Традиционно для сегментирования сети и разделения и изоляции доменов администраторы выделяли разным приложениям отдельные подсети и отображали их на виртуальные сети VLAN. Такой классический подход был довольно прост в реализации и облегчал определение политик для подсетей с использованием списков контроля доступа (AccessControlList, ACL) на границе уровня L3, которой обычно служили маршрутизатор первого транзитного участка или физический межсетевой экран. Но это приводило к нежелательному сопоставлению IP-подсетей и приложений. Кроме того, в результате со временем разбухали списки ACL(когда политик на базе подсетей оказывались недостаточно и, например, требовались списки ACLс указанием конкретных IP-адресов). Из-за этого, в свою очередь, затруднялась очистка списков ACLот неактуальных вхождений (более неиспользуемых приложений), что усложняло проблему управления списками ACL.

Так что, если общая концепция сегментации все еще актуальна, то требования современных приложений и информационной безопасности диктуют необходимость применения более тонких методов, способных обеспечить бОльшую безопасность, будучи при этом проще в эксплуатации.

Учитывая вышеизложенное, Ciscoразработала принцип микросегментации, цели которого в общих чертах можно определить следующим образом:

• программное определение как можно более дробных сегментов для повышения гибкости (например, для ограничения горизонтального распространения угрозы или помещения в карантин скомпрометированной оконечной точки обширной системы);
• программная автоматизация управления сегментами и политиками на всем протяжении жизненного цикла приложений (от запуска до снятия с эксплуатации);
• внедрение модели нулевого доверия (Zero-Trust) для гетерогенных задач с целью улучшения информационной безопасности и масштабирования.

Микросегментация в ориентированной на приложения инфраструктуре CiscoACI

В ориентированной на приложения инфраструктуре CiscoApplicationCentricInfrastructure (ACI) реализован весьма любопытный метод микросегментации, основанный на определении политик отделения сегментов от широковещательного домена. Здесь применяется новая концепция, учитывающая требования приложений и получившая название «группы оконечных точек» (End-PointGroup, EPG). Ее суть в том, что разработчик приложений может определять оконечные точки в группах EPGвне зависимости от их IP-адресов и тех подсетей, к которым они принадлежат. Более того, сами оконечные точки нормализуются (оконечной точкой может быть физический сервер, виртуальная машина, Linux-контейнер или даже унаследованный мейнфрейм), т.е. их конкретное внутреннее содержание скрыто от внешнего мира, что существенно упрощает управление ими и делает его более гибким.

В CiscoACIсохранилось понятие традиционного сегмента, который теперь называется мостовым доменом (BridgeDomain, BD), при этом таким доменам по-прежнему могут назначаться IP-подсети. Это дает возможность при необходимости сохранять любые действующие эксплуатационные модели, позволяя создавать домены BDс одной группой EPG, которая концептуально отображается на традиционную VLAN.

В архитектуре ACIэта модель получила свое дальнейшее развитие. Одному домену BDмогут принадлежать несколько групп EPG, которые конфигурируются программно (как и всё внутри архитектуры ACI) с помощью открытых интерфейсов прикладного программирования API, предоставляемых контроллером CiscoApplicationPolicyInfrastructureController(APIC). В двух словах, группы EPGв архитектуре ACI— это микросегменты домена BD.

Группы оконечных точек EPG как микросегменты

Связь между отдельными группами EPGразрешается только на уровне политик, которые определяются с применением контрактной модели, работающей с белыми и черными списками. Соответствующие группы EPGи контракты составляют часть сетевого профиля приложения (ApplicationNetworkProfile, ANP), который представляет собой программную структуру, определяющую требования приложения.

Группы EPG, определенные в рамках ANP, инвариантны по отношению к гипервизору и функционируют в физической и виртуальной конфигурациях. Например, в vCenterони определяются соответствующими PortGroups, в Hyper-V— это VMnetworksи т.д. В чисто аппаратных серверах (baremetalservers) EPGотображаются на физические порты, соединяющие их с фабрикой.

Микросегментация находит себе и другое применение, выходящее за рамки приведенных выше примеров. Например, устройства хранения таких вендоров, как NetAppи др., которые подключаются к фабрике как чисто аппаратные узлы, представляют собой виртуальные серверы в пределах файлера. Для таких аппаратных узлов необходимы микросегменты IP/DNSи политики взаимодействия между этими микросегментами, реализуемые в архитектуре CiscoACI.

Микросегментация на базе атрибутов

Архитектура ACI позволяет расширить концепцию микросегментации с включением интеллектуальной классификации, основанной на «атрибутах». Так, можно ассоциировать оконечные точки с микросегментами на основании административных меток, или атрибутов, которые идентифицируют эти точки безотносительно их IP-адресов. Такими атрибутами могут быть имя ВМ, имя ОС, имя хост-системы или имя домена (fullyqualifieddomainname, FQDN). В этом случае администратор сможет, например, указать, что все Linux-хосты, в имени которых содержится «prod-web-app1-», должны принадлежать тому или иному микросегменту. Такая модель хорошо работает и при необходимости динамического присвоения оконечных точек группам EPG. Другим интересным и нужным применением, кроме микросегментации задач при разработке сетевого профиля приложения, может быть помещение скомпрометированной или злонамеренной оконечной точки в карантин.

Например, представим себе, что в профиле ANPуказана необходимость перенаправлять копию трафика на систему IDS. В тот момент, когда IDSопределит, что хост скомпрометирован, можно, используя IPили атрибут ВМ, поместить оконечную точку в отдельный микросегмент, которому разрешен доступ только к системам восстановления.

Управление микросегментами в гетерогенных конфигурациях

Заказчикам, работающим только с vSphere, не имеющим чисто аппаратных приложений и не рассматривающим в перспективе применение нескольких гипервизоров, вполне будет достаточно микросегментации на базе VMwareNSX.

Тем же, кто в перспективе предполагает комплексную конфигурацию с множеством гипервизоров и единообразным применением политик в гетерогенной среде, больше подойдет инфраструктура CiscoACI. Особенно ярко CiscoACIпроявляет себя, кардинально упрощая управление, там, где микросегменты охватывают аппаратные узлы, ВМ на разных гипервизорах и Linux-контейнеры.

CiscoACIпредлагает комплексную, инвариантную к гипервизорам модель, обеспечивающую единообразное применение по всей фабрике прикладных политик для микросегментов, которые могут создаваться на базе атрибутов IP, FQDNили VM.

Итак:

• инвариантная к гипервизорам микросегментация в CiscoACIдостигается путем разрешения различным гипервизорам отображать свои микросегментные структуры на группы EPG. Тот же принцип сохраняется в отношении контейнеров и аппаратных узлов.
• После завершения классификации политики применяются единообразно к микросегементным группам EPG, независимо от исходной ВМ, типа ВМ, аппаратного узла и т.п. Политики могут оказаться неоценимым средством определения и масштабирования структур информационной безопасности.
• Для виртуальных оконечных точек в одном хосте политика может быть реализована напрямую на уровне гипервизора. Это достигается применением открытого протокола OpFlex для прямой загрузки политик в MicrosoftHyper-V, KVMс OpenvSwitchи в vSphereс ApplicationVirtualSwitch(AVS).

Доступность микросегментации в CiscoACI

• Уже поставляется:
  • микросегментация для VMwareс использованием CiscoAVS.
• Планируется на конец 2015 г.:
  • микросегментация для аппаратных узлов.
  • Микросегментация для Hyper-Vс применением MicrosoftvSwitchи расширений ACIс такими открытыми протоколами, как  OpFlex.
• Планируется на 2016 г.:
  • микросегментация KVM/Xen
  • Микросегментация контейнеров Linux

Заключение

Инфраструктура CiscoACI позволяет реализовать более совершенный комплексный метод микросегментации, инвариантный к гипервизорам и действующий как для аппаратных узлов, так и для набирающих популярность контейнеров Linux. Рекомендуем провести оценку внедрения инфраструктуры ACIдаже тем заказчикам, кто использует лишь один гипервизор, так как возможность интеграции политик для аппаратных серверов, унаследованных мэйнфреймов и физических устройств хранения существенно упрощает операции и облегчает согласованное обеспечение информационной безопасности в ЦОДах и облачных проектах.

Данная статья посвящена микросегментации, но это лишь один из множества инструментов системного администратора для обеспечения информационной безопасности. CiscoACIпредусматривает ряд комплексных функций защиты, в том числе зрелую технологию ввода сервисов (serviceinsertiontechnology) для объединения передовых систем обеспечения информационной безопасности и управления угрозами. Стратегия обеспечения информационной безопасности должна также предусматривать отражение атак на всем временном континууме – до, после и во время атаки, включая ускоренное обнаружение, отражение и анализ.