Ответ на вопрос о том, сегментировать или не сегментировать сеть, ни у кого не вызывает сомнения. Задача состоит в выборе наиболее эффективного метода для вашей среды.
СЕГМЕНТИРОВАНИЕ МОЖЕТ ПОМОЧЬ РАЗРАБОТЧИКАМ
Защита от разработчиков
"Извините меня, - робко говорит один из разработчиков программ, - альфа-тест нашего последнего программного обеспечения стер конфигурационные файлы на сервере. Отдел продаж будет отключен на два часа".
Это последнее, что вы хотели бы услышать в пятницу утром. Единственное, что сдерживает ваш гнев, так это понимание того, что программистам необходимо тестировать приложения, которые они разрабатывают для вашей организации. И проблема здесь шире, чем восстановление работоспособности отказавшего сервера.
В такой ситуации сегментированная сеть, в которой разработчики имеют собственную отдельную область в сети для своих дел, помогла бы предотвратить или по крайней мере снизить вероятность такого казуса. В конце концов, крах или порча локального сервера группы разработчиков - не такое уж страшное событие; крах же корпоративной базы данных ни в коем случае не допустим.
Защита сети от ошибок разработчиков - всего лишь один из доводов в пользу сегментирования сети. Общая надежность сети, защищенность и производительность - другие побудительные причины. В этой статье мы обсудим преимущества сегментирования сети, рассмотрим достоинства и недостатки трех методов сегментирования, в том числе с помощью серверов файлов или приложений, виртуальных локальных сетей (ВЛС), а также брандмауэров и маршрутизаторов.
ЗАЧЕМ СЕГМЕНТИРОВАТЬ?
Не являющиеся больше изолированными островками, состоящими из одного или двух серверов файлов и печати и небольшого количества рабочих станций, корпоративные сети превратились в сложные, высококритичные среды, состоящие из множества серверов различных типов, а также многочисленных рабочих групп, нуждающихся в связи друг с другом. В такой среде несегментированная сеть способна привести к хаосу, прямыми последствиями которого станут снижение производительности, уменьшение надежности и ухудшение безопасности сети (см. Рисунок 1).
(1x1)
Рисунок 1.
На этой иллюстрации каждый имеет доступ ко всем рабочим станциям и
серверам - такая конфигурация может быть как защищенной, так и не защищенной,
но если все пользователи пытаются работать по сети одновременно, она заведомо
ведет к снижению производительности сети.
Обычно крупные сети имеют высокоскоростную магистраль, но если, например, весь сетевой трафик направляется туда, то он может запросто исчерпать доступную пропускную способность, сводя на нет все преимущества в производительности, которая ваша организация могла бы извлечь при другом подходе. Ввиду того, что рабочие станции взаимодействуют в основном с локальными серверами файлов и печати гораздо чаще, чем с внешними серверами Web, имеет смысл сегментировать сеть в соответствии с рабочими группами, в которых большая часть трафика не выходит за пределы локального сегмента. Такой подход позволяет разным группам выделить разную пропускную способность. Например, разработчикам и инженерам может потребоваться коммутируемый Fast Ethernet, в то время как пользователям из отдела маркетинга будет достаточно и разделяемого Ethernet на 10 Мбит/с.
Сегментирование повышает также и надежность сети за счет изолирования проблем в данном сегменте. Например, если разработчики выведут из строя свой собственный сегмент сети, то на других пользователях это никак не скажется.
Что касается безопасности, то тут у сегментирования несколько преимуществ, и наиболее очевидное из них - ограничение доступа за пределы сегмента. Например, если у вас есть маршрутизатор, то вы можете определить, какие IP-адреса или рабочие станции имеют право взаимодействовать с рабочими станциями в другом сегменте. Ограничение доступа пользователя данным сегментом не решает все проблемы информационной безопасности, но позволяет свести их к минимуму.
Кроме того, сегментирование помогает упростить управление защитой. Например, доверенным пользователям в каждом сегменте можно дать полномочия определять и реализовывать правила и процедуры безопасности, в то время как администратор сохраняет контроль над коммуникациями между сегментами. Такой подход применим для организаций, где разные отделы и рабочие группы реализуют разные уровни защиты. К примеру, отделы продаж и маркетинга принимают строгие меры защиты внутри соответствующих сегментов, в то время как группа по разработке приложений реализует более мягкие меры защиты. Последнее связано с тем, что в тестовой и отладочной среде программистам зачастую необходимо использовать несколько рабочих станций поочередно, и реализация строгих мер защиты на тестовых серверах и рабочих станциях усложнит их работу, что, как правило, нежелательно. Поэтому внутри группы пользователи могут иметь доступ ко всем тестовым рабочим станциям и серверам, однако к ресурсам в других сегментах или даже к некоторым ресурсам в своем собственном сегменте (например, базам данных с исходными кодами) будет разрешен только ограниченный доступ.
Наконец, с помощью сегментирования вы можете поддержать необходимые, и иногда плохо оканчивающиеся, проекты ваших программистов. (Дополнительную информацию о том, как сегментировать сеть для программистов, см. во врезке "Защита от разработчиков".)
АКТ СЕГМЕНТИРОВАНИЯ
При сегментировании сети основной целью является получение описанных преимуществ при сохранении необходимого уровня взаимодействия между группами, некоторые из которых могут даже не быть частью вашей организации. Консультантам и заказчикам, например, может понадобиться тот или иной уровень доступа к ресурсам вашей сети.
В какой степени разрешить пользователям взаимодействовать друг с другом, зависит от того, что им необходимо для совместной работы. Например, отделу продаж и группе разработчиков нужна для общения друг с другом только электронная почта, а не общий файловый сервер. Или при более сложной конфигурации компания может иметь сегмент отдела продаж, общий сегмент и сегмент группы разработчиков. База данных с исходными кодами в сегменте группы разработчиков должна быть недоступна пользователям в сегменте отдела продаж; однако готовые приложения могут находиться в базе данных в общем сегменте, причем доступ к ним будет разрешен пользователям в обеих группах. При желании в общий сегмент помещаются и такие ресурсы, как серверы Web.
Как упоминалось ранее, имеется три подхода к сегментированию сети. Первый состоит в использовании серверов файлов и приложений, второй - брандмауэров и маршрутизаторов как точек стыковки подсетей, а третий - технологии виртуальных локальных сетей (ВЛС).
ИСПОЛЬЗОВАНИЕ СЕРВЕРОВ
Использование серверов - это один из способов разделить крупную сеть на меньшие группы, каждая из которых со своим собственным сервером файлов и печати. При этом файловый сервер будет служить посредником при общении с другими группами (см. Рисунок 2). К примеру, каждый файловый сервер в сети может так же действовать, как и сервер почтового отделения, осуществляющий автоматическую пересылку почты с промежуточным хранением между всеми почтовыми серверами.
(1x1)
Рисунок 2.
Размещение серверов на границе сегментов - один из способов изолировать
сегменты и вместе с тем обеспечить контролируемый доступ к глобальным сервисам.
Для сегментирования сети с помощью серверов каждый сервер должен иметь по крайней мере две сетевые платы. Одна сетевая плата будет поддерживать локальную группу или сегмент, в то время как другая сетевая плата будет служить для связи с сетью серверов. Такая конфигурация позволяет организовать связь между различными серверами в сети, хотя рабочая группа может обращаться напрямую только к своему серверу. Пользователи внутри данной рабочей группы имеют возможность при посредничестве proxy-сервера, выполняющегося на файловом сервере, обращаться ко всем серверам Web в сети.
При таком подходе обмен информацией происходит на прикладном уровне, а это означает, что серверные посредники (proxy), к примеру, для почты и Web работают только с теми приложениями, которые они понимают. Клиенты Lotus Notes, например, могут обмениваться электронной почтой с серверами Notes; однако клиент IMAP4 такой возможности иметь не будет, поскольку серверы Notes поддерживают только Notes и POP3 (во время написания нашей статьи Lotus собиралась начать бета-тестирование клиента IMAP4 для Notes).
Proxy-сервер весьма полезен для защиты сети, потому что потенциальные злоумышленники по ту сторону сети (в данном случае в Internet) не могут установить соединения с какими-либо хостами во внутренней сети. Единственная машина, к которой у них есть доступ, - это сам proxy-сервер, а он, скорее всего, имеет операционную систему, специально "укрепленную" против атак извне.
Помимо защиты proxy-серверы, как правило, поддерживают кэширование. Это повышает производительность за счет получения пользователями доступа к локальным кэшированным данным, что позволяет, в свою очередь, снизить трафик в сети. В случае proxy-сервера Web, если один пользователь, например, запрашивает конкретную страницу Web, то proxy-сервер запрашивает указанный сервер Web, затем предоставляет результат пользователю и, кроме того, сохраняет копию переданной страницы Web в кэше на диске. Если другой пользователь запрашивает ту же самую страницу, то proxy-сервер берет ее из кэша, а не обращается лишний раз в Internet.
Еще одно преимущество серверного подхода к сегментированию в области защиты состоит в четком определении точек взаимодействия. Например, пользователь в одном сегменте отправляет почту в другой сегмент. Почта передается по маршруту отправитель-почтовый сервер-другой почтовый сервер-получатель. Проходящую через интерфейс информацию можно контролировать в трех местах: трафик между отправителем и первым сервером, между двумя серверами и между вторым сервером и получателем. Эти точки четко определены, причем пользователи не имеют иного способа общения.
Сегментирование с помощью серверов хорошо подходит в тех случаях, когда вся инфраструктура завязана на серверы, и задержка при связи между сегментами не существенна. Например, в случае таких приложений, как электронная почта или сервисы Web, некоторая задержка вполне допустима. Однако если взаимодействие между сегментами должно осуществляться в реальном времени, то сегментирование с помощью маршрутизаторов, брандмауэров или виртуальных сетей может оказаться более эффективным.
ИСПОЛЬЗОВАНИЕ МАРШРУТИЗАТОРОВ И БРАНДМАУЭРОВ
Маршрутизаторы и брандмауэры обеспечивают большую производительность, нежели подход с использованием серверов. Маршрутизаторы и брандмаэуры, функционирующие на третьем уровне модели OSI, анализируют пакеты, а затем сразу передают их адресату. Очевидно, что такой механизм эффективнее передачи с промежуточным хранением. Благодаря тому, что задержка на маршрутизаторах и брандмауэрах невелика, эти устройства хорошо подходят для поддержки удаленного управления, видеоконференций и потокового видео.
Обычно брандмауэры ассоциируются с обеспечением защиты в Internet, но они в равной мере применимы для внутреннего использования. Часто маршрутизаторы за счет ограничения доступа между сегментами предоставляют достаточную для внутренних целей защиту (см. Рисунок 3).
(1x1)
Рисунок 3.
Брандмауэры и маршрутизаторы предотвращают конфликты между соседями.
По большей части трафик остается внутри сегмента, а брандмауэр или маршрутизатор
фильтрует и продвигает только соответствующую информацию.
Помимо поддержки коммуникаций между сегментами в реальном времени подход на основе брандмауэров и маршрутизаторов обеспечивает дополнительную гибкость для приложений, когда они обращаются в другие сегменты. Например, в случае подхода на базе серверов посредники работают только с конкретными приложениями; в случае маршрутизатора или брандмауэра устройство должно только поддерживать тот протокол, который данное приложение использует. Если же приложению на базе UDP необходимо обращаться за пределы сети, то маршрутизатор обязан поддерживать данный протокол. Маршрутизатору безразлично, что собой представляет приложение и какого рода информацию оно передает, - он выступает просто в роли передаточного механизма.
Недостаток такого подхода в том, что у вас немного средств контроля за тем, какого рода информация передается. Например, приложение для видеоконференций работает по UDP. Если не хотите, чтобы это приложение использовалось между сегментами, то вы просто блокируете этот протокол. Однако блокирование UDP означает, что и другие, зависящие от него приложения работать не будут.
К минусам подобного подхода относится и его сложность, возрастающая вместе с числом определяемых вами параметров. В случае маршрутизатора или брандмауэра вы можете задать множество фильтров для определения того, какую информацию разрешается пропускать, а какую нет; устройство, например, можно сконфигурировать так, чтобы оно проверяло отправителя, получателя, используемые протоколы и типы передаваемых пакетов. Предположим, вы хотите, чтобы один набор фильтров применялся к одной группе пользователей, а другой - к другой, в этом случае ваша задача станет намного сложнее. Использование небольшого числа опций фильтрации облегчит вашу задачу.
Менее сложен подход, при котором брандмауэр или маршрутизатор разрешают обмен данными между сегментами только в некоторых ситуациях. Например, используя брандмауэр, вы можете предоставить пользователям доступ к корпоративному серверу Web, подключенному и к Internet; однако брандмауэр можно конфигурировать так, что доступ из Internet во внутренние сегменты сети будет запрещен. В такой конфигурации брандмауэр настраивается на фильтрации адресов отправителя и получателя, когда отправителем является пользователь Internet, а получателем пользователь вашей сети. Такая конфигурация дает одно из основных преимуществ сегментирования - безопасность - и без применения сложного набора опций фильтрации.
Как и при подходе с использованием серверов, маршрутизаторы и брандмауэры также весьма эффективны в ограничении широковещательного трафика, т. к. иначе он может переполнить сеть. Например, широковещательное видео - весьма эффективный способ доставки видеоинформации, но, когда видео используется только для обучения, лучше ограничить трафик теми сегментами, где эта видеоинформация необходима.
Маршрутизаторы и брандмауэры весьма полезны для ограничения трафика между сегментами, но получение статистики об уровнях трафика по сети при этом затруднено. Однако такую информацию необходимо собирать на регулярной основе, т. к. статистика позволяет обнаружить проблемы, связанные с ограниченностью пропускной способности. Она позволяет также выявить факт генерации больших объемов трафика одним пользователем или группой. Это сигнал к тому, что сеть надо сегментировать. Например, постоянная 10-процентная загрузка сети одним лицом может означать, что его необходимо выделить в отдельный сегмент или, возможно, применить к нему те или иные санкции: все зависит от причин, по которым создается такой большой трафик.
ПОДХОД НА ОСНОВЕ ВИРТУАЛЬНЫХ СЕТЕЙ
Одна из причин, по которой виртуальные сети приобретают популярность, состоит в том, что сегменты редко бывают статичными: в силу производственных соображений, а также из-за кадровых перемен сегменты находятся в состоянии постоянного видоизменения. Конфигурация этих изменений вручную, например перевод людей из одной группы в другую или предоставление доступа членам одной группы к ресурсам другой, по большей части весьма утомительное и трудоемкое занятие. Как правило, для этого требуется дополнительное оборудование, к примеру маршрутизаторы и брандмауэры, а значит, мониторинг и обслуживание дополнительных устройств в сложной и без того сети. Поэтому виртуальные сети становятся наиболее предпочтительным способом сегментирования, особенно в крупных сетях (см. Рисунок 4). В виртуальных сетях все функции сегментирования выполняются программным обеспечением внутри коммутаторов.
(1x1)
Рисунок 4.
Эта диаграмма изображает одну крупную сеть, но в случае применения
виртуальных сетей логическая иерархия не должна обязательно соответствовать
физической структуре. Коммутаторы запрограммированы на продвижение трафика
в соответствии с логическими сегментами, а не физическими соединениями.
Технология ВЛС моложе маршрутизаторов и брандмауэров. Оборотной стороной этого подхода является то, что реализации виртуальных сетей остаются пока нестандартными. В то же время гибкость виртуальных сетей вкупе с их остальными достоинствами может перевесить возможный риск; тем более что комитет 802.1Q пытается разработать соответствующий стандарт.
С помощью программного обеспечения управления виртуальными сетями администратор сети может, например, определить, что конкретный порт на конкретном коммутаторе принадлежит к виртуальной сети А, в то время как соседний порт на том же самом коммутаторе - к сети Б. Таким образом, две рабочие станции, расположенные рядом друг с другом, одна - подключенная к локальной сети А, а другая - к сети Б, могут работать с двумя разными файловыми серверами. Виртуальные локальные сети можно сконфигурировать так, что эти две рабочие станции не смогли общаться друг с другом напрямую. Оборудование некоторых производителей позволяет даже включать рабочие станции в несколько виртуальных сетей. Если кому-то из пользователей необходим доступ к нескольким сегментам, то предпочтителен подход на базе виртуальных сетей. Того же самого эффекта можно было бы добиться и с помощью двух вышеописанных подходов, но тогда на каждую рабочую станцию пришлось бы установить несколько сетевых плат (по числу сегментов, в доступе к которым она нуждается).
Лучше всего то, что конфигурация, контроль и управление ВЛС осуществляются программным образом, независимо от физического местоположения оборудования. Например, чтобы переместить рабочую станцию из одной виртуальной сети в другую, все, что надо сделать, это отбуксировать пиктограмму рабочей станции из одного места на экране в другое. Некоторые продукты для ВЛС могут даже определять идентификационный номер сетевого адаптера, так что пользователи портативных компьютеров могут перейти из одного здания в другое, воткнуть его в любой свободный сетевой разъем и быть по-прежнему подключенными к своей виртуальной сети.
ВОПРОСЫ УДАЛЕННОГО ДОСТУПА
Когда встает вопрос об отношении сегментирования к удаленному доступу, проблема состоит в том, как сделать так, чтобы только легальные пользователи имели доступ в сеть. Обычно эту задачу выполняют брандмауэры и маршрутизаторы. Более сложная задача - дать удаленным пользователям необходимый им уровень доступа без риска для защищенности сети. Например, при удаленном доступе пользователи могут обращаться к меньшему числу ресурсов, чем при локальном подключении, поскольку предоставлять доступ ко всем ресурсам извне опасно.
Как один из вариантов, здесь подойдет использование многопользовательских односистемных сегментов для удаленного доступа, таких как серверы UNIX или WinFrame. Удаленные пользователи получают прямой доступ к универсальным серверам приложений, где каждое приложение выполняется в защищенном контексте в соответствии с правами доступа удаленного пользователя. Они имеют право только на определенные приложения и ресурсы. В свою очередь серверы могут быть ограничены тем сегментом, в котором они находятся.
Пользователи на одной и той же машине могут даже иметь разные привилегии. К примеру, один человек получает административные привилегии на базу данных, в то время как другой - только пользовательские привилегии.
В СУММЕ
В наши дни ответ на вопрос, сегментировать или не сегментировать сеть, ни у кого не вызывает сомнения. Скорее, задача в том, какой подход выбрать. Выбор подхода зависит от того, какие приложения будут функционировать в нескольких сегментах, какой уровень контроля за этими приложениями вам нужен, какая информация передается по сети и как часто приходится заниматься конфигурацией сетевых сегментов.
Уильям Вонг - консультант и публицист. С ним можно связаться по адресу: bwong@voicenet.com.
СЕГМЕНТИРОВАНИЕ МОЖЕТ ПОМОЧЬ РАЗРАБОТЧИКАМ
Защита от разработчиков
Обеспечение деятельности разработчиков - одна из основных причин сегментирования сети. Тестирования на изолированном ПК достаточно для многих приложений, но в случае новейших сетевых приложений необходимо тестирование в сети. Несмотря на предварительное планирование, программное обеспечение, случается, работает не так, как задумано, а сбой сетевого приложения может вызвать проблемы и у других пользователей сети. Изоляция разработчиков от остальной сети позволит избежать этой проблемы.
Другая причина изоляции разработчиков - обеспечение безопасности. Разработка программного обеспечения предполагает использование исходного кода и систем контроля версий, с помощью которых группа разработки может архивировать и контролировать исходный код. Эти базы данных контроля версий должны быть защищены от несанкционированного использования посредством ограничения доступа только разработчиками программ. Сегментирование позволит сделать эту информацию недоступной для всех остальных пользователей в организации.
Другой фактор, влияющий на уравнение сегментирования, - рост числа разработчиков программного обеспечения удаленного доступа, которым нужен доступ к сети извне и для работы, и для взаимодействия с другими членами группы. Обычно разработчикам необходим иной уровень доступа, нежели работающим на дому. Чтобы реализовать эти различные уровни доступа, вы можете создать четыре разных сегмента: два сегмента для локальных операций разработчиков и остальных сотрудников плюс два сегмента для удаленных пользователей, опять же для разработчиков и остальных сотрудников.