Микросегментация: повышение информационной безопасности и упрощение операций в архитектуре Cisco ACI

Блог старшего директора компании Cisco по маркетингу продуктов для ЦОД и облачных вычислений Шаши Кирана (Shashi Kiran).

Сегодня в проектах развертывания облаков и центров обработки данных (ЦОД) во главу угла ставится информационная безопасность, и развитие систем обеспечения безопасности архитектур идет в ногу с появлением в цифровом мире новых угроз. Для отражения современных изощренных атак администратору сети требуются самые разнообразные средства, одно из которых — сегментирование сети.

Традиционно для сегментирования сети и разделения и изоляции доменов администраторы выделяли разным приложениям отдельные подсети и отображали их на виртуальные сети VLAN. Такой классический подход был довольно прост в реализации и облегчал определение политик для подсетей с использованием списков контроля доступа (Access Control List, ACL) на границе уровня L3, которой обычно служили маршрутизатор первого транзитного участка или физический межсетевой экран. Но это приводило к нежелательному сопоставлению IP-подсетей и приложений. Кроме того, в результате со временем разбухали списки ACL (когда политик на базе подсетей оказывались недостаточно и, например, требовались списки ACL с указанием конкретных IP-адресов). Из-за этого, в свою очередь, затруднялась очистка списков ACL от неактуальных вхождений (более неиспользуемых приложений), что усложняло проблему управления списками ACL.

Так что, если общая концепция сегментации все еще актуальна, то требования современных приложений и информационной безопасности диктуют необходимость применения более тонких методов, способных обеспечить бОльшую безопасность, будучи при этом проще в эксплуатации.

Учитывая вышеизложенное, Cisco разработала принцип микросегментации, цели которого в общих чертах можно определить следующим образом:

• программное определение как можно более дробных сегментов для повышения гибкости (например, для ограничения горизонтального распространения угрозы или помещения в карантин скомпрометированной оконечной точки обширной системы);

• программная автоматизация управления сегментами и политиками на всем протяжении жизненного цикла приложений (от запуска до снятия с эксплуатации);

• внедрение модели нулевого доверия (Zero-Trust) для гетерогенных задач с целью улучшения информационной безопасности и масштабирования.

Микросегментация в ориентированной на приложения инфраструктуре Cisco ACI

В ориентированной на приложения инфраструктуре Cisco Application Centric Infrastructure (ACI) реализован весьма любопытный метод микросегментации, основанный на определении политик отделения сегментов от широковещательного домена. Здесь применяется новая концепция, учитывающая требования приложений и получившая название «группы оконечных точек» (End-Point Group, EPG). Ее суть в том, что разработчик приложений может определять оконечные точки в группах EPG вне зависимости от их IP-адресов и тех подсетей, к которым они принадлежат. Более того, сами оконечные точки нормализуются (оконечной точкой может быть физический сервер, виртуальная машина, Linux-контейнер или даже унаследованный мейнфрейм), т.е. их конкретное внутреннее содержание скрыто от внешнего мира, что существенно упрощает управление ими и делает его более гибким.

В Cisco ACI сохранилось понятие традиционного сегмента, который теперь называется мостовым доменом (Bridge Domain, BD), при этом таким доменам по-прежнему могут назначаться IP-подсети. Это дает возможность при необходимости сохранять любые действующие эксплуатационные модели, позволяя создавать домены BD с одной группой EPG, которая концептуально отображается на традиционную VLAN.

В архитектуре ACI эта модель получила свое дальнейшее развитие. Одному домену BD могут принадлежать несколько групп EPG, которые конфигурируются программно (как и всё внутри архитектуры ACI) с помощью открытых интерфейсов прикладного программирования API, предоставляемых контроллером Cisco Application Policy Infrastructure Controller (APIC). В двух словах, группы EPG в архитектуре ACI — это микросегменты домена BD.

Группы оконечных точек EPG как микросегменты

Связь между отдельными группами EPG разрешается только на уровне политик, которые определяются с применением контрактной модели, работающей с белыми и черными списками. Соответствующие группы EPG и контракты составляют часть сетевого профиля приложения (Application Network Profile, ANP), который представляет собой программную структуру, определяющую требования приложения.

Группы EPG, определенные в рамках ANP, инвариантны по отношению к гипервизору и функционируют в физической и виртуальной конфигурациях. Например, в vCenter они определяются соответствующими PortGroups, в Hyper-V — это VMnetworks и т.д. В чисто аппаратных серверах (bare metal servers) EPG отображаются на физические порты, соединяющие их с фабрикой.

Микросегментация находит себе и другое применение, выходящее за рамки приведенных выше примеров. Например, устройства хранения таких вендоров, как NetApp и др., которые подключаются к фабрике как чисто аппаратные узлы, представляют собой виртуальные серверы в пределах файлера. Для таких аппаратных узлов необходимы микросегменты IP/DNS и политики взаимодействия между этими микросегментами, реализуемые в архитектуре Cisco ACI.

Микросегментация на базе атрибутов

Архитектура ACI позволяет расширить концепцию микросегментации с включением интеллектуальной классификации, основанной на «атрибутах». Так, можно ассоциировать оконечные точки с микросегментами на основании административных меток, или атрибутов, которые идентифицируют эти точки безотносительно их IP-адресов. Такими атрибутами могут быть имя ВМ, имя ОС, имя хост-системы или имя домена (fully qualified domain name, FQDN). В этом случае администратор сможет, например, указать, что все Linux-хосты, в имени которых содержится «prod-web-app1-», должны принадлежать тому или иному микросегменту. Такая модель хорошо работает и при необходимости динамического присвоения оконечных точек группам EPG. Другим интересным и нужным применением, кроме микросегментации задач при разработке сетевого профиля приложения, может быть помещение скомпрометированной или злонамеренной оконечной точки в карантин.

Например, представим себе, что в профиле ANP указана необходимость перенаправлять копию трафика на систему IDS. В тот момент, когда IDS определит, что хост скомпрометирован, можно, используя IP или атрибут ВМ, поместить оконечную точку в отдельный микросегмент, которому разрешен доступ только к системам восстановления.

Управление микросегментами в гетерогенных конфигурациях

Заказчикам, работающим только с vSphere, не имеющим чисто аппаратных приложений и не рассматривающим в перспективе применение нескольких гипервизоров, вполне будет достаточно микросегментации на базе VMware NSX.

Тем же, кто в перспективе предполагает комплексную конфигурацию с множеством гипервизоров и единообразным применением политик в гетерогенной среде, больше подойдет инфраструктура Cisco ACI. Особенно ярко Cisco ACI проявляет себя, кардинально упрощая управление, там, где микросегменты охватывают аппаратные узлы, ВМ на разных гипервизорах и Linux-контейнеры.

Cisco ACI предлагает комплексную, инвариантную к гипервизорам модель, обеспечивающую единообразное применение по всей фабрике прикладных политик для микросегментов, которые могут создаваться на базе атрибутов IP, FQDN или VM.

Итак:

• инвариантная к гипервизорам микросегментация в Cisco ACI достигается путем разрешения различным гипервизорам отображать свои микросегментные структуры на группы EPG. Тот же принцип сохраняется в отношении контейнеров и аппаратных узлов.

• После завершения классификации политики применяются единообразно к микросегементным группам EPG, независимо от исходной ВМ, типа ВМ, аппаратного узла и т.п. Политики могут оказаться неоценимым средством определения и масштабирования структур информационной безопасности.

• Для виртуальных оконечных точек в одном хосте политика может быть реализована напрямую на уровне гипервизора. Это достигается применением открытого протокола OpFlex для прямой загрузки политик в Microsoft Hyper-V, KVM с Open vSwitch и в vSphere с Application Virtual Switch (AVS).

Доступность микросегментации в Cisco ACI

• Уже поставляется:

- микросегментация для VMware с использованием Cisco AVS.

• Планируется на конец 2015 г.:

- микросегментация для аппаратных узлов.

- Микросегментация для Hyper-V с применением Microsoft vSwitch и расширений ACI с такими открытыми протоколами, как OpFlex.

• Планируется на 2016 г.:

- микросегментация KVM/Xen

- Микросегментация контейнеров Linux

Заключение

Инфраструктура Cisco ACI позволяет реализовать более совершенный комплексный метод микросегментации, инвариантный к гипервизорам и действующий как для аппаратных узлов, так и для набирающих популярность контейнеров Linux. Рекомендуем провести оценку внедрения инфраструктуры ACI даже тем заказчикам, кто использует лишь один гипервизор, так как возможность интеграции политик для аппаратных серверов, унаследованных мэйнфреймов и физических устройств хранения существенно упрощает операции и облегчает согласованное обеспечение информационной безопасности в ЦОДах и облачных проектах.

Данная статья посвящена микросегментации, но это лишь один из множества инструментов системного администратора для обеспечения информационной безопасности. Cisco ACI предусматривает ряд комплексных функций защиты, в том числе зрелую технологию ввода сервисов (service insertion technology) для объединения передовых систем обеспечения информационной безопасности и управления угрозами. Стратегия обеспечения информационной безопасности должна также предусматривать отражение атак на всем временном континууме – до, после и во время атаки, включая ускоренное обнаружение, отражение и анализ.