Я рассматриваю новую схему сети для нашей веб-инфраструктуры, и меня интересуют ваши мысли о том, использовать ли хост-бастион или нет. Это необходимо с сегодняшними технологиями? Прямо сейчас у нас есть следующая конфигурация:
Интернет ---> Брандмауэр ---> Cisco ASA ---> Брандмауэр ---> Веб-сайт (Linux на основе SSL).
Будет ли хост-бастион просто усложнять конфигурацию или он действительно предоставит нам то, чего у нас еще нет?
Спасибо!
Тройной уровень межсетевого экрана / IPS не имеет для меня особого смысла, если только различные устройства не имеют несовпадающих наборов функций. Если нет возможности для кода или злонамеренной активности «между» двумя устройствами, и они действительно просто подключены друг к другу, это кажется гигантской тратой денег.
Более традиционная архитектура выглядела бы примерно так:
Интернет-> Брандмауэр / IDS-> Уровень веб-сервера-> Уровень сервера приложений -> (дополнительный брандмауэр / IPS) -> база данных
Этот дополнительный брандмауэр между уровнем сервера приложений и базой данных на самом деле не так полезен, но требуется PCI и, возможно, другими правилами. Для большинства сред мне больше подходят простые средства управления доступом или программный брандмауэр на сервере базы данных, чем отдельный отдельный брандмауэр.
Более сложной, но потенциально полезной настройкой было бы использование уровня "хост-бастион" для сети / прокси:
Интернет-> Брандмауэр / IDS-> веб / прокси-сервер-> Брандмауэр / IDS-> серверы приложений -> (опционально брандмауэр / IPS) -> база данных.
На мой взгляд, описанная выше настройка имеет смысл только в том случае, если межсетевой экран / IDS между вашим бастионным хостом может выполнять больше, чем простую фильтрацию пакетов с отслеживанием состояния. Если функциональность IDS внутри этого межсетевого экрана / IDS может заглядывать внутрь HTTP-пакетов и разрешать только набор определенного поведения между уровнем веб-сервера / прокси и уровнем сервера приложений, тогда это может иметь смысл.
Обратите внимание, что любой из уровней межсетевого экрана / IDS может быть реализован как программный межсетевой экран, работающий на целевом узле. Это значительно упрощает работу в сети и масштабируется лучше, чем решения для обеспечения безопасности оборудования. Вы действительно отказываетесь от централизованной «точки доступа» для мониторинга всего трафика, но это часто является требованием для увеличения масштаба. Я сомневаюсь, что Facebook или Google пропускают весь свой трафик через какой-либо уровень брандмауэра - функции безопасности просто должны быть распределены в таком масштабе.
Я думаю, что функция хозяева бастиона сегодня немного разбавлены брандмауэрами. Если что-то в вашей сети «выдерживает постоянные атаки», это, вероятно, брандмауэр в Интернете.
Кроме того, я согласен с мнением Криса С. о том, как организовать безопасность в сетях разного размера.
И если у вас будет 3 брандмауэра, лучше использовать разных поставщиков, потому что, если вы используете один и тот же брандмауэр, и кто-то использует уязвимость в упомянутой системе оборудования / прошивки, вы потеряете все свои брандмауэры.
В средних / больших сетях довольно часто можно увидеть сеть периметра, где серверы были усилены (новый термин для хоста-бастиона). В небольших сетях это уже не очень распространено (если когда-либо было). Идея назначить одну задачу серверу и защитить ее от всего остального снова становится популярной в сетях среднего размера, поскольку виртуализация позволяет легко настраивать специализированные виртуальные машины.
Я считаю эти установки наиболее распространенными:
Малые сети:
Интернет ---> Брандмауэр / Маршрутизатор ---> Внутренняя сеть (включая серверы и клиенты)
Средние сети
Интернет ---> Брандмауэр периметра ---> Сеть периметра (серверы, доступные из Интернета) ---> Внутренний брандмауэр ---> Внутренняя сеть (включая сервер и клиенты)
Сети с высоким уровнем безопасности:
Интернет ---> Брандмауэр (-ы) периметра ---> Сеть периметра (серверы, доступные через Интернет)
Сеть периметра ---> Брандмауэр сервера ---> Сеть сервера
Сеть периметра ---> Брандмауэр клиента ---> Сеть клиента
Конечно, каждая сеть немного отличается здесь и там; но это темы, которые я вижу чаще всего. Типичные брандмауэры включают IDS / IDP, а также типичную фильтрацию и тому подобное.
Я не видел широко используемых хостов-бастионов уже несколько лет. Я не в курсе всех рассуждений, но вы были бы в хорошей компании, если бы решили этого не делать. Однако причины, по которым люди больше этого не делают, могут быть просто экономическими и не имеют никакого отношения к реальной или предполагаемой безопасности ...