Оглавление:
- Определитесь с функциями, которые вы хотите
- Разные функции, объяснил
- 5 основных шагов к сегментации сети
Видео: Мультики про машинки новые серии 2017 - Кто сильнее! Лучшие мультфильмы для детей /#мультик игра (Ноябрь 2024)
К настоящему времени вы, вероятно, видели ссылки на сегментацию сети в разных местах, начиная с этого столбца и заканчивая функциями сетевой безопасности, а также обсуждали лучшие практики мониторинга сети. Но для многих ИТ-специалистов сегментация сети - это одна из тех вещей, к которой вы всегда планируете вернуться в ближайшее время, но что-то всегда мешает. Как делать налоги в феврале: вы знаете, что должны, но вам нужен дополнительный толчок мотивации. Это то, что я надеюсь сделать с этим 5-ступенчатым объяснителем.
Есть несколько причин для сегментации сети; самая важная причина - безопасность. Если ваша сеть разделена на несколько небольших сетей, каждая из которых имеет собственный маршрутизатор или коммутатор уровня 3, вы можете ограничить доступ к определенным частям сети. Таким образом, доступ предоставляется только конечным точкам, которые в этом нуждаются. Это предотвращает несанкционированный доступ к частям сети, к которым вы не хотите получать доступ, а также ограничивает доступ любого хакера, который мог проникнуть в один сегмент, ко всему.
Именно это и произошло с нарушением Target в 2013 году. Злоумышленники, использующие учетные данные подрядчика по отоплению, вентиляции и кондиционированию воздуха (HVAC), имели доступ к терминалам в точках продаж (POS), базе данных кредитных карт и всему остальному на сеть. Ясно, что у подрядчика HVAC не было причин иметь доступ ни к чему, кроме контроллеров HVAC, но они сделали это, потому что у Target не было сегментированной сети.
Но если вы, в отличие от Target, потратите время на сегментацию своей сети, эти злоумышленники смогут увидеть ваши контроллеры отопления и кондиционирования, но не более того. Многие нарушения могут оказаться не случайностью. Аналогично, сотрудники склада не будут иметь доступа к базе данных бухгалтерского учета и не будут иметь доступа к контроллерам HVAC, но сотрудники бухгалтерии будут иметь доступ к своей базе данных. Между тем сотрудники получат доступ к почтовому серверу, а устройства в сети - нет.
Определитесь с функциями, которые вы хотите
Все это означает, что вам нужно определиться с функциями, которые должны взаимодействовать в вашей сети, и вам нужно решить, какую сегментацию вы хотите. «Определение функций» означает, что вам нужно видеть, кто из ваших сотрудников должен иметь доступ к определенным вычислительным ресурсам, а кто нет. Это может быть затруднительно для отображения, но когда это будет сделано, вы сможете назначать функции по названию или назначению работы, что может принести дополнительные преимущества в будущем.
Что касается типа сегментации, вы можете использовать физическую сегментацию или логическую сегментацию. Физическая сегментация означает, что все сетевые активы в одной физической области будут находиться за брандмауэром, который определяет, какой трафик может входить, а какой - выходить. Так что, если на 10-м этаже есть собственный роутер, то вы можете физически разделить всех там.
Логическая сегментация будет использовать виртуальные локальные сети (VLAN) или сетевую адресацию для выполнения сегментации. Логическая сегментация может быть основана на VLAN или определенных подсетях для определения сетевых отношений, или вы можете использовать оба. Например, вам может потребоваться, чтобы ваши устройства Интернета вещей (IoT) находились в определенных подсетях, поэтому, хотя ваша основная сеть передачи данных представляет собой один набор подсетей, ваши контроллеры HVAC и даже ваши принтеры могут занимать другие. Задача заключается в том, что вам нужно определить доступ к принтерам, чтобы люди, которым нужно печатать, имели доступ.
Более динамичные среды могут означать еще более сложные процессы назначения трафика, для которых может потребоваться использование программного обеспечения для планирования или оркестровки, но эти проблемы, как правило, возникают только в крупных сетях.
Разные функции, объяснил
Эта часть о сопоставлении рабочих функций с вашими сегментами сети. Например, типичный бизнес может иметь учет, человеческие ресурсы (HR), производство, складирование, управление и небольшую совокупность подключенных устройств в сети, таких как принтеры или, в наши дни, кофеварки. Каждая из этих функций будет иметь свой собственный сегмент сети, и конечные точки в этих сегментах смогут получать данные и другие ресурсы в своей функциональной области. Но им также может понадобиться доступ к другим областям, таким как электронная почта или Интернет, и, возможно, общая область персонала для таких вещей, как объявления и бланки.
Следующим шагом является выяснение того, какие функции должны быть недоступны для этих областей. Хорошим примером могут быть ваши IoT-устройства, которым нужно только общаться с соответствующими серверами или контроллерами, но им не нужны электронная почта, просмотр интернета или личные данные. Сотрудникам склада потребуется доступ к инвентарю, но, вероятно, они не должны иметь доступа к бухгалтерии, например. Вам придется начать свою сегментацию, сначала определив эти отношения.
5 основных шагов к сегментации сети
Присвойте каждый актив в вашей сети определенной группе, чтобы сотрудники бухгалтерии были в одной группе, сотрудники склада в другой группе, а менеджеры - в другой группе.
Решите, как вы хотите справиться с вашей сегментации. Физическая сегментация проста, если ваша среда это позволяет, но она ограничивает. Логическая сегментация, вероятно, имеет больше смысла для большинства организаций, но вы должны знать больше о сети.
Определите, какие активы должны взаимодействовать с какими другими активами, а затем настройте брандмауэры или сетевые устройства, чтобы разрешить это и запретить доступ ко всему остальному.
Настройте обнаружение вторжений и службы защиты от вредоносных программ, чтобы оба они могли видеть все сегменты вашей сети. Настройте свои брандмауэры или коммутаторы так, чтобы они сообщали о попытках вторжения.
Помните, что доступ к сегментам сети должен быть прозрачным для авторизованных пользователей и что не должно быть видимости сегментов для неавторизованных пользователей. Вы можете проверить это, попробовав.
- 10 шагов кибербезопасности, которые ваш малый бизнес должен предпринять прямо сейчас 10 шагов кибербезопасности, которые ваш малый бизнес должен предпринять прямо сейчас
- За пределами периметра: как решать многоуровневую безопасность За пределами периметра: как решать многоуровневую безопасность
Стоит отметить, что сегментация сети на самом деле не проект «Сделай сам» (DIY), за исключением самых маленьких офисов. Но некоторые чтения помогут вам задать правильные вопросы. Хорошая отправная точка для этого - команда кибернетической готовности США или US-CERT (часть Министерства внутренней безопасности США), хотя их руководство направлено на IoT и управление процессом. У Cisco есть подробный документ по сегментации для защиты данных, который не зависит от поставщика.
Есть несколько поставщиков, которые предоставляют полезную информацию; однако мы не тестировали их продукты, поэтому не можем сказать, будут ли они полезными. Эта информация включает в себя практические советы от Sage Data Security, видео с лучшими практиками от AlgoSec и обсуждение динамической сегментации от поставщика программного обеспечения сетевого планирования HashiCorp. Наконец, если вы любитель приключений, консультант по безопасности Bishop Fox предлагает руководство по самостоятельной сегментации сети.
Что касается других преимуществ сегментации помимо безопасности, то сегментированная сеть может иметь преимущества в производительности, поскольку сетевой трафик в сегменте может не конкурировать с другим трафиком. Это означает, что инженерный персонал не обнаружит, что его чертежи задерживаются из-за резервного копирования, а разработчики могут провести тестирование, не беспокоясь о влиянии производительности на другой сетевой трафик. Но прежде чем вы сможете что-либо сделать, вам нужно иметь план.