この記事は、「ネットワークインフラストラクチャを管理する方法」というタイトルの一連の記事の3番目です。 シリーズのすべての記事の内容とリンクはここで見つけることができます 。







セキュリティリスクを完全に排除することについて話すのは意味がありません。 原則として、それらをゼロに減らすことはできません。 また、ネットワークをより安全にするために努力するにつれて、ソリューションがますます高価になることを理解する必要があります。 価格、複雑さ、セキュリティの間でネットワークの合理的な妥協点を見つける必要があります。



もちろん、セキュリティ設計は全体的なアーキテクチャに有機的に統合されており、使用されるセキュリティソリューションはスケーラビリティ、信頼性、管理性、...ネットワークインフラストラクチャにも影響します。これも考慮する必要があります。



しかし、今はネットワークの作成について話していないことを思い出させてください。 初期条件に従って、設計を選択し、機器を選択し、インフラストラクチャを作成しました。この段階で、可能であれば、以前に選択したアプローチのコンテキストでソリューションを「実行」し、見つける必要があります。



ここでのタスクは、ネットワークレベルでセキュリティに関連するリスクを特定し、それらを妥当な値に減らすことです。

ネットワークセキュリティ監査

組織がISO 27kプロセスを実装している場合、このアプローチの一部として、セキュリティ監査とネットワークの変更をプロセス全体に有機的に統合する必要があります。 しかし、これらの標準は特定のソリューションに関するものではなく、構成に関するものではなく、設計に関するものではありません...明確なヒントはありません。ネットワークの詳細を規定する標準はありません。これがこのタスクの複雑さと美しさです。



いくつかのネットワークセキュリティ監査の可能性を強調します。

• 機器構成監査（強化）
• セキュリティ監査設計
• アクセス監査
• プロセス監査

ハードウェア構成監査（強化）

ほとんどの場合、これはネットワークの監査とセキュリティ向上のための最適な出発点と思われます。 私見、これはパレートの法則の良いデモンストレーションです（努力の20％は結果の80％を与え、努力の残りの80％は結果のわずか20％です）。



結論としては、通常、機器を構成する際の安全性に関する「ベストプラクティス」に関するベンダーからの推奨事項があります。 これは強化と呼ばれます。



また、これらの推奨事項に基づいてアンケートを見つける（または自分で作成する）こともできます。これは、ハードウェア構成がこれらの「ベストプラクティス」にどのように一致するかを判断し、結果に応じてネットワークを変更するのに役立ちます。 これにより、非常に簡単に、事実上無料で、セキュリティリスクを大幅に削減できます。

一部のシスコオペレーティングシステムのいくつかの例。



Cisco IOS設定の強化

Cisco IOS-XR設定の強化

Cisco NX-OS構成の強化

Ciscoベースラインセキュリティチェックリスト



これらのドキュメントに基づいて、各タイプの機器の構成要件のリストを作成できます。 たとえば、Cisco N7K VDCの場合、これらの要件は次のようになります 。

したがって、ネットワークインフラストラクチャのさまざまな種類のアクティブな機器の構成ファイルを作成できます。 さらに、手動または自動化を使用して、これらの構成ファイルを「アップロード」できます。 このプロセスを自動化する方法については、オーケストレーションと自動化に関する別の一連の記事で詳しく説明します。

セキュリティ監査設計

通常、何らかの形のエンタープライズネットワークには、次のセグメントが含まれます。

• DC（公共サービスDMZおよびイントラネットデータセンター）
• インターネットアクセス
• リモートアクセスVPN
• ワンエッジ
• 支店
• キャンパス（オフィス）
• コア

名前はCisco SAFEモデルから取得されますが、もちろん、これらの名前とこのモデルにバインドする必要はありません。 それでも、私は本質について話をしたいのですが、手続きには関与しません。



これらのセグメントごとに、セキュリティのレベル、リスク、およびそれに応じた意思決定の要件が異なります。



セキュリティ設計の面で発生する可能性のある問題について、それぞれを個別に検討します。 もちろん、繰り返しますが、この記事が完全であると主張することは決してありません。この深くて多面的なトピックで達成するのは簡単ではありませんが（可能な場合）、個人的な経験を反映しています。



完璧な解決策はありません（少なくとも今のところ）。 それは常に妥協です。 しかし、このアプローチまたはそのアプローチを適用する決定は、その長所と短所の両方を理解して、意識的に行われることが重要です。

データセンター

最も重要なセキュリティセグメント。

そして、いつものように、普遍的な解決策もありません。 それはすべてネットワーク要件に依存します。

ファイアウォールは必要ですか？

答えは明白なように思えますが、すべてが見た目ほど明確ではありません。 そして、あなたの選択は価格だけでなく影響を受けるかもしれません。

例1. 遅延。



ネットワークの一部のセグメント間で低遅延が不可欠な要件である場合（たとえば、交換の場合に該当する場合）、これらのセグメント間ではファイアウォールを使用できません。 ファイアウォールの遅延に関する研究を見つけることは困難ですが、ごく少数のスイッチモデルのみが1ミリ秒以下の遅延を提供できるため、マイクロ秒が重要な場合、ファイアウォールは適切ではないと思います。

例2. パフォーマンス。



最上位のL3スイッチの帯域幅は、通常、最も生産性の高いファイアウォールの帯域幅よりも1桁高いです。 したがって、高強度のトラフィックの場合、このトラフィックがファイアウォールをバイパスできるようにする必要があります。

例3. 信頼性。



ファイアウォール、特に最新のNGFW（次世代FW）は複雑なデバイスです。 L3 / L2スイッチよりもはるかに複雑です。 多数のサービスと設定オプションを提供するため、信頼性がはるかに低いことは驚くことではありません。 ネットワークにとってサービスの継続性が重要な場合、ファイアウォールのセキュリティや、通常のACLを使用するスイッチ（またはさまざまな工場）で構築されたネットワークのシンプルさなど、可用性を高めるものを選択する必要があります。

上記の例の場合、ほとんどの場合（通常どおり）妥協点を見つける必要があります。 次の解決策を検討してください。

• データセンター内でファイアウォールを使用しないことに決めた場合は、境界へのアクセスを可能な限り制限する方法を検討する必要があります。 たとえば、インターネット（クライアントトラフィック用）から必要なポートのみを開き、ジャンプホストからのみデータセンターへの管理アクセスを開くことができます。 ジャンプホストで、必要なすべてのチェックを実行します（認証/承認、ウイルス対策、ログ記録など）。
• PSEFABRICの例p002で説明されているスキームと同様に、データセンターネットワークのセグメントへの論理パーティションを使用できます。 この場合、遅延または高強度のトラフィックに敏感なトラフィックが1つのセグメント（p002、VRF-aの場合）に「入り」、ファイアウォールを通過しないようにルーティングを構成する必要があります。 異なるセグメント間のトラフィックは引き続きファイアウォールを通過します。 VRF間のルートリークを使用して、ファイアウォールを通過するトラフィックのリダイレクトを回避することもできます。
• また、これらの要因（遅延/パフォーマンス）が重要でないVLANに対してのみ、透過モードでファイアウォールを使用できます。 ただし、ベンダーごとにこのmodの使用に関連する制限を慎重に検討する必要があります。
• サービスチェーンアーキテクチャの適用を検討してください。 これにより、必要なトラフィックのみをファイアウォール経由で送信できます。 理論的には美しいように見えますが、このソリューションを実際に見たことはありません。 約3年前にCisco ACI / Juniper SRX / F5 LTMのサービスチェーンをテストしましたが、その時点ではこのソリューションは「生」のようでした

保護レベル

ここで、トラフィックのフィルタリングに使用するツールの質問に答える必要があります。 NGFWに通常存在する機能の一部を次に示します（たとえば、 こちら ）。

• ステートフルファイアウォール（デフォルト）
• アプリケーションファイアウォール
• 脅威の防止（ウイルス対策、スパイウェア対策、脆弱性）
• URLフィルタリング
• データフィルタリング（コンテンツフィルタリング）
• ファイルのブロック（ファイルの種類のブロック）
• ドス保護

また、すべてが明確ではありません。 保護のレベルが高いほど良いように思われます。 しかし、あなたもそれを考慮する必要があります

• 上記のファイアウォール機能を使用すればするほど、当然より高価になります（ライセンス、追加モジュール）
• 特定のアルゴリズムを使用すると、ファイアウォールのスループットが大幅に低下し、遅延が増加する可能性があります。たとえば、 こちらを参照してください
• 複雑なソリューションと同様に、複雑な保護方法を使用すると、ソリューションの信頼性が低下する可能性があります。たとえば、アプリケーションファイアウォールを使用している場合、非常に標準的な動作中のアプリケーション（dns、smb）

通常、ネットワークに最適なソリューションを見つける必要があります。



どの保護機能が必要かという質問に明確に答えることは不可能です。 まず、転送または保存し、保護しようとしているデータに依存するためです。 第二に、実際には、救済策の選択はベンダーに対する信頼と信頼の問題であることが多い。 アルゴリズムがわからない、アルゴリズムの効果がわからない、完全にテストすることはできません。



したがって、重要なセグメントでは、さまざまな企業からのオファーを使用するのが良い解決策かもしれません。 たとえば、ファイアウォールでウイルス対策を有効にできますが、ホストでローカルにウイルス対策保護（別の製造元から）を使用することもできます。

セグメンテーション

これは、データセンターネットワークの論理的な区分です。 たとえば、VLANとサブネットに分割することも論理的なセグメンテーションですが、その自明性のため考慮しません。 FWセキュリティゾーン、VRF（およびさまざまなベンダーに関連する類似物）、論理デバイス（PA VSYS、Cisco N7K VDC、Cisco ACIテナントなど）などのエンティティを考慮すると、セグメンテーションは興味深いものです...

そのような論理的なセグメンテーションと現在必要なデータセンターデザインの例はPSEFABRICプロジェクトのp002で与えられます。

ネットワークの論理部分を定義したら、トラフィックが異なるセグメント間でどのように流れるか、どのデバイスでどのような手段でフィルタリングが実行されるかをさらに説明できます。



ネットワークに明確な論理パーティションがなく、異なるデータフローにセキュリティポリシーを適用するためのルールが正式化されていない場合、これは、このアクセスまたはそのアクセスを開くと、この問題を強制的に解決することを意味し、高い確率で毎回解決しますさまざまな方法で。



多くの場合、セグメンテーションはFWセキュリティゾーンのみに基づいています。 次に、次の質問に答える必要があります。

• どのセキュリティゾーンが必要ですか
• これらの各ゾーンにどのレベルの保護を適用しますか
• ゾーン内トラフィックがデフォルトで許可されるかどうか
• そうでない場合、各ゾーン内で適用されるトラフィックフィルタリングポリシー
• ゾーンの各ペア（ソース/宛先）に適用されるトラフィックフィルタリングポリシー

TCAM

多くの場合、ルーティングとアクセスの両方でTCAM（Ternary Content Addressable Memory）が不十分であるという問題があります。 私見、これは機器を選択する際の最も重要な問題の1つなので、この問題を適切な精度で処理する必要があります。

例1.転送テーブルTCAM。



Palo Alto 7kファイアウォールを見てみましょう。

IPv4転送テーブルサイズ* = 32Kがわかります

同時に、このルート数はすべてのVSYSに共通です。



設計に応じて4つのVSYSを使用すると決めたとします。

これらの各BGPS VSYSは、BBとして使用する2つのMPLSクラウドPEに接続されています。 したがって、4つのVSYSはすべての特定のルートを相互に交換し、ほぼ同じルートセット（ただし、異なるNH）を持つ転送テーブルを持っています。 なぜなら 各VSYSには2つのBGPセッション（同じ設定）があり、MPLSを介して受信した各ルートには2つのNHがあり、それに応じて転送テーブルに2つのFIBエントリがあります。 これがデータセンター内の唯一のファイアウォールであり、すべてのルートについて知っている必要があると仮定した場合、これはデータセンター内のルートの総数が32K /（4 * 2）= 4Kを超えてはならないことを意味します。



ここで、2つのデータセンター（同じデザイン）があり、データセンター間で「ストレッチ」されたVLANを使用する場合（vMotionなど）、ルーティングの問題を解決するには、次を使用する必要があります。ホストルートですが、これは2つのデータセンターに使用できるホストが4096以下であることを意味し、もちろんこれでは十分ではありません。

例2. ACL TCAM。



L3スイッチ（またはCisco ACIなどのL3スイッチを使用する他のソリューション）でトラフィックをフィルタリングする場合は、機器を選択するときにTCAM ACLに注意する必要があります。



Cisco Catalyst 4500 SVIインターフェイスでアクセスを制御する場合、 この記事からわかるように、TCAMの4096行のみを使用して、インターフェイス上の発信（および着信）トラフィックを制御できます。 TCAM3を使用すると、約4000万ACE（回線ACL）が得られます。

TCAMが不十分であるという問題が発生した場合は、まず最初に、最適化の可能性を考慮する必要があります。 そのため、フォワーディングテーブルのサイズに問題がある場合は、ルートを集約する可能性を考慮する必要があります。 アクセスのTCAMサイズに問題がある場合-アクセスの監査、古いレコードと重複するレコードの削除、およびおそらくアクセスを開くための手順の改訂（アクセス監査の章で詳細に説明します）。

高可用性

問題は、ファイアウォールにHAを使用するか、2つの独立したボックスを「並列」に配置するか、どちらかがクラッシュした場合にトラフィックを2番目にルーティングするかどうかです。



答えは明らかだと思われます-HAを使用します。 それにもかかわらずこの問題が発生する理由は、残念ながら、理論上および広告99および実際のアクセシビリティのパーセントの小数点以下の数9は、はるかにバラ色が少ないことが判明したためです。 HAは論理的に非常に複雑なものであり、異なる機器や異なるベンダー（例外はありませんでした）で、問題やバグを見つけてサービスを停止しました。



HAを使用する場合、個々のノードをオフにし、サービスを停止せずにノード間を切り替えることができます。これは、たとえばアップグレードの際に重要ですが、両方のノードが同時に壊れる可能性は決してありません。ベンダーが約束するほどアップグレードはスムーズに進みません（実験装置でアップグレードをテストする機会があれば、この問題は回避できます）。



HAを使用しない場合、二重の損傷の観点から、リスクははるかに低くなります（2つの独立したファイアウォールがあるため）。 セッションは同期されないため、これらのファイアウォール間の切り替えが発生するたびに、トラフィックが失われます。 もちろん、ステートレスファイアウォールを使用できますが、ファイアウォールを使用する意味はほとんど失われます。



したがって、監査の結果、孤独なファイアウォールが見つかり、ネットワークの信頼性を高めることを考えている場合、HAはもちろん推奨されるソリューションの1つですが、このアプローチに関連する欠点を考慮する必要があります。別のソリューションがより適切です。

管理の利便性（管理性）

原則として、HAは管理性にも関係しています。 2つのボックスを個別に構成して構成の同期の問題を解決する代わりに、1つのデバイスがあるかのように多くの方法でそれらを管理します。



しかし、おそらくあなたは多くのデータセンターと多くのファイアウォールを持っているでしょう、そしてこの質問は新しいレベルに上がります。 そして質問は設定だけでなく、

• バックアップ構成
• 更新
• アップグレード
• 監視
• ロギング

そして、これらはすべて集中管理システムによって解決できます。

たとえば、Palo Altoファイアウォールを使用している場合、 Panoramaはそのようなソリューションです。

継続する。