Bezpieczeństwo wbudowane w samą sieć.
Aby poprawić swój poziom zabezpieczeń, wiele firm i organizacji wdraża szereg różnych rozwiązań i działań, w tym m.in. segmentację sieci poprzez podział na sieci logiczne/wirtualne (VLAN) z listami kontroli dostępu oraz rozproszonymi, fizycznymi bądź wirtualnymi firewallami. Niestety dla działów IT i zasobów, którymi one dysponują, takie rozwiązanie jest dość kosztowne i skomplikowane w planowaniu, uruchamianiu i utrzymaniu.
A gdyby tak większe bezpieczeństwo sieci wynikało wprost z samego sposobu, w jaki jest ona zaprojektowana i zbudowana? Dzięki Extreme Fabric, rozwiązaniu bazującym na technologii Shortest Path Bridging (standard IEEE 802.1aq), firmy i instytucje mogą podłączać do sieci dowolne urządzenie, aplikację czy użytkownika – łatwo, sprawnie, a co najważniejsze, bezpiecznie. Wiodące na rynku funkcjonalności, takie jak hipersegmentacja czy topologia „stealth” znacząco ułatwiają zespołom IT obronę przed cyberzagrożeniami, ochronę wrażliwych danych klientów oraz dopasowanie do wymagań prawnych, takich jak RODO czy wchodząca w życie dyrektywa NIS2.
Hipersegmentacja
Wiele organizacji podchodzi do segmentacji na zasadzie tworzenia licznych sieci logicznych/wirtualnych (VLAN) z listami kontroli dostępu oraz rozproszonymi, fizycznymi bądź wirtualnymi zaporami ogniowymi. Firewalle tworzą silną ochronę w oparciu o ustalone zasady i polityki, jednak nie robią one wszystkiego aby ochronić nasze cyfrowe zasoby, potrafią też się stosunkowo szybko zdezaktualizować. Takie rozwiązanie jest też dość kosztowne i skomplikowane w planowaniu, uruchamianiu i utrzymaniu – szczególnie, jeśli mamy do czynienia z mocno złożonym środowiskiem IT.
Jeśli chodzi o izolację ruchu w sieci, Extreme Fabric pozwala na segmentację krytycznych aplikacji, danych czy użytkowników w sposób łatwy i skalowalny. W tym celu rozwiązanie umożliwia tworzenie tzw. Virtual Service Networks (lub w skrócie VSNów), które są odpowiednikiem sieci VLAN.
Charakterystyczną cechą VSNów jest fakt, że są one całkowicie odizolowane od siebie, bez jakiegokolwiek dostępu z poziomu IP – ani w jedną, ani w drugą stronę. Co więcej, usługi (np. VLANy) istnieją tylko w tym czasie, gdy są wykorzystywane. Powoływanie i usuwanie usług odbywa się dynamicznie, gdy dołączane są i odłączane zasoby firmowe, urządzenia i autoryzowani użytkownicy.
Użytkownicy i urządzenia znajdujący się w jednym segmencie nie mogą komunikować się z użytkownikami i urządzeniami z innego segmentu, chyba że skonfigurujemy to inaczej. Ponadto, Extreme Fabric umożliwia powoływanie tysięcy takich bezpiecznych segmentów w bardzo prosty sposób. W przypadku tradycyjnych sieci, segmentacja wymaga konfiguracji każdego przełącznika z osobna, do tego możliwa jest jedynie w pewnych obszarach sieci. Z Extreme Fabric, bezpieczne segmenty mogą być rozciągane w obrębie całej infrastruktury sieciowej. Na funkcję tę mówimy „Hipersegmentacja”.
Topologia “stealth”, czyli niewidoczna sieć
Klienci często podkreślają, że ich największą obawą w kontekście bezpieczeństwa IT jest podatność na włamania do sieci. Zasadniczym problemem w przypadku konwencjonalnej topologii sieciowej jest możliwość jej stosunkowo łatwego zmapowania. Z jednej strony ułatwia to zarządzanie zespołom IT, lecz z drugiej – stanowi dogodny punkt zaczepienia dla ewentualnych hakerów.
Wynika to z faktu, iż większość sieci firmowych wyewoluowała w kierunku tzw. architektury „collapsed backbone”, w której wszystkie segmenty sieci komputerowej są połączone przez jedno centralnie usytuowane urządzenie (np. przełącznik, router). W praktyce, w celu obsługi poszczególnych grup urządzeń i użytkowników, administratorzy konfigurują wiele wirtualnych sieci LAN (VLAN). Tablice routingu w warstwie sieciowej są wypełniane wszystkimi znanymi trasami, prowadząc do sytuacji w której domyślnym rodzajem transmisji jest komunikacja „każdy z każdym”.
Jeśli sieć bazuje na statycznych adresach IP i haker zdoła się do niej włamać, prawdopodobnie z łatwością zdoła uzyskać dostęp do wrażliwych danych, takich jak historie chorób pacjentów, płatności klientów czy serwery monitoringu wideo, korzystając z dość prostych technik skanujących adresy IP.
Technologia Extreme Fabric stanowi całkowicie inne podejście do kwestii kierowania ruchu sieciowego, niż ma to miejsce w przypadku tradycyjnych sieci. Ponieważ w sieci typu fabric całość komunikacji odbywa się w warstwie 2 (Ethernet), jej topologia pozostaje całkowicie niewidoczna z perspektywy IP. Brak opcji hop-by-hop przenoszącej informację, która musi być sprawdzana i przetwarzana w każdym węźle wzdłuż drogi przesyłania pakietu oznacza, że haker skanujący adresy IP zobaczy jedynie adres wyjściowy. Nawet, jeśli zdoła uzyskać dostęp, całkowita topologia sieci pozostaje ukryta.
Dlatego też zamiast konwencjonalnego modelu „każdy z każdym”, komunikacja w sieci Fabric odbywa się na zasadzie „jeden do jednego”. Przykładowo: dwa urządzenia komunikują się ze sobą poprzez przełącznik/router – ponieważ należą do tego samego VSNu, konfiguracja połączenia odbywa się wyłącznie na brzegu sieci Fabric. Komunikacja pomiędzy różnymi usługami w oddzielnych VSNach będzie zablokowana, chyba że zadecydujemy inaczej.
Materiał przygotował:
Konrad Grzybowski
Inżynier Systemów Bezpieczeństwa Versim S.A.
