешается только на уровне политик, которые определяются с применением контрактной модели, работающей с белыми и черными списками. Соответствующие группы EPG и контракты составляют часть сетевого профиля приложения ( Application Network Profile , ANP ), который представляет собой программную структуру, определяющую требования приложения. Группы EPG , определенные в рамках ANP , инвариантны по отношению к гипервизору и функционируют в физической и виртуальной конфигурациях. Например, в vCenter они определяются соответствующими PortGroups , в Hyper - V — это VMnetworks и т.д. В чисто аппаратных серверах ( bare metal servers ) EPG отображаются на физические порты, соединяющие их с фабрикой. Микросегментация находит себе и другое применение, выходящее за рамки приведенных выше примеров. Например, устройства хранения таких вендоров, как NetApp и др., которые подключаются к фабрике как чисто аппаратные узлы, представляют собой виртуальные серверы в пределах файлера. Для таких аппаратных узлов необходимы микросегменты IP / DNS и политики взаимодействия между этими микросегментами, реализуемые в архитектуре Cisco ACI . Микросегментация на базе атрибутов Архитектура ACI позволяет расширить концепцию микросегментации с включением интеллектуальной классификации, основанной на «атрибутах». Так, можно ассоциировать оконечные точки с микросегментами на основании административных меток, или атрибутов, которые идентифицируют эти точки безотносительно их IP -адресов. Такими атрибутами могут быть имя ВМ, имя ОС, имя хост-системы или имя домена ( fully qualified domain name , FQDN ). В этом случае администратор сможет, например, указать, что все Linux -хосты, в имени которых содержится « prod - web - app 1-», должны принадлежать тому или иному микросегменту. Такая модель хорошо работает и при необходимости динамического присвоения оконечных точек группам EPG . Другим интересным и нужным применением, кроме микросегментации задач при разработке сетевого профиля приложения, может быть помещение скомпрометированной или злонамеренной оконечной точки в карантин. Например, представим себе, что в профиле ANP указана необходимость перенаправлять копию трафика на систему IDS . В тот момент, когда IDS определит, что хост скомпрометирован, можно, используя IP или атрибут ВМ, поместить оконечную точку в отдельный микросегмент, которому разрешен доступ только к системам восстановления. Управление микросегментами в гетерогенных конфигурациях Заказчикам, работающим только с vSphere , не имеющим чисто аппаратных приложений и не рассматривающим в перспективе применение нескольких гипервизоров, вполне будет достаточно микросегментации на базе VMware NSX . Тем же, кто в перспективе предполагает комплексную конфигурацию с множеством гипервизоров и единообразным применением политик в гетерогенной среде, больше подойдет инфраструктура Cisco ACI . Особенно ярко Cisco ACI проявляет себя, кардинально упрощая управление, там, где микросегменты охватывают аппаратные узлы, ВМ на разных гипервизорах и Linux -контейнеры. Cisco ACI предлагает комплексную, инвариантную к гипервизорам модель, обеспечивающую единообразное применение по всей фабрике прикладных политик для микросегментов, которые могут создаваться на базе атрибутов IP , FQDN или VM . Итак :
Доступность микросегментации в Cisco ACI
Заключение Инфраструктура Cisco ACI позволяет реализовать более совершенный комплексный метод микросегментации, инвариантный к гипервизорам и действующий как для аппаратных узлов, так и для набирающих популярность контейнеров Linux . Рекомендуем провести оценку внедрения инфраструктуры ACI даже тем заказчикам, кто использует лишь один гипервизор, так как возможность интеграции политик для аппаратных серверов, унаследованных мэйнфреймов и физических устройств хранения существенно упрощает операции и облегчает согласованное обеспечение информационной безопасности в ЦОДах и облачных проектах. Данная статья посвящена микросегментации, но это лишь один из множества инструментов системного администратора для обеспечения информационной безопасности. Cisco ACI предусматривает ряд комплексных функций защиты, в том числе зрелую технологию ввода сервисов ( service insertion technology ) для объединения передовых систем обеспечения информационной безопасности и управления угрозами. Стратегия обеспечения информационной безопасности должна также предусматривать отражение атак на всем временном континууме – до, после и во время атаки, включая ускоренное обнаружение, отражение и анализ. О компании Cisco Cisco, мировой лидер в области информационных технологий, помогает компаниям использовать возможности будущего и собственным примером доказывает, что, подключая неподключенное, можно добиться поразительных результатов. Чистый объем продаж компании в 2015 финансовом году составил 49,2 млрд долларов. Информация о решениях, технологиях и текущей деятельности компании публикуется на сайтах www.cisco.ru и www.cisco.com . Cisco, логотип Cisco, Cisco Systems и логотип Cisco Systems являются зарегистрированными торговыми знаками Cisco Systems, Inc. в США и некоторых других странах. Все прочие торговые знаки, упомянутые в настоящем документе, являются собственностью соответствующих владельцев. |
|