Obsah:
- Rozhodnite sa o funkciách, ktoré chcete
- Rôzne funkcie, vysvetlené
- 5 základných krokov k segmentácii siete
V súčasnosti ste pravdepodobne videli odkazy na segmentáciu siete na miestach od tohto stĺpca po funkcie týkajúce sa zabezpečenia siete a diskusie o osvedčených postupoch pri monitorovaní siete. Ale pre mnohých IT profesionálov je segmentácia siete jednou z vecí, s ktorými sa vždy chystáte obísť, ale niečo sa vždy dostane do cesty. Ako robiť dane vo februári: viete, že by ste mali, ale potrebujete ďalšiu motiváciu. To je to, čo dúfam, že urobím s týmto 5-stupňovým vysvetľovačom.
Existuje niekoľko dôvodov segmentácie siete; najdôležitejším dôvodom je bezpečnosť. Ak je vaša sieť rozdelená do niekoľkých menších sietí, z ktorých každá má svoj vlastný smerovač alebo prepínač vrstvy 3, môžete obmedziť prístup na určité časti siete. Týmto spôsobom sa prístup udeľuje iba koncovým bodom, ktoré to potrebujú. Tým sa zabráni neoprávnenému prístupu k častiam siete, ku ktorým nechcete mať prístup, a tiež to obmedzuje niektorých hackerov, ktorí mohli preniknúť do jedného segmentu, aby mali prístup ku všetkému.
To sa stalo s porušením cieľa v roku 2013. Útočníci, ktorí používali poverenia od dodávateľa vykurovania, ventilácie a klimatizácie (HVAC), mali prístup k terminálom v mieste predaja, databáze kreditných kariet a všetkým ostatným na siete. Je zrejmé, že pre dodávateľa HVAC neexistoval dôvod na prístup k ničomu inému ako radiče HVAC, ale urobili to preto, lebo Target nemal segmentovanú sieť.
Ak však na rozdiel od Target venujete čas segmentácii svojej siete, títo votrelci uvidia vaše regulátory kúrenia a klimatizácie, ale nič iné. Mnohé porušenia by mohli skončiť ako ne-udalosť. Podobne pracovníci skladu nebudú mať prístup do účtovnej databázy ani nebudú mať prístup k regulátorom HVAC, ale účtovníci budú mať prístup do svojej databázy. Medzitým budú mať zamestnanci prístup k e-mailovému serveru, ale zariadenia v sieti nie.
Rozhodnite sa o funkciách, ktoré chcete
To všetko znamená, že musíte rozhodnúť o funkciách, ktoré musia komunikovať vo vašej sieti, a musíte sa rozhodnúť, aký druh segmentácie chcete. „Rozhodovacie funkcie“ znamenajú, že musíte zistiť, kto z vašich zamestnancov musí mať prístup k špecifickým výpočtovým zdrojom a kto nie. Môže to byť bolesť, ktorú treba zmapovať, ale keď to urobíte, budete môcť priradiť funkcie podľa názvu úlohy alebo pracovného zaradenia, čo môže v budúcnosti priniesť ďalšie výhody.
Pokiaľ ide o typ segmentácie, môžete použiť fyzickú segmentáciu alebo logickú segmentáciu. Fyzická segmentácia znamená, že všetky sieťové prostriedky v jednej fyzickej oblasti by sa nachádzali za bránou firewall, ktorá definuje, do ktorej prenosov môže prichádzať a z ktorej môže ísť ďalej. Ak má 10. poschodie vlastný smerovač, môžete tam fyzicky segmentovať každého.
Logická segmentácia by na dosiahnutie segmentácie používala virtuálne LAN (VLAN) alebo sieťové adresovanie. Logická segmentácia môže byť založená na sieťach VLAN alebo konkrétnych podsiete na definovanie vzťahov v sieti alebo môžete použiť obidve. Napríklad by ste mohli chcieť, aby vaše zariadenia internetu vecí (IoT) boli v konkrétnych podsietiach, takže zatiaľ čo vaša hlavná dátová sieť je jednou sadou podsietí, vaše ovládače HVAC a dokonca aj vaše tlačiarne môžu obsadiť iné. Práca je, že budete musieť definovať prístup k tlačiarňam tak, aby ľudia, ktorí potrebujú tlačiť, mali prístup.
Dynamickejšie prostredia môžu znamenať ešte zložitejšie procesy priradenia prenosu, ktoré môžu potrebovať softvér na plánovanie alebo orchestráciu, ale tieto problémy sa vyskytujú iba vo väčších sieťach.
Rôzne funkcie, vysvetlené
Táto časť je o mapovaní pracovných funkcií na vaše segmenty siete. Napríklad typický podnik môže mať účtovníctvo, ľudské zdroje (HR), výrobu, skladovanie, správu a rozbitie pripojených zariadení v sieti, napríklad tlačiarní alebo v súčasnosti kávovarov. Každá z týchto funkcií bude mať svoj vlastný segment siete a koncové body v týchto segmentoch budú môcť dosiahnuť údaje a ďalšie aktíva vo svojej funkčnej oblasti. Možno však budú potrebovať aj prístup do iných oblastí, ako napríklad e-mail alebo internet, a možno do všeobecnej oblasti pre veci, ako sú oznámenia a prázdne formuláre.
Ďalším krokom je zistiť, ktorým funkciám sa musí zabrániť v prístupe do týchto oblastí. Dobrým príkladom môžu byť vaše zariadenia internetu vecí, ktoré potrebujú hovoriť iba so svojimi príslušnými servermi alebo radičmi, ale nepotrebujú e-mail, prehľadávanie internetu alebo osobné údaje. Zamestnanci skladu budú potrebovať prístup k inventáru, ale pravdepodobne by nemali mať napríklad prístup k účtovníctve. Svoju segmentáciu budete musieť začať tak, že najprv určíte tieto vzťahy.
5 základných krokov k segmentácii siete
Každé aktívum vo vašej sieti priraďte ku konkrétnej skupine, aby boli účtovníci v skupine, pracovníci skladu v inej skupine a manažéri v inej skupine.
Rozhodnite sa, ako chcete spracovať svoju segmentáciu. Fyzická segmentácia je jednoduchá, ak to vaše prostredie umožňuje, ale je to obmedzené. Logická segmentácia má pravdepodobne pre väčšinu organizácií väčší zmysel, musíte však vedieť viac o vytváraní sietí.
Určite, ktoré prostriedky musia komunikovať s ktorými ďalšími prostriedkami, a potom nastavte brány firewall alebo sieťové zariadenia, aby to umožnili a zamietli prístup ku všetkým ostatným.
Nastavte si detekciu narušenia a svoje anti-malware služby tak, aby mohli vidieť všetky vaše sieťové segmenty. Nastavte brány firewall alebo prepínače tak, aby oznamovali pokusy o prienik.
Nezabúdajte, že prístup k segmentom siete by mal byť pre oprávnených používateľov transparentný a že pre segmenty pre neautorizovaných používateľov by nemal existovať žiadny prehľad. Môžete to vyskúšať vyskúšaním.
- 10 krokov týkajúcich sa kybernetickej bezpečnosti by mal váš podnik podniknúť práve teraz 10 krokov týkajúcich sa kybernetickej bezpečnosti by mal váš podnik podniknúť práve teraz
- Za hranicami: Ako riešiť vrstvenú bezpečnosť Za hranicami: Ako riešiť vrstvenú bezpečnosť
Je potrebné poznamenať, že segmentácia sietí nie je v skutočnosti projektom „urob si sám“ (DIY), s výnimkou najmenších kancelárií. Ale niektoré čítania vás pripravia klásť správne otázky. Tím Spojených štátov pre kybernetickú pohotovosť v USA alebo US-CERT (súčasť amerického ministerstva vnútornej bezpečnosti) je dobré začať, hoci ich usmerňovanie je zamerané na internet vecí a riadenie procesov. Spoločnosť Cisco má podrobný dokument o segmentácii ochrany údajov, ktorý nie je špecifický pre dodávateľa.
Niektorí dodávatelia poskytujú užitočné informácie; ich produkty sme však netestovali, preto vám nemôžeme povedať, či budú užitočné. Tieto informácie zahŕňajú rady s postupmi od spoločnosti Sage Data Security, videá s najlepšími postupmi od spoločnosti AlgoSec a diskusiu o dynamickej segmentácii od poskytovateľa softvéru na plánovanie sietí HashiCorp. Nakoniec, ak ste dobrodružný typ, poradenská služba v oblasti bezpečnosti Bishop Fox ponúka sprievodcu pre segmentáciu siete.
Pokiaľ ide o ďalšie výhody segmentácie nad rámec zabezpečenia, môže mať segmentovaná sieť výhody z hľadiska výkonu, pretože sieťová prevádzka v segmente nemusí konkurovať inej premávke. To znamená, že technický personál nenájde oneskorenie svojich výkresov zálohami a vývojári môžu byť schopní vykonať testovanie bez obáv z dopadov na výkon z iných sieťových prenosov. Ale skôr, ako budete môcť urobiť čokoľvek, musíte mať plán.
