Estoy buscando posibilidades (y sus ventajas y desventajas) para proteger el tráfico de red de los componentes de una aplicación de tiempo crítico en un centro de datos. El objetivo es minimizar el daño que puede causar un atacante si logra comprometer una VM. Será imposible leer el tráfico entre otras máquinas virtuales (no comprometidas). Esto podría lograrse mediante cifrado o limitando el acceso a la red.
Disponemos de un entorno VMware, varios hosts ESXi y un firewall Fortigate. Partes del tráfico interno aún no están cifradas porque la aplicación abre varias conexiones, una tras otra. Y existe un límite de latencia en todo el proceso.
Debido al límite de latencia, el uso (trivial) de TLS para cada conexión no es una opción. Tal vez podría hacerse con servidores proxy en todos los sistemas que mantengan abiertas las conexiones TLS independientemente de lo que esté haciendo la aplicación.
Supongo que usar una VPN entre todos los sistemas involucrados (alrededor de 50) sería una pesadilla de gestión. Usamos keepalived, lo que probablemente empeora aún más la solución VPN.
También pienso en utilizar entradas ARP permanentes como protección contra la suplantación de ARP. VMware evita la suplantación de MAC. Esto no agregaría latencia y debería evitar la necesidad de cifrado. Pero no funciona bien con Fortigate y tampoco con IP virtuales.
Me interesan opiniones sobre los enfoques mencionados y otros enfoques que aún no conozco.
¿Qué hacen otras organizaciones con microservicios y restricciones de tiempo? No necesito una declaración sobre cuál es la mejor solución. Me gustaría saber qué ha demostrado (no) ser factible.
Respuesta1
Parece que estás buscando lo que hoy en día se llama "microsegmentación" como parte de una arquitectura de confianza cero.
Básicamente, con la segmentación tradicional (firewalling y vLANing) se limitan las comunicaciones entre subredes: se evita que alguien se comunique a menos que cumpla con los criterios establecidos. En la microsegmentación, usted limita y/o inspecciona el tráfico entre aplicaciones/servicios que viven dentro de la misma subred. Esto se logra más fácilmente a nivel de hipervisor, ya que el hipervisor puede ver de forma nativa todo el tráfico que pasa hacia/desde sus invitados.
Y la confianza cero se refiere al viejo dicho de seguridad de "no confiar en nadie", ni siquiera en sus propios sistemas. Extiendes el nivel mínimo de confianza, básicamente el equivalente operativo de "necesidad de saber" para obtener información. Los servidores de aplicaciones pueden comunicarse con el mundo exterior solo como respuestas a solicitudes TLS, no se permite nada más, etc. Limita la confianza a requisitos explícitos para las operaciones, sin permitir nada más.
Como ejemplo, podría utilizar la microsegmentación para decir que el servidor de aplicaciones front-end A puede comunicarse con el servidor lógico de nivel medio A, que a su vez puede comunicarse con el servidor de bases de datos A. Pero el servidor front-end no puede comunicarse directamente con el servidor de base de datos. Y Front-End-A no puede comunicarse con Front-End-B, aunque estén en la misma subred.
VMware ha estado dando mucha importancia al uso de la microsegmentación en su plataforma últimamente. Parece que deberías comprobarlo:https://www.vmware.com/solutions/micro-segmentation.html
Esto evita las limitaciones de tiempo de creación de sesiones para el cifrado. Además, hace lo que el cifrado no puede. (Las VPN o SSL/TLS protegen los datos en tránsito, pero en realidad no limitan el daño que un atacante puede causar una vez dentro de la red "segura". La segmentación con confianza limitada limita los posibles próximos pasos de los atacantes; básicamente, tienen que derrotar a un nuevo firewall cada vez que intentan pasar a un nuevo vector). Y todo se hace en el nivel de hipervisor/red; lo que significa que no tienes que reescribir tus aplicaciones para usarlo. Configúrelo a nivel de infraestructura y deje que sus aplicaciones sigan haciendo lo que estén haciendo.
Respuesta2
Básicamente, VPN tendría un impacto en el rendimiento similar al de TLS. Por lo tanto, necesita una solución más económica en cuanto a latencia.
Puede utilizar el cortafuegos ESXi. (Básicamente, la tecnología vmware es similar a Linux y es posible el filtrado L2 y L3 en puentes y otros componentes de redes virtuales).
Puede utilizar un tipo de segmentación de red: el uso de varios adaptadores de red asignados a diferentes grupos de invitados o invitados puede crear algunas barreras adicionales.
Puede utilizar alguna configuración de VLAN, pero en mi humilde opinión es una estrategia un poco sobreestimada.