[Информационная безопасность, Облачные сервисы] Если не хватает NSX Edge: как клиенты нашего облака переезжают в сервис NGFW
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Когда клиент размещает свой сайт, почту или другой сервис в нашем облаке на базе VMware, то в 90% случаев в качестве граничного устройства используется виртуальный маршрутизатор NSX Edge. Это решение выполняет для виртуального дата-центра функции межсетевого экрана, NAT, DHCP, VPN и так далее. Но если, например, клиент привык получать на межсетевом экране расширенную аналитику по трафику и более детальный мониторинг, то в облаке ему может понадобиться межсетевой экран нового поколения (Next Generation Firewall, NGFW). К тому же, такие решения предоставляют модули IPS и IDS, антивирус и другие фишки. Для клиентов c такими запросами в качестве одного из решений мы предлагаем NGFW как сервис на базе FortiGate. В статье покажу, как и для чего мы организуем переезд в этот сервис. 
Когда стоит рассмотреть NGFW как сервисЧаще всего наши клиенты рассматривают альтернативы NSX Edge, если на уровне межсетевого экрана нужно решать дополнительные задачи:
- обнаруживать и предотвращать вторжения ― с помощью модулей IPS и IDS;
- обеспечивать дополнительную антивирусную защиту;
- контролировать приложения, которые используют сотрудники на рабочих местах в облаке;
- интегрировать политики безопасности с каталогами AD и IDM;
- отслеживать и расследовать сложные атаки и инциденты с помощью продвинутой аналитики.
Вместо сервиса можно выбрать и приватное решение ― закупить виртуальные или физические ресурсы в частное облако под нужды заказчика. К примеру, частное решение разворачивается, если нужен межсетевой экран, сертифицированный по требованиям ФСТЭК. Но у частного варианта есть минус: если проект живет в приватном облаке долго, рано или поздно может возникнуть проблема сайзинга. Например, мы закупили для проекта заказчика межсетевые экраны с небольшим запасом, под этот объем закупили лицензии. Через несколько лет трафик вырос сильнее ожидаемого. Заказчик захотел расширить пропускную способность и уперся в пакетную политику лицензирования вендора: докупить ровно необходимое количество лицензий было нельзя. NGFW как сервис позволяет избежать проблем с сайзингом, если предсказать рост пропускной способности нельзя. В этом случае заказчику на одном из межсетевых экранов предоставляются выделенные сетевые сегменты ― виртуальные домены (VDOM’ы). Трафик предоставляется по принципу Pay-as-you-go: заказчик платит только за ту пропускную способность, которую потребил на виртуальном домене. Количество VDOM’ов можно увеличивать: в сервисе за это отвечает сервис-провайдер, заказчику достаточно сформулировать запрос. Вот как упрощенно выглядит сегментация:
Это же решение используется и в составе сервиса виртуальных рабочих столов.Еще одна причина для перехода на NGFW как сервис ― желание заказчика отдать администрирование на сторону. Настройка таких межсетевых экранов требует знания нюансов конкретного вендора, и не у каждого заказчика есть специалисты нужного профиля. В сервисе с администрированием заказчику не нужно самому настраивать правила и анализировать трафик и срабатывания: этим занимается сервис-провайдер. При необходимости заказчик может поправить свою политику доступа или создать NAT ― преобразование сетевых адресов. Как происходит переездПри переезде из NSX Edge есть один нюанс: у клиента поменяется внешняя адресация. Мы заранее предупреждаем об этом клиента и затем идем пошагово по нашему плану. Перенос "как есть". На первом этапе вся защита переносится в том виде, в котором ее настроил заказчик.
- Общаемся с клиентом, выясняем его задачи и уточняем, какие модули NGFW нужны.
- Запрашиваем у клиента необходимую информацию:
- как сегментирована сеть,
- какие VLAN’ы используются,
- какие типы сетей: routed, isolated,
- как клиент выходит в интернет,
- какая полоса пропускания,
- как все мониторится,
- какие NAT-трансляции используются.
Так мы выстраиваем архитектуру будущего решения.
- Запрашиваем конфигурацию с оборудования заказчика либо просим доступ к Edge, чтобы выгрузить конфигурацию самим.
- Анализируем конфигурацию и заводим сети клиентов: создаем отдельный VDOM на FortiGate и подаем туда VLAN’ы.
- Переносим все правила доступа со старого оборудования.
- Создаем NAT-трансляции с новыми адресами, составляем IP-план и отправляем его клиенту.
- Преднастраиваем VPN-туннели.
- Согласовываем время даунтайма во время миграции. Общее время зависит от количества VLAN’ов.
- Переводим трафик с минимальным простоем. Чаще всего делаем это ночью, чтобы влияние переезда было минимальным. Тушим интерфейс на Edge и поднимаем интерфейс с таким же адресом на FortiGate. Параллельно с этим клиент меняет DNS. На каждый VLAN достаточно несколько минут.
Если в этом процессе возникнет какая-то проблема, мы сможем откатиться назад за пару минут. Оптимизация. После переноса мы мониторим активность, наблюдаем за трафиком и собираем аналитику. Через неделю анализируем работу правил и проверяем их корректность. Какие-то могут оказаться слишком широкими или слишком узкими, они могут затенять друг друга. Если видим какие-то неработающие правила, обсуждаем с клиентом и при необходимости выключаем или корректируем их.
Тут видим, что для выбранного правила трафика вообще нет.Включение модулей безопасности. Здесь мы настраиваем модули NGFW: IPS, контроль приложений, антивирус, ― всю работу делаем в тесной связке с клиентом. Сначала мы создаем профили безопасности в режиме мониторинга и только наблюдаем за срабатываниями, но не блокируем их. Например, у нас начал срабатывать модуль IPS. Сначала мы смотрим, что это за трафик, и сообщаем клиенту. Решение принимаем совместно: блокировать такие срабатывания, или это легитимный трафик и срабатывание оказалось ложным. Только после совместного обсуждения включаем правила в режиме блокировки. 
Так выглядит топ критичных угроз за семь дней в модуле IPS.Как решаются особые кейсы NGFW+Иногда NGFW как сервис становится частью комплексного решения, к которому мы подключаем другие модули:
- система управления журналами безопасности,
- VPN-клиенты,
- сервис защиты веб-приложений (WAF),
- другие.
Кратко расскажу, как эти решения работают совместно.Журналы событий FortiAnalyzer вместе с NGFW помогают видеть более детальную картину трафика. Например, есть модуль индикаторов компрометации: мы видим, что какие-то хосты ломятся на скомпрометированные IP-адреса. Этот трафик блокируется, а хосты мы проверяем антивирусом.
Отдельной политикой на NGFW можно настроить передачу трафика по syslog’у в клиентскую SIEM-систему. Или можем просто передавать журналы в клиентский лог-коллектор через IPsec.FortiAnalyzer также помогает организовать долговременное хранение журналов.Дополнительный VPN-шлюз для доступа к внутренней инфраструктуре можно настроить с помощью FortiClient VPN. Это средство для защиты конечных точек (endpoint-защиты). С его помощью доступ на удаленный сервер настраивается определенным группам пользователей. WAF совместно с NGFW позволяет вести на межсетевой экран уже очищенный трафик. Мы уже рассказывали, как устроен наш комплексный WAF как сервис и как мы предусмотрели в нем дополнительную защиту от DDoS и сканирование. С подключением NGFW его схема будет выглядеть так:
Клиентам с WAF мы рекомендуем ограничивать на межсетевом экране доступ к сайтам только с адресов WAF. NGFW в этой связке работает в режиме explicit proxy: запрещено все, что не разрешено.
Разрешен только трафик с WAF.WAF в такой схеме отбивает все, что связано с вебом. NGFW работает и на вход, и на выход: он также контролирует выход базы данных и веб-серверов за обновлениями. Также NGFW следит за взаимодействием внутренних серверов между собой: как один сегмент сети общается с другим. Даже если какой-то внутренний сервер заразится, то сегментация сети на NGFW не позволит заразе распространиться дальше. Такие комплексные решения помогают нам в крупных и сложных проектах. Для заказчика они более выгодны и позволяют снять нагрузку с сотрудников. Единственный случай, когда лучше выбрать комплексный сервис в виде частного решения, — необходимость сертификации NGFW или WAF по требованиям ФСТЭК. Администрировать такое решение тоже может сервис-провайдер, но это будет межсетевой экран или WAF под конкретного заказчика.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Браузеры, Софт, IT-компании] Firefox представил новую архитектуру безопасности браузера с изоляцией сайтов
- [Анализ и проектирование систем, Облачные вычисления, API, Облачные сервисы, Serverless] Облачные Gateway API: зачем нужны подобные сервисы и чем они отличаются у разных платформ
- [Облачные сервисы] Google объединила Документы с другими офисными продуктами
- [Разработка игр, DevOps, Облачные сервисы, Интервью] Когда без выделенного DevOps — уже никуда. Кейс компании Geecko
- [Информационная безопасность, Законодательство в IT, Карьера в IT-индустрии, IT-компании] Не человек для работы, а работа для человека: мои ошибки при организации стажировок для студентов
- [Информационная безопасность] Вслед за Colonial Pipeline криптовымогателям DarkSide заплатила многомиллионный выкуп Brenntag
- [Информационная безопасность, Социальные сети и сообщества, IT-компании] А. В. Щипков: Суверенизация Рунета принесёт пользу стране и Церкви
- [Информационная безопасность, IT-инфраструктура, Облачные сервисы] Как защитить меняющуюся среду приложений на разных платформах (перевод)
- [Хостинг, Информационная безопасность, Законодательство в IT] Крупнейший в Беларуси сайт Tut.by отключён силовиками, на руководителей заведено уголовное дело
- [Информационная безопасность, Криптография, Софт, Криптовалюты] Практическое руководство по анонимности в онлайне
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_oblachnye_servisy (Облачные сервисы), #_fortinet, #_fortigate, #_ngfw, #_mezhsetevye_ekrany (межсетевые экраны), #_mezhsetevoj_ekran_novogo_pokolenija (межсетевой экран нового поколения), #_ngfwaas, #_blog_kompanii_dataline (
Блог компании DataLine
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_oblachnye_servisy (
Облачные сервисы
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 01-Май 14:36
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Когда клиент размещает свой сайт, почту или другой сервис в нашем облаке на базе VMware, то в 90% случаев в качестве граничного устройства используется виртуальный маршрутизатор NSX Edge. Это решение выполняет для виртуального дата-центра функции межсетевого экрана, NAT, DHCP, VPN и так далее. Но если, например, клиент привык получать на межсетевом экране расширенную аналитику по трафику и более детальный мониторинг, то в облаке ему может понадобиться межсетевой экран нового поколения (Next Generation Firewall, NGFW). К тому же, такие решения предоставляют модули IPS и IDS, антивирус и другие фишки. Для клиентов c такими запросами в качестве одного из решений мы предлагаем NGFW как сервис на базе FortiGate. В статье покажу, как и для чего мы организуем переезд в этот сервис.  Когда стоит рассмотреть NGFW как сервисЧаще всего наши клиенты рассматривают альтернативы NSX Edge, если на уровне межсетевого экрана нужно решать дополнительные задачи:
 Это же решение используется и в составе сервиса виртуальных рабочих столов.Еще одна причина для перехода на NGFW как сервис ― желание заказчика отдать администрирование на сторону. Настройка таких межсетевых экранов требует знания нюансов конкретного вендора, и не у каждого заказчика есть специалисты нужного профиля. В сервисе с администрированием заказчику не нужно самому настраивать правила и анализировать трафик и срабатывания: этим занимается сервис-провайдер. При необходимости заказчик может поправить свою политику доступа или создать NAT ― преобразование сетевых адресов. Как происходит переездПри переезде из NSX Edge есть один нюанс: у клиента поменяется внешняя адресация. Мы заранее предупреждаем об этом клиента и затем идем пошагово по нашему плану. Перенос "как есть". На первом этапе вся защита переносится в том виде, в котором ее настроил заказчик.
 Тут видим, что для выбранного правила трафика вообще нет.Включение модулей безопасности. Здесь мы настраиваем модули NGFW: IPS, контроль приложений, антивирус, ― всю работу делаем в тесной связке с клиентом. Сначала мы создаем профили безопасности в режиме мониторинга и только наблюдаем за срабатываниями, но не блокируем их. Например, у нас начал срабатывать модуль IPS. Сначала мы смотрим, что это за трафик, и сообщаем клиенту. Решение принимаем совместно: блокировать такие срабатывания, или это легитимный трафик и срабатывание оказалось ложным. Только после совместного обсуждения включаем правила в режиме блокировки.  Так выглядит топ критичных угроз за семь дней в модуле IPS.Как решаются особые кейсы NGFW+Иногда NGFW как сервис становится частью комплексного решения, к которому мы подключаем другие модули:
 Отдельной политикой на NGFW можно настроить передачу трафика по syslog’у в клиентскую SIEM-систему. Или можем просто передавать журналы в клиентский лог-коллектор через IPsec.FortiAnalyzer также помогает организовать долговременное хранение журналов.Дополнительный VPN-шлюз для доступа к внутренней инфраструктуре можно настроить с помощью FortiClient VPN. Это средство для защиты конечных точек (endpoint-защиты). С его помощью доступ на удаленный сервер настраивается определенным группам пользователей. WAF совместно с NGFW позволяет вести на межсетевой экран уже очищенный трафик. Мы уже рассказывали, как устроен наш комплексный WAF как сервис и как мы предусмотрели в нем дополнительную защиту от DDoS и сканирование. С подключением NGFW его схема будет выглядеть так:  Клиентам с WAF мы рекомендуем ограничивать на межсетевом экране доступ к сайтам только с адресов WAF. NGFW в этой связке работает в режиме explicit proxy: запрещено все, что не разрешено.  Разрешен только трафик с WAF.WAF в такой схеме отбивает все, что связано с вебом. NGFW работает и на вход, и на выход: он также контролирует выход базы данных и веб-серверов за обновлениями. Также NGFW следит за взаимодействием внутренних серверов между собой: как один сегмент сети общается с другим. Даже если какой-то внутренний сервер заразится, то сегментация сети на NGFW не позволит заразе распространиться дальше. Такие комплексные решения помогают нам в крупных и сложных проектах. Для заказчика они более выгодны и позволяют снять нагрузку с сотрудников. Единственный случай, когда лучше выбрать комплексный сервис в виде частного решения, — необходимость сертификации NGFW или WAF по требованиям ФСТЭК. Администрировать такое решение тоже может сервис-провайдер, но это будет межсетевой экран или WAF под конкретного заказчика. =========== Источник: habr.com =========== Похожие новости:
Блог компании DataLine ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_oblachnye_servisy ( Облачные сервисы ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 01-Май 14:36
Часовой пояс: UTC + 5