11.1 Модель безопасности сетевой связности
Организация сетевой связности является одним из важнейших компонентов обеспечения сетевой безопасности. Эффективное управление и защита узлов в сети помогают предотвратить многие угрозы и атаки (например, Man-in-the-Middle, ARP-спуфинг или DDoS), а также защитить от несанкционированного доступа.
Канальный уровень (L2)¶
Далее приведен пример коммутации узлов vStack HCP, который может послужить отправной точкой для построения карты сети.
| LACP Group | VLAN ID | CIDR | Назначение | Дополнительно |
|---|---|---|---|---|
| Public Endpoints + Virtual Networks | Native 39 | 10.100.39.0/24 | Host access | |
| 40 | 10.100.40.0/24 | VxLANs | IGMP querier (snooping) | |
| 41 | 10.100.41.0/24 | Public endpoints | ||
| 2004-2054 (пример, диапазон указывается владельцем) | Белые IP-адреса | Virtual networks | ||
| SDS + Cluster | Native 2002 | 192.168.200.0/24 | iSCSI networks | |
| 2003 | 172.17.127.0/24 |
| Цвет | Обозначение |
|---|---|
| Немаршрутизируемая сеть | |
| Маршрутизируемая сеть | |
| Адресное пространство менять бесмысленно |
В данной сетевой инфраструктуре есть две группы портов (Public Endpoints + Virtual Networks, SDS + Cluster), к которым подключаются VLAN.
Public Endpoints + Virtual Networks¶
В этой группе портов находятся как маршрутизируемые, так и немаршрутизируемые сети. К некоторым сетям этой группы портов должен быть обеспечен доступ извне.
VLAN, входящие в LACP group:
- Native 39 - Native VLAN. Маршрутизируемая сеть в пределах сегмента, предназначена для доступа к хостам.
- 40 - VxLAN сеть. Полностью изолированная сеть, для работы которой необходим IGMP querier (snooping).
- 41 - маршрутизируемая сеть в пределах сегмента, используется для публичных эндпоинтов.
- 2004-2005 - маршрутизируемая сеть с белыми IP-адресами.
SDS + Cluster¶
Закрытая группа портов, в которую входят только изолированные сети. Организована таким образом, чтобы минимизировать внешние угрозы и обеспечить безопасность сетевого сегмента, используемого для работы кластера и слоя хранения.
Сети, входящие в эту LACP group:
- Native 2002 - Native VLAN для слоя хранения.
- 2003 - изолированная сеть для взаимодействия компонентов кластерного ПО.
Рисунок 1. LACP groups
Сетевой уровень (L3)¶
Для сетей из группы портов Public Endpoints + Virtual Networks с назначением Host access и Public Endpoints применяется ограничение трафика. Эти сети являются внутренним доверенным контуром, поэтому их трафик фильтруется с помощью межсетевого экрана, а доступ к адресному пространству может быть только у владельца системы. Для этих сегментов входящий трафик (SSH) разрешен на порт TCP 22, а исходящий трафик на порты TCP 443 (HTTPS), UDP 123 (NTP). Внутри каждого из сегментов ограничение трафика не требуется.
Исключением является адрес .250 сети Public Endpoints, на котором всегда располагается служебная виртуальная машина, имплементирующая веб-интерфейс и API Endpoint, на этот адрес входящий трафик должен быть разрешен только на порт TCP 443 (HTTPS).
Для остальных маршрутизируемых сетей группы портов Public Endpoints + Virtual Networks ограничений и фильтраций нет.