SDP (Software-defined Protection)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 22:19, 25 июня 2016.

SDP (англ. Software-Defined Protection - Программно определяемая защита) — это компьютерная архитектура и методология сетевой безопасности, которая комбинирует аппаратные средства обеспечения безопасности и защитные механизмы, которые управляют, как внутренними, так и внешними источниками информации. Инфраструктура SDP спроектирована так, чтобы система была модульной, масштабируемой и безопасной.

Общее

Архитектура SDP разделяет инфраструктуру безопасности на три взаимосвязанных слоя. Исполнительный слой инспектирует трафик и обеспечивает соблюдение политик безопасности в пределах разграниченных сегментов сети. Контролирующий уровень генерирует политики безопасности и разворачивает их механизмы на исполнительные пункты. Слой менеджмента управляет инфраструктурой и интегрирует системы обеспечения безопасности в бизнес-процессы.

Sdp.gif

Исполнительный слой

Исполнительный слой SDP дает организации возможность спроектировать сегментированую сеть, реализовать физически и виртуальные исполнительные точки безопасности, в соответствие с сегментацией и исполнять логику защиты от угроз, положенную для каждого сегмента сети.

SDP инкорпорирует принцип сегментации в исполнительном слое. Сегментация разделяет сеть на разделы, которые имеют различные настройки безопасности. Политика сдерживания угроз и политика восстановления устанавливается в зависимости от требований, предъявляемых сегменту. Исполнительные точки могут быть реализованы как шлюзы безопасности, хостовое ПО, мобильные приложения, виртуальные машины в облаке.

Исполнительный слой архитектуры SDP спроектирован с учетом требований надежности, быстродействия и простоты. Он состоит из сетевых шлюзов безопасности и установленного на хосты программного обеспечения, которые выполняют роль точек применения политик в сети. Эти точки применения могут быть реализованы в виде физических или виртуальных устройств, либо в виде ПО, установленного на рабочих станциях сети (ноутбуках, планшетах, компьютерах и т.д.) и в облачных средах. Главным принципом, лежащим в основе Уровня Применения, является сегментация. Сегментация критически важна для обеспечения беспрерывного бизнес-процесса организации, так как каждая атака, направленная на определенный сегмент или узел сети, не должна подрывать всю инфраструктуру безопасности корпорации. Таким образом, роль сегментации в архитектуре SDP состоит в предотвращении распространения атаки по всей сети, а также контроле за тем, чтобы в сети передавался только трафик, определенный бизнес-процессами предприятия.

Применение сегментации начинается с выделения «атомарных» сегментов сети. Атомарный сегмент содержит элементы, разделяющие одинаковую политику и одинаковые характеристики защиты. Точки применения будут установлены на границы атомарных сегментов для применения определенных логик защиты. Атомарные элементы могут быть сгруппированы в целях создания модульной защиты. Кроме того, для защиты взаимодействия и обмена информацией между различными сегментами сети устанавливаются доверенные каналы.

Ключевыми этапы методологии сегментации являются:

  1. Атомарные сегменты
  2. Группировка сегментов
  3. Консолидация
  4. Доверенные каналы
Sdpenforcement.png

Контролирующий слой

Контролирующий слой это ядро архитектуры SDP. Его роль в том, чтобы генерировать и разворачивать механизмы защиты для исполнения в соответствующей исполнительной точки в пределах слоя исполнения. Чтобы разработать подходящую защиту необходим доступ к базе знаний организации: данные по контролю доступа, данные по защите данных, данные об угрозах. Решения по безопасности, которые чаще всего реализуются, включают в себя фаервол, анти-вирус, контроль приложений, эмуляцию угроз, анти-бот, анти-спам и защиту электронной почты, DLP (Data Loss Prevention, предупреждение утери данных) и IPS (Intrusion Prevention System, систему предупреждения вторжений).

Контролирующий слой предназначен для развертывания мер защиты в точках применения. Этот уровень включает в себя функционал предотвращения угроз, управления доступом и защиты данных. Политика предотвращения угроз проста: «Блокировать плохих парней!!!». Такая политика требует минимальной доработки и, скорее, является общим правилом. Защитные средства предотвращения угроз блокируют атакующих и не дают им эксплуатировать уязвимости и доставлять вредоносный контент. Кроме того, они предотвращают попытки ботов и вредоносного ПО связаться с командными серверами управления (Command and Control servers, C&C). В целях определения корректных решений по применению политик, для выработки правильных инструкций безопасности компонента предотвращения угроз, контролирующий слой производит корреляцию данных, полученных от разных источников: сигнатурного, репутационного, поведенческого механизмов, механизма эмуляции угроз и результатов проверки данных человеком. Чтобы меры предотвращения угроз были эффективны, необходим постоянный поток надежной аналитической информации. Аналитическая информация об угрозах может быть получена из внутренних и внешних источников данных об угрозах. В идеальном случае такие источники должны включать в себя компьютерные группы реагирования на чрезвычайные ситуации (CERTs, Computer Emergency Readiness Teams), инциденты безопасности (CSIRTs, Computer Security Incident Response Teams). Кроме того, необходимо участие аналитиков безопасности, производителей решений по безопасности и других организаций и сообществ по ИБ. В дополнение к указанным внешним источникам аналитика по угрозам создается внутри предприятия путем исследования вредоносного ПО, технологий сэндбоксинга («песочницы») и анализа данных событий безопасности, полученных от точек применения политик.

Анализ угроз позволяет описать агентов угроз, кампании, тактику, технологии и процедуры (TTPs, Tactics, Techniques and Procedures), а также выработать индикаторы угроз в реальном времени. Управление предотвращением угроз использует аналитику для того, чтобы транслировать большой объем данных по безопасности в готовые к использованию материалы в форме индикаторов и описаний атак. Такие индикаторы представляют собой логику, согласно которой на Уровне Применения будут исполняться решения по защите. В отличие от предотвращения угроз, механизмы управления доступом и защиты данных представляют собой узкие, специфические для каждого предприятия области. Управление доступом и защита данных обеспечивает работу бизнес-процессов посредством определения взаимодействия между пользователями и данными в корпоративной сети. Они задают уровень, минимально необходимый для поддержки функционирования бизнеса, и реализуют применение принципа «минимальных привилегий». Такие защитные механизмы зависят от мест хранения (репозиториев) и описывают специфические для предприятия бизнес-правила, активы, пользователей, роли и приложения, а также определяют политики безопасности как наборы авторизованных видов взаимодействия между активами, пользователями и приложениями. Анализ и управление трафиком осуществляются адаптивно с учетом контента. Например, в случае интернет-трафика, контролирующий слой может использовать облачную базу данных для информации о последних приложениях и протоколах, в то время, как для внутреннего трафика могут быть использованы описания специфических приложений или протоколов, используемых в организации. Кроме того, контролирующий слой должен иметь информацию о всех изменениях и определениях, производимых в других ИТ-системах. Примерами этого могут служить изменения пользовательских репозиториев, автоматическое применение настроек безопасности к виртуальным машинам или разрешения доступа к новому хосту, запись которого появилась в базе данных DNS-сервера.

Sdpcontrol.png

Слой менеджмента

Слой менеджмента служит в роли интерфейса между сетевыми администраторами и двумя другими слоями инфраструктуры SDP. Этот слой поддерживает сегментирование и позволяет задать политики доступа и политики контроля данных. Также этот слой даёт возможность делегировать обязанности конкретным администраторам, которые могут работать с ними одновременно. Слой менеджмента предоставляет обзор того, что происходит в сети, необходимый для работы специалиста по безопасности, и поддерживает упреждающую реакцию на какой-либо инцидент.

Слой менеджмента делает архитектуру Software-defined Protection жизнеспособной системой. Активируя каждый компонент архитектуры, уровень действует как интерфейс между администраторами безопасности и остальными двумя уровнями SDP. Слой менеджмента SDP должен быть открытым, модульным и обеспечивать прозрачность состояния безопасности предприятия. Конфигурации предприятия постоянно эволюционируют, приспосабливая сети, приложения, хосты, пользователей и их роли к динамически изменяющемуся ландшафту бизнеса. Это тем более верно для виртуализованных сред, использующих виртуальные сервера и программно-определяемые сети (SDN), где меры защиты должны изменяться одновременно с изменением функций серверов и их местоположения. Открытая инфраструктура управления предлагает гибкость в интеграции и автоматизации для синхронизации политики безопасности Уровня Контроля с динамической средой предприятия, включающей системы управления облачными ресурсами, базы данных конфигураций, системы инвентаризации активов и инфраструктуру управления идентификационной информацией. Модульное управление SDP позволяет раздельно определять политики доступа и управления данными и активировать меры предотвращения угроз. Затем политики предотвращения угроз могут быть применены к трафику, разрешенному политиками доступа и управления данными, в автоматическом режиме, либо могут управляться разными людьми или даже могут быть отданы на аутсорсинг. Модульность также поддерживает уровни и подуровни политик, ассоциированные с различными сегментами сети, таким образом, предоставляя возможность делегировать управление политиками безопасности отдельным администраторам, которые могут работать над ними одновременно. Прозрачность необходима по двум причинам: во-первых, для ситуационной информированности, во-вторых, для реагирования на инциденты. Слой менеджмента собирает, консолидирует и коррелирует события, поступающие от точек применения политик, развернутых в сети. Лица, ответственные за реагирование на инциденты, в реальном времени получают визуализацию цепочки событий, что позволяет идентифицировать первоначальные векторы атаки и, соответственно, пораженные хосты и скомпрометированные данные. Расследование инцидента позволяет также выработать новые индикаторы угроз для вредоносного ПО, угрожающего поведения и сетевых адресов, ассоциированных с каждой из идентифицированных атак. Эти индикаторы автоматически поступают на слой менеджмента и отсюда распространяются на слой менеджмента для реализации защиты организации.

Sdpmanagment.png

Ссылки