Традиционно для сегментирования сети и разделения и изоляции доменов администраторы выделяли разным приложениям отдельные подсети и отображали их на виртуальные сети VLAN. Такой классический подход был довольно прост в реализации и облегчал определение политик для подсетей с использованием списков контроля доступа (AccessControlList, ACL) на границе уровня L3, которой обычно служили маршрутизатор первого транзитного участка или физический межсетевой экран. Но это приводило к нежелательному сопоставлению IP-подсетей и приложений. Кроме того, в результате со временем разбухали списки ACL(когда политик на базе подсетей оказывались недостаточно и, например, требовались списки ACLс указанием конкретных IP-адресов). Из-за этого, в свою очередь, затруднялась очистка списков ACLот неактуальных вхождений (более неиспользуемых приложений), что усложняло проблему управления списками ACL.
Так что, если общая концепция сегментации все еще актуальна, то требования современных приложений и информационной безопасности диктуют необходимость применения более тонких методов, способных обеспечить бОльшую безопасность, будучи при этом проще в эксплуатации.
Учитывая вышеизложенное, Ciscoразработала принцип микросегментации, цели которого в общих чертах можно определить следующим образом:
Микросегментация в ориентированной на приложения инфраструктуре CiscoACI
В ориентированной на приложения инфраструктуре CiscoApplicationCentricInfrastructure (ACI) реализован весьма любопытный метод микросегментации, основанный на определении политик отделения сегментов от широковещательного домена. Здесь применяется новая концепция, учитывающая требования приложений и получившая название «группы оконечных точек» (End-PointGroup, EPG). Ее суть в том, что разработчик приложений может определять оконечные точки в группах EPGвне зависимости от их IP-адресов и тех подсетей, к которым они принадлежат. Более того, сами оконечные точки нормализуются (оконечной точкой может быть физический сервер, виртуальная машина, Linux-контейнер или даже унаследованный мейнфрейм), т.е. их конкретное внутреннее содержание скрыто от внешнего мира, что существенно упрощает управление ими и делает его более гибким.
В CiscoACIсохранилось понятие традиционного сегмента, который теперь называется мостовым доменом (BridgeDomain, BD), при этом таким доменам по-прежнему могут назначаться IP-подсети. Это дает возможность при необходимости сохранять любые действующие эксплуатационные модели, позволяя создавать домены BDс одной группой EPG, которая концептуально отображается на традиционную VLAN.
В архитектуре ACIэта модель получила свое дальнейшее развитие. Одному домену BDмогут принадлежать несколько групп EPG, которые конфигурируются программно (как и всё внутри архитектуры ACI) с помощью открытых интерфейсов прикладного программирования API, предоставляемых контроллером CiscoApplicationPolicyInfrastructureController(APIC). В двух словах, группы EPGв архитектуре ACI— это микросегменты домена BD.
Группы оконечных точек EPG как микросегменты
Связь между отдельными группами EPGразрешается только на уровне политик, которые определяются с применением контрактной модели, работающей с белыми и черными списками. Соответствующие группы EPGи контракты составляют часть сетевого профиля приложения (ApplicationNetworkProfile, ANP), который представляет собой программную структуру, определяющую требования приложения.
Группы EPG, определенные в рамках ANP, инвариантны по отношению к гипервизору и функционируют в физической и виртуальной конфигурациях. Например, в vCenterони определяются соответствующими PortGroups, в Hyper-V— это VMnetworksи т.д. В чисто аппаратных серверах (baremetalservers) EPGотображаются на физические порты, соединяющие их с фабрикой.
Микросегментация находит себе и другое применение, выходящее за рамки приведенных выше примеров. Например, устройства хранения таких вендоров, как NetAppи др., которые подключаются к фабрике как чисто аппаратные узлы, представляют собой виртуальные серверы в пределах файлера. Для таких аппаратных узлов необходимы микросегменты IP/DNSи политики взаимодействия между этими микросегментами, реализуемые в архитектуре CiscoACI.
Микросегментация на базе атрибутов
Архитектура ACI позволяет расширить концепцию микросегментации с включением интеллектуальной классификации, основанной на «атрибутах». Так, можно ассоциировать оконечные точки с микросегментами на основании административных меток, или атрибутов, которые идентифицируют эти точки безотносительно их IP-адресов. Такими атрибутами могут быть имя ВМ, имя ОС, имя хост-системы или имя домена (fullyqualifieddomainname, FQDN). В этом случае администратор сможет, например, указать, что все Linux-хосты, в имени которых содержится «prod-web-app1-», должны принадлежать тому или иному микросегменту. Такая модель хорошо работает и при необходимости динамического присвоения оконечных точек группам EPG. Другим интересным и нужным применением, кроме микросегментации задач при разработке сетевого профиля приложения, может быть помещение скомпрометированной или злонамеренной оконечной точки в карантин.
Например, представим себе, что в профиле ANPуказана необходимость перенаправлять копию трафика на систему IDS. В тот момент, когда IDSопределит, что хост скомпрометирован, можно, используя IPили атрибут ВМ, поместить оконечную точку в отдельный микросегмент, которому разрешен доступ только к системам восстановления.
Управление микросегментами в гетерогенных конфигурациях
Заказчикам, работающим только с vSphere, не имеющим чисто аппаратных приложений и не рассматривающим в перспективе применение нескольких гипервизоров, вполне будет достаточно микросегментации на базе VMwareNSX.
Тем же, кто в перспективе предполагает комплексную конфигурацию с множеством гипервизоров и единообразным применением политик в гетерогенной среде, больше подойдет инфраструктура CiscoACI. Особенно ярко CiscoACIпроявляет себя, кардинально упрощая управление, там, где микросегменты охватывают аппаратные узлы, ВМ на разных гипервизорах и Linux-контейнеры.
CiscoACIпредлагает комплексную, инвариантную к гипервизорам модель, обеспечивающую единообразное применение по всей фабрике прикладных политик для микросегментов, которые могут создаваться на базе атрибутов IP, FQDNили VM.
Итак:
Доступность микросегментации в CiscoACI
Заключение
Инфраструктура CiscoACI позволяет реализовать более совершенный комплексный метод микросегментации, инвариантный к гипервизорам и действующий как для аппаратных узлов, так и для набирающих популярность контейнеров Linux. Рекомендуем провести оценку внедрения инфраструктуры ACIдаже тем заказчикам, кто использует лишь один гипервизор, так как возможность интеграции политик для аппаратных серверов, унаследованных мэйнфреймов и физических устройств хранения существенно упрощает операции и облегчает согласованное обеспечение информационной безопасности в ЦОДах и облачных проектах.
Данная статья посвящена микросегментации, но это лишь один из множества инструментов системного администратора для обеспечения информационной безопасности. CiscoACIпредусматривает ряд комплексных функций защиты, в том числе зрелую технологию ввода сервисов (serviceinsertiontechnology) для объединения передовых систем обеспечения информационной безопасности и управления угрозами. Стратегия обеспечения информационной безопасности должна также предусматривать отражение атак на всем временном континууме – до, после и во время атаки, включая ускоренное обнаружение, отражение и анализ.
© Cisco Systems, 2015
© Издание 12NEWS (ИП Маринин А.Л.), 2015