Řízení přistupu musí být co možná nejjednodušší

Prvním krokem při nasazování řešení pro řízení přístupu k síti (NAC) je vytvořit model segmentace sítě.

Řízení přistupu musí být co možná nejjednodušší


Během minulých měsíců jsem v této rubrice zmiňoval řízení přístupu k síti několikrát. Pokud jste ji stále sledovali, tak víte, že mám tyto funkce rád, ale jsem opatrný kvůli obtížnosti a nákladům spojeným s implementací a také kvůli lidským zdrojům potřebným k řádné správě.

Protože očekávané přínosy NAC nakonec převažují nad nevýhodami, rozhodl jsem se začít přípravné práce pro jeho nasazení. Za tímto účelem jsem pořádal týdenní setkání s týmem provozu sítě a zabezpečení, abychom vytvořili model segmentace sítě, který je zcela nezbytným předpokladem pro úspěšné nasazení NAC.

Naše firma nemá moc složitou síťovou infrastrukturu. Nevyužíváme rozhraní pro styk s veřejností, nejsme ani poskytovatel SaaS či cloudu. Nepoužíváme decentralizovaný firemní model ani se u nás nevyskytují žádné jiné rizikové situace, které by vynucovaly vytvořit složitý model segmentace sítě.

Chci udržet architekturu nekomplikovanou tak, aby sloužila jednoduchému cíli -- ochraně vybavení společnosti při poskytování transparentního přístupu příslušným entitám. Asi se divíte, proč jsem napsal „entitám“ namísto „uživatelům“. Důvodem je, že při použití NAC se nezohledňují jen lidští uživatelé, ale také servery a periferie, jako jsou tiskárny, plotry, kamery, bezpečnostní systémy s alarmem a další zařízení, která mohou chtít nějakou formou komunikovat přes Ethernet.

Za účelem jednoduchosti jsme se rozhodli definovat čtyři sektory: datové centrum, venek datového centra, nedůvěryhodné entity a speciální sítě.

Čtyři sektory

Začněme s datovým centrem. Definovali jsme v něm tři vrstvy, které by vám měly být známé: webovou, aplikační a databázovou. Myšlenkou je, že tyto prostředky rozdělíme a použijeme řízení přístupu (např. firewall) k omezení přístupu mezi těmito vrstvami.

Nejlepší postupy například předepisují, že v produkčním prostředí by webové servery nikdy neměly přímo komunikovat s databázovými servery. Také jsme definovali síť vývojářů a zajištění kvality, která je dále chráněna a oddělena od produkční sítě.

Sektor „venek datového centra“ obsahuje důvěryhodné entity, které nejsou součástí datového centra, ale mají s ním nějaký vztah: zaměstnanci, tiskárny, bezdrátové přístupové body atd. Některé z našich entit ale nesplňují kritéria, aby v tomto sektoru zůstaly, tudíž nejsou důvěryhodné.

Nedůvěryhodné entity tvoří třetí sektor a jsou považovány za zdroj hrozeb pro firmu, obsahují nezáplatované zdroje a patří mezi ně například zástupci dodavatelů, kteří k nám do firmy přicházejí předvádět své produkty.

Máme také spousty otravných inženýrských serverů, které byly z hlediska oprav a antivirového softwaru přidány na seznam výjimek. Je dobrý důvod jim nedůvěřovat, protože mají na svědomí až 80 procent našich bezpečnostních incidentů. Vytváříme pro ně přísná pravidla přístupu, která budou navržena k tomu, aby infikované prostředky neměly na produkční prostředí vliv.

Sektor speciálních sítí zahrnuje monitorovací a bezpečnostní sítě, které potřebují velmi rozsáhlý a neomezený přístup ke všem ostatním sektorům. Do tohoto sektoru také můžeme zahrnout periferie jako kamery a systémy alarmů, které potřebují přístup, ale nedokážou se inteligentním způsobem identifikovat.

Naše cvičné definování sektorů je jen začátek a bude nutné další vylepšování. Jakmile to bude hotovo, začneme vyhodnocovat technologie z hlediska jejich kompatibility s naším modelem segmentace a budeme u toho zohledňovat korporátní infrastrukturu, rozpočet a příslušné lidské zdroje.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

 

Tento příspěvek vyšel v Computerworldu 14/2011.

Úvodní foto: Designer_Andrea - Fotolia.com










Komentáře