Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"

Руслан Рахметов, Security Vision

Современный киберландшафт претерпел значительные изменения за последнее время: развитие облачных инфраструктур, размытие периметра, переход на микросервисные архитектуры, а также существенно расширившаяся поверхность атаки и усложнившиеся кибернападения, которые стали чрезвычайно разрушительными, оказывают влияние на выбор релевантных мер защиты информации, включая сетевые СЗИ. В драфте публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape" («Руководство по созданию безопасного корпоративного сетевого ландшафта»), который по состоянию на сентябрь 2022 проходит процедуры публичного обсуждения и готовится к утверждению, приводится перечень основных традиционных сетевых классов решений с указанием присущих им ограничений и приводится список современных решений и подходов для обеспечения сетевой безопасности.

Итак, современная ИТ-среда состоит из подписок на множественные облачные сервисы (включая IaaS, PaaS, SaaS), корпоративных бизнес-приложений, распределенных по множеству офисов и дата-центров и размещенных на гетерогенных платформах, а также, зачастую, из IoT-устройств. Такая инфраструктура предполагает множество взаимосвязей между ИТ-системами и ресурсами, включая данные, облачные сервисы и пользователей, подключающихся удаленно. Соответственно, разнообразие площадок с данными и приложениями, разнородность сред, скорость разработки ПО вынуждает фокусировать внимание не на внутренних или внешних сетях, а на пользователях и устройствах: сегодня невозможно проверить подлинность сущности только на основании однократно предъявленного идентификатора или локации (сетевого сегмента). Следует непрерывно валидировать все запросы на доступ, не ограничиваясь только началом сетевой сессии или запуском веб-приложения, а также принимать решение на основании контекстно-ориентированного подхода.

В публикации NIST SP 800-215 дается описание функционала некоторых современных сетевых СЗИ:

1. CASB (Cloud Access Security Broker, брокер безопасности облачного доступа) реализует политики безопасности доступа к облачным данным и приложениям путем анализа мест хранения документов, контроля доступа к ним, выявления аномалий в поведении пользователей и сущностей, выявления недостатков конфигураций облачных инфраструктур. CASB-решения ставятся между пользователями облачных сервисов (cloud service customers, CSC) и провайдерами облачных сервисов (cloud service providers, CSP). Изначально CASB-решения применялись для выявления облачных ресурсов и SaaS-приложений (software-as-a-service, программное обеспечение как услуга), в том числе для решения вопроса «теневого ИТ», которое означает несанкционированное использование пользователями ИТ-решений и ПО, таких как файлообменники, системы ВКС, инструменты совместной работы, которые не прошли процедуру согласования. Затем CASB-решения эволюционировали в системы для обеспечения выполнения политик ИБ в облачных инфраструктурах, включая защиту корпоративных данных в решениях SaaS и IaaS (infrastructure-as-a-service, инфраструктура как услуга), анализ аномалий поведения и выявление вредоносных действий пользователей и сущностей, выявление облачных конфигураций, не соответствующих требованиям ИБ компании и лучшим практикам по кибербезопасности.

2. WAF (Web Application Firewall, межсетевой экран уровня приложения) позволяет предотвратить реализацию веб-атак путем мониторинга попыток эксплуатации веб-уязвимостей (таких как SQL-инъекции, XSS, внедрение команд уровня ОС и т.д.), а также путем реализации функций виртуального патчинга (блокирование попыток эксплуатации уязвимостей непропатченных веб-компонент).

3. Межсетевые экраны также не потеряли своей актуальности. Они прошли следующий примерный эволюционный путь расширения функционала:

- пакетная фильтрация и трансляция сетевых адресов (NAT-трансляция) для мониторинга и контроля сетевых пакетов, применения сетевых правил безопасности, сокрытия внутренних адресов от «внешнего мира»;

- сетевая инспекция с контролем состояния (stateful inspection), также известная как динамическая фильтрация пакетов, обеспечивает контроль состояния сетевых соединений и принимает решения на основании информации о текущем состоянии каждого сетевого соединения;

- выявление и реагирование на киберугрозы, такие как ВПО, эксплойты, некорректно сформированные пакеты, с передачей сообщений в SIEM-системы и корреляции с другими ИТ/ИБ-решениями в инфраструктуре;

- возможности по расширенному логированию и аудиту сетевых соединений, контроль разнообразных типов сетевых соединений и точек обмена трафиком, применение Open API для интеграции с другими сетевыми СЗИ;

- UTM-решения (Unified threat management, унифицированное управление киберугрозами), сочетающие несколько функций безопасности: межсетевое экранирование, IPS/IDS-функционал для предотвращения/выявления сетевых вторжений, VPN-шлюз, антивирус, контентную фильтрацию, балансировку нагрузки;

- NGFW (Next-generation firewall, межсетевые экраны нового поколения), обеспечивающие гранулированный контроль сетевой активности на уровне приложений (L7), внутреннюю сегментацию, интеграцию с «песочницами» для проверки подозрительных объектов, проверку зашифрованного трафика (т.н. SSL/TLS-инспекция), а также реализующие функции программно-определяемых сетей (SD-WAN, Software-defined wide area networks);

- возможности по сетевой фильтрации на уровне приложений, появившиеся в классе WAF-решений, позволяющих осуществлять анализ URL для выявления вредоносных ссылок и ресурсов, в том числе с помощью технологий машинного обучения, обеспечивающих возможность создавать разрешительный список сетевых сервисов, контролирующих соответствия веб-контента декларируемому протоколу, отфильтровывающих неразрешенные сетевые протоколы.

4. Более современными решениями для обеспечения сетевой безопасности можно назвать следующие типы продуктов:

- решения WAAP (Web Application and API Protection, защита веб-приложений и API), которые представляют собой расширение функционала WAF для защиты WebAPI интерфейсов и противодействия ботнетам и DDoS-атакам;

- решения SWG (Secure Web Gateway, защищенные шлюзы доступа в интернет), которые защищают корпоративных пользователей, подключающихся из разнообразных локаций, при работе с интернет от веб-угроз путем анализа HTTP/HTTPS-трафика.

В публикации NIST SP 800-215 также уделено внимание стратегии микросегментации сети для сдерживания распространения угроз по сети и снижения последствий атак. Концепция микросегментации подразумевает разделение ЛВС организации на множество небольших сетевых сегментов, обмен трафика между которыми логируется и контролируется, а сетевые правила позволяют открыть только явно разрешенные сетевые соединения, настроенные с помощью политик сетевой безопасности.

Для практической реализации микросегментации сначала потребуется:

1. Создать идентификаторы приложений: в современном мире идентификация лишь на основании связки «IP-адрес + порт» уже не может быть достаточной, поскольку подавляющее большинство современных веб-приложений работают на одном и том же порту TCP:443. Таким образом, для каждого сетевого приложения необходимо построить его уникальный отпечаток, который будет характеризовать только его.

2. Созданный идентификатор следует подписать цифровой подписью доверенного центра сертификации для того, чтобы злоумышленники не смогли несанкционированно изменить идентификатор приложения или создать собственный идентификатор вредоносного приложения.

3. Следует выявить все ресурсы, которые использует то или иное веб-приложение, включая сервисы, приложения и т.д., для учета данных взаимосвязей при профилировании поведения приложения.

4. Рекомендуется сгруппировать сходные и одинаковые по уровню доверия приложения для снижения нагрузки на аппаратные ресурсы и упрощения администрирования.

5. Затем потребуется сделать привязку созданных групп приложений к конкретным физическим или виртуальным инфраструктурным элементам, с учетом топологии сети.

При внедрении миросегментации можно руководствоваться следующими подходами:

1. Подход на основе сегментации: приложения и ресурсы со сходными требованиями по безопасности группируются в отдельные сегменты, а правила межсетевого экранирования применяются к данным сегментами. Сетевые шлюзы, установленные на границах сегментов, контролируют и логируют трафик между сегментами, выявляют и предотвращают распространение сетевых угроз.

2. Сегментация на основе виртуализации: гипервизор контролирует трафик, проходящий между виртуальными гостевыми машинами.

3. Хостовая микросегментация: на устройства устанавливается агент, который использует встроенные функции хостового межсетевого экрана для применения гранулированных сетевых политик, устанавливаемых централизованно.

4. Микросегментация на основе идентификаторов: все сетевые приложения обмениваются подписанными идентификаторами, взаимно аутентифицируют и авторизуют друг друга, а далее определяют, могут ли подключиться друг к другу при каждой установке соединения. При таком подходе нет привязки к IP-адресации или подсетям, поэтому соединения не зависят от конкретных подсетей, независимы от инфраструктуры, могут быть внедрены как политики в процессах CI/CD (непрерывная интеграция, CI / непрерывная доставка, CD) для ускорения разработки и обновления ПО, а также позволяют создать максимально точные и гранулированные политики сетевого взаимодействия.