Продукты CSP VPN в архитектуре Cisco SAFE

Чем SAFE отличается от традиционных whitepaper, blueprint и т.п.?

Сценарии применения решения Cisco/CSP VPN

Архитектура Cisco SAFE

Компанией Cisco Systems разработана архитектура безопасности для корпоративной сети, представленная в серии детальных методических руководств по сетевой информационной безопасности SAFE, Security Architecture For Enterprise network.

Чем SAFE отличается от традиционных whitepaper, blueprint и т.п.?

SAFE – это не популяризация технологий и продуктов, а практическое руководство по построению защищенных систем, построенное на анализе лучших индустриальных практик Cisco Systems. Документы SAFE представляют собой интересный баланс технологии и философии (скорее в пользу философии), рассказывают, скорее, не ЧТО нужно применять, а КАК построить решение. Документы SAFE предоставляют комплексный анализ по целому спектру тематик: построение защищенных сетей, применение средств обнаружения проникновения (IDS), защита IP-телефонии и проч.

Двухпериметрический дизайн

В основе дизайна сетевой защиты в сетях Cisco/CSP VPN, лежит идея двух периметров защиты.

Внешний периметр сети, как правило, связан с обработкой информации ограниченного доступа, но не с высоко критичной конфиденциальной информацией.

На этом периметре могут использоваться продукты сетевой защиты Cisco, включая, при необходимости, функции VPN как средства контроля доступа к внешнему периметру.

Защита внутренних периметров обеспечивается сертифицированными средствами защиты информации CSP VPN, реализующими российские криптоалгоритмы.

Принцип эшелонирования защиты

Поскольку программное обеспечение неидеально, теоретически в каждом изделии может быть обнаружена «дыра» безопасности. Часто описание такой «дыры» публикуется в Интернете (exploit).

Механическое применение описанной атаки (exploit) для некоторой программной/аппаратной платформы позволяет хакеру с минимальными трудозатратами проникнуть в корпоративную сеть.

Классической мерой защиты в этой ситуации (и фундаментальным принципом построения систем информационной безопасности вообще) является эшелонирование средств защиты. Эшелонированное решение включает два (или более) периметра защиты на оборудовании различных производителей. При этом методика использования «дыры» в линии обороны одного поставщика будет неприменима к решению другого. Такое двухэшелонное решение является обязательным технологическим требованием для многих корпоративных сетей, в частности, очень распространено в банковских сетях Швейцарии.

Решение с защитой Cisco на внешнем периметре и CSP VPN - на внутреннем – является классическим примером двухэшелонного периметра.

Сценарии применения решения Cisco/CSP VPN

На основе продуктов Cisco и CSP VPN реализуется целый ряд сценариев защищенных взаимодействий. Базовый набор этой сценариев показан на рисунке:

В рамках двухэшелонной архитектуры сетевой безопасности на основе продуктов компании Cisco и CSP VPN реализуются следующие базовые сценарии взаимодействия защищенных периметров:

Доступ корпоративных пользователей в Интернет.
Защищенное взаимодействие внешних периметров.
Защищенный доступ удаленных пользователей к сети внешнего периметра.
Защищенный доступ удаленных пользователей к сети внутреннего периметра.
Защищенное взаимодействие внутренних периметров.
Создание внутренних защищенных контуров и защита приложений клиент-сервер.

Технические реализации базовых сценариев разнообразны и зависят от того:

что мы защищаем (каковы объекты защиты, как они аутентифицируются),
где расположены объекты зашиты (топология сети),
как мы хотим применить средства защиты (политика контроля доступа и структура IPsec-туннелей).

Ответы на вопросы "что-где-как" формируют политику безопасности продуктов CSP VPN.

Политика безопасности продуктов CSP VPN

Политика безопасности сети есть набор правил, выполняемых для сети в целом или на отдельном устройстве и предписывающих, кому, с кем, в каком режиме защиты разрешено взаимодействовать.

Согласованные политики безопасности выполняются на множестве сетевых устройств – на клиентах, серверах и шлюзах безопасности. Политика безопасности IPsec, реализуемая на устройствах Cisco и CSP VPN обеспечивает тонкую грануляцию политик доступа, т.е. возможность создавать правила для следующих объектов:

подсетей, групп компьютеров
индивидуальных компьютеров и отдельных пользователей
отдельных приложений.

Это означает, что для отдельных пользователей или узлов сети могут быть реализованы индивидуальные условия доступа к отдельным приложениям. На рисунке ниже показаны три различных субъекта доступа, правила доступа каждого из которых символически преставлены стрелкамм соответствующего цвета.

Например, один пользователь может получить доступ к файловому сервису (FTP) на некотором сервере, а другой пользователь – к почтовому приложению на нем же. Первое соединение может быть защищено одним способом, второе соединение – другим, и, несмотря на то, что оба сервиса находятся на одном сервере, сама VPN-сеть не пропустит первого пользователя к почте, а второго пользователя – к файловому серверу.

Таким образом, каждое отдельное положение и соединения каждого отдельного пользователя могут быть «завернуты» в индивидуальные, практически непроницаемые оболочки.

В этом отношении сетевая защита может обеспечивать дополнительную безопасность для приложений. При этом было бы важно исключить многократные (повторные) аутентификации пользователей, особенно, если они основаны на различных атрибутах. Одним из решений этой задачи является аутентификация пользователей на основе сертификатов, распространяемых ключевой инфраструктурой (PKI).