Obsah:
- Rozhodněte se o funkcích, které chcete
- Různé funkce, vysvětleno
- 5 základních kroků k segmentaci sítě
Video: 10. Marketing: Marketingová koncepce a segmentace (Listopad 2024)
Nyní jste pravděpodobně viděli odkazy na segmentaci sítě na místech od tohoto sloupce po funkce zabezpečení sítě a diskuse o osvědčených postupech monitorování sítě. Ale pro mnoho IT profesionálů je segmentace sítě jednou z těch věcí, se kterými se budete vždy chtít obejít, ale něco se vždy dostane do cesty. Jako když děláte své daně v únoru: víte, že byste měli, ale potřebujete další motivaci. To je to, co doufám, že udělám s tímto 5-krokovým vysvětlujícím.
Existuje několik důvodů pro segmentaci sítě; nejdůležitějším důvodem je bezpečnost. Pokud je vaše síť rozdělena do několika menších sítí, z nichž každá má svůj vlastní směrovač nebo přepínač Layer 3, můžete omezit vstup na určité části sítě. Tímto způsobem je přístup povolen pouze koncovým bodům, které jej potřebují. Tím se zabrání neoprávněnému přístupu k částem sítě, k nimž nechcete přistupovat, a také to omezuje některé hackery, kteří mohli proniknout do jednoho segmentu, aby měli přístup ke všem.
To se stalo s porušením cíle v roce 2013. Útočníci používající přihlašovací údaje od dodavatele vytápění, ventilace a klimatizace (HVAC) měli přístup k terminálům prodejních míst, databázi kreditních karet a všem ostatním na síť. Je zřejmé, že neexistuje žádný důvod, aby dodavatel HVAC měl přístup k něčemu jinému než k řadičům HVAC, ale udělali to proto, že Target neměl segmentovanou síť.
Pokud ale na rozdíl od Target věnujete čas segmentaci sítě, pak ti vetřelci uvidí vaše regulátory vytápění a klimatizace, ale nic jiného. Mnoho porušení by mohlo skončit jako ne-událost. Stejně tak zaměstnanci skladu nebudou mít přístup k účetní databázi ani nebudou mít přístup k řadičům HVAC, ale účetní pracovníci budou mít přístup k jejich databázi. Mezitím budou mít zaměstnanci přístup k e-mailovému serveru, ale zařízení v síti nebudou.
Rozhodněte se o funkcích, které chcete
To vše znamená, že musíte rozhodnout o funkcích, které musí komunikovat ve vaší síti, a musíte se rozhodnout, jaký druh segmentace chcete. „Rozhodovací funkce“ znamená, že musíte zjistit, kdo z vašich zaměstnanců musí mít přístup ke konkrétním výpočetním prostředkům a kdo ne. To může být bolest při mapování, ale až bude hotovo, budete moci přiřadit funkce podle názvu úlohy nebo pracovního úkolu, což může v budoucnu přinést další výhody.
Pokud jde o typ segmentace, můžete použít fyzickou segmentaci nebo logickou segmentaci. Fyzická segmentace znamená, že veškerá síťová aktiva v jedné fyzické oblasti by byla za bránou firewall, která definuje, v jakém provozu může přijít a jaký provoz může zhasnout. Pokud má tedy 10. patro svůj vlastní router, můžete tam fyzicky segmentovat všechny.
Logická segmentace by k provedení segmentace používala virtuální LAN (VLAN) nebo síťové adresování. Logická segmentace může být založena na VLAN nebo specifických podsítích pro definování síťových vztahů, nebo můžete použít obojí. Například můžete chtít vaše zařízení Internet of Things (IoT) na konkrétních podsítích, takže zatímco vaše hlavní datová síť je jedna sada podsítí, vaše ovladače HVAC a dokonce i vaše tiskárny mohou zabírat ostatní. Fuška je, že budete muset definovat přístup k tiskárnám, aby lidé, kteří potřebují tisk, měli přístup.
Dynamičtější prostředí může znamenat ještě složitější procesy přiřazování provozu, které mohou vyžadovat použití softwaru pro plánování nebo orchestraci, ale tyto problémy se obvykle objevují pouze ve větších sítích.
Různé funkce, vysvětleno
Tato část pojednává o mapování pracovních funkcí na segmenty vaší sítě. Například typický podnik může mít účetnictví, lidské zdroje (HR), výrobu, skladování, správu a roztříštění připojených zařízení v síti, jako jsou tiskárny nebo, v dnešní době, kávovary. Každá z těchto funkcí bude mít svůj vlastní síťový segment a koncové body na těchto segmentech budou moci dosáhnout dat a dalších aktiv ve své funkční oblasti. Mohou však také potřebovat přístup do jiných oblastí, jako je e-mail nebo internet, a možná do obecné personální oblasti pro věci, jako jsou oznámení a prázdné formuláře.
Dalším krokem je zjistit, které funkce musí být zabráněno v dosažení těchto oblastí. Dobrým příkladem mohou být vaše zařízení IoT, která potřebují mluvit pouze se svými příslušnými servery nebo řadiči, ale nepotřebují e-mail, prohlížení internetu nebo osobní údaje. Pracovníci skladu budou potřebovat přístup k inventáři, ale pravděpodobně by neměli mít například přístup k účetnictví. Budete muset začít segmentaci nejprve definováním těchto vztahů.
5 základních kroků k segmentaci sítě
Přiřaďte každé aktivum ve vaší síti ke konkrétní skupině tak, aby účetní pracovníci byli ve skupině, zaměstnanci skladu v jiné skupině a vedoucí v další skupině.
Rozhodněte se, jak chcete segmentaci zvládnout. Fyzická segmentace je snadná, pokud to vaše prostředí umožňuje, ale je to omezující. Logická segmentace má pro většinu organizací pravděpodobně větší smysl, ale o síťování musíte vědět více.
Určete, která aktiva musí komunikovat s jinými aktivy, a poté nastavte brány firewall nebo síťová zařízení, aby to umožňovaly a odepřely přístup ke všem ostatním.
Nastavte si detekci narušení a své anti-malware služby, aby oba mohli vidět všechny vaše síťové segmenty. Nastavte brány firewall nebo přepínače tak, aby oznamovaly pokusy o narušení.
Nezapomeňte, že přístup k síťovým segmentům by měl být pro oprávněné uživatele transparentní a že by nemělo dojít k viditelnosti do segmentů pro neoprávněné uživatele. Můžete to vyzkoušet vyzkoušením.
- 10 kroků kybernetické bezpečnosti, které by vaše malé podniky měly podniknout hned teď 10 kroků kybernetické bezpečnosti, které by vaše malé firmy měly podniknout právě teď
- Za hranicí: Jak řešit vrstvené zabezpečení Za hranicí: Jak řešit vrstvené zabezpečení
Stojí za zmínku, že segmentace sítě není ve skutečnosti projekt Do-It-Yourself (DIY), s výjimkou nejmenších kanceláří. Ale některé čtení vás připraví klást správné otázky. Tým Spojených států pro kybernetickou pohotovost nebo pohotovost USA-CERT (součást amerického ministerstva vnitřní bezpečnosti) je dobrým místem pro zahájení, i když jejich vedení je zaměřeno na internet věcí a řízení procesů. Cisco má podrobný dokument o segmentaci pro ochranu dat, která není specifická pro dodavatele.
Existuje několik dodavatelů, kteří poskytují užitečné informace; jejich výrobky jsme však netestovali, takže vám nemůžeme říct, zda budou užitečné. Tyto informace zahrnují tipy na postup od Sage Data Security, video o doporučených postupech od AlgoSec a diskuzi o dynamické segmentaci od poskytovatele softwaru pro plánování sítě HashiCorp. A konečně, pokud jste dobrodružný typ, bezpečnostní poradenství Bishop Fox nabízí průvodce segmentací sítě DIY průvodce.
Pokud jde o další výhody segmentace mimo zabezpečení, může mít segmentovaná síť výhody výkonu, protože síťový provoz v segmentu nemusí konkurovat jinému provozu. To znamená, že technický personál nenajde zpoždění svých výkresů zálohami a vývojáři mohou být schopni provést testování bez obav z dopadů na výkon z jiného síťového provozu. Ale než budete moci udělat cokoli, musíte mít plán.
