Сегментация облачной инфраструктуры с помощью решения Check Point Next-Generation Firewall

С помощью руководства вы развернете защищенную сетевую инфраструктуру на основе Check Point Next-Generation Firewall. Инфраструктура состоит из трех сегментов, каждый из которых содержит ресурсы одного назначения, обособленные от других ресурсов. Например, выделенный DMZ сегмент предназначен для размещения общедоступных приложений, а сегмент mgmt содержит ресурсы, используемые для управления облачной сетевой инфраструктурой. Связь между сегментами происходит через виртуальную машину Check Point Next-Generation Firewall, обеспечивающую комплексную защиту сегментов и контроль трафика между сегментами.

Если необходимо обеспечить отказоустойчивость NGFW и высокую доступность развернутых приложений, то используйте рекомендуемое решение.

Схема решения представлена ниже.

Решение включает следующие основные сегменты (каталоги):

• Каталог public предназначен для размещения ресурсов с доступом из интернет;
• Каталог mgmt предназначен для управления облачной инфраструктурой и размещения служебных ресурсов. Включает в себя ВМ для защиты инфраструктуры и сегментации сети на зоны безопасности (fw), ВМ сервера централизованного управления межсетевыми экранами (mgmt-server) и ВМ c настроенным WireGuard VPN для защищенного доступа к сегменту управления по VPN (jump-vm);
• Каталог dmz предоставляет возможность публикации приложений с открытым доступом из внешней сети интернет.

Более подробное описание приведено в репозитории проекта.

Чтобы развернуть защищенную сетевую инфраструктуру на основе Check Point Next-Generation Firewall:

1. Подготовьте облако к работе.
2. Подготовьте окружение.
3. Разверните ресурсы.
4. Настройте шлюз межсетевого экрана.
5. Протестируйте работоспособность решения.
6. Требования к развертыванию в продуктивной среде

Если созданные ресурсы вам больше не нужны, удалите их.

Next-Generation FirewallNext-Generation Firewall

В Yandex Cloud Marketplace доступно несколько вариантов NGFW. В данном сценарии используется решение Check Point CloudGuard IaaS, предоставляющее следующие возможности:

• Межсетевой экран, NAT, предотвращение вторжений, антивирус и защита от ботов;
• Гранулярный контроль трафика на уровне приложений, логирование сессий;
• Централизованное управление с помощью решения Check Point Security Management;
• Решение Check Point в данном примере настроено с базовыми политиками доступа (Access Control) и NAT.

Решение Check Point CloudGuard IaaS доступно в Yandex Cloud Marketplace в вариантах Pay as you go и BYOL. В этом примере используется BYOL вариант с Trial периодом 15 дней:

• ВМ NGFW Check Point CloudGuard IaaS - Firewall & Threat Prevention BYOL;
• ВМ сервера управления Check Point CloudGuard IaaS - Security Management BYOL для задач управления NGFW.

Для использования в продуктивной среде рекомендуется рассматривать варианты:

• NGFW Check Point CloudGuard IaaS - Firewall & Threat Prevention PAYG;
• Для сервера управления Check Point CloudGuard IaaS - Security Management необходимо приобрести отдельную лицензию либо использовать свою on-prem инсталляцию сервера управления.

Подготовьте облако к работеПодготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки инфраструктуры входит:

• плата за постоянно работающие ВМ (см. тарифы Yandex Compute Cloud);
• плата за использование публичных IP-адресов и исходящий трафик (см. тарифы Yandex Virtual Private Cloud).

Необходимые квотыНеобходимые квоты

Убедитесь, что в облаке достаточно квот и они не заняты ресурсами для других задач.

Подготовьте окружениеПодготовьте окружение

В руководстве используется программное обеспечение для ОС Windows и подсистема Windows Subsystem for Linux.
Инфраструктура разворачивается с помощью Terraform.

Настройте WSLНастройте WSL

1. Проверьте, установлена ли подсистема WSL на вашем компьютере. Для этого выполните в терминале интерфейса командной строки команду:

   wsl -l
   

   При установленной WSL терминал выведет список доступных дистрибутивов, например:

   Windows Subsystem for Linux Distributions:
   docker-desktop (Default)
   docker-desktop-data
   Ubuntu
   

2. Если WSL не установлена, установите ее и повторите предыдущий шаг.

3. Дополнительно можно установить на подсистему WSL привычный вам дистрибутив ОС Linux, например, Ubuntu.

4. Чтобы сделать установленный дистрибутив системой по умолчанию, выполните:

   wsl --setdefault ubuntu
   

5. Переведите терминал в режим работы в подсистеме Linux, выполнив команду:

   wsl ~
   

Создайте сервисный аккаунт с правами администратора на облакоСоздайте сервисный аккаунт с правами администратора на облако

Установите необходимые утилитыУстановите необходимые утилиты

1. Установите Git с помощью команды:

   sudo apt install git
   

2. Установите Terraform:

   1. Перейдите в корневую папку:

      cd ~
      

   2. Создайте папку terraform и перейдите в нее:

      mkdir terraform
      cd terraform
      

   3. Скачайте файл terraform_1.3.9_linux_amd64.zip с официального сайта, выполнив команду:

      curl --location --remote-name https://hashicorp-releases.yandexcloud.net/terraform/1.3.9/terraform_1.3.9_linux_amd64.zip
      

   4. Установите утилиту zip и распакуйте zip-архив:

      apt install zip
      unzip terraform_1.3.9_linux_amd64.zip
      

   5. Добавьте путь к папке, в которой находится исполняемый файл, в переменную PATH:

      export PATH=$PATH:~/terraform
      

   6. Проверьте, что Terraform установлен, выполнив команду:

      terraform -help
      

3. Создайте конфигурационный файл с указанием источника провайдеров для Terraform:

   1. Создайте файл .terraformrc с помощью встроенного редактора nano:

      cd ~
      nano .terraformrc
      

   2. Добавьте в него следующий блок:

      provider_installation {
        network_mirror {
          url = "https://terraform-mirror.yandexcloud.net/"
          include = ["registry.terraform.io/*/*"]
        }
        direct {
          exclude = ["registry.terraform.io/*/*"]
        }
      }
      

      Подробнее о настройках зеркал см. в документации Terraform.

Разверните ресурсыРазверните ресурсы

1. Клонируйте репозиторий из GitHub и перейдите в папку сценария yc-network-segmentation-with-checkpoint:

   git clone https://github.com/yandex-cloud-examples/yc-network-segmentation-with-checkpoint.git
   cd yc-network-segmentation-with-checkpoint
   

2. Настройте профиль CLI для выполнения операций от имени сервисного аккаунта:

   CLI

   Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

   По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

   1. Создайте авторизованный ключ для сервисного аккаунта и запишите его файл:

      yc iam key create \
        --service-account-id <идентификатор_сервисного_аккаунта> \
        --folder-id <id_каталога_с_сервисным_аккаунтом> \
        --output key.json
      

      Где:

      • service-account-id — идентификатор сервисного аккаунта;
      • folder-id — идентификатор каталога, в котором создан сервисный аккаунт;
      • output — имя файла с авторизованным ключом.

      Результат:

      id: aje8nn871qo4********
      service_account_id: ajehr0to1g8b********
      created_at: "2023-03-04T09:16:43.479156798Z"
      key_algorithm: RSA_2048
      

   2. Создайте профиль CLI для выполнения операций от имени сервисного аккаунта:

      yc config profile create sa-terraform
      

      Результат:

      Profile 'sa-terraform' created and activated
      

   3. Задайте конфигурацию профиля:

      yc config set service-account-key key.json
      yc config set cloud-id <идентификатор_облака>
      yc config set folder-id <идентификатор_каталога>  
      

      Где:

      • service-account-key — файл с авторизованным ключом сервисного аккаунта;
      • cloud-id — идентификатор облака;
      • folder-id — идентификатор каталога.

   4. Добавьте аутентификационные данные в переменные окружения:

      export YC_TOKEN=$(yc iam create-token)
      export YC_CLOUD_ID=$(yc config get cloud-id)
      export YC_FOLDER_ID=$(yc config get folder-id)
      

3. Получите IP вашего ПК:

   curl 2ip.ru
   

   Результат:

   192.240.24.87
   

4. Откройте файл terraform.tfvars с помощью редактора nano и отредактируйте:

   1. Строку, содержащую идентификатор облака:

      cloud_id = "<идентификатор_облака>"
      

   2. Строку, содержащую список разрешенных публичных IP-адресов для доступа к ВМ jump-vm:

      trusted_ip_for_access_jump-vm = ["<внешний_IP_ПК>/32"]
      

   Описание переменных в terraform.tfvars

   Название параметра	Нужно изменение	Описание	Тип	Пример
   cloud_id	да	Идентификатор вашего облака в Yandex Cloud	string	b1g8dn6s3v2e********
   az_name	-	Зона доступности Yandex Cloud для размещения ресурсов	string	ru-central1-d
   security_segment_names	-	Список названий сегментов. Первый сегмент для размещения ресурсов управления, второй с публичным доступом в интернет, третий для DMZ. Если требуются дополнительные сегменты, то нужно добавлять их в конец списка. При добавлении сегмента обязательно добавьте префикс для подсети в список subnet_prefix_list.	list(string)	["mgmt", "public", "dmz"]
   subnet_prefix_list	-	Список сетевых префиксов для подсетей, соответствующих списку названия сегментов security_segment_names. По одному префиксу для сегмента.	list(string)	["192.168.1.0/24", "172.16.1.0/24", "10.160.1.0/24"]
   public_app_port	-	TCP порт для опубликованного в DMZ приложения для подключения из внешнего интернета	number	80
   internal_app_port	-	Внутренний TCP порт опубликованного в DMZ приложения, на который NGFW будет направлять трафик. Может отличаться от public_app_port или совпадать с ним.	number	8080
   trusted_ip_for_access_jump-vm	да	Список публичных IP адресов/подсетей, с которых разрешено подключение к Jump ВМ. Используется во входящем правиле группы безопасности для Jump ВМ.	list(string)	["A.A.A.A/32", "B.B.B.0/24"]
   jump_vm_admin_username	-	Имя пользователя для подключения к Jump ВМ по SSH	string	admin
   wg_port	-	UDP порт для входящих соединений в настройках WireGuard на Jump ВМ	number	51820

   Важно

   Рекомендуется заранее указать дополнительные сегменты, если они могут потребоваться в будущем, т.к. ВМ с образом NGFW в облаке не поддерживает добавление новых сетевых интерфейсов после её создания.

5. Разверните ресурсы в облаке с помощью Terraform:

   1. Выполните инициализацию Terraform:

      terraform init
      

   2. Проверьте конфигурацию Terraform файлов:

      terraform validate
      

   3. Проверьте список создаваемых облачных ресурсов:

      terraform plan
      

   4. Создайте ресурсы:

      terraform apply
      

6. После завершения процесса terraform apply в командной строке будет выведен список информации о развернутых ресурсах. В дальнейшем его можно будет посмотреть с помощью команды terraform output:

   Посмотреть информацию о развернутых ресурсах

   Название	Описание	Пример значения
   dmz-web-server_ip_address	IP адрес веб-сервера в сегменте dmz для тестирования публикации приложения из dmz. Используется для настройки Destination NAT в FW.	10.160.1.100
   fw-mgmt-server_ip_address	IP адрес сервера управления FW	192.168.1.100
   fw_gaia_portal_mgmt-server_password	Пароль по умолчанию для первоначального подключения по https к IP адресу сервера управления FW	admin
   fw_mgmt_ip_address	IP адрес FW в сети управления	192.168.1.10
   fw_public_ip_address	Публичный IP адрес для FW	D.D.D.D
   fw_sic-password	Однократный пароль для добавления FW в сервер управления FW	Не показывается в общем выводе terraform output. Для отображения значения используйте terraform output fw_sic-password.
   fw_smartconsole_mgmt-server_password	Пароль для подключения к серверу управления FW с помощью графического приложения Check Point SmartConsole	Не показывается в общем выводе terraform output. Для отображения значения используйте terraform output fw_smartconsole_mgmt-server_password.
   jump-vm_path_for_WireGuard_client_config	Файл конфигурации для защищенного VPN подключения с помощью клиента WireGuard к Jump ВМ	./jump-vm-wg.conf
   jump-vm_public_ip_address_jump-vm	Публичный IP адрес Jump ВМ	E.E.E.E
   path_for_private_ssh_key	Файл с private ключом для подключения по протоколу SSH к ВМ (jump-vm, fw, mgmt-server, веб-сервер в сегменте dmz)	./pt_key.pem

Настройте шлюз межсетевого экранаНастройте шлюз межсетевого экрана

В руководстве приводятся шаги настройки FW с базовыми политиками доступа (Access Control) и NAT, необходимыми для проверки работоспособности, но не являющимися достаточными для развертывания инфраструктуры в продуктивной среде.

Подробнее с возможностями Check Point и его настройкой можно познакомиться в бесплатном курсе Погружение в сетевую безопасность.

Подключитесь к сегменту управления через VPNПодключитесь к сегменту управления через VPN

После развертывания инфраструктуры в каталоге mgmt появится ВМ jump-vm на основе образа Ubuntu с настроенным WireGuard VPN для защищенного подключения. Настройте VPN туннель к ВМ jump-vm на вашем ПК для доступа к подсетям сегментов mgmt, dmz, public.

Чтобы настроить VPN туннель:

1. Получите имя пользователя в подсистеме Linux:

   whoami
   

2. Установите на ваш ПК приложение WireGuard.

3. Откройте приложение WireGuard и нажмите кнопку Add Tunnel.

4. В появившемся диалоге выберите файл jump-vm-wg.conf в папке yc-network-segmentation-with-checkpoint.
   Чтобы найти папку, созданную в подсистеме Linux, например, Ubuntu, введите в адресной строке диалога путь к файлу:

   \\wsl$\Ubuntu\home\<имя_пользователя_Ubuntu>\yc-network-segmentation-with-checkpoint
   

   Где <имя_пользователя_Ubuntu> — имя пользователя текущего дистрибутива ОС Linux.

5. Активируйте туннель нажатием на кнопку Activate.

6. Проверьте сетевую связность с сервером управления через VPN туннель WireGuard, выполнив в терминале команду:

   ping 192.168.1.100
   

   Важно

   Если пакеты не достигают сервера управления, проверьте, что в группе безопасности mgmt-jump-vm-sg в правилах входящего трафика прописан верный внешний IP-адрес ПК.

Запустите консоль управления SmartConsoleЗапустите консоль управления SmartConsole

Для управления и настройки решения Check Point установите и запустите графическое приложение SmartConsole:

1. Подключитесь к серверу управления NGFW, перейдя в браузере по адресу https://192.168.1.100.

2. Авторизуйтесь используя логин admin и пароль admin.

3. В открывшемся интерфейсе Gaia Portal скачайте графическое приложение SmartConsole. Для этого нажмите Manage Software Blades using SmartConsole. Download Now!.

4. Установите приложение SmartConsole на ПК.

5. Получите пароль доступа к SmartConsole:

   terraform output fw_smartconsole_mgmt-server_password
   

6. Откройте SmartConsole и авторизуйтесь, указав логин admin, IP-адрес сервера управления 192.168.1.100 и пароль доступа к SmartConsole.

Добавьте шлюз межсетевого экранаДобавьте шлюз межсетевого экрана

Добавьте шлюз межсетевого экрана FW в сервер управления, используя Wizard:

1. Слева сверху в выпадающем списке Objects выберите More object types → Network Object → Gateways and Servers → New Gateway....

2. Нажмите Wizard Mode.

3. В открывшемся диалоге введите:

   • Gateway name: FW
   • Gateway platform: CloudGuard IaaS
   • IPv4: 192.168.1.10

4. Нажмите Next.

5. Получите пароль доступа к межсетевому экрану:

   terraform output fw_sic-password
   

6. В поле One-time password введите пароль, полученный ранее.

7. Нажмите Next и Finish.

Настройте сетевые интерфейсы шлюза FWНастройте сетевые интерфейсы шлюза FW

Настройте сетевой интерфейс eth0:

1. На вкладке Gateways & Servers откройте диалог настроек шлюза FW. Для этого в списке кликните дважды на добавленный FW.
2. На вкладке Network Management в таблице Topology выберите интерфейс eth0, нажмите Edit и в появившемся окне нажмите Modify....
3. В разделе Security Zone активируйте Specify Security Zone и выберите InternalZone.

Аналогично настройте сетевые интерфейсы eth1, eth2:

1. Для интерфейса eth1 укажите в разделе Security Zone зону ExternalZone.
2. Для интерфейса eth2 в разделе Leads To выберите Override и активируйте Interface leads to DMZ. В разделе Security Zone укажите зону DMZZone.

Создайте сетевые объектыСоздайте сетевые объекты

1. Слева сверху в выпадающем списке Objects выберите New Network... и создайте сети mgmt, public и dmz со следующими данными:

   Name	Network address	Net mask
   mgmt	192.168.1.0	255.255.255.0
   public	172.16.1.0	255.255.255.0
   dmz	10.160.1.0	255.255.255.0

   Для сети dmz настройте Automatic Hide NAT, чтобы скрыть адреса ВМ, которые находятся в DMZ сегменте и выходят в интернет, за IP адресом FW в сегменте public. Для этого:

   1. В диалоге редактирования сети dmz перейдите на вкладку NAT.
   2. Активируйте Add automatic address translation rules, выберите Hide из выпадающего списка и опцию Hide behind the gateway.

2. Слева сверху в выпадающем списке Objects выберите New Host... и создайте хосты dmz-web-server и FW-public-IP со следующими данными:

   Name	IPv4 address
   dmz-web-server	10.160.1.100
   FW-public-IP	172.16.1.10

3. Выберите More object types → Service → New TCP... и создайте TCP-сервис для развернутого приложения в DMZ-сегменте, указав имя TCP_8080 и порт 8080.

Определите правила политики безопасностиОпределите правила политики безопасности

Чтобы добавить правило безопасности:

1. На вкладке Security policies в разделе Access Control выберите подраздел Policy.
2. В таблице правил нажмите правую кнопку мыши и напротив опции New Rule контекстного меню выберите Above или Below.
3. В новой строке:
   • в колонке Name впишите Web-server port forwarding on FW;
   • в колонке Destination выберите объект FW-public-IP;
   • в колонке Services & Applications выберите объект http;
   • в колонке Action выберите опцию Accept;
   • в колонке Track выберите опцию Log.

Аналогично внесите остальные правила из ниже приведенной таблицы базовых правил для проверки работы политик FW, публикации тестового приложения из DMZ сегмента и тестирования отказоустойчивости.

Настройте статическую таблицу трансляции NATНастройте статическую таблицу трансляции NAT

Destination NAT трансляции направляют запросы пользователей на веб-сервер приложения в dmz сегменте.

В заголовках пакетов с запросами от пользователей к опубликованному в DMZ приложению будет происходить трансляция Destination IP в IP адрес веб-сервера и Destination port в TCP порт 8080.

Чтобы настроить таблицы трансляции NAT шлюза FW:

1. Перейдите в подраздел NAT раздела Access Control;

2. В таблице правил в меню выберите Add rule to top.

3. В новой строке:

   • в колонке Original Destination выберите объект FW-public-IP;
   • в колонке Original Services выберите объект http;
   • в колонке Translated Destination выберите объект dmz-web-server;
   • в колонке Translated Services выберите объект TCP_8080.

   В таблице NAT появится правило:

   No	Original Source	Original Destination	Original Services	Translated Source	Translated Destination	Translated Services	Install On
   1	Any	FW-public-IP	http	Original	dmz-web-server	TCP_8080	Policy Targets (All gateways)

Примените правила политик безопасностиПримените правила политик безопасности

1. Вверху слева нажмите Install Policy.
2. В открывшемся диалоге нажмите Publish & Install.
3. В следующем диалоге нажмите Install и дождитесь завершения процесса.

Протестируйте работоспособность решенияПротестируйте работоспособность решения

1. Чтобы узнать публичный IP-адрес FW, выполните в терминале команду:

   terraform output fw_public_ip_address
   

2. Проверьте, что сетевая инфраструктура доступна извне, перейдя в браузере по адресу:

   http://<Публичный_ip_адрес_FW>
   

   Если система доступна извне, должна открыться страница Welcome to nginx!.

3. Проверьте, что активны разрешающие правила политики безопасности FW. Для этого на вашем ПК перейдите в папку yc-network-segmentation-with-checkpoint и подключитесь к ВМ в DMZ-сегменте по SSH:

   cd ~/yc-network-segmentation-with-checkpoint
   ssh -i pt_key.pem admin@<Внутренний_ip_адрес_ВМ_в_DMZ_сегменте>
   

4. Чтобы проверить наличие доступа из ВМ в DMZ сегменте к публичному ресурсу в сети интернет, выполните команду:

   ping ya.ru
   

   Команда должна выполниться в соответствие с разрешающим правилом ping from dmz to internet.

5. Проверьте, что выполняются запрещающие правила политики безопасности.
   Чтобы проверить отсутствие доступа к ВМ Jump ВМ в сегменте mgmt из сегмента dmz, выполните команду:

   ping 192.168.1.101
   

   Команда должна выполниться с ошибкой в соответствие с запрещающим правилом Cleanup rule.

6. В SmartConsole в разделе LOGS & MONITOR на вкладке Logs найдите записи в моменты проведения тестов и проверьте, какие правила политики безопасности и действия были применены к трафику.

Требования к развертыванию в продуктивной средеТребования к развертыванию в продуктивной среде

• Если необходимо обеспечить отказоустойчивость NGFW и высокую доступность развернутых приложений, то используйте рекомендуемое решение;
• Обязательно смените пароли, которые были переданы через сервис metadata в файлах check-init...yaml:
  • Пароль SIC для связи FW и сервера управления FW;
  • Пароль от графической консоли Check Point SmartConsole;
  • Пароль пользователя admin в сервере управления FW (можно изменить через Gaia Portal).
• Сохраните private SSH ключ pt_key.pem в надежное место либо пересоздайте его отдельно от Terraform;
• Удалите публичный IP адрес у Jump ВМ, если не планируете ей пользоваться;
• Если планируете использовать Jump ВМ для подключения к сегменту управления с помощью VPN WireGuard, то измените ключи для WireGuard на Jump ВМ и рабочей станции администратора;
• Настройте Access Control политики и NAT в Check Point NGFW для вашей инсталляции;
• Настройте правила в группах безопасности в сегментах, необходимые для работы развернутых приложений;
• Не назначайте публичные IP адреса на ВМ в сегментах, где используются таблицы маршрутизации через Check Point NGFW. Исключением является mgmt сегмент управления, где в таблицах маршрутизации не используется default route 0.0.0.0/0;
• Выберите подходящую лицензию и образ для Check Point CloudGuard IaaS (смотрите раздел Next-Generation Firewall).

Как удалить созданные ресурсыКак удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы, выполните команду:

terraform destroy

Terraform удалит все ресурсы без возможности восстановления: сети, подсети, виртуальные машины, каталоги и т.д.

Так как созданные ресурсы расположены в каталогах, то в качестве более быстрого способа удаления всех ресурсов можно использовать удаление всех каталогов через консоль Yandex Cloud с дальнейшим удалением файла terraform.tfstate из папки yc-network-segmentation-with-checkpoint на вашем ПК.