Перейти к основному содержимому

11.1 Модель безопасности сетевой связности

Организация сетевой связности является одним из важнейших компонентов обеспечения сетевой безопасности. Эффективное управление и защита узлов в сети помогают предотвратить многие угрозы и атаки (например, Man-in-the-Middle, ARP-спуфинг или DDoS), а также защитить от несанкционированного доступа.

Канальный уровень (L2)

Далее приведен пример коммутации узлов vStack HCP, который может послужить отправной точкой для построения карты сети.

Таблица 1. Коммутация узлов
LACP GroupVLAN IDCIDRНазначениеДополнительно
Public Endpoints + Virtual NetworksNative 3910.100.39.0/24Host access
4010.100.40.0/24VxLANsIGMP querier (snooping)
4110.100.41.0/24Public endpoints
2004-2054 (пример, диапазон указывается владельцем)Белые IP-адресаVirtual networks
SDS + ClusterNative 2002192.168.200.0/24iSCSI networks
2003172.17.127.0/24
Таблица 2. Обозначение цветов
ЦветОбозначение
Немаршрутизируемая сеть
Маршрутизируемая сеть
Адресное пространство менять бесмысленно

В данной сетевой инфраструктуре есть две группы портов (Public Endpoints + Virtual Networks, SDS + Cluster), к которым подключаются VLAN.

Public Endpoints + Virtual Networks

В этой группе портов находятся как маршрутизируемые, так и немаршрутизируемые сети. К некоторым сетям этой группы портов должен быть обеспечен доступ извне.

VLAN, входящие в LACP group:

  • Native 39 - Native VLAN. Маршрутизируемая сеть в пределах сегмента, предназначена для доступа к хостам.
  • 40 - VxLAN сеть. Полностью изолированная сеть, для работы которой необходим IGMP querier (snooping).
  • 41 - маршрутизируемая сеть в пределах сегмента, используется для публичных эндпоинтов.
  • 2004-2005 - маршрутизируемая сеть с белыми IP-адресами.

SDS + Cluster

Закрытая группа портов, в которую входят только изолированные сети. Организована таким образом, чтобы минимизировать внешние угрозы и обеспечить безопасность сетевого сегмента, используемого для работы кластера и слоя хранения.

Сети, входящие в эту LACP group:

  • Native 2002 - Native VLAN для слоя хранения.
  • 2003 - изолированная сеть для взаимодействия компонентов кластерного ПО.

Рисунок 1. LACP groups

Сетевой уровень (L3)

Для сетей из группы портов Public Endpoints + Virtual Networks с назначением Host access и Public Endpoints применяется ограничение трафика. Эти сети являются внутренним доверенным контуром, поэтому их трафик фильтруется с помощью межсетевого экрана, а доступ к адресному пространству может быть только у владельца системы. Для этих сегментов входящий трафик (SSH) разрешен на порт TCP 22, а исходящий трафик на порты TCP 443 (HTTPS), UDP 123 (NTP). Внутри каждого из сегментов ограничение трафика не требуется.

Исключением является адрес .250 сети Public Endpoints, на котором всегда располагается служебная виртуальная машина, имплементирующая веб-интерфейс и API Endpoint, на этот адрес входящий трафик должен быть разрешен только на порт TCP 443 (HTTPS).

Для остальных маршрутизируемых сетей группы портов Public Endpoints + Virtual Networks ограничений и фильтраций нет.