Security

Безопасность систем исследовательских лабораторий

Быть ответственным за безопасность на университетском факультете информатики совсем не весело. И я объясняю: часто бывает так, что я получаю запрос на установку новых систем hw или программных систем, которые действительно настолько экспериментальны, что я не осмелился бы поместить их даже в DMZ. Если я могу избежать этого и принудительно установить их в ограниченную внутреннюю VLAN, то это прекрасно, но иногда я получаю запросы, требующие доступа к внешнему миру. И на самом деле, имеет смысл предоставить таким системам доступ к внешнему миру в целях тестирования.

Недавно разработанная система, использующая SIP, находится на завершающей стадии разработки. Эта система позволит общаться с внешними пользователями (такова ее цель и исследовательское предложение), не очень хорошо разбирающимися в технологиях. Поэтому имеет смысл открыть ее для остального мира. Я ищу тех, кто имеет опыт работы с такими экспериментальными системами, которым необходим широкий доступ к внешней сети. Как защитить остальную сеть и системы от этого кошмара безопасности, не препятствуя исследованиям? Достаточно ли размещения в DMZ? Какие-то дополнительные меры предосторожности?

Ответ 1

Это полностью зависит от «экспериментальной системы», о которой идет речь. Безопасность это не что-то, что поставляется в коробке: она должна быть индивидуальной для каждого конкретного сайта, сценария и приложения. Если вы говорите о материалах, написанных студентами (которые, как известно, имеют нулевое практическое представление об ИТ-безопасности), я бы сказал, что каждый проект должен быть выделен в отдельную категорию. Это означает:

  1. Размещен в собственной (соответствующего размера) подсети, с собственным маршрутизатором. (Само собой разумеется, что он также должен находиться в собственной виртуальной локальной сети.)

  2. Размещается за собственным брандмауэром, который должен:

  • Ограничить входящий доступ настолько, насколько это возможно (т. е. только те порты, на которых приложение должно принимать соединения).

  • Ограничить исходящие соединения, где это целесообразно.

  • Быть полностью отделенным от остальной инфраструктуры университета и факультета, (ваши приложения, открытые для внешнего доступа, не должны, например, иметь возможность найти путь через вашу защиту к серверам AD кампуса).

  1. Внутренняя топология должна соответствовать лучшим практикам по локализации уязвимостей.

  2. Это непросто, поскольку требует хорошего дизайна программного обеспечения, но по возможности вы можете настроить все так, чтобы в случае взлома внешней системы (например, веб-сервера) ваши внутренние системы (например, базы данных) оставались в безопасности.

Если программное обеспечение разработано для сегментации, например, есть уровень APP, уровень DBI и уровень DB, то теоретически вы можете разделить их на три внутренние сети. APP может взаимодействовать с DBI, DBI или с DB, но APP не может коннектиться с DB, пока DBI не обработает запрос.

Если вы используете хорошее оборудование Cisco, это несложно сделать (FWSM «PIX Blades» для независимых брандмауэров, несколько базовых виртуальных локальных сетей и пробрасывание маршрутизатора в каждую подсеть).

Общие лучшие практики также применимы у вас должно быть все задокументировано (что должно быть открыто и почему? какая специальная сетевая конфигурация (если таковая имеется) применяется? и т. д.) и, если у вас есть IDS/IPS, вы должны искать способы убедиться, что эти изолированные среды защищены.

Ответ 2

Не зная вашей политики или нормативных требований, мы не можем сказать вам, чего «достаточно». Обычно достаточно правильно установленного брандмауэра и контролируемой подсети, при условии, что вы:

  1. Знаете, что вы разрешаете.

  2. Документируете это.

  3. Убеждены, что это соответствует всем имеющимся у вас политикам безопасности.

  4. И можете обосновать это перед своим начальником, его начальником, правительством, PCI-аудитором или кем-либо еще, применимым к вашей организации.

Ответ 3

Компартментализация по всей длине. Создайте для него новую DMZ, которая будет рассматриваться как внешняя сеть всеми другими сетями, DMZ и т. д.

В университетской среде есть много областей, где исследования и тестирование могут оказаться более приоритетными, чем полная безопасность. Рассматривать эти обстоятельства как случайные хосты Интернета это, вероятно, лучшее, что вы можете сделать для изоляции. Также было бы разумно установить IDS на любой из этих изолированных сегментов сети, которые вы создаете.

Ответ 4

Я бы, конечно, подумал о том, чтобы вложить деньги в какую-нибудь систему обнаружения вторжений. Единственная проблема здесь заключается в том, что это немного опасно, поскольку множество компаний продвигают свои продукты. Поговорите с авторитетной компанией по безопасности, не зависящей от производителя. У меня были очень положительные отношения с NGS Secure (входит в группу NCC). Я бы также рассмотрел возможность виртуализации ваших тестовых лабораторий, что даст вам возможность создать несколько виртуальных сетей, каждая из которых привязана к определенной виртуальной локальной сети. Большим преимуществом здесь является восстановление после любой потенциальной атаки (регулярные снимки виртуальных машин, дающие несколько точек восстановления). 

Схожие статьи

Security

Как предотвратить атаки «нулевого дня»

Security

Какие риски безопасности существуют у сотрудников, использующих Dropbox?

Security

Рекомендуется ли иметь отдельный вход в домен для администраторов домена?

Security

Опасно ли иметь сервер базы данных и веб-сервер на одном компьютере?