Уровень всех киберинцидентов, вызванных неправильными настройками безопасности, составляет 35%.¹Компании, которые используют большое количество сложных правил безопасности и межсетевых экранов, каждый из которых имеет свой собственный набор правил и политик, не могут управлять сложными политиками сетевой безопасности.

Группы сетевой безопасности могут использовать подход управления политиками сетевой безопасности (NSPM) и его программные решения для централизации, контроля и мониторинга этих политик.

В этой статье рассматривается управление политиками сетевой безопасности, его ключевые элементы, преимущества и варианты использования для решения проблем, присущих сложным средам с несколькими устройствами.

Что такое управление политикой безопасности сети безопасности?

Управление политикой сетевой безопасности — это процесс создания, внедрения и поддержания правил и рекомендаций, которые защищают сеть и данные компании от незаконного доступа, использования, ненужного обмена данными, изменения или потери.

Управление политикой сетевой безопасности осуществляется путем определения политик — набора правил использования сетевых устройств и трафика — для установления периметра сети через сетевые ресурсы (например, базы данных: D1 и D2).

Рисунок: Доверенная сеть, расположенная внутри периметра сети, установленного набором сетевых политик.

Источник: ИМС²

Сетевые администраторы часто используют инструменты управления политиками сетевой безопасности (NSPM) для выполнения политик сетевой безопасности, анализа сетевого трафика и предоставления согласованного интерфейса администрирования как для логических, так и для физических сетей.

Ключевые цели подхода к управлению политикой сетевой безопасности:

Читать далее: Другие методы сетевой безопасности: сегментация сети и микрогесментация.

Почему важно управлять политикой безопасности сети безопасности?

Независимое администрирование каждой технологии безопасности без использования методов управления политикой сетевой безопасности приводит к различным рискам безопасности:

Читать далее: тестирование уязвимостей, автоматизация сканирования уязвимостей.

• Правила межсетевого экрана, которые не менялись годами, часто противоречат друг другу, делая сеть уязвимой для злоумышленников.

• Обновления конфигурации сети часто выполняются вручную и не могут быть автоматизированы.

Подробнее: Автоматизация ИТ-безопасности.

Рисунок: Триада ЦРУ: конфиденциальность (C), целостность (I) и доступность (A)

Источник: система «Экран»³

Решения по управлению политиками сетевой безопасности помогают организациям построить триаду CIA: конфиденциальность (C), целостность (I) и доступность (A) для настройки и контроля сотен политик, обеспечивая при этом понимание всей сетевой инфраструктуры с единой панели в реальном времени. время.

Ниже приводится краткое изложение ключевых результатов управления политикой сетевой безопасности:

• Обзор цели и задач политики.
• Список пользователей и их обязанности при разработке и реализации политики.
• Объем управления внутренними данными и ресурсами.
• Список обнаруженных классифицированных проблем безопасности.
• Рекомендации по контролю и уменьшению признанных угроз.

Части политики безопасности

Политика безопасности определяет набор правил с конкретными соответствующими обстоятельствами и действиями. После принятия передачи инструменты безопасности в сети (например, межсетевые экраны) сравнивают ее свойства с соответствующими требованиями политики безопасности. Если все требования соблюдены, запрос фактически соответствует политике безопасности, а межсетевой экран обрабатывает пакет и отслеживает двусторонний трафик, выполняя действие, указанное в политике безопасности.

1. Критерии соответствия

Критерии соответствия политики безопасности определяют характеристики трафика и используются для исключения трафика, удовлетворяющего условиям. Политика безопасности состоит из набора совпадающих условий:

• Пользователь сети, передающий трафик.
• Трафик источника и конечной точки, содержащий зоны безопасности, IP-адреса и сети VLAN.
• Местоположение — это географическая область, определяемая адресом Интернет-протокола (IP).
• Сервисы, приложения или группы URL-адресов, которые необходимо посетить.
• Частота.

2. Действия

Политика безопасности имеет два основных действия: разрешить и запретить, которые разрешают или запрещают прохождение трафика.

Разрешенное действие: Если действие разрешено, пользователи могут выполнять более глубокие проверки безопасности контента (например, антивирусную проверку, очистку данных, контроль поведения приложений, блокировку файлов и т. д.). фильтрация почтыDNS-фильтрация, система предотвращения вторжений (IPS), URL-фильтрация)

Отказано в действии: Если ответ отклонен, пользователи могут отправить хосту или пользователю сообщения обратной связи, чтобы прекратить соединения.

3. Уникальные идентификаторы политики

Инструменты управления политиками сетевой безопасности используют идентификаторы политик для управления конфигурациями политик. Эти идентификаторы включают в себя:

Имя: Отличает конкретную политику.

Описание: Хранит сведения о политике безопасности, например номер программного процесса, активирующего политику безопасности. Это позволяет пользователям понять контекст политики безопасности во время регулярных проверок, например, когда она была создана или кто ее применил.

Группы политик: Содержит несколько политик безопасности, которые служат одной цели и упрощают обслуживание. Пользователи могут изменять, включать или деактивировать группы политик.

Ярлык: Фильтрует политики с одинаковыми функциями. Пользователи могут добавлять более одной метки к политике безопасности, например корпоративное приложение и уязвимое программное обеспечение, с единым префиксом (security_policy_1XY).

Пример управления политикой сетевой безопасности

Веб-интерфейс используется для настройки политики сетевой безопасности, как показано в примере ниже.

Фигура: Установка политики безопасности, позволяющей устройствам в сегментах сети 192.168.1.0/24 и 192.168.2.0/24 в зоне доверия иметь доступ к Интернету.

Источник: Хуавей⁴

Читать далее: Пример настройки политики сетевой безопасности с помощью управления доступом на основе ролей (RBAC).

Стол: Пример политики сетевой безопасности

Фигура: Добавление и настройка политики сетевой безопасности

Источник: Хуавей⁵

Преимущества управления сетевой безопасностью

Масштабируемость: Управление политиками сетевой безопасности позволяет контролировать до нескольких сотен межсетевых экранов и VPN-маршрутизаторов в дополнение к эквивалентному количеству датчиков системы обнаружения вторжений (IDS) в вашей сети.

Мониторинг сети: Позволяет пользователям указать общесетевой мониторинг любых нарушений политики безопасности.

Аудит сети: Аудит сети предоставляет актуальные данные об инцидентах с сетевой политикой (например, аудит ИИ). Пользователи могут настраивать уведомления в соответствии со своими требованиями: от создания запланированных отчетов о других соответствующих инцидентах до получения оповещений в режиме реального времени о критических событиях.

Централизация: Чтобы повысить производительность Newrk в Интернете и настройках экстрасети, пользователи могут использовать структуру централизованного управления политиками (например, администраторы и руководство высшего уровня получают контроль над сетевыми политиками и конечными точками).

9 ключевых политик сетевой безопасности

1- Политика контроля доступа

Политика контроля доступа подробно описывает, как предоставлять и ограничивать доступ к сетевым ресурсам. Основная цель политики — обеспечить, чтобы только люди, имеющие разрешение, имели доступ к определенной информации и приложениям.

Политика контроля доступа включает следующую информацию.

• Перед получением доступа необходимы имена пользователей, пароли или смарт-карты для аутентификации идентификации пользователя.
• Сообщается об угрозах безопасности, связанных с ограничениями доступа.
• Технологии контроля доступа включают двухфакторную (2FA) и многофакторная аутентификация (MFA).
• Несколько уровней доступа классифицируют пользователей в соответствии с их работой и деятельностью.
• Политика лишения прав доступа в случае увольнения сотрудников или смены обязанностей.

2- Политика контроля устройств

Политики контроля устройств определяют правила, основанные на привилегиях пользователей, профилях и программном обеспечении для устройств связи и мониторинга в сети.

Для управления безопасностью устройства можно установить следующие политики:

3- Политика управления учетной записью

Политика управления учетными записями устанавливает правила и процессы управления учетными записями пользователей в сети, такие как:

• Инструкции по созданию новых учетных записей пользователей.
• Методы аутентификации для проверки личности пользователя.
• Процедуры изменения учетных записей пользователей, такие как обновление лицензий или изменение ролей.
• Политики восстановления доступа к учетным записям пользователей.

4- Политика использования сети

Политика использования сети устанавливает разрешенное использование сетевых активов, чтобы гарантировать этически надежное использование таких устройств, как:

• Запрещенная сетевая деятельность включает онлайн-сообщества, личные сообщения, неформальные средства общения и теневые ИТ-инструменты.
• Правила правильного использования пропускной способности сети.

5- Политика удаленного доступа

Политика удаленного доступа определяет, как организация будет обеспечивать кибербезопасность при удаленном доступе клиентов к данным. Здесь рассказывается о том, что пользователи могут ожидать при доступе к этим данным, как создавать безопасные соединения, когда может быть разрешен отказ от политики, а также вероятность судебных исков за нарушения.

Политика удаленного доступа обеспечивает:

• Список людей, которым разрешен удаленный доступ к ресурсам сети.
• Приемлемые методы построения удаленного подключения (например, протокол удаленного рабочего стола (RDP) или VPN).

6- Политика безопасности брандмауэра.

Компании могут включать в свои политики межсетевой защиты и сетевой безопасности следующее:

• Политики и настройки как для программных, так и для аппаратных межсетевых экранов.
• Категории разрешенного и запрещенного движения.
• Конфигурации для этого отслеживают активность регистрации сетевого трафика на наличие индикаторов вредоносной активности (например, системы предотвращения и обнаружения вторжений, инструменты микросегментации).
• Правила сегментации сети, включая разбивку требований безопасности каждого сегмента (например, микросегментация, VPN).

7- Политика сетевого мониторинга и регистрации.

Политика сетевого мониторинга и ведения журналов определяет, как компания контролирует сеть и регистрирует активность, которая охватывает:

• Цели мониторинга сети, такие как обнаружение и минимизация событий безопасности, а также повышение эффективности сети.
• Политики для мониторинга использования полосы пропускания, задержки и стабильности.
• Подробные описания различных видов получаемых логов.

8- Политика шифрования данных

Эта политика определяет использование технологий шифрования для защиты информации, файлов и конфиденциальной информации во время хранения или передачи.

• Любые применимые правила защиты данных или критерии соответствия данных.
• Типы данных классифицируются в соответствии с их чувствительностью и релевантностью.
• Утвержденные алгоритмы шифрования.
• Методы создания, хранения и управления ключами шифрования.
• Политики шифрования данных при передаче между сетями.

9- Политика паролей

Политика паролей контролирует распределение, администрирование и использование паролей в сети, гарантируя надежность и обновление паролей.

Общая политика паролей включает в себя:

• Инструкции по созданию надежных и сложных паролей, например с использованием заглавных и строчных букв и символов.
• Самая короткая длина паролей.
• Правила обновления пароля.

Чтобы получить рекомендации по выбору подходящего инструмента или услуги для вашего проекта, ознакомьтесь с нашими основанными на данных списками программное обеспечение программно-определяемого периметра (SDP) и сетевое программное обеспечение с нулевым доверием.

дальнейшее чтение

Внешние ссылки

1. »Отчет о расследовании утечки данных«. (PDF) Веризон. 2022. Проверено 13 января 2024 года.
2. »Системное проектирование для сетей IMS». ИМС. 2009. Проверено 15 января 2024 года.
3. »10 политик информационной безопасности, которые должна соблюдать каждая организация». Система «Экран». 2023. Проверено 15 января 2024 года.
4. »Основы политики безопасности межсетевого экрана Huawei». Хуавей. 2023. Проверено 15 января 2024 года.
5. »Основы политики безопасности межсетевого экрана Huawei». Хуавей. 2023. Проверено 15 января 2024 года.