Сетевая безопасность в мире без сетевых брандмауэров
Введение
Мне нравятся брандмауэры. В течение ряда лет я неплохо зарабатывал, специализируясь на защите границ и написании книг и статей о брандмауэре Microsoft ISA вместе с моим мужем Томом Шиндером. Том даже в большей степени, чем я, построил свою карьеру на ISA и TMG. В течение последних полутора десятилетий брандмауэры были в моде — сама основа сетевой безопасности — и количество различных доступных брандмауэров было головокружительным. Оживленные дискуссии вращались вокруг того, какой тип брандмауэра является лучшим, какой тип брандмауэра может обеспечить наибольшую безопасность, какие функции важнее, какие функции лучше всего подходят для проверки пакетов или уровня приложений и т. д. Дебаты были жаркими и тяжелыми и иногда приводили к цифровой драке.
Но времена изменились. Несмотря на то, что по-прежнему доступно множество вариантов брандмауэров, общий вопрос о том, какой брандмауэр является лучшим или более безопасным, кажется, уже не так остро стоит. Почему это? Неужели индустрия просто устала говорить о брандмауэрах? Все ли брандмауэры стали по существу одинаковыми, предоставляя по существу одни и те же услуги, так что выбор брандмауэра зависел только от того, какой поставщик вам нравился или какая была лучшая цена?
Возможно, это было связано с этими вещами, но я думаю, что это также связано с тем, что природа вычислений меняется. Когда брандмауэры были притчей во языцех, безопасность сводилась к тому, чтобы не пускать людей в вашу доверенную сеть. В то время существовало мнение, что внутренняя корпоративная сеть «безопасна», а все, что находится за пределами вашей корпоративной сети, — «небезопасно». Используя эту простую дихотомию, вы можете создать барьер или несколько барьеров, направленных на предотвращение проникновения людей в вашу сеть. Как только они прошли через эту дверь, их стали считать «хорошими парнями».
Это была рабочая идея, когда мы все каждый день ходили в свои маленькие кабинки в офисе, чтобы закончить работу на компьютере. Но того мира 1990-х больше не существует. Все больше и больше людей носят с собой свои компьютеры (будь то ноутбуки, планшеты или смартфоны). Они работают дома, в гостиничном номере, в конференц-центре, в офисе партнера или клиента. Старая модель по-прежнему обеспечивает относительную безопасность внутренней сети, но она также может помешать вашим сотрудникам выполнять свою работу (или, по крайней мере, сделать ее более сложной и трудоемкой) и снизить их эффективность, когда они находятся в дороге. И это касается не только сотрудников; есть деловые партнеры, поставщики, продавцы и множество других людей, которым нужен доступ к ресурсам вашей сети. В наши дни мы гораздо больше «делимся», в то же время у нас появляется все больше и больше угроз от хакеров, злоумышленников, авторов вирусов и вредоносных программ.
Что произошло, так это то, что в некогда непроницаемом барьере брандмауэра было открыто столько дыр, чтобы приспособить все эти варианты использования, и был разработан такой сложный набор правил брандмауэра и списков ACL, что почти нет причин даже иметь брандмауэр там больше. Пограничные брандмауэры все больше становятся похожими на маршрутизаторы, а не на брандмауэры, потому что им необходимо пропускать в корпоративную сеть все больше и больше трафика, поступающего от все более разнообразных людей и устройств, в законных целях. Теперь речь идет о смерти демилитаризованной зоны, растворении границ и возможном исчезновении брандмауэра как часового, охраняющего внутреннюю сеть. Что это оставляет нам в отношении безопасности?
Нравится нам это или нет, но мы, кажется, движемся к миру без брандмауэров. При этом нам нужно подумать о том, как обеспечить некоторый уровень сетевой безопасности для наших ценных данных. Тот факт, что «стены рушатся», не означает, что нам не нужно обеспечивать безопасность и защищать наши критически важные данные. На самом деле, это станет более важным, чем когда-либо. Это означает, что нам нужно приблизить безопасность к активам. Конечным и желаемым результатом является то, что каждый сможет более легко получить доступ к необходимой информации, если он имеет право доступа к этой информации.
Что вы можете сделать сейчас, чтобы защитить свои активы в мире без брандмауэров? В этой статье мы рассмотрим мой «краткий список» технологий и подходов, которые могут помочь вам в этом:
- Службы управления правами
- Строгая аутентификация и управление идентификацией
- Хост-брандмауэры, IDS/IPS и защита от вредоносных программ
- Сервер IPsec и изоляция домена
- SSL/TLS-шифрование
- Повышение безопасности услуг и минимизация поверхности атаки
Службы управления правами
Службы управления правами (RMS) позволяют создавать политики для управления обработкой отдельных файлов. Например, вы можете использовать RMS, чтобы контролировать, кто может просматривать файл, кто может его печатать, кто может копировать его, кто может отправлять его по электронной почте и как долго файл сохраняется (например, вы можете настроить файл на автоматическое уничтожение через пять дней). ). Прелесть служб управления правами заключается в том, что даже если кто-то сможет скомпрометировать хост-сервер, содержащий файлы, защищенные RMS, злоумышленник не сможет получить доступ к содержимому файла, поскольку злоумышленник не находится в списке авторизованных пользователей для этого. файл.
В настоящее время у Microsoft есть служба RMS, которая несколько ограничена, поскольку с помощью RMS можно защитить только определенные типы файлов, например документы Office и электронную почту Exchange. Я бы хотел, чтобы в будущем Microsoft или какой-либо другой производитель разработали более надежную систему управления правами, позволяющую применять службы управления правами ко всем файлам. Кроме того, текущий экземпляр системы Microsoft RMS оставляет за пользователем право решать, какую политику RMS применять к файлам. Это безопасность нет-нет, потому что вы не должны оставлять важные решения по безопасности конечным пользователям, если вы можете им помочь. Было бы лучше иметь систему, которая проверяет содержимое файла, а затем применяет политику RMS к файлу на основе содержимого. Конечные пользователи также могут иметь право голоса в отношении политики, но при этом также должна применяться политика, контролируемая администратором.
RMS решает множество проблем. Если вы сейчас не используете RMS, вам следует выяснить, какие варианты RMS вам доступны, и рассмотреть возможность запуска пилотного проекта RMS прямо сейчас. Однако RMS не является надежным. Хотя политики управления правами могут помешать пользователю распечатать или сделать копию документа, конечно, она не может помешать ему сфотографировать его на экране с помощью камеры мобильного телефона или, если уж на то пошло, скопировать его от руки.. Как только вы предоставляете кому-то доступ к информации, технология может лишь контролировать то, что этот человек делает с ней.
Строгая аутентификация и управление идентификацией
Имена пользователей и пароли — это «старый способ» аутентификации личности, несмотря на то, что большинство людей используют их сегодня. Но в мире без брандмауэров аутентификация и авторизация имеют еще большее значение. Нам действительно нужна уверенность в том, что человек, который проходит аутентификацию с помощью нашего сервиса, на самом деле является тем человеком, за которого мы его думаем. Имена пользователей и пароли слишком легко украсть и использовать злоумышленником повторно. Текущее решение — двухфакторная аутентификация, когда пользователь владеет некоторым аппаратным обеспечением, которое должно быть только у этого пользователя, и знает PIN-код или какую-то другую информацию, которая должна быть только у этого пользователя. Сочетание «что у меня есть и что я знаю» сегодня считается золотым стандартом безопасности аутентификации. Смарт-карты и жетоны значительно повышают безопасность. Биометрия — еще один, в некотором смысле даже лучший вариант, потому что его сложнее подделать или воспроизвести, и пользователю не нужно помнить, что нужно носить что-то с собой.
В будущем должны появиться более сложные методы, которые могут дополнить широко используемые сегодня механизмы двухфакторной аутентификации. Например, есть некоторые системы, которые дополняют метод 2FA, предлагая пользователю задачу, и (теоретически) только этот пользователь знает ответ на задачу. Конечно, чтобы такая система вызовов была эффективной, ответы на вызовы должны быть надежно защищены, поскольку передача этих контрольных вопросов злоумышленникам будет иметь катастрофические последствия. Один из вариантов — хранить ответы на контрольные вопросы на физическом устройстве, которое использует пользователь, и шифровать ответы с помощью шифрования DES256. Есть и другие методы, которые можно использовать.
В дополнение к строгой аутентификации необходимо рассмотреть управление идентификацией в целом. Вам нужно подумать о том, хотите ли вы вообще заниматься бизнесом по управлению идентификацией. Если вы используете Active Directory, вполне вероятно, что у вас есть другие системы идентификации, и у пользователей есть несколько идентификаторов для этих нескольких систем. Как вы предоставляете пользователей для каждой из этих систем? Как вы синхронизируете удостоверения ваших пользователей во всех этих системах? Как вы оцениваете уровень доверия к поставщикам удостоверений? Можно ли контролировать доступ на основе уровня доверия к конкретному поставщику удостоверений?
На эти вопросы нужно будет ответить и решить, когда вы перейдете в мир без брандмауэров. Политики аутентификации и авторизации должны быть надежными, потому что весь Интернет потенциально будет иметь сетевой доступ к узлам в вашей интрасети, содержащим вашу частную интеллектуальную собственность.
Хост-брандмауэры, IDS/IPS и защита от вредоносных программ
Тот факт, что сетевые брандмауэры, как ожидается, в будущем будут постепенно исчезать, не означает, что сама концепция брандмауэра плоха. Проблема с сетевыми брандмауэрами заключается в том, что они пытаются сделать слишком много, и, в конце концов, они не могут делать то, для чего они были созданы, потому что им приходится пропускать слишком большой трафик от слишком большого количества пользователей к слишком большому количеству ресурсов интрасети..
Но это не означает, что брандмауэр не может быть ценным, просто пришло время перенести его с границы сети на главный компьютер. Действительно, одним из самых высоких принципов сетевой безопасности является «наименьшие привилегии». Брандмауэр на основе хоста — идеальный способ обеспечить наименьшие привилегии. Брандмауэры вашего хоста настроены так, чтобы разрешать только тот трафик, который должен направляться на этот конкретный сервер. Если сервер не является файловым сервером, отключите SMB, если он вам не нужен. Если это не SMTP-сервер, заблокируйте входящий и исходящий SMTP. Все, что вы можете сделать с сетевым брандмауэром, вы можете сделать и с хорошим брандмауэром на хосте. А с помощью брандмауэра на основе хоста вы можете очень детализировать свои политики, чтобы политика точно соответствовала предполагаемой функциональности для этого сервера.
В дополнение к брандмауэру на основе хоста вы хотите иметь другие функции, доступные в сетевом брандмауэре, такие как IDS/IPS. Host IDS/IPS не редкость, но, возможно, используется не так часто, как следовало бы, из-за акцента на Network IDS. В мире без брандмауэров повышенное внимание следует уделять IDS/IPS хоста и системам динамической отчетности для любых аномалий, обнаруженных в какой-либо системе IDS/IPS хоста.
Кроме того, в каждой системе необходимо установить сложное программное обеспечение для защиты от вредоносных программ, независимо от операционной системы. Хотя многие считают Windows «легко висящим плодом» для вредоносных программ, это не означает, что в центре внимания злоумышленников находится только Windows, и вам следует ожидать увеличения числа атак на системы, отличные от Windows, в будущем.
Сочетание межсетевых экранов на хосте и политик межсетевых экранов, IDS/IPS хоста и сложного антивирусного ПО на каждом узле имеет большое значение для защиты систем в мире без межсетевых экранов.
Сервер IPsec и изоляция домена
Изоляция сервера и домена IPsec — это метод, который можно использовать для проверки подлинности компьютеров на сетевом уровне, прежде чем им будет разрешен доступ к серверу. Это чрезвычайно полезно, потому что в отличие от других методов аутентификации, которые разрешают доступ к прикладному уровню до того, как может быть выполнена аутентификация, изоляция сервера и домена IPsec позволяет вам принудительно аутентифицировать пользователя или машину на сетевом уровне, что означает, что аутентификация и авторизация происходит сбой на сетевом уровне, прикладной уровень никогда не раскрывается.
Изоляция серверов и доменов станет еще более полезной в мире IPv6, где все коммуникации потенциально могут быть двухточечными соединениями между любыми двумя подключенными устройствами (что было видением первоначальных создателей Интернета). IPsec поддерживает одноранговую аутентификацию на уровне сети, аутентификацию источника данных, целостность данных, конфиденциальность данных (шифрование) и защиту от воспроизведения. В сочетании с другими методами, описанными в этой статье, IPsec представляет собой мощную технологию, обеспечивающую высокий уровень безопасности в мире без брандмауэров.
SSL/TLS-шифрование
Не весь трафик должен быть защищен с помощью IPsec. Веб-соединения (HTTP) можно защитить с помощью шифрования SSL/TLS. Или вы можете соединить SSL/TLS с IPsec, чтобы создать еще более безопасный сценарий. Однако во многих случаях IPsec может оказаться не лучшим решением, поскольку у вас нет контроля над инфраструктурой управления идентификацией всех сторон, которым может потребоваться использовать шифрование для доступа к ресурсам в вашей сети.
Вот где SSL становится полезным. Все соединения с вашими веб-ресурсами должны требовать шифрования SSL и на самом высоком уровне, который вы можете разумно поддерживать. В идеале вы сможете использовать алгоритмы Suite B для защиты ваших соединений. Имейте в виду, что в мире без брандмауэров SSL — это шифрование и конфиденциальность данных; это не решает проблемы аутентификации и авторизации, за исключением того факта, что ваши алгоритмы аутентификации могут работать внутри безопасного туннеля SSL.
Повышение безопасности услуг и минимизация поверхности атаки
Наконец, существует проблема доступности узлов через Интернет в мире без брандмауэров. Мы защитили данные с помощью RMS, мы используем брандмауэры на хосте, IDS/IPS на хосте, может быть IPsec, может SSL и некоторые сложные антивирусные программы. Мы можем завершить круг безопасности, убедившись, что поверхность атаки на узле как можно меньше и что все службы на узле защищены, чтобы от аутентифицированных и авторизованных пользователей принимались только законные данные. Неверный ввод отклоняется, а любой ввод от неаутентифицированного или неавторизованного пользователя отклоняется.
В мире Windows это можно сделать на серверах Windows Server 2008 R2 с помощью анализатора соответствия рекомендациям и руководств по усилению безопасности. Кроме того, вы можете развернуть сервер Windows Core, что еще больше устранит потенциальную поверхность атаки. Если вы развернете серверы только с теми службами, которые вам нужны, и укрепите эти службы, вы значительно улучшите свою общую безопасность в мире без брандмауэров.
Резюме
В этой статье я рассказал о некоторых вещах, которые вы можете сделать, чтобы защитить свою среду в мире без брандмауэров. Хотя на первый взгляд может показаться, что безопасность будет кошмаром без брандмауэра, более глубокий взгляд на ситуацию показывает, что она может быть не так плоха, как вы думаете, и что, в конце концов, если вы используете методы и технологии обсуждается в этой статье, ваше общее состояние безопасности может быть лучше, чем когда вы установили брандмауэр на границе сети и назвали его «безопасным».