Povečajte varnost in zmogljivost z segmentacijo omrežja

Do zdaj ste verjetno že opazili sklice na segmentacijo omrežja na mestih, ki segajo od tega stolpca do funkcij varnosti omrežja in razpravljanja o najboljših praksah pri nadzoru omrežja. Toda za številne strokovnjake za IT je segmentacija omrežja ena tistih stvari, s katerimi se vedno načrtujete, da se bodo kdajkoli spopadli, a vedno nekaj pride na pot. Tako kot februarja: davke: veš, da bi moral, a potrebuješ dodaten vzgib motivacije. To si upam storiti s tem 5-stopenjskim razlagalom.

Najprej moramo biti na isti strani; začnimo s tem, kar je: Segmentacija omrežja je praksa, da obstoječo mrežo razdelite na manjše koščke ali, če imate srečo, da začnete graditi mrežo iz nič, jo že na začetku oblikovati v kosih. Vendar to ne pomeni zgolj naključnega razdelitve omrežja na dele. Namesto tega morate imeti načrt, da bo segmentacija smiselna.

Razlogov za segmentacijo omrežja je več; najpomembnejši razlog je varnost. Če je vaše omrežje razdeljeno na več manjših omrežij, vsako s svojim usmerjevalnikom ali stikalom 3, potem lahko vstop omejite na določene dele omrežja. Tako je dostop odobren le do končnih točk, ki ga potrebujejo. To preprečuje nepooblaščen dostop do delov omrežja, do katerih ne želite dostopati, prav tako pa omejuje nekaj hekerjev, ki bi lahko prodrli v en segment, da nimajo dostopa do vsega.

To se je zgodilo s kršitvijo cilja v letu 2013. Napadalci, ki uporabljajo poverilnice izvajalca ogrevanja, prezračevanja in klimatizacije (HVAC), so imeli dostop do terminalov na prodajnem mestu (POS), baze podatkov o kreditni kartici in vsega drugega omrežje. Jasno je, da izvajalec HVAC ni imel razloga, da bi imel dostop do česar koli, razen do regulatorjev HVAC, vendar so to storili, ker Target ni imel segmentirane mreže.

Če pa si za razliko od Targeta vzamete čas za segmentiranje omrežja, bodo ti vsiljivci lahko videli vaše regulatorje ogrevanja in klimatizacije, vendar nič drugega. Številne kršitve bi se lahko končale kot dogodek. Prav tako uslužbenci skladišča ne bodo imeli dostopa do računovodske baze podatkov niti ne bodo imeli dostopa do regulatorjev HVAC, vendar bo računovodsko osebje imelo dostop do svoje baze podatkov. Medtem bodo zaposleni imeli dostop do e-poštnega strežnika, vendar naprave v omrežju ne bodo.

Odločite se za funkcije, ki jih želite

Vse to pomeni, da se morate odločiti za funkcije, ki morajo komunicirati v vašem omrežju, in odločiti se morate, kakšno segmentacijo želite. "Odločanje o funkcijah" pomeni, da morate videti, kdo mora imeti osebje dostop do določenih računalniških virov in kdo ne. To je lahko težava za preslikavo, vendar ko to storite, boste funkcije lahko dodeljevali glede na naziv ali delovno nalogo, kar lahko v prihodnosti prinese dodatne koristi.

Glede vrste segmentacije lahko uporabite fizično segmentacijo ali logično segmentacijo. Fizična segmentacija pomeni, da bi bila vsa sredstva omrežja na enem fizičnem območju za požarnim zidom, ki določa, v kakšen promet lahko pride in kakšen promet lahko pride ven. Če ima 10. nadstropje svoj usmerjevalnik, potem lahko fizično segmentirate vse tam.

Logična segmentacija bi za doseganje segmentacije uporabila navidezne LAN (VLAN) ali omrežne naslove. Logična segmentacija lahko temelji na omrežjih VLAN ali določenih podomrežjih za definiranje omrežnih odnosov ali pa lahko uporabite oboje. Na primer, morda želite, da bodo vaše naprave Internet of Things (IoT) v določenih podomrežjih, medtem ko je vaše glavno podatkovno omrežje en niz podomrež, lahko vaši krmilniki HVAC in celo vaši tiskalniki zasedejo druge. Posel je v tem, da boste morali določiti dostop do tiskalnikov, tako da bodo imeli dostop ljudje, ki potrebujejo tiskanje.

Bolj dinamična okolja lahko pomenijo še bolj zapletene procese dodeljevanja prometa, ki bi morda morali uporabljati programsko opremo za načrtovanje ali orkestracijo, vendar se te težave pojavljajo samo v večjih omrežjih.

Različne funkcije, razloženo

Ta del govori o preslikavi delovnih funkcij v vaše omrežne segmente. Na primer, tipično podjetje lahko ima računovodstvo, človeške vire (HR), proizvodnjo, skladiščenje, upravljanje in nekaj povezanih naprav v omrežju, kot so tiskalniki ali danes kavni aparati. Vsaka od teh funkcij bo imela svoj mrežni segment in končne točke na teh segmentih bodo lahko dosegle podatke in druga sredstva na svojem funkcionalnem območju. Morda pa bodo morda potrebovali tudi dostop do drugih področij, na primer e-pošte ali interneta, in morda do splošnega osebja za stvari, kot so objave in prazni obrazci.

Naslednji korak je ugotoviti, katere funkcije morajo preprečiti doseganje teh območij. Dober primer so lahko vaše IoT naprave, ki se morajo samo pogovarjati s svojimi strežniki ali krmilniki, vendar ne potrebujejo e-pošte, brskanja po internetu ali osebnih podatkov. Delavci skladišča bodo potrebovali dostop do zalog, vendar verjetno ne bi smeli imeti dostopa do računovodstva. Svojo segmentacijo boste morali začeti tako, da najprej določite te odnose.

Pet osnovnih korakov za segmentacijo omrežja

Vsako sredstvo v vašem omrežju dodelite določeni skupini, tako da bi bilo računovodsko osebje v skupini, skladišče v drugi skupini in upravniki v še eni skupini.

Odločite se, kako želite ravnati s svojo segmentacijo. Fizična segmentacija je enostavna, če vam okolje dopušča, vendar omejuje. Logična segmentacija ima verjetno večino smisla za večino organizacij, vendar morate vedeti več o mreženju.

Določite, katera sredstva morajo komunicirati s katerimi drugimi sredstvi, in nato nastavite požarni zid ali omrežne naprave, da to dovolite in onemogočite dostop do vsega drugega.

Nastavite svoje odkrivanje vdorov in svoje storitve za preprečevanje zlonamerne programske opreme, tako da lahko oba vidita vse vaše omrežne segmente. Nastavite požarne zidove ali stikala, tako da poročajo o poskusih vdora.

Ne pozabite, da mora biti dostop do segmentov omrežja pregleden za pooblaščene uporabnike in da ne bi smeli biti vidni segmenti za nepooblaščene uporabnike. To lahko preizkusite s poskusom.

• 10 ukrepov za kibernetsko varnost, ki jih mora vaše podjetje zdaj narediti
• Nad obodom: kako nasloniti zaščito po plasteh onkraj perimetra: kako nasloniti zaščito po plasteh

Velja opozoriti, da segmentacija omrežja v resnici ni projekt Naredi sam - naredi sam, razen za najmanjše pisarne. Toda nekaj branja vas pripravi, da postavite prava vprašanja. Skupina Združenih držav za kibernetsko pripravljenost na nujne primere ali US-CERT (del ameriškega ministrstva za domovinsko varnost) je dobro mesto za začetek, čeprav so njihovi napotki usmerjeni v nadzor nad IoT in procesom. Cisco ima podroben dokument o segmentaciji za zaščito podatkov, ki ni specifičen za prodajalca.

Obstaja nekaj prodajalcev, ki ponujajo koristne informacije; vendar nismo preizkusili njihovih izdelkov, zato vam ne moremo povedati, ali bodo ti koristni. Te informacije vključujejo nasvete za uporabo Sage Data Security, videoposnetke o najboljših praksah podjetja AlgoSec in dinamično razpravo o segmentaciji ponudnika programske opreme HashiCorp za razporejanje omrežij. Končno, če ste avanturističnega tipa, varnostno svetovalno podjetje Bishop Fox ponuja vodnik za segmentacijo omrežja DIY.

Kar zadeva druge prednosti segmentacije zunaj varnosti, ima lahko segmentirano omrežje koristi od uspešnosti, saj omrežnemu prometu na segmentu morda ne bo treba konkurirati drugemu prometu. To pomeni, da inženirsko osebje ne bo ugotovilo, da bodo njegove varnostne kopije zamujale z varnostnimi kopijami, razvojni ljudje pa bodo lahko preizkusili, ne da bi skrbeli za vplive na delovanje drugega omrežnega prometa. Toda preden lahko storite karkoli, morate imeti načrt.