揭秘网络隔离和微分段
该帖子最初由Alissa Knight 在这里发布。
一种设计,实施和实施网络隔离和微分段的项目管理方法
网络分段(通常称为网络隔离)是指将网络连接到网络并在其中创建孤岛(称为VLAN(虚拟局域网))的概念,VLAN根据组织或其他组织中资产的功能来分隔网络环境中的资产。您定义的架构,用于将较低的安全级别与较高的更高限制级别分开。随着要求符合PCI标准的公司的日益普及,越来越多的组织需要设计和实现分段网络,但是不幸的是,尽管有关于该主题的大量信息,但许多公司甚至在开始之前就失败了。
这就是为什么。
一个很大的误解是,如果在不同的CIDR块/网络编号中实现不同的VLAN,就可以实现网络分段。这离事实还远。为了实现实际的分段,一个VLAN中的主机应该无法访问其他VLAN中每个资产的每个端口。在真正的网络分段中,您可以将交换机上VLAN的默认网关设置为防火墙,在防火墙中可以根据特定的端口,协议和流量方向进一步检查流量。作为替代方案,但使用VACL(VLAN访问控制列表)但可扩展性较差,但是解决方案可能很快变得难以管理,尤其是在大规模企业部署中。但是,它们非常适合具有1个或2个核心交换机的小型网络。
既然我们已经确切定义了什么是网络分段,那么让我们讨论为什么需要网络分段。
IT安全性(大约在1990年代至2000年中期)旨在保护外围环境。公平地讲,大多数网络的边缘是相当多的,并且补丁和漏洞管理实际上是不存在的。通过诸如WuFTPD或Apache之类的守护程序中的缓冲区溢出,有很多进入网络的方法(请参阅:大规模毁坏时代)。
但是情况已经改变。现在,许多网络都具有非常坚固的外部网络和“软黏糊糊”内部网络,从而使大多数对Web应用程序攻击和鱼叉式攻击的妥协降级。但是,由于我们的“早年”专注于加强网络的外围,因此对内部网络的关注很少,这使其成为任何坏家伙的虚拟游乐场(对不起,我发誓这将是我唯一的特朗普参考)可以在任何服务器上执行他们想要的操作,因为缺乏漏洞管理和扁平化网络非常普遍。
如果我们回顾过去二十年来发生的许多高级持续威胁(APT)攻击,您可以指出存在于平面网络中(根本不是双关语)的问题。例如,由外部供应商维护HVAC资产的Target折衷方案与商店网络中处理和传输持卡人数据的销售点(POS)系统位于同一网络上。
从平面网络过渡到适当分段的网络,将使您能够实施横向安全控制,以使攻击者或恶意软件深入网络的最初立足点。尽管不理想,但可能还有些服务器未针对某些漏洞进行修补。因此, 在这种情况下,网络隔离可以成为您的万 灵之宝,如果阻止了攻击者或恶意软件尝试旋转的网络无法访问那些服务器,则它们将防止这些服务器受到损害。实际上,Brier&Thorn进行了许多事件响应调查 在网络隔离而不是漏洞管理的情况下,阻止了环境中某些关键任务服务器的入侵并阻止了更大范围的网络入侵。
好的,现在我们已经讨论了它的含义,并且您现在了解了为什么需要它,让我们讨论如何实现它。
首先是第一件事。这是一个新的网络实施还是您将重组一个已经存在的扁平网络?如果要重组现有网络,请理解,网络本身的规模对项目时间线特别重要。
话虽如此,我是一个专注于项目的人,我的建议是您使用正式的项目进度表和工作分解结构(WBS)进行管理。我并不是说您需要在这里与组织中的程序管理办公室(PMO)接触。我的建议是仅使用免费增值云应用程序进行项目管理,或使用Excel模板进行项目管理,这些模板可从众多项目管理站点免费获得。由于此项目中还会有其他利益相关者,因此我建议您利用基于云的项目管理应用程序,以便该项目中涉及的组织中的每个人都可以访问其任务和项目时间表。
让我们回顾基于PMBOK(项目管理知识体系)5个阶段项目的计划。
| 步 | 描述 | 输出量 |
|---|---|---|
| 引发 | 在此阶段,您将整理一个演示文稿,向管理人员推销为什么需要进行网络重组,以及为什么使用扁平网络是不好的。 | 1. Powerpoint演示文稿和项目计划 |
| 规划 | 在获得批准以继续进行该项目之后,您将要创建一个WBS(工作分解结构),定义项目的任务,然后将其用于创建项目进度表,在其中定义日期和每个任务的时间表。 在此阶段最重要的是确定您的项目涉众。如果您在IT安全部门,则将需要严重依赖网络操作和服务器操作,因为将需要创建新的DHCP池,并且需要使用基于IP地址的新静态IP重新对服务器进行IP。您创建的网络。 由于我假设您尚未更新公司网络的网络图纸,因此这可能是一个很好的机会,可以正确地记录您的网络体系结构并创建至少一组逻辑网络图纸以及新网络段的电子表格您将在此项目中创建。 | 1,项目利益相关者矩阵 2.正在创建的新子网的电子表格 3.修订/新的网络架构图 4.受影响的企业应用程序列表 5.受迁移影响的企业应用程序所需的端口和协议的列表 |
| 执行 | 创建WBS和项目进度表并将任务分配给IT安全,网络操作和服务器操作中的任务所有者之后,现在就可以执行工作了。 重要的是,所有企业应用程序,尤其是那些进入任何新隔离的网络(例如CDE)的应用程序,都必须在实施后进行测试。很容易在应用程序可能需要的新防火墙规则中忽略端口。 | 1.任何变更控制请求/变更管理窗口 |
| 控制 | 在整个项目中,重要的是您必须设置每周一次的项目会议,以确保所有项目涉众都在他们的任务之上,并按照要求进行操作,以便密切监控进度。没有人想要范围或日期变化,因此请始终关注整个项目。 | |
| 关 | 一旦所有企业应用程序都经过测试可以正常运行并且企业中的系统可以访问,并且可以从所创建的不同网段进行访问,则关闭该项目。 |
范围内PCI网络与持卡人数据环境(CDE)
对于许多人来说,一个令人困惑的话题是范围内的PCI网络和CDE之间的区别。PCI(支付卡行业)DSS(数据安全标准)将范围内的PCI资产定义为可能影响持卡人数据环境安全性的任何事物。持卡人数据环境(CDE)是所有传输,存储或处理持卡人数据的系统。对于需要PCI合规性的公司而言,隔离CDE对于您成功通过年度QSA审核并保护您的皇冠上的珠宝至关重要。
话虽这么说,一种通用的网络体系结构是放置系统,例如处理CDE中用户和应用程序身份验证的Active Directory服务器。这使它们与其他系统(如安全控件和服务器)一起支持PCI范围内的网络,这些系统支持企业利用CDE内部系统执行任务。
Brier&Thorn在其用于PCI网络的安全体系结构中实现的通用体系结构将在以后的文章中与相关的网络图纸一起讨论。我们通常会将业务支持系统放置在PCI区域内,这些系统需要从网络外部直达CDE。
规则
尽管没有正确的方法来做到这一点,但让它成为您自己并发挥创造力。“画线画外”,并创建对您的网络和组织有意义的内容。话虽如此,在设计不同的网段时,您应该遵循一些通用准则。
1.不要将用户工作站与内部服务器分开。在用户VLAN与内部关键任务服务器位于同一网络的组织中找到组织非常普遍,这使得除端点上的主机之间的网络过滤最少,甚至没有。
2.将单独的打印机放置在自己的网络上
3.不要将VOIP电话分开放置到自己的网络中
4.仅允许应用程序需要的端口。如果您不了解它们是什么,那么这是一个与应用程序所有者更紧密合作的时机,比以往任何时候都可以更好地了解他们的应用程序和需求。与每个应用程序所有者安排会议,并记录其每个企业应用程序的端口和协议以及流量方向。
5.必须定义VACL以外的网络安全控制,以检查进入每个VLAN的可疑流量并对其采取行动。
6.不要将用户VLAN视为可信网络
7.不要考虑像从洋葱的高层到低层那样在信任层中构建网络。
下图当然是逻辑的而不是物理的。下面的四个防火墙中的每一个都可以轻松地成为所有VLAN都无法使用的单个防火墙。请不要给我发电子邮件,告诉我我提出的体系结构过于昂贵且愚蠢。我只是一直在线性思考,因此我更喜欢以线性方式画图,以更好地理解和表达我的思路(无双关语)。
摘要
在此博客中,我们讨论了网络分段的重要性,隔离了受限制的网络(例如持卡人数据环境或PCI区域),并且还讨论了如何做到这一点。我介绍了用于实施网络分段的分阶段项目管理方法,还讨论了与业务的其他功能领域(包括网络运营,应用程序所有者,服务器运营和IT安全)一起工作的重要性。由于影响和成功完成业务功能的业务领域数量众多,并且由于引入新的防火墙和更改IP地址而使应用程序崩溃的可能性很大,因此必须将业务领域带入作为该项目的利益相关者。这不能在真空中完成。
有关微细分的更多信息,请您参阅下面的参考部分,或有任何疑问请与我联系。
正如孙子曾经说过的:“孙子兵法教我们不要依靠敌人不来的可能性,而要依靠我们自己准备好接待他;不是因为他没有遭到攻击的机会,而是因为我们已经使我们的立场无懈可击。”
照片:Boomtown
6154
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
