Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Gratis segmentering av datasenter og OT gjort på minutter, uten behov for ny teknologi som VMware NSX, Nutanix Flow eller tilsvarende

Alle sier det, men “ingen” fikser det

“Alle” vet at de må segmentere, men de færreste starter prosjektet selv om det er særdeles enkelt. Man tror det er meget komplisert og vil kreve store endringer, eller innkjøp av ny teknologi, noe som for de aller fleste ikke er tilfelle. Dette gjelder også innen OT.

Lag 2 metoden jeg bruker for flere kunder krever ingen IP adresse endringer, noe som forenkler veldig da man ikke trenger å ta hensyn til berørte applikasjoner og systemer fordi det vil fungere som før.

Assume breach

Alle må anta at uvedkommende kommer seg inn i datasenteret. Grunnleggende tiltak må derfor innføres med dette i bakhodet:

  • Adressér VG testen.
    • Dette er viktig for å hindre at uvedkommende kommer seg ut igjen med det mål å etablere en permanent bakdør, laste ned programvare, lekke ut data (som personsensitive data, GDPR) og til slutt laste ned skadevare.
  • Etablér jumpserver, men det hjelper ikke internt i en serversone uten flere tiltak, som segmentering.
    • Dette er et tiltak for å hindre direkte kommunikasjon til servere. Flere lag med sikkerhet.
  • Aktivér MFA på RDP for admin tilgang.
    • Sikre at bare godkjente brukere får tilgang.
  • Segmentér nettverket slik at servere ikke kan snakke fritt sammen.
    • Dette er en grunnleggende sikkerhetsmekanisme for å først og fremst skape synlighet, deretter innføre kontroll og dermed oppnå bedre sikkerhet. Dette er også innholdet i denne posten.

Hva sier myndighetene?

Ti sårbarheter i norske IKT-systemer

7.9 Mangelfull nettverkssegmentering og trafikkstyring

Så hvordan gjøre dette raskt, enkelt og gratis?

Oversikt og plan

Start med et enkelt Excel ark. Fra et risikovurderingsståsted kartlegg de viktigste tjenestene som skal segmenteres. Dette Excel arket vil bli dokumentasjon og arbeidsdokument for konfigurasjon av switcher, brannmurer og VMware (eller OT). Det optimale er å legge inn alle systemer i Excel arket.

  • Man kan segmentere 100%, noe som betyr at alle servere er isolert i hvert sitt segment/sone.
  • Man kan gruppere like servere i samme segment.
  • Man kan gruppere servere eller tjenester med lav kritikalitet

Dette vil variere og her er det ingen fasit. Poenget er redusert risiko, og det handler om kost/nytte. Å konfigurere 50 eller 200 segmenter tar akkurat like lang tid, så det spiller ingen rolle.

Hva burde Excel arket inneholde av kolonner?

  • Servernavn
  • Er tjenesten tilgjengelig fra internett, ja eller nei
  • Navn på sone, som brukes videre i config på switcher, i brannmur og i VMware (eller tilsvarende)
  • VLAN ID, som bruker i switch, brannmur og VMware port group.

Konfigurasjon

ChatGPT har vært en fantastisk hjelp for meg. Informasjonen i Excel arket benyttes inn i ChatGPT sammen med eksempel config fra switch og brannmur og man får ut ferdig config for så mange segmenter dere måtte trenger på sekunder (det er derfor jeg sier at det ikke spiller noen rolle hvor mange segmenter det der).

ChatGPT vil også bistå med å lage script for VMware segmenteringen ved hjelp av unike port groups koblet til hver sin VLAN ID matchende info i Excel arket.

I brannmuren flyttes default gateway fra interface til et vlan interface.

  • Dette vil resultere i flere VLAN i switchene, ett vlan per sikkerhetssone, som kan være per server eller OT enhet.
  • Dette vil resultere i tilsvarende like mange Lag 2 subinterface med tilhørende sone i brannmuren.
    • Man starter med en any any allow regel mellom alle disse nye sonene for at ting skal fungere i overgangen.
  • Opprettelse av multiple port groups i VMware med tilhørende VLAN ID.

Endring

Når all konfigurasjon er på plass kan man kontrollert flytte en eller flere servere inn i de nye port groups nærmest uten nedetid. Alt vil fungere som før. Men dette utført er man klar for siste fase, optimalisering med Least Privilege.

Optimalisering av sikkerhet

Når servere og systemer er segmentert vil man få synlighet på trafikk mellom disse og kan starte med Least Privilege. Man kommer i mål med veldig liten innsats. Enkelt. Effektivt. Helt nydelig.

  • Ingen nye produkter
  • Veldig lite jobb
  • Mye bedre sikkerhet

Ta kontakt, om nødvendig eller ønskelig

Jeg ønsker å dele, derfor denne artikkelen. Dette er noe alle kan klare selv, men skulle det allikevel være behov for hjelp, ta kontakt så ser vi på dette sammen. Dette er meget tilsfredsstillende å jobbe med, fordi det er anbefalt, det er viktig og alle ser hvor enkelt og effektivt det er.

Relaterte artikler:

, , , , , ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading