W poprzednim artykule omawialiśmy pierwszą warstwę naszej „cebuli bezpieczeństwa”, czyli polityki, procedury i świadomość pracowników co do cyber zagrożeń. Czas zacząć obierać naszą cebulkę i zejść niżej, do głębiej położonych warstw.
W tym artykule skupimy się na fizycznym bezpieczeństwie firmy (Physical Security) oraz sieci brzegowej graniczącej z Internetem (Perimeter Security).
Bezpieczeństwo fizyczne
Bezpieczeństwo fizyczne jest kluczowym aspektem obrony danych i systemów IT. Udany atak nie zawsze musi być przeprowadzony ze strefy wirtualnej, może być także wykonany przez nieautoryzowane osoby mające dostęp do fizycznych serwerów, sieci firmowej lub komputerów pracowników.
Aby zapobiec temu scenariuszowi potrzebujemy nie tylko procedur omówionych w poprzednim artykule, ale również dodatkowych zabezpieczeń, dedykowanych minimalizowaniu ryzyka związanego z włamaniem, kradzieżą, wandalizmem czy nawet sabotażem.
Pierwszym z dedykowanych zabezpieczeń, które przychodzą do głowy kiedy mówimy o bezpieczeństwie fizycznym jest personel ochrony patrolujący obiekt i identyfikujący przybyłych pracowników lub gości oraz kamery CCTV często połączone z technologiami analizy wideo i systemami kontroli dostępu (takie jak autoryzacja biometryczna przy pomocy odcisku palca czy kart RFID).
Dostęp do obszaru firmy powinien być monitorowany 24/7, a każde pomieszczenie w budynku (zależnie od przeznaczenia) powinno być dostępne tylko dla wyznaczonego personelu, który jest w stanie udowodnić swoją tożsamość.
Na przykład aby uzyskać dostęp do fizycznych serwerów w data center Microsoftu, trzeba przejść rozległe, wielowarstwowe kontrole bezpieczeństwa (każdy etap wymaga potwierdzenia tożsamości i poziomu posiadanych uprawnień), a nawet kiedy uda się nam dostać do środka, przez całą długość naszej wizyty będziemy nadzorowani przez zespół ochrony i systemy CCTV.
Inne kluczowe środki bezpieczeństwa fizycznego to ogrodzenie obwodowe, systemy przeciwpożarowe, wzmocnione konstrukcje serwerowni (mogące przetrwać nawet eksplozje) czy tak bazowe rzeczy jak klimatyzacja w serwerowni, redundantny (nadmiarowy) sprzęt i połączenia sieciowe czy zasilanie awaryjne (w postaci UPS’ów i agregatów prądotwórczych). Te bazowe rozwiązania o których mowa wyżej nie zwiększają typowo bezpieczeństwa danych (w prostym rozumowaniu), ale zapewniają dostępność danych, co jest też kluczowym aspektem bezpieczeństwa systemów.
Jeżeli jesteś małą firmą, która nie ma ogromnego budżetu na bezpieczeństwo IT, wybierz i wdróż przynajmniej jeden lub dwa środki bezpieczeństwa, takie jak kamery CCTV i system kontroli dostępu. Jeśli planujesz część systemów uruchomić w chmurze (lub skorzystać z usług kolokacji), to upewnij się, że dostawca usług posiada certyfikacje potwierdzającą zgodność z odpowiednimi regulacjami jak ISO 27001 czy EN 50600.
Jako ciekawostkę mogę podać, że niektóre firmy podchodzą naprawdę kreatywnie do spełniania warunków norm bezpieczeństwa, np. Polska firma Talex ma jedno z centrów danych we Wrocławiu. Znajduje się ono w zabytkowym budynku (poniemieckiej fabryce amunicji), którego struktura nie może zostać zmodyfikowana ze względu na ograniczenia prawne. Aby spełnić normy i wzmocnić strukturę budynku, tak aby była ona odporna na np. ataki terrorystyczne, Talex postanowił umieścić wielkie betonowe donice wypełnione ziemią przed swoim budynkiem. Nie wpływają one na jego konstrukcję, wyglądają dobrze, a dodatkowo są w stanie zatrzymać nadjeżdżający samochód czy ciężarówkę (gdyby ktoś chciał np. samochodem bombą przebić się przez ścianę i wysadzić centrum danych, był to faktycznie rozpatrywany case).
Bezpieczeństwo sieci brzegowej
Sieć brzegowa to wszystkie urządzenia i usługi, które istnieją na styku sieci prywatnej i Internetu (lub są publicznie w nim widoczne). Według mnie, do tej grupy można zakwalifikować trzy kategorie usług:
- Oprogramowanie jako usługa (SaaS): do tej kategorii zaliczamy aplikację usługi, gdzie utrzymanie aplikacji (i infrastruktury pod spodem) spoczywa w obowiązkach dostawcy, a my odpowiadamy tylko za dane, które są przetwarzane przez daną aplikację. W tym scenariuszu bezpieczeństwo sieci brzegowej oznacza odpowiednie zabezpieczenie kont użytkowników przy pomocy silnych haseł, skonfigurowanie uwierzytelniania wieloskładnikowego i w niektórych przypadkach też dostępu warunkowego (np. zezwolenie na logowanie tylko z określonych adresów IP czy krajów). Niektóre usługi mają te opcje wbudowane, a inne mogą być zabezpieczone poprzez integrację z dostawcami tożsamości jak Microsoft Entra ID (wcześniej znane jako AzureAD).
- Środowiska w chmurze (PaaS / IaaS): do tej kategorii zaliczamy wszystkie usług / aplikacje wdrożone w modelu Infrastruktura jako usługa (IaaS) lub Platforma jako usługa (PaaS) u publicznych dostawców usług chmurowych takich jak Microsoft Azure, Amazon Web Services czy Google Cloud. W tym scenariuszu na nas jako właścicielu ciąży nie tylko odpowiedzialność za zabezpieczenie danych, ale także bezpieczeństwo ruchu sieciowego czy nawet systemów operacyjnych (w przypadku IaaS). Tutaj z pomocą przychodzą nam różnego rodzaju Firewall’e czy to w najprostszej postaci jako reguły filtrowania ruchu sieciowego wychodzącego / przychodzącego, czy bardziej rozbudowanej jak weryfikacja ruchu po protokołach, wykrywanie malware, niebezpiecznych adresów IP czy nawet proaktywne reagowanie na ataki typu DDoS. Ważne jest też zadbanie o odpowiednie szyfrowanie czy zarządzanie uprawnieniami i sekretami (hasłami czy tokenami). Należy pamiętać, że konkretne nazwy wspomnianych narzędzi bezpieczeństwa mogą się różnić w zależności od dostawy jakiego używamy.
- Infrastruktura lokalna: tutaj jesteśmy odpowiedzialni za całość infrastruktury, od urządzeń fizycznych po dane na nich przechowywane, jest to podejście wymagające największego nakładu pracy w odpowiednim zabezpieczeniu. Musimy się upewnić, że mamy odpowiednio skonfigurowane sieciowe urządzenia brzegowe (dostępne publicznie z Internetu) takie jak routery, bramy VPN i Firewalle.
Firewall to jedno z najważniejszych urządzeń do zabezpieczania sieci lokalnych. Zapory dzielimy na kilka wersji:
- Zapora stanowa – najbardziej podstawowa, pozwalająca filtrować wychodzący / przychodzący ruch sieciowy
- WAF (Web Application Firewall) – służąca do zabezpieczania i inspekcji ruchu http, często działająca jako reverse proxy
- Zapory nowej generacji – oprócz wcześniej wymienionych funkcji (zapora stanowa + WAF), posiadają też różne narzędzia do głębszej inspekcji ruchu (w większej ilości warstw modelu OSI). Na przykład mogą sprawdzać zawartość pakietów sieciowych i porównywać je do istniejących sygnatur dostępnych w globalnych bazach, aby wykrywać szkodliwe oprogramowanie czy ruchy z podejrzanych adresów IP (z których była zgłaszana np. działalność przestępcza).
W kontekście blokowania ataków, warto wspomnieć o systemach IDS i IPS, które często są częścią Firewalli nowej generacji, ale mogą również występować jako oddzielne fizyczne urządzenia czy usługi.
- IDS (Intrusion Detection System) – to systemy wykrywania intruzów, które weryfikują ruch sieciowy wchodzący do firmy i zgłaszają wszystkie podejrzane działania np. zespołowi administracji IT lub zespołowa ds. bezpieczeństwa IT.
- IPS (Intrustion Prevention System) – to system wykrywania intruzów, który oprócz weryfikacji ruchu sieciowe, potrafi samodzielnie reagować i blokować wykryte ataki w czasie rzeczywistym. Systemy te muszą być precyzyjnie skonfigurowane, ponieważ wszelkie „false positive” wykrycia mogą blokować legalny ruch sieciowy i przeszkadzać w działaniu firmowych systemów.
Niektóre znane systemy IDS/IPS o otwartym kodzie źródłowym, które mogą być skonfigurowane nawet jako maszyna wirtualna:
- SNORT (https://www.snort.org/)
- Suricata (https://suricata.io/)
- Security Onion (https://securityonionsolutions.com/)
Dobrym pomysłem jest wdrożenie kilku z wyżej wymienionych rozwiązań w swojej sieci lokalnej. Nie muszą być to rozwiązania kosztowne, gdyż istnieje wiele otwarto źródłowych projektów.
Najczęściej stosowaną konfiguracją jest podzielenie sieci lokalnej na dwie strefy:
- Strefa DMZ (zdemilitaryzowana, nazwa z żargonu wojskowego) – znajdująca się za pierwszą zaporą sieciową dostępną z Internetu
- Strefa LAN / Intranet (wewnętrzna lokalna sieć) – znajdująca się za strefą DMZ
Serwery przechowujące dane, które nie są wrażliwe i powinny być dostępne publicznie (jak serwery WWW) można umieścić w strefie DMZ, a serwery które zawierają wrażliwe dane czy urządzenia użytkowników wrzucamy do LAN’u.
Możemy np. przyjąć scenariusz że mamy serwer WWW hostujący naszą stronę internetową. Klient wchodząc na stronę kontaktuje się z serwerem dostępnym w DMZ, natomiast sam ten serwer, aby wczytać dane kontaktuje się z bazą danych dostępną w LAN (komunikacja z DMZ do LAN jest o wiele bardziej rygorystyczna). To podejście pozwala bronić się przed niechcianymi zewnętrznymi intruzami, którzy nie mogą odpytać bezpośrednio serwer bazodanowy przechowujący wrażliwe dane, mogą tylko wyświetlić to co chcemy im pokazać na stronie WWW. Podejście to broni nas też przed próbami enumeracji naszych systemów (wykrycia i opisania usług działających w naszej sieci), gdyż skanery będą mogły wiedzieć tylko to co chcemy im pokazać w strefie DMZ.
Podsumowanie
Mam nadzieję, że ten artykuł pomógł Ci zrozumieć, na czym polegają zabezpieczenia fizyczne i bezpieczeństwo sieci brzegowej. Może też dowiedziałeś się o jednym czy dwóch nowych narzędziach, które pomogą Ci podnieść bezpieczeństwo twojej sieci.
W następnym artykule zagłębimy się w kolejne warstwy naszej „cebuli bezpieczeństwa”: bezpieczeństwo sieci wewnętrznej i bezpieczeństwo hostów. Stay tuned!
Ten artykuł jest przetłumaczoną wersją artykułu, który napisałem dla Macrix Technology Group.