Этот документ призван помочь сотрудникам, ответственным за архитектуру и дизайн сети организации, повысить уровень безопасности своих сетей за счет применения стратегий сегментации и сегрегации сети.
Исторически сложилось так, что сегментация и сегрегация сети реализовывались с помощью межсетевого экрана по периметру на межорганизационном шлюзе организации; или пара межсетевых экранов, окружающих демилитаризованную зону, которая обеспечивает изолированную среду между полностью доверенной и ненадежной зонами. Однако простое зонирование всей сети как «доверенной» и обработка ее как «плоской» (то есть всей сети как отдельного сегмента) создает среду, которая требует только одного вторжения в сеть, чтобы злоумышленник получил широкий доступ. Плоская сеть также позволяет злоумышленнику переключаться между хостами и службами с минимальными препятствиями и ограниченными шансами обнаружения.
Поскольку злоумышленники нацелены на внутренние сети напрямую с использованием таких методов, как целевой фишинг и социальная инженерия, наряду с растущим использованием мобильной и удаленной работы, эти общие плоские сетевые архитектуры не защищают организации от современных киберугроз. В результате для организаций важно сегментировать сети и отделять конфиденциальную информацию, хосты и службы от среды, в которой пользователи получают доступ к внешним ресурсам; в частности, Интернет, электронная почта и другие Интернет-службы.
При реализации сегментации и сегрегации сети цель состоит в том, чтобы ограничить уровень доступа к конфиденциальной информации, хостам и службам, обеспечивая при этом возможность продолжения эффективной работы организации. Чтобы меры по сегментации и сегрегации сети были эффективными, они должны быть тщательно спланированы, строго соблюдаться, тщательно контролироваться и быть не в состоянии обойти.
Внедрение сегментации и сегрегации сети может быть достигнуто с помощью ряда методов и технологий, включая:
Злоумышленник может попытаться установить соединение непосредственно со скомпрометированного хоста с более чувствительным хостом, используя имеющиеся в его распоряжении инструменты и методы. Например, если злоумышленник изначально скомпрометировал рабочую станцию, он может попытаться создать удаленное соединение с сервером, сопоставить сетевой ресурс или использовать законные инструменты сетевого администрирования, чтобы получить доступ к конфиденциальной информации или выполнить вредоносный код на этом сервере. Это особенно часто встречается, когда злоумышленник нацелен на сервер аутентификации организации. Правильно спланированная и реализованная сегментация и сегрегация сети - это ключевая мера безопасности, помогающая предотвратить такие действия.
Сегментация и сегрегация сети также могут помочь сотрудникам службы безопасности в выполнении их обязанностей. Организации, реализующие эти меры, должны учитывать возможности аудита и оповещения технологий-кандидатов, поскольку эти функции могут оказаться критически важными для выявления сетевого вторжения и обеспечения своевременного реагирования на инциденты. Зрелая сегментированная и сегрегированная среда также позволит организации лучше сфокусировать свои стратегии аудита и оповещения на приоритизированном подмножестве векторов атак, полученных с помощью утвержденных методов доступа к сети. Кроме того, он может обеспечить способ своевременной изоляции взломанных хостов или сетей после сетевого вторжения.
Важно помнить, что при реализации мер безопасности организация будет нести затраты на ресурсы, чтобы обеспечить надлежащее обслуживание дополнительных систем. Как и в случае с другими технологическими активами, этими мерами безопасности следует управлять и контролировать, при этом исправления безопасности должны применяться как можно скорее после выпуска.
Наконец, рекомендуется, чтобы все среды просмотра веб-страниц были непостоянными, строго усиленными и подвергались регулярным техническим оценкам безопасности. Таким образом, если среда просмотра веб-страниц действительно подвергается опасности с помощью вредоносного кода, заражение быстро удаляется, когда пользователь завершает сеанс просмотра веб-страниц.
Введение
Сегментация и сегрегация сети - это высокоэффективные стратегии, которые организация может реализовать для ограничения воздействия сетевого вторжения. При правильном применении эти стратегии могут значительно усложнить злоумышленнику обнаружение наиболее важной информации организации и получение доступа к ней; и повысить вероятность своевременного обнаружения действий злоумышленника.Исторически сложилось так, что сегментация и сегрегация сети реализовывались с помощью межсетевого экрана по периметру на межорганизационном шлюзе организации; или пара межсетевых экранов, окружающих демилитаризованную зону, которая обеспечивает изолированную среду между полностью доверенной и ненадежной зонами. Однако простое зонирование всей сети как «доверенной» и обработка ее как «плоской» (то есть всей сети как отдельного сегмента) создает среду, которая требует только одного вторжения в сеть, чтобы злоумышленник получил широкий доступ. Плоская сеть также позволяет злоумышленнику переключаться между хостами и службами с минимальными препятствиями и ограниченными шансами обнаружения.
Поскольку злоумышленники нацелены на внутренние сети напрямую с использованием таких методов, как целевой фишинг и социальная инженерия, наряду с растущим использованием мобильной и удаленной работы, эти общие плоские сетевые архитектуры не защищают организации от современных киберугроз. В результате для организаций важно сегментировать сети и отделять конфиденциальную информацию, хосты и службы от среды, в которой пользователи получают доступ к внешним ресурсам; в частности, Интернет, электронная почта и другие Интернет-службы.
Что такое сегментация и сегрегация сети?
Сегментация сети включает разделение сети на более мелкие сети; в то время как разделение сети включает разработку и обеспечение соблюдения набора правил для управления связью между конкретными хостами и службами.При реализации сегментации и сегрегации сети цель состоит в том, чтобы ограничить уровень доступа к конфиденциальной информации, хостам и службам, обеспечивая при этом возможность продолжения эффективной работы организации. Чтобы меры по сегментации и сегрегации сети были эффективными, они должны быть тщательно спланированы, строго соблюдаться, тщательно контролироваться и быть не в состоянии обойти.
Внедрение сегментации и сегрегации сети может быть достигнуто с помощью ряда методов и технологий, включая:
- Внедрение демилитаризованных зон и шлюзов между сетями с различными требованиями безопасности (домены безопасности) с использованием технологий на различных уровнях, таких как:
- маршрутизаторы или коммутаторы уровня 3 для разделения большой сети на отдельные более мелкие сети для ограничения потока трафика с помощью таких мер, как списки контроля доступа
- виртуализированные сетевые протоколы и протоколы маршрутизации, включая виртуальные локальные сети и виртуальную маршрутизацию и пересылку для сегментации сети
- виртуальные машины, контейнеры и виртуальные функции для изоляции действий с разным уровнем доверия или угроз (например, доступ к Интернету или электронной почте или выполнение привилегированных административных задач)
- виртуальные хосты, виртуальная коммутация, облачные услуги и управляемые группы безопасности для разделения и сегментации приложений, данных и других услуг
- программное обеспечение безопасности на основе хоста и брандмауэр для фильтрации сетевого трафика на уровне хоста
- сетевые брандмауэры и устройства безопасности между сетями для фильтрации сетевого трафика
- управление доступом к сети для управления устройствами, которые могут получить доступ к сети
- брандмауэры приложений и служб и прокси-серверы (или брокеры служб), чтобы разрешить только одобренную связь между приложениями и службами в разных сетях
- аутентификация и авторизация пользователей и служб, включая многофакторную аутентификацию и контроль доступа на основе политик для обеспечения минимальных прав
- диоды данных и устройства односторонней передачи для обеспечения направленности потоков данных между сетями
- методы фильтрации контента, включая рекурсивную декомпозицию, проверку, проверку и санитарную обработку, для всестороннего обеспечения потоков сетевого трафика и трафика приложений.
- Внедрение изоляции серверов и доменов с помощью протокола IPsec.
- Реализация сегментации и фильтрации на основе хранилища с использованием таких технологий, как шифрование дисков и томов и маскирование номеров логических единиц.
- Для чрезвычайно чувствительных сетевых подключений используйте междоменные решения или другие технологии, рекомендованные Австралийским центром кибербезопасности (ACSC).
Почему важны сегментация и сегрегация сети?
Как только злоумышленник компрометирует сеть, обычно путем компрометации хоста, находящегося под контролем законного пользователя, с помощью социальной инженерии, он попытается перемещаться по сети, чтобы найти и получить доступ к конфиденциальной информации, хостам и службам. Чтобы свести к минимуму влияние такого сетевого вторжения, противнику должно быть как можно сложнее найти и получить доступ к такой информации, незаметно перемещаться по сети и удалять информацию из сети.Злоумышленник может попытаться установить соединение непосредственно со скомпрометированного хоста с более чувствительным хостом, используя имеющиеся в его распоряжении инструменты и методы. Например, если злоумышленник изначально скомпрометировал рабочую станцию, он может попытаться создать удаленное соединение с сервером, сопоставить сетевой ресурс или использовать законные инструменты сетевого администрирования, чтобы получить доступ к конфиденциальной информации или выполнить вредоносный код на этом сервере. Это особенно часто встречается, когда злоумышленник нацелен на сервер аутентификации организации. Правильно спланированная и реализованная сегментация и сегрегация сети - это ключевая мера безопасности, помогающая предотвратить такие действия.
Сегментация и сегрегация сети также могут помочь сотрудникам службы безопасности в выполнении их обязанностей. Организации, реализующие эти меры, должны учитывать возможности аудита и оповещения технологий-кандидатов, поскольку эти функции могут оказаться критически важными для выявления сетевого вторжения и обеспечения своевременного реагирования на инциденты. Зрелая сегментированная и сегрегированная среда также позволит организации лучше сфокусировать свои стратегии аудита и оповещения на приоритизированном подмножестве векторов атак, полученных с помощью утвержденных методов доступа к сети. Кроме того, он может обеспечить способ своевременной изоляции взломанных хостов или сетей после сетевого вторжения.
Как можно реализовать сегментацию и сегрегацию сети?
Независимо от технологий, выбранных для сегментации и сегрегации сети, существует пять общих тем для реализации передового опыта:- Применяйте технологии не только на сетевом уровне. Каждый хост и сеть должны быть сегментированы и отделены, где это возможно, на самом низком уровне, которым можно практически управлять. В большинстве случаев это применяется от уровня канала данных до уровня приложений включительно; однако в особо чувствительных средах может потребоваться физическая изоляция. Меры на уровне хоста и в масштабе всей сети должны применяться во взаимодополняемости и централизованно контролироваться. Недостаточно просто реализовать брандмауэр или устройство безопасности в качестве единственной меры безопасности.
- Используйте принципы наименьших привилегий и необходимости знать. Если хосту, службе или сети не требуется связываться с другим хостом, службой или сетью, это не должно быть разрешено. Если хосту, службе или сети нужно только разговаривать с другим хостом, службой или сетью по определенному порту или протоколу и ничего больше, это должно быть ограничено этим. Внедрение этих принципов в сети дополнит минимизацию привилегий пользователей и значительно повысит общую безопасность среды.
- Разделяйте хосты и сети в зависимости от их чувствительности или важности для бизнес-операций. Это может включать использование различного оборудования или платформ в зависимости от различных классификаций безопасности, доменов безопасности или требований доступности / целостности для определенных хостов или сетей. В частности, разделите сети управления и рассмотрите возможность физической изоляции сетей внеполосного управления для уязвимых сред.
- Идентифицировать, аутентифицировать и разрешить доступ всех объектов ко всем другим объектам. Все пользователи, хосты и сервисы должны иметь доступ ко всем другим пользователям, хостам и сервисам, ограниченный только теми, которые необходимы для выполнения их назначенных обязанностей или функций. Все унаследованные или локальные службы, которые обходят или снижают надежность служб идентификации, аутентификации и авторизации, должны быть по возможности отключены, а их использование должно тщательно контролироваться.
- Реализуйте список одобренного сетевого трафика вместо списка неутвержденного сетевого трафика. Разрешать доступ только для заведомо исправного сетевого трафика (т. Е. Идентифицированного, аутентифицированного и авторизованного), а не блокировать доступ к заведомо плохому сетевому трафику (например, блокировать определенный адрес или услугу). Это не только приведет к превосходной политике безопасности, но и значительно улучшит способность организации обнаруживать и оценивать потенциальные сетевые вторжения.
- Логические ограничения доступа сетевого трафика, такие как:
- фильтрация сетевого уровня, которая ограничивает, какие хосты могут связываться с другими хостами на основе интернет-протокола и информации о маршруте
- фильтрация на основе состояния, которая ограничивает, какие хосты могут связываться с другими хостами в зависимости от их предполагаемой функции или текущего состояния работы
- фильтрация на уровне порта и / или протокола, которая ограничивает количество и тип служб, которые каждый хост может использовать для связи с другими хостами.
- Фильтрация аутентификации для ограничения доступа к хостам, службам и сетям на основе строгой аутентификации, обычно реализуемой с использованием криптографии с открытым ключом, такой как IPsec на основе сертификатов.
- Фильтрация приложений для фильтрации содержимого сообщений между хостами и сетями на уровне приложений, обычно реализуемая с помощью фильтрации электронной почты и веб-содержимого, систем предотвращения вторжений и веб-приложений или брандмауэров XML.
- Для особо уязвимых сред также может быть целесообразно реализовать физическую изоляцию между сетями. Если необходимо ограниченное взаимодействие между физически изолированными сетями, может потребоваться одно или несколько из следующего:
- индивидуальное или индивидуальное устройство безопасности
- Продукт с высоким уровнем гарантии или
- Междоменное решение.
Примеры реализации сегментации и сегрегации сети
Сегментация сети для защиты ключевых хостов
В этом сценарии организация решила сегментировать свою сеть, чтобы защитить ключевые узлы от сетевого вторжения. При этом они реализовали следующие меры безопасности:- составил перечень ключевых хостов, документирующий их чувствительность и любые необходимые коммуникации с такими хостами
- запланировал внедрение мер безопасности в график, который был достижим с выделенными ресурсами, обеспечивающими достаточное тестирование перед развертыванием
- ограниченное логическое сетевое подключение к ключевым узлам только для тех портов и протоколов, которые необходимы
- только разрешенные соединения должны устанавливаться из более доверенных в менее доверенные зоны, а не наоборот (за исключением необходимого доступа пользователя к интерфейсам приложений)
- утверждать определенное содержимое уровня приложения, чтобы только этот контент мог перемещаться между различными зонами доверия
- реализована многофакторная аутентификация в дополнение к использованию отдельного набора учетных данных для пользователей и сервисов, если их функции были более чувствительными, чем у других пользователей или сервисов, совместно использующих тот же хост или сеть
- свести к минимуму использование неявных доверительных отношений между хостами в одной и разных зонах доверия (доверительные отношения, определенные в разных зонах доверия, были реализованы таким образом, что каждая сторона доверительных отношений аутентифицировала и авторизовала другую)
- реализована фильтрация веб-сайтов, электронной почты и содержимого файлов для подключений к внешним организациям и Интернету для обнаружения и очистки потенциально вредоносного содержимого
- применена система предотвращения вторжений и антивирус на базе хоста для обнаружения и помещения в карантин идентифицированного вредоносного контента
- реализованы возможности централизованного ведения журнала, оповещения, мониторинга и аудита, за которые отвечает специальная группа по обеспечению безопасности.
Отделение приложений с высоким риском от сети
В этом сценарии организация определила, что большая часть их сети содержит конфиденциальную информацию, и сегментирование сети или разделение всей этой информации не было рентабельным. Вместо этого организация решила отделить приложения с высоким уровнем риска (например, веб-браузеры, почтовые клиенты и системы управления контентом) от остальной сети. При этом они реализовали следующие меры безопасности для соблюдения бизнес-требований при одновременном снижении риска успешного вторжения в сеть:- Пользователи, которым требуется доступ в Интернет, запустили приложение удаленного рабочего стола на своей корпоративной рабочей станции для доступа к виртуальному рабочему столу и прошли аутентификацию с помощью учетной записи, используемой только для этой цели. Этот виртуальный рабочий стол обслуживается выделенным сервером, размещенным в другом сегменте сети в другом домене аутентификации. Этот выделенный удаленный рабочий стол позволял пользователям выполнять действия с высокой степенью риска, такие как просмотр веб-страниц и чтение электронной почты, при этом ограничивая полезность одного скомпрометированного приложения для злоумышленника.
- Пользователи, которым требуется доступ к приложениям с высоким уровнем риска, запустили приложение локальной виртуализации для запуска защищенного виртуального хоста, подключенного к менее надежной удаленной среде, которая была защищена многоуровневым шлюзом безопасности, который разделял и абстрагировал все необходимые протоколы связи между приложениями с высоким уровнем риска. и корпоративная сеть организации.
Сводка примеров реализации
Ключевым выводом из обоих подходов было то, что пользователи не хранили и не обрабатывали потенциально вредоносные данные непосредственно на своих корпоративных рабочих станциях и не использовали корпоративные серверы, которые использовались для выполнения конфиденциальных и критически важных для бизнеса функций. Каждый пользователь взаимодействовал с удаленным рабочим столом или приложением, и, при необходимости, выходные данные отправлялись обратно пользователю через достаточно структурированные и ограниченные возможности, которые предотвращали выполнение или распространение вредоносного кода по корпоративной сети.Важно помнить, что при реализации мер безопасности организация будет нести затраты на ресурсы, чтобы обеспечить надлежащее обслуживание дополнительных систем. Как и в случае с другими технологическими активами, этими мерами безопасности следует управлять и контролировать, при этом исправления безопасности должны применяться как можно скорее после выпуска.
Наконец, рекомендуется, чтобы все среды просмотра веб-страниц были непостоянными, строго усиленными и подвергались регулярным техническим оценкам безопасности. Таким образом, если среда просмотра веб-страниц действительно подвергается опасности с помощью вредоносного кода, заражение быстро удаляется, когда пользователь завершает сеанс просмотра веб-страниц.
