…in the name of… Security

Wraz z rosnącym rozpowszechnieniem aktywów niebędących własnością firmy i bardziej złożonymi przepływami danych organizacje nadal poszukują lepszych metod ochrony sieci wewnętrznych. Poniższe sekcje zawierają jedynie próbkę możliwych architektur wewnętrznych stref usług.

Systemy administracyjne i monitorujące: Organizacje zazwyczaj ograniczają bezpośredni dostęp do sieci i urządzeń zabezpieczających. Wymagając, aby cały ruch administracyjny i monitorujący pochodził z określonego hosta i / lub sieci, strefa może skutecznie zmniejszyć profil zagrożenia każdego urządzenia. Ta strefa pozwoliłaby nie tylko na minimalny ruch niewtajemniczonych , ale ograniczyłby również połączenia wychodzące do systemów zarządzanych i monitorowanych.

Systemy o wysokiej wartości: Organizacje polegające w dużym stopniu na własności intelektualnej i / lub innych chronionych typach danych (np. Danych osobowych i finansowych) mają nieodłączną potrzebę zapewnienia wyższego poziomu ochrony w celu ochrony swoich inwestycji. Podział na strefy zapewnia dodatkową warstwę ochrony poprzez zminimalizowanie niepotrzebnych przepływów informacji do / z tych cennych systemów

Systemy sterowania przemysłowego: Incydenty, takie jak Stuxnet i Night Dragon, przypominają nam, że chociaż niektóre typy systemów są uważane za niezwykle złożone i mniej dostępne, to tylko kwestia czasu, zanim uda się osiągnąć kompromis. Organizacje produkcyjne ze znacznymi inwestycjami w kontrolę przemysłową i

Systemy nadzoru i pozyskiwania danych (SCADA) mogą (lub mają wymagania) izolować te środowiska jako dodatkowy poziom ochrony i / lub zgodności.a

Architektura strefowa.

We współczesnej interpretacji architektury ekranowanej podsieci strefy definiują różne typy i / lub wrażliwości sieci, aplikacji i / lub usług. Zapewnia to możliwość zarządzania dozwolonymi ścieżkami na poziomie makr (na strefę) oprócz tradycyjnych dozwolonych ścieżek (określonych hostów lub usług). Ponieważ wymagania zwiększają bezpieczeństwo sieci, koncepcja strefowania jest równie skuteczna, gdy jest używana do zarządzania i ochrony sieci wewnętrznych i zewnętrznych.

Strefy obwodowe.

Router brzegowy stanowi pierwszą linię obrony architektury przed atakami zewnętrznymi. Listy ACL na tym routerze powinny odzwierciedlać podstawową konfigurację dozwolonych ścieżek interfejsu zewnętrznego (niezaufanego) firewalla i zapewniać kilka ważnych korzyści. GSD jest w stanie działać z optymalną wydajnością, ponieważ ruch odrzucony na podstawie reguł filtrowania pakietów routera granicznego normalnie nigdy nie dotarłby do zapory. Pozwala to firewallowi skupić się, pod względem obciążenia, na inspekcji protokołu. Jeśli na przykład zapora otrzyma pakiet, który nigdy nie powinien przejść przez listę ACL routera granicznego, zapora może założyć, że router nie działa normalnie. Zapora może wówczas odpowiednio zareagować, wykonując takie czynności, jak przerywanie wszystkich połączeń z określonego hosta.

Strefy usług zewnętrznych.

Konieczność mobilności i dostępności stawia istotne wymagania w stosunku do systemów połączonych z Internetem, a także zwiększa koszty administracyjne związane z zarządzaniem dostępem zewnętrznym. Poniższe sekcje zawierają jedynie próbkę możliwych architektur zewnętrznych stref usług.

Użyteczność.

Zamiast zrzucać systemy, takie jak Internet, DNS i poczta e-mail do jednej sieci, może być korzystne wdrożenie stref. Serwery narzędziowe, takie jak DNS i poczta e-mail, mogą logicznie znajdować się w tej samej sieci. Serwery internetowe zwykle wymagają większej przepustowości i dzięki tej koncepcji mogą chronić całą strefę za pomocą prostej reguły dostępu przychodzącego.

Extranet.

Systemy ekstranetowe stwarzają dodatkową złożoność, ponieważ zapewniają interfejs użytkownika, podczas gdy systemy wewnętrzne mogą zapewniać odpowiednią zawartość. Strefowanie zapewnia większą elastyczność, umożliwiając zewnętrznym połączeniom dotarcie do serwerów Extranet, zapewniając tym samym dostęp do zasobów wewnętrznych.

VPN.

Sieci VPN są również okazją do wykorzystania stref. Ponieważ urządzenie łączące VPN musi być połączone z Internetem, wymaga to dwóch różnych sieci podłączonych do zapory. Zewnętrzny interfejs z dostępem do Internetu (niezaufany VPN) zezwalałby tylko na kilka protokołów dla przychodzącego i wychodzącego zaszyfrowanego ruchu. Druga sieć (zaufana VPN) jest przeznaczona dla nieszyfrowanego ruchu sieciowego przenoszonego do iz sieci wewnętrznej. Architektura ta zapewnia również dodatkową ochronę sieci wewnętrznej w przypadku naruszenia bezpieczeństwa urządzenia VPN, a także tworzy punkt kontroli ruchu, który jest niezakłócony przez szyfrowanie

Ochrona hosta.

Chociaż firewalle i GSD odgrywają kluczową rolę w ochronie całej infrastruktury sieciowej, rozmieszczenie tych urządzeń we wszystkich punktach w sieci nie jest ani opłacalne, ani możliwe. Poszczególne hosty muszą mieć sposób na ochronę przed zagrożeniami niezależnymi od urządzeń zabezpieczających sieć. W przeciwieństwie do sieci, host ma kontekstowe zrozumienie tego, co system może, co robi i / lub powinien robić. Oprócz prostej funkcji zezwalaj i odmawiaj, kontekstowe środki bezpieczeństwa mogą wykrywać nieoczekiwane zmiany konfiguracji systemu, takie jak zmiany usług lub nieoczekiwane zachowanie aplikacji. Gdy host opuszcza sieć wewnętrzną, staje się rozszerzeniem profilu ochrony sieci. Zapewniając odpowiednie lokalne zabezpieczenia na poziomie sieci i aplikacji, mobilny punkt końcowy pomaga złagodzić potencjalne problemy po ponownym połączeniu się z siecią wewnętrzną. Istotne jest również określenie wymaganego poziomu ochrony oraz tego, jak każdy z tych dodatkowych poziomów bezpieczeństwa wpłynie na wydajność systemu, zarządzanie i wpływ na użytkownika końcowego.

Sieć.

Hosty muszą być w stanie określić typy i stosowność ruchu przychodzącego i wychodzącego. Te ograniczenia sieciowe mogą się różnić w zależności od sieci wewnętrznej i sieci niekontrolowanych. W pewnych okolicznościach cały ruch sieciowy może być podejrzany i poddawany dalszej analizie. Na przykład w sieci wewnętrznej host zezwala na większość ruchu przychodzącego i wychodzącego. Gdyby host znajdował się w niekontrolowanej sieci, nie pozwoliłby na żadne nieustalone przepływy sieciowe. Proste zabezpieczenia sieciowe oparte na hostach nie wystarczą; dodatkowe mechanizmy ochrony hosta, takie jak zapobieganie włamaniom, mogą wykrywać i powstrzymywać ataki sieciowe i aplikacje.

Dostęp do aplikacji.

Znajomość kontekstowa hosta pomaga również dyktować zdolność aplikacji do wykonywania, a także wysyłania i / lub odbierania danych. Celem jest zapewnienie dostępu do sieci tylko odpowiednim aplikacjom i / lub usługom. Zasady ochrony hosta mogą zezwalać aplikacjom na nawiązywanie połączeń wychodzących, ale nigdy nie nasłuchują (ani nie akceptują nierozpoznanych pakietów przychodzących). Na przykład serwer HTTP używa demona do nasłuchiwania prób połączeń. Klient HTTP spróbuje nawiązać połączenie z demonem serwera HTTP. Korzystając z mechanizmu ochrony hosta, można by zapobiec jednej lub obu z tych czynności.

Zabezpieczenia hybrydowe.

System zapobiegania włamaniom do hosta (HIPS) działa podobnie do systemu zapobiegania włamaniom sieciowym (NIPS), wykrywając znane wzorce ataków i / lub nietypowe zachowania. Hybrydowe zabezpieczenia hosta opierają się na świadomości kontekstowej hosta i zapewniają możliwość monitorowania innych nietypowych działań na poziomie aplikacji, takich jak zmiany w plikach binarnych, manipulacja usługami i uruchomione nasłuchiwania

Adresowanie. Protokół IPv6 jest bardziej elastyczny w podejściu do adresowania dynamicznego. Zamiast polegać wyłącznie na protokole DHCP, urządzenie IPv6 może adresować się za pomocą bezstanowej automatycznej konfiguracji adresów (SLAAC). Host używa unikalnego identyfikatora (zazwyczaj własnego adresu kodu uwierzytelniania wiadomości (MAC)) oprócz protokołu Neighbor Discovery (ND) w celu zakończenia automatycznego adresowania. Ponieważ nie ma wymogu uwierzytelniania, GSD musi zapobiegać próbom działania urządzeń zewnętrznych jako routera wewnętrznego podczas procesu adresowania. Znaczny wzrost liczby dostępnych adresów w dowolnej sieci IPv6 uniemożliwia wykrycie urządzeń i topologii sieci przy użyciu tradycyjnego skanowania portów. Korzystając z protokołu wykrywania grupowego nasłuchiwania (MLD), osoba atakująca może wysłać sondę na lokalny adres multiemisji (ff02 :: 1) i nasłuchiwać odpowiedzi. GSD musi blokować tę możliwość na obwodzie, aby uniemożliwić urządzeniom zewnętrznym próby wykrycia wewnętrznych hostów i topologii.

Tunelowanie

Bez wszechobecnej kompleksowej łączności IPv6 istnieje kilka technologii przejściowych IPv6 (takich jak 6to4 i Teredo), które umożliwiają systemom obsługującym protokół IPv6 tunelowanie komunikacji w starszych sieciach IPv4. Podobnie jak w przypadku innego ruchu tunelowanego, aby był skuteczny, GSD musi być w stanie nie tylko wymusić odpowiednią dozwoloną ścieżkę dla ruchu tunelowanego, ale także sprawdzać zahermetyzowany pakiet IPv6. IPv6 ma również natywną obsługę protokołu IPsec (zarówno AH, jak i ESP). Konfiguracja i korzystanie z IPsec w środowisku IPv6 wymaga tej samej dyscypliny w wybieraniu i konfigurowaniu opcji kryptograficznych, jak w przypadku IPv4. Możliwe jest również użycie IPv4 IPsec do ochrony tuneli technologii przejściowej IPv6, ponieważ w przeciwnym razie niezaszyfrowane sesje tunelowe byłyby narażone na przechwytywanie i / lub manipulację.

Globalna łączność

Translacja adresów sieciowych (NAT) jest istotnym elementem łączności internetowej IPv4 ze względu na stosunkowo „małą” liczbę publicznie routowalnych adresów. Rozmiar przestrzeni adresowej IPv6 (2¹²⁸ adresów) zapewnia globalną łączność IP bez potrzeby (lub definicji) zastępowania NAT. Urządzenia IPv6 będą teraz ponownie komunikować się natywnie w ramach dynamiki obwodu zmieniającego Internet. Przy włączonym IPv6 istotne jest, aby GSD wymusiło ścisłe filtrowanie danych wejściowych i wyjściowych.

Mobilność

Mobilny protokół IPv6 (MIPv6) umożliwia hostom utrzymanie dostępu do sieci domowej podczas fizycznego roamingu do innych lokalizacji i niekontrolowanych sieci. Użytkownik mógłby opuścić sieć biurową i podróżować z jednego spotkania na drugie bez utraty łączności z siecią wewnętrzną. Ponieważ urządzenie może przenosić sieć do sieci bez przerywania połączenia wewnętrznego, MIPv6 stwarza również potencjalne problemy z inspekcją stanową, jeśli GSD nie rozumie protokołu. Jeśli organizacja zdecyduje

Przydzielenie ostatnich pozostałych dostępnych bloków adresów IPv4 do regionalnych rejestrów internetowych (RIR) nastąpiło w 2011 r., Wskazując, że na świecie nie ma adresów IPv4. Chociaż można argumentować, że stwierdzenie to jest zbyt dramatyczne, masowa migracja do IPv6 nadal odbywa się w wolniejszym tempie niż można by się spodziewać, mimo że IPv6 został opracowany pod koniec lat 90. Chociaż organizacje nadal opracowują swoje indywidualne plany przejścia, prawdopodobnie IPv6 jest już w ich środowisku. Wiele nowoczesnych systemów operacyjnych i urządzeń ma podwójne stosy sieciowe IPv4 i IPv6, z których niektóre są domyślnie włączone. Protokół IPv6 i powiązane z nim technologie przejściowe mają określone konsekwencje dla bezpieczeństwa, które GSD musi zrozumieć i egzekwować

Chociaż łączny koszt przepustowości nadal spada, organizacje nadal szukają możliwości wydajniejszego zarządzania tymi często przeciążonymi obwodami. Serwery proxy zazwyczaj integrują mechanizmy buforowania, aby lokalnie przechowywać często używaną zawartość internetową, zwiększając lokalną przepustowość poprzez zmniejszenie ruchu związanego z Internetem. GSD może być również w stanie świadczyć podobne usługi buforowania, mając wystarczającą pojemność pamięci i zasoby przetwarzania.

Aktywny kod używany w połączeniach HTTP – taki jak Silverlight, Java, AJAX i Flash – stanowi podstawę bogatego doświadczenia internetowego ale także zwiększa zagrożenie bezpieczeństwa ze względu na ich funkcjonalność ukierunkowaną na aplikacje. Złośliwe załączniki do wiadomości e-mail – takie jak dokumenty z osadzonym kodem – są częstymi składnikami kampanii phishingowych i spamowych. W połączeniu z zabezpieczeniami opartymi na hoście, GSD może zmniejszyć ryzyko aktywnego kodu, uniemożliwiając określonym typom kiedykolwiek dotarcie do punktu końcowego i / lub skanowanie aktywnego kodu w piaskownicy przed zezwoleniem aktywnemu kodowi na przejście przez dozwoloną ścieżkę.

Współczesny wektor ataku polega na atakowaniu powszechnie używanej witryny / usługi i wstrzyknięciu złośliwego oprogramowania. Chociaż filtr zawartości może podjąć początkową decyzję o zezwoleniu na połączenie w oparciu o konkretną nazwę witryny, może również mieć dodatkową możliwość przechwytywania i blokowania złośliwej zawartości, zanim dotrze ona do hosta. Ta funkcja umożliwia ocenę różnych typów ruchu, takich jak załączniki SMTP i pobieranie HTTP. Chociaż ten rodzaj ochrony warstwy aplikacji może radykalnie zmniejszyć przepustowość GSD, możliwe jest przekierowanie skanowania do dodatkowego modułu w GSD z dedykowaną mocą przetwarzania lub do dedykowanego sieciowego urządzenia chroniącego przed złośliwym oprogramowaniema

Przeoczonym, ale ważnym aspektem zapewniania informacji jest właściwa klasyfikacja informacji / danych na kategorie. Pozwala to organizacji określić działania mające na celu zmniejszenie ryzyka niezbędne do ochrony każdego poziomu / typu informacji. Podobnie jak w przypadku procesu klasyfikacji stosowanego przez rządy, identyfikacja wrażliwych informacji zwiększa możliwość egzekwowania nie tylko tego, kto ma dostęp do informacji, ale także gdzie i jak te informacje mogą być przekazywane. Zarządzanie prawami cyfrowymi (DRM) i zapobieganie utracie danych (DLP) to dwie technologie obecnej generacji służące do radzenia sobie z tymi specyficznymi dla informacji zagrożeniami. DRM koncentruje się na definiowaniu i egzekwowaniu danych w stanie spoczynku, zazwyczaj na poziomie repozytorium informacji. GSD mogą obejmować zabezpieczenia DLP, takie jak wymuszanie ochrony danych w ruchu, w tym odmawianie przesyłania plików w oparciu o zawartość / przeznaczenie i / lub wymaganie szyfrowania danych wrażliwych

Polityka organizacji określa oczekiwania behawioralne jej pracowników. Zasady dopuszczalnego użytkowania (lub o podobnej nazwie) zazwyczaj obejmują kwestie specyficzne dla korzystania z zasobów technologicznych; jednak sama polityka nie może zapewnić aktywnej ochrony. Filtrowanie treści (CF) wypełnia lukę między technicznym a nietechnicznym egzekwowaniem polityki. To wymuszanie zwykle koncentruje się na wewnętrznych użytkownikach próbujących uzyskać dostęp do zasobów informacyjnych poza organizacją. Dzięki filtrowaniu często używanych protokołów, takich jak HTTP i SMTP, organizacja może zminimalizować dostęp użytkowników do informacji, które nie pasują do definicji zastosowań biznesowych. Ta technologia ma kilka metod sprawdzania, klasyfikowania i filtrowania treści. Inspekcja przybiera różne formy, w tym przebywanie w linii, poza pasmem w celu monitorowania ruchu przechodzącego bez wpływu na połączenie fizyczne lub w połączeniu z przekierowaniem proxy. Klasyfikacja odbywa się za pomocą wielu metod, w tym kategorii zdefiniowanych przez producenta, czarnych list i / lub punktacji reputacji na podstawie adresu IP i / lub nazwy DNS. Pozwala to również organizacji na wybranie podzbioru zasad dostarczania i / lub selektywne opracowanie białej listy, aby zapewnić bardziej szczegółowe egzekwowanie. Funkcja filtrowania rejestruje i / lub przerywa połączenia, umożliwiając organizacji dostosowywanie swojej reakcji na wykryte naruszenia zasad, w tym przekierowanie na stronę internetową „nie do użytku biznesowego” i / lub automatyczne powiadomienia administracyjne i / lub kierownicze o powtarzających się naruszeniach.