17.08.2015 14:14
Новости.
Просмотров всего: 4710; сегодня: 1.

Микросегментация: повышение информационной безопасности и упрощение операций в архитектуре Cisco ACI

Микросегментация: повышение информационной безопасности и упрощение операций в архитектуре Cisco ACI

Блог старшего директора компании Cisco по маркетингу продуктов для ЦОД и облачных вычислений Шаши Кирана (Shashi Kiran).

Сегодня в проектах развертывания облаков и центров обработки данных (ЦОД) во главу угла ставится информационная безопасность, и развитие систем обеспечения безопасности архитектур идет в ногу с появлением в цифровом мире новых угроз. Для отражения современных изощренных атак администратору сети требуются самые разнообразные средства, одно из которых — сегментирование сети.

Традиционно для сегментирования сети и разделения и изоляции доменов администраторы выделяли разным приложениям отдельные подсети и отображали их на виртуальные сети VLAN. Такой классический подход был довольно прост в реализации и облегчал определение политик для подсетей с использованием списков контроля доступа (Access Control List, ACL) на границе уровня L3, которой обычно служили маршрутизатор первого транзитного участка или физический межсетевой экран. Но это приводило к нежелательному сопоставлению IP-подсетей и приложений. Кроме того, в результате со временем разбухали списки ACL (когда политик на базе подсетей оказывались недостаточно и, например, требовались списки ACL с указанием конкретных IP-адресов). Из-за этого, в свою очередь, затруднялась очистка списков ACL от неактуальных вхождений (более неиспользуемых приложений), что усложняло проблему управления списками ACL.

Так что, если общая концепция сегментации все еще актуальна, то требования современных приложений и информационной безопасности диктуют необходимость применения более тонких методов, способных обеспечить бОльшую безопасность, будучи при этом проще в эксплуатации.

Учитывая вышеизложенное, Cisco разработала принцип микросегментации, цели которого в общих чертах можно определить следующим образом:

• программное определение как можно более дробных сегментов для повышения гибкости (например, для ограничения горизонтального распространения угрозы или помещения в карантин скомпрометированной оконечной точки обширной системы);

• программная автоматизация управления сегментами и политиками на всем протяжении жизненного цикла приложений (от запуска до снятия с эксплуатации);

• внедрение модели нулевого доверия (Zero-Trust) для гетерогенных задач с целью улучшения информационной безопасности и масштабирования.

Микросегментация в ориентированной на приложения инфраструктуре Cisco ACI

В ориентированной на приложения инфраструктуре Cisco Application Centric Infrastructure (ACI) реализован весьма любопытный метод микросегментации, основанный на определении политик отделения сегментов от широковещательного домена. Здесь применяется новая концепция, учитывающая требования приложений и получившая название «группы оконечных точек» (End-Point Group, EPG). Ее суть в том, что разработчик приложений может определять оконечные точки в группах EPG вне зависимости от их IP-адресов и тех подсетей, к которым они принадлежат. Более того, сами оконечные точки нормализуются (оконечной точкой может быть физический сервер, виртуальная машина, Linux-контейнер или даже унаследованный мейнфрейм), т.е. их конкретное внутреннее содержание скрыто от внешнего мира, что существенно упрощает управление ими и делает его более гибким.

В Cisco ACI сохранилось понятие традиционного сегмента, который теперь называется мостовым доменом (Bridge Domain, BD), при этом таким доменам по-прежнему могут назначаться IP-подсети. Это дает возможность при необходимости сохранять любые действующие эксплуатационные модели, позволяя создавать домены BD с одной группой EPG, которая концептуально отображается на традиционную VLAN.

В архитектуре ACI эта модель получила свое дальнейшее развитие. Одному домену BD могут принадлежать несколько групп EPG, которые конфигурируются программно (как и всё внутри архитектуры ACI) с помощью открытых интерфейсов прикладного программирования API, предоставляемых контроллером Cisco Application Policy Infrastructure Controller (APIC). В двух словах, группы EPG в архитектуре ACI — это микросегменты домена BD.

Группы оконечных точек EPG как микросегменты

Связь между отдельными группами EPG разрешается только на уровне политик, которые определяются с применением контрактной модели, работающей с белыми и черными списками. Соответствующие группы EPG и контракты составляют часть сетевого профиля приложения (Application Network Profile, ANP), который представляет собой программную структуру, определяющую требования приложения.

Группы EPG, определенные в рамках ANP, инвариантны по отношению к гипервизору и функционируют в физической и виртуальной конфигурациях. Например, в vCenter они определяются соответствующими PortGroups, в Hyper-V — это VMnetworks и т.д. В чисто аппаратных серверах (bare metal servers) EPG отображаются на физические порты, соединяющие их с фабрикой.

Микросегментация находит себе и другое применение, выходящее за рамки приведенных выше примеров. Например, устройства хранения таких вендоров, как NetApp и др., которые подключаются к фабрике как чисто аппаратные узлы, представляют собой виртуальные серверы в пределах файлера. Для таких аппаратных узлов необходимы микросегменты IP/DNS и политики взаимодействия между этими микросегментами, реализуемые в архитектуре Cisco ACI.

Микросегментация на базе атрибутов

Архитектура ACI позволяет расширить концепцию микросегментации с включением интеллектуальной классификации, основанной на «атрибутах». Так, можно ассоциировать оконечные точки с микросегментами на основании административных меток, или атрибутов, которые идентифицируют эти точки безотносительно их IP-адресов. Такими атрибутами могут быть имя ВМ, имя ОС, имя хост-системы или имя домена (fully qualified domain name, FQDN). В этом случае администратор сможет, например, указать, что все Linux-хосты, в имени которых содержится «prod-web-app1-», должны принадлежать тому или иному микросегменту. Такая модель хорошо работает и при необходимости динамического присвоения оконечных точек группам EPG. Другим интересным и нужным применением, кроме микросегментации задач при разработке сетевого профиля приложения, может быть помещение скомпрометированной или злонамеренной оконечной точки в карантин.

Например, представим себе, что в профиле ANP указана необходимость перенаправлять копию трафика на систему IDS. В тот момент, когда IDS определит, что хост скомпрометирован, можно, используя IP или атрибут ВМ, поместить оконечную точку в отдельный микросегмент, которому разрешен доступ только к системам восстановления.

Управление микросегментами в гетерогенных конфигурациях

Заказчикам, работающим только с vSphere, не имеющим чисто аппаратных приложений и не рассматривающим в перспективе применение нескольких гипервизоров, вполне будет достаточно микросегментации на базе VMware NSX.

Тем же, кто в перспективе предполагает комплексную конфигурацию с множеством гипервизоров и единообразным применением политик в гетерогенной среде, больше подойдет инфраструктура Cisco ACI. Особенно ярко Cisco ACI проявляет себя, кардинально упрощая управление, там, где микросегменты охватывают аппаратные узлы, ВМ на разных гипервизорах и Linux-контейнеры.

Cisco ACI предлагает комплексную, инвариантную к гипервизорам модель, обеспечивающую единообразное применение по всей фабрике прикладных политик для микросегментов, которые могут создаваться на базе атрибутов IP, FQDN или VM.

Итак:

• инвариантная к гипервизорам микросегментация в Cisco ACI достигается путем разрешения различным гипервизорам отображать свои микросегментные структуры на группы EPG. Тот же принцип сохраняется в отношении контейнеров и аппаратных узлов.

• После завершения классификации политики применяются единообразно к микросегементным группам EPG, независимо от исходной ВМ, типа ВМ, аппаратного узла и т.п. Политики могут оказаться неоценимым средством определения и масштабирования структур информационной безопасности.

• Для виртуальных оконечных точек в одном хосте политика может быть реализована напрямую на уровне гипервизора. Это достигается применением открытого протокола OpFlex для прямой загрузки политик в Microsoft Hyper-V, KVM с Open vSwitch и в vSphere с Application Virtual Switch (AVS).

Доступность микросегментации в Cisco ACI

• Уже поставляется:

- микросегментация для VMware с использованием Cisco AVS.

• Планируется на конец 2015 г.:

- микросегментация для аппаратных узлов.

- Микросегментация для Hyper-V с применением Microsoft vSwitch и расширений ACI с такими открытыми протоколами, как OpFlex.

• Планируется на 2016 г.:

- микросегментация KVM/Xen

- Микросегментация контейнеров Linux

Заключение

Инфраструктура Cisco ACI позволяет реализовать более совершенный комплексный метод микросегментации, инвариантный к гипервизорам и действующий как для аппаратных узлов, так и для набирающих популярность контейнеров Linux. Рекомендуем провести оценку внедрения инфраструктуры ACI даже тем заказчикам, кто использует лишь один гипервизор, так как возможность интеграции политик для аппаратных серверов, унаследованных мэйнфреймов и физических устройств хранения существенно упрощает операции и облегчает согласованное обеспечение информационной безопасности в ЦОДах и облачных проектах.

Данная статья посвящена микросегментации, но это лишь один из множества инструментов системного администратора для обеспечения информационной безопасности. Cisco ACI предусматривает ряд комплексных функций защиты, в том числе зрелую технологию ввода сервисов (service insertion technology) для объединения передовых систем обеспечения информационной безопасности и управления угрозами. Стратегия обеспечения информационной безопасности должна также предусматривать отражение атак на всем временном континууме – до, после и во время атаки, включая ускоренное обнаружение, отражение и анализ.


Ньюсмейкер: Cisco — 3790 публикаций
Поделиться:

Интересно:

Как законно снизить налоговую нагрузку
28.03.2024 17:56 Консультации
Как законно снизить налоговую нагрузку
Предприниматели имеют право и законную возможность уменьшать налоги. Одна из самых очевидных мер – подбор оптимального налогового режима. Так, многим предпринимателям доступна упрощенная система налогообложения (УСН) с простой и понятной формой отчетности, ставкой до 6 или 15% в зависимости от...
О своих мечтах об отдыхе поделились российские дети
28.03.2024 12:18 Аналитика
О своих мечтах об отдыхе поделились российские дети
В преддверии II Всероссийского конкурса юного художника «Место в России, где я мечтаю побывать», который стартует 1 апреля 2024 года, эксперты Национального туроператора Алеан рассказали, куда хотели поехать дети, исходя из анализа работ прошлого года. Дети в возрасте от 6 до 15 лет поделились...
562 года назад на престол взошёл Иван III
28.03.2024 10:44 Новости
562 года назад на престол взошёл Иван III
В историю он вошел в первую очередь как собиратель русских земель и, по сути, создатель единого государства Российского, созидатель и мудрый дипломат – при Иване III не только расширяются границы, но и создается прообраз системы управления страной – пишутся единые законы, утверждается...
Ранее неизвестные петроглифы описали российские ученые
27.03.2024 18:03 Новости
Ранее неизвестные петроглифы описали российские ученые
Группа ученых из Кемеровского государственного университета во главе с доктором исторических наук Ольгой Советовой описала ранее неизвестные петроглифы, обнаруженные в ходе экспедиций последних трех лет. Среди найденных рисунков неожиданно оказалось и крайне редкое изображение парохода. Основной...
Неизвестный объект археологического наследия найден в Подмосковье
27.03.2024 17:20 Новости
Неизвестный объект археологического наследия найден в Подмосковье
В подмосковном городе Ликино-Дулево Орехово-Зуевского городского поселения археологи провели превентивное обследование территории, прилегающей к скверу Дулевского фарфорового завода. В результате был обнаружен ранее неизвестный исторический слой, который уже признан вновь выявленным объектом...