Przygotowania do bootcampu część 4

Jednym z najbardziej kompleksowych zagadnień jest temat bezpieczeństwa w Data Center. Zabezpieczenie infrastruktury, to jedno, ale w DC są jeszcze same aplikacje oraz przetwarzane dane, w tym dane osobowe. Czy można zabezpieczyć się przed atakami w 100%?

Oczywiście nie można. Zawsze istnieje niezerowe ryzyko ataku. Chyba, że wyłączymy wszystko z prądu, pamięci rozmagnesujemy lub fizycznie zniszczymy, resztę zakopiemy. Na końcu zostanie jeszcze najsłabsze ogniwo, czyli człowiek. Możemy jedynie dążyć asymptotycznie do wyznaczone celu. Są przy tym osoby, które czują w 100% bezpieczne za kaskadowym zestawem firewalli kilku producentów. Mniemają one, że skuteczność wykrycia ataków każdego z firewalli na poziomie np. 99,6% sumuje się do 100% lub nawet do 200%. Tak nie jest, a nawet gdyby było, to i tak są zagrożenia typu “zero day”, gdzie w dniu ataku nie ma jeszcze świadomości o nowej podatności. Stąd tak istotne jest posiadanie systemów retrospektywnych, śledzących poczynania plików, badających anomalie występujące w sieci.

Na bootcampie zostaną przedstawione i przedyskutowane w różnych wariantach poziomy zabezpieczeń. Od sposobów włączenia w sieć firewalla chroniącego ruch North-South, East-West, IPS, zabezpieczeń aplikacji, skanowania antymalware, po wejście z zabezpieczeniami w warstwę wirtualizacji, gdzie do tej pory bezpieczeństwo było mocno zaniedbywane. Niedawno w tym ostatnim zakresie została opublikowana rekomendacja NIST instytucji rządowej USA zajmującej się m.in. sprawami bezpieczeństwa (Rys.1). http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-125B.pdf

nist-a

Rys.1 Rekomendacja NIST odnośnie zabezpieczeń środowisk wirtualnych.

Przykładowo NIST zaleca użycie wirtualnego firewalla do ochrony maszyn wirtualnych z uruchomionymi aplikacjami wrażliwymi na opóźnienia. Dlaczego? W przypadku wirtualnej wersji ruch może zostać obsłużony lokalnie wliczając w to dodatkowo switching i routing. Dla przepływów North-South nie ma to takiego znaczenia, gdyż i tak ruch będzie przechodził przez fizyczny firewall. Jednak dla ruchu East-West w ramach jednego lub kilku Data Center zysk może być już znaczący. Klaster firewalli Cisco ASA wprowadza opóźnienie około 300us. To dużo, czy mało? Aplikacje głosowe tego nie odczują. Może systemy bazodanowe lub niektóre systemy ERP mogłby pracować ciut wolniej. Generalnie opóźnienia wewnątrz Data Center, o ile nie mówimy o systemach giełdowych, czy HFT, nie stanowią problemu. Co innego propagacja między DC, ale to jest funkcja liniowa odległości między lokalizacjami. Jeżeli połączymy konieczność inspekcji ruchu skrośnego na firewallach fizycznych ze sporą odległością między DC, to może to być już spory problem wydajności aplikacji. Może się bowiem okazać, że inspekcji przepływów musi dokonać firewall, który znajduje się w innym Data Center.

Jakie są inne zalety, ale też i wady wirtualnych firewalli nad fizycznymi? O tym już podczas szkolenia.

Facebooktwittergoogle_plusredditpinterestlinkedinmail