Когда один ЦОД находится в Москве, а другой — во Владивостоке, возникают специфические угрозы, характерные только для географически распределённых инфраструктур. Как и от чего защищаться, если компания работает по всей России? Эксперты Angara Security делятся опытом и дают советы.
- Введение
- Сетевая архитектура и кластеризация в геораспределённых компаниях
- Какую архитектуру выбирают в финансах, госсекторе, среднем и малом бизнесе
- Угрозы и риски для геораспределённой инфраструктуры
- Методы и средства защиты геораспределённой инфраструктуры
- Выводы
Введение
Геораспределённые компании — это организации, которые работают с территориально распределенной инфраструктурой, часто находящейся в разных часовых поясах, и имеют удаленные офисы, филиалы, используют облачные сервисы и географически разнесенные дата-центры (ЦОДы).
К особенностям эксплуатации такой инфраструктуры относят необходимость централизованного управления и мониторинга инфраструктуры, а также управления каналами связи и политиками доступов как внутри крупных площадок, так и с географически удаленными подразделениями.
В территориально распределённых компаниях применяется т. н. геокластеризация. Этот инструмент позволяет внедрять геораспределённую систему в ИТ-инфраструктуру и обеспечивать ее безопасность, масштабируемость, гибкость и простоту внедрения, администрирование и обслуживание. Обязательный критерий кластеризации — отказоустойчивость. Реже говорят о наращивании мощностей, масштабировании и увеличении производительности.
Для крупных геораспределённых компаний кластер является обязательным элементом постоянно функционирующего бизнеса.
Сетевая архитектура и кластеризация в геораспределённых компаниях
Стоит различать ИТ- и ИБ-инфраструктуры, а также бизнес-архитектуры компаний. Если рассматривать сетевую инфраструктуру, то существует много разных типовых геораспределённых архитектур, каждая из которых применяется в своей сфере. Среди самых популярных можно выделить активную или пассивную «звезду» и слоеную (или дивизионную) архитектуру. Выбор типа кластеризации зависит от задач конкретного сегмента сети, нагрузки на кластер и возможностей администрирования. Чаще всего делают упор на устойчивость сети, реже говорят про увеличение скорости обработки данных.
Например, активно-пассивная архитектура традиционно используется там, где необходимо гарантировать бесперебойную работу сервиса, быстро переключаясь на резервную систему в случае сбоя активной системы. Такая архитектура применяется в банковских системах, крупных маркетплейсах и системах здравоохранения.
Активно-активная архитектура сети — конфигурация системы, в которой несколько идентичных ресурсов (например, серверы или ЦОДы) одновременно активны и обслуживают запросы. При такой схеме построения сети необходимо говорить о проблемах отказоустойчивости и производительности, запасе мощностей на случай выхода одного элемента системы из строя. Поэтому, собирая кластер «актив — актив», проектировщик должен учитывать тот факт, что в случае выхода из строя одного из узлов второй должен суметь обработать весь поток, который будет направлен на него на пике потребления.
Таким образом, каждый из обработчиков в идеале должен быть загружен не более чем на 40%. И, говоря об экономии, необходимо рассматривать вопрос не в единицах оборудования, а в архитектуре, организации централизованного управления и правильном внедрении такой системы с учетом повышенной отказоустойчивости, чтобы максимально сократить время простоя в случае сбоев в работе или намеренно вызванной недоступности.
Не стоит забывать про централизованное управление конкретной геораспределённой площадки, на которой стоит кластер, или всей сети. Единый интерфейс позволит видеть все детекты и метрики, включая время обнаружения (Time to Detect, TTD) и время отклика (Time to Response, TTR), анализировать собранную информацию в зависимости от ролевой модели и переключаться с автоматизированного на ручное реагирование в случае необходимости.
Также применяются различные способы реплицирования и дублирования в зависимости от задач и размера организации.
Какую архитектуру выбирают в финансах, госсекторе, среднем и малом бизнесе
Если заказчик — крупная компания из финансового сектора, то для нее самый надежный вариант — построить полноценное зеркало. Это значит, что основной ЦОД полностью зеркалируется на какой-то другой географически отделенной площадке, где сервисы полностью дублируются и реплицируются, контуры защиты повторяются и администрируются зрелой командой специалистов по ИБ. Это связано с тем, что все сервисы инфраструктуры являются критически важными и в случае сбоя просто нет времени на ручное переключение, диагностику системы и устранение неполадок (troubleshooting).
Для госсектора чаще используется типовая «звезда» с размещением по разным площадкам и с распределением и сервисов, и мощностей. Редко когда используют сеть доставки контента (CDN) — обычно применяется статичная модель, в которой все жестко распределено по разным площадкам для сохранения ручного контроля.
Промышленный сектор оставим вне рамок рассмотрения, поскольку он относится к категории критической информационной инфраструктуры (КИИ), где, кроме отказоустойчивости, накладывается большое количество требований к инфраструктуре в целом. К тому же в автоматизированных системах управления производством важные данные редко распределяют между площадками или заводят в облако.
Небольшим организациям, которые не готовы уделять много времени и сил специалистов вопросам развития информационной безопасности, можно рекомендовать резервирование части критических сервисов в облаке. Такая практика встречается часто: есть основной ЦОД, контур защиты, информационная инфраструктура. Критически важные сервисы, которые должны быть доступны всем и всегда, выносятся в облако как резерв. Это позволяет добиться быстрого переключения на резервное облако при условии потери части менее важных сервисов. Такая архитектура позволяет экономить средства, ее легко администрировать, при этом безопасность сервисов также остается на высоте.
Еще одна популярная тема в бизнесе — распределенные приложения. Благодаря технологиям оркестровки, сервисы распределяются по разным площадкам инфраструктуры (включая ЦОДы). На практике такие приложения с публичным доступом стоит выносить в «демилитаризованную» зону (DMZ) или в отдельно стоящий контур с предусмотренным резервированием, что в итоге упирается в классическую архитектуру, где необходимо реализовать требования к отказоустойчивости.
Угрозы и риски для геораспределённой инфраструктуры
Помимо угроз ЧП или природных катаклизмов, которые вносят свои коррективы в модели угроз, есть и непосредственные риски в контексте информационной безопасности, управления и отказоустойчивости. В частности, можно говорить о риске потери трафика или событий во время переключений.
Если собирается георезервированный кластер или в принципе ИТ-инфраструктура разносится по разным площадкам, появляется дополнительный риск потери трафика либо событий во время переключения. При этом, при прочих равных, задержки будут кратковременными, если оборудование размещено на соседних этажах одного здания, и могут быть продолжительными, если один центр обработки данных находится в Москве, а второй, например, в восточной части страны.
В теории переключение может занимать до 30 секунд, но на практике на обновление записей в системе доменных имен (DNS), перестройку канала и виртуальной частной сети (VPN) может уходить до пяти минут. Этого времени может быть достаточно для реализации заранее подготовленной уязвимости с последующим проникновением в инфраструктуру компании, чтобы злоумышленник остался невидимым для средств мониторинга в период переключения на резервные узлы.
Эта потеря связана со временем репликации и / или восстановления баз данных на резервном узле, процесс чего значительно осложняется задержками передачи данных в момент переключения.
Методы и средства защиты геораспределённой инфраструктуры
Какие средства защиты информации или иные меры могут нивелировать угрозы для геораспределённой инфраструктуры? Прежде всего, необходимо придерживаться жесткого сегментирования и контроля межсегментных потоков трафика. Это подразумевает под собой выделение разных сегментов сети под разные задачи, чтобы доступ был гранулированным и была реализована его ролевая модель.
Рассмотрим этот вопрос подробнее.
Для ЦОДов сегменты можно грубо разделить на критические и некритические сервисы, удаленные подключения подрядчиков, каналы связи с филиалами и DMZ для, например, публикации ресурсов. Таким образом получают минимум 5 контуров:
- контур критических сервисов;
- контур некритических сервисов;
- контур филиальных подключений;
- контур удаленных подключений;
- DMZ.
На практике при проектировании крупного ЦОД выделяется минимум 25–30 сегментов для разных задач.
В совокупности с централизованным управлением, реализованным по ролевой модели, такая структура позволяет добиться видимости и четкого контроля сетевых потоков, тем самым минимизировать риски и оптимально использовать мощности вычислительного оборудования. При этом компании не потребуется вкладывать средства в одно единственное, но мощное оборудование, которое будет полностью загружено.
При детальном сегментировании и гранулированно настроенных политиках доступа в большинстве филиалов потребуются небольшие мощности для обеспечения должного уровня информационной безопасности, потому что механизмы контроля и безопасности можно будет настроить на отдельные потоки трафика по матрице взаимодействия, исключив из нагрузки все избыточные проверки.
Подход сегментирования не противоречит и идеологии сетевого доступа с «нулевым доверием» (Zero Trust Network Access, ZTNA). В первоначальном варианте идеология допускала использование личных устройств (Bring Your Own Device, BYOD), подключаемых к рабочей сети в офисе или удаленно: пользователь проходил проверку соответствия и получал доступ только к тем ресурсам, которые ему назначил администратор.
Со временем понятие стало шире. С внедрением и качественной интеграцией систем контроля сетевого доступа (NAC) с инструментами центров мониторинга ИБ (SOC) у заказчиков появляется возможность проводить комплаенс-проверки не только работающих удаленно сотрудников с личными ноутбуками, но и в целом защищаться от внутреннего нарушителя. При этом с точки зрения архитектуры сети изменения незначительны.
В большинстве случаев для контроля сегментов сети применяются традиционные подходы, включающие использование легитимных каналов передачи данных, безопасные протоколы, криптошлюзы, потоковые межсетевые экраны следующего поколения (NGFW). Однако в случае использования облачных сервисов как резерва вместе с классическими средствами защиты добавляется возможность применения средств, разработанных именно для облачных архитектур.
Для работы с распределенной сетью в большинстве случаев необходимо использовать шифрование каналов связи в соответствии с требованиями ГОСТа, системы управления событиями (SIEM) и решения классов «сетевое детектирование и реагирование» (NDR) или «анализ сетевого трафика» (NTA) для отслеживания трафика и аномалий в сети, что особенно эффективно применяется к геокластерам. Однако настройка систем класса NDR или NTA требует высокого уровня компетенций, что тянет за собой необходимость иметь штат высококвалифицированных специалистов по ИБ.
По мере накопления опыта сотрудниками и увеличения расходов на ИБ компаниям со временем рекомендуется переходить от облачных предложений по защите от отказов в обслуживании (Anti-DDoS) к локальным решениям этого класса (on-premise). Для защиты от внутренних нарушителей рекомендуется использовать NAC и внутренний NDR, установить систему борьбы с утечками (DLP), провести аудит и харденинг сети и СЗИ.
Выводы
Для территориально распределённых компаний характерны специфические угрозы и риски, обусловленные особенностями построения ИТ-инфраструктуры с учётом требований по масштабируемости, отказоустойчивости, производительности, простоты эксплуатации. Отчасти модель угроз меняется из-за геокластеризации, которая для крупных компаний вносит весомый вклад в непрерывность функционирования бизнеса.
В частности, при кластеризации с резервированием или просто при разнесении инфраструктуры по разным площадкам, которые могут находиться весьма далеко друг от друга, потенциальный злоумышленник может воспользоваться потерей трафика или событий во время переключений между узлами, чтобы проникнуть в инфраструктуру и остаться незамеченным для средств защиты и мониторинга.
Таким образом, нужны специальные подходы к защите и особые меры обеспечения безопасности геораспределённых компаний. Прежде всего, требуется сегментация с жёстким контролем трафика между сегментами. Следует добиться видимости и четкого контроля сетевых потоков, в т. ч. за счёт централизованного управления и применения ролевой модели. Нужны шифрование каналов связи, мониторинг событий, анализ трафика, контроль сетевого доступа. От внутренних нарушителей помогут системы классов DLP и NDR. Также не следует забывать о принципах «нулевого доверия».
