Съдържание:
- Решете функциите, които искате
- Различни функции, обяснени
- 5-те основни стъпки към сегментиране на мрежата
Видео: whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑÐºÑ (Ноември 2024)
Досега вероятно сте виждали препратки към сегментацията на мрежата на места, вариращи от тази колона, до функции за мрежова сигурност и обсъждане на най-добрите практики в мониторинга на мрежата. Но за много ИТ специалисти мрежовата сегментация е едно от онези неща, които винаги планирате да заобиколите, някъде скоро, но нещо винаги се препятства. Като да правиш данъците си през февруари: знаеш, че трябва, но имаш нужда от допълнително мотивиране. Това се надявам да направя с този 5-стъпален обяснител.
Има няколко причини за сегментиране на мрежата; най-важната причина е сигурността. Ако вашата мрежа е разделена на няколко по-малки мрежи, всяка със собствен рутер или превключвател Layer 3, тогава можете да ограничите влизането до определени части на мрежата. По този начин достъпът се предоставя само до крайни точки, които се нуждаят от него. Това предотвратява неоторизиран достъп до части от мрежата, до които не искате да имате достъп, и също така ограничава някои хакери, които може да са проникнали в един сегмент, да нямат достъп до всичко.
Това се случи с нарушението на Target през 2013 г. Нападателите, използващи идентификационни данни от изпълнителя за отопление, вентилация и климатизация (HVAC), имаха достъп до терминалите за продажба (POS), базата данни с кредитни карти и всичко останало в мрежа. Ясно е, че нямаше причина изпълнителят на HVAC да има достъп до каквото и да било, освен до HVAC контролерите, но те го направиха, защото Target нямаше сегментирана мрежа.
Но ако вие, за разлика от Target, отделите време за сегментиране на вашата мрежа, тогава тези натрапници ще могат да видят вашите контролери за отопление и климатизация, но нищо друго. Много нарушения могат да се превърнат в несъбитие. По същия начин служителите в склада няма да имат достъп до счетоводната база данни, нито ще имат достъп до HVAC контролерите, но счетоводният персонал ще има достъп до тяхната база данни. Междувременно служителите ще имат достъп до имейл сървъра, но устройствата в мрежата няма.
Решете функциите, които искате
Всичко това означава, че трябва да решите функциите, които трябва да комуникират във вашата мрежа и трябва да решите какъв вид сегментиране искате. „Решаващи функции“ означава, че трябва да видите кой от вашия персонал трябва да има достъп до конкретни компютърни ресурси и кой не. Това може да бъде болка да се очертае, но когато приключи, ще можете да зададете функции по длъжност или работно задание, което може да донесе допълнителни ползи в бъдеще.
Що се отнася до типа сегментация, можете да използвате физическа сегментация или логическа сегментация. Физическата сегментация означава, че всички мрежови активи в една физическа зона ще бъдат зад защитна стена, която определя какъв трафик може да влезе и какъв трафик може да излезе. Така че, ако на 10-ия етаж има собствен рутер, тогава можете физически да сегментирате всички там.
Логическото сегментиране би използвало виртуални LAN (VLAN) или мрежово адресиране за осъществяване на сегментацията. Логическата сегментация може да се основава на VLAN или конкретни подмрежи за дефиниране на мрежовите отношения или може да използвате и двете. Например, можете да искате устройствата си Internet of Things (IoT) в конкретни подмрежи, така че основната ви мрежа за данни е един набор от подмрежи, вашите HVAC контролери и дори вашите принтери могат да заемат други. Работата там е, че ще трябва да определите достъп до принтерите, така че хората, които трябва да печатат, да имат достъп.
По-динамичните среди могат да означават още по-сложни процеси за присвояване на трафик, които може да трябва да използват софтуер за планиране или оркестрация, но тези проблеми са склонни да се появяват само в по-големи мрежи.
Различни функции, обяснени
Тази част е свързана с картографирането на работните функции към вашите мрежови сегменти. Например, типичният бизнес може да има счетоводство, човешки ресурси (HR), производство, складиране, управление и разбиване на свързани устройства в мрежата, като принтери или, днес, кафемашини. Всяка от тези функции ще има свой мрежов сегмент и крайните точки на тези сегменти ще могат да достигнат до данни и други активи във функционалната им област. Но те също могат да се нуждаят от достъп до други области, като имейл или интернет, а може би и до обща зона за персонал за неща като съобщения и празни формуляри.
Следващата стъпка е да се види кои функции трябва да бъдат предотвратени да достигнат до тези области. Добър пример могат да бъдат вашите IoT устройства, които трябва да разговарят само със съответните сървъри или контролери, но не се нуждаят от имейл, интернет сърфиране или данни за персонала. Служителите на склада ще се нуждаят от достъп до инвентара, но вероятно не трябва да имат достъп до счетоводство, например. Ще трябва да започнете своята сегментация, като първо определите тези взаимоотношения.
5-те основни стъпки към сегментиране на мрежата
Присвойте всеки актив от вашата мрежа към определена група, така че счетоводният персонал да бъде в група, служителите в склада в друга група и мениджърите в още една група.
Решете как искате да се справите със своята сегментация. Физическата сегментация е лесна, ако средата ви позволява, но е ограничаваща. Логическата сегментация вероятно има по-голям смисъл за повечето организации, но трябва да знаете повече за работата в мрежа.
Определете кои активи трябва да комуникират с кои други активи и след това настройте вашите защитни стени или вашите мрежови устройства, за да разрешите това и да откажете достъп до всичко останало.
Настройте вашето откриване на проникване и вашите анти-злонамерен софтуер, така че и двете да виждат всички ваши мрежови сегменти. Настройте вашите защитни стени или превключватели, така че да отчитат опити за проникване.
Не забравяйте, че достъпът до мрежовите сегменти трябва да е прозрачен за оторизирани потребители и че не трябва да има видимост в сегментите за неоторизирани потребители. Можете да тествате това, като опитате.
- 10 стъпки за киберсигурност вашият малък бизнес трябва да предприемете сега 10 стъпки за киберсигурност, който вашият малък бизнес трябва да предприеме точно сега
- Отвъд периметъра: Как да се адресира слоевата сигурност отвъд периметъра: Как да се адресира слоевата сигурност
Заслужава да се отбележи, че мрежовото сегментиране всъщност не е проект „Направи си сам“, освен за най-малките офиси. Но някои четене ще ви подготвят да зададете правилните въпроси. Американският екип за кибер готовност за спешни ситуации или US-CERT (част от Министерството на вътрешната сигурност на САЩ) е добро място за стартиране, въпреки че техните насоки са насочени към IoT и контрол на процесите. Cisco има подробен документ за сегментацията за защита на данните, който не е специфичен за доставчика.
Има някои доставчици, които предоставят полезна информация; обаче не сме тествали техните продукти, така че не можем да ви кажем дали те ще бъдат полезни. Тази информация включва съвети за препоръки от Sage Data Security, видео с най-добри практики от AlgoSec и динамична дискусия за сегментиране от доставчика на софтуер за планиране на мрежата HashiCorp. И накрая, ако сте от приключенския тип, консултантът по сигурността Bishop Fox предлага ръководство за мрежово сегментиране на мрежата.
Що се отнася до останалите предимства на сегментирането извън сигурността, сегментираната мрежа може да има ползи от производителността, тъй като мрежовият трафик на сегмент може да не се налага да се конкурира с друг трафик. Това означава, че инженерният персонал няма да открие, че чертежите му се забавят от архивиране и хората от разработката може да могат да направят своите тестове, без да се притесняват от въздействието на производителността от другия мрежов трафик. Но преди да можете да направите нещо, трябва да имате план.