Tartalomjegyzék:
- Döntse el a kívánt funkciókat
- Különböző funkciók, magyarázatok
- A hálózati szegmentálás öt alapvető lépése
Mostanra valószínűleg már látott hivatkozásokat a hálózat szegmentálására, ezen oszloptól kezdve a hálózati biztonság jellemzőiig és a hálózati megfigyelés bevált gyakorlatainak megbeszélésein. De sok informatikai szakember számára a hálózati szegmentálás egyike azoknak a dolgoknak, amelyekbe Ön mindig tervez kerülni, valamikor hamarosan, de valami mindig akadályba lép. Mint például az adók februárban történő megfizetése: tudod, hogy kell, de szükség van egy extra motivációra. Ez az, amit remélem csinálni ezzel az ötlépcsős magyarázóval.
A hálózati szegmentációnak számos oka van; a legfontosabb ok a biztonság. Ha a hálózat több kisebb hálózatra oszlik, mindegyik saját útválasztóval vagy 3. réteg-kapcsolóval rendelkezik, akkor a belépést a hálózat bizonyos részeire korlátozhatja. Ilyen módon a hozzáférést csak azoknak a végpontoknak biztosítják, amelyeknek szükségük van rá. Ez megakadályozza a jogosulatlan hozzáférést a hálózat azon részeire, amelyekhez nem kíván hozzáférni, és korlátozza az egyes szegmenseken áthaladó hackerek számára az összeshez való hozzáférést.
Ez történt a Target 2013-as megsértésével. A fűtési, szellőztetési és légkondicionáló (HVAC) vállalkozó hitelesítő adatait használó támadók hozzáférhetnek az eladási helyekre (POS), a hitelkártya-adatbázisra és minden másra a hálózat. Nyilvánvaló, hogy a HVAC vállalkozóknak nem volt oka hozzáférni a HVAC vezérlőkön kívül bármihez, de azért voltak, mert a Targetnek nem volt szegmentált hálózata.
De ha a Targettel ellentétben időt vesz igénybe a hálózat szegmentálására, akkor a behatolók láthatják a fűtési és légkondicionáló vezérlőit, de semmi mást. Számos jogsértés nem esemény lehet. Hasonlóképpen, a raktári alkalmazottak nem férnek hozzá a számviteli adatbázishoz, és nem is férhetnek hozzá a HVAC vezérlőkhöz, de a könyvelő alkalmazottak hozzáférhetnek az adatbázisukhoz. Időközben az alkalmazottak hozzáférhetnek az e-mail szerverhez, de a hálózati eszközök nem.
Döntse el a kívánt funkciókat
Mindez azt jelenti, hogy el kell döntenie a hálózaton történő kommunikációhoz szükséges funkciókról, és el kell döntenie, hogy milyen szegmentálást szeretne. A "döntési funkciók" azt jelenti, hogy látnia kell, hogy az alkalmazottaknak rendelkeznie kell-e hozzáféréssel bizonyos számítási erőforrásokhoz, és ki nem. Fájdalmat okozhat a térképbe rajzolás, de ha elkészült, akkor funkciókat rendelhet munkakör vagy munkacím alapján, ami további haszonnal járhat a jövőben.
A szegmentálás típusát illetően használhat fizikai vagy logikai szegmentálást. A fizikai szegmentálás azt jelenti, hogy az összes hálózati eszköz egy fizikai területen egy tűzfal mögött lenne, amely meghatározza, hogy milyen forgalom jöhet be, és milyen forgalom menhet ki. Tehát, ha a 10. emeleten van saját útválasztója, akkor fizikailag szétoszthatja mindenkit.
A szegmentáláshoz a logikai szegmentálás virtuális LAN-okat (VLAN) vagy hálózati címzést használna. A logikai szegmentálás alapja lehet VLAN vagy meghatározott alhálózat a hálózati kapcsolatok meghatározására, vagy használhatja mindkettőt. Előfordulhat például, hogy a tárgyak internete (IoT) eszközeit meghatározott alhálózatokon szeretné, tehát, míg a fő adathálózat egy alhálózatkészlet, a HVAC vezérlők és még a nyomtatók másokat is elfoglalhatnak. Az a fárasztó munka, hogy meg kell határoznia a nyomtatókhoz való hozzáférést, hogy a nyomtatáshoz szükséges emberek hozzáférjenek a nyomtatókhoz.
A dinamikusabb környezetek még összetettebb forgalom-hozzárendelési folyamatokat jelenthetnek, amelyeknél esetleg ütemezési vagy hangszerkesztési szoftvert kell használni, ám ezek a problémák általában csak nagyobb hálózatokban jelennek meg.
Különböző funkciók, magyarázatok
Ez a rész a munkafunkciók hálózati szegmenseire való leképezéséről szól. Például egy tipikus vállalkozásnak számvitelre, emberi erőforrásokra (HR), termelésére, raktározására, kezelésére és a hálózaton csatlakoztatott eszközök, például nyomtatók vagy manapság kávéfőzők szétosztása lehet. Ezen funkciók mindegyikének megvan a saját hálózati szegmense, és ezeknek a szegmenseknek a végpontjai képesek lesznek elérni az adatokat és egyéb eszközöket funkcionális területükön. De szükségük van hozzáférésre más területekre is, mint például az e-mail vagy az internet, és valószínűleg egy általános alkalmazotti területre is, például a hirdetményekhez és az üres nyomtatványokhoz.
A következő lépés annak megállapítása, hogy mely funkciókat kell megakadályozni, hogy elérjék ezeket a területeket. Jó példa erre az IoT-eszközök, amelyeknek csak a megfelelő kiszolgálóikkal vagy vezérlőikkel kell beszélniük, de nincs szükségük e-mailre, internetes böngészésre vagy személyzeti adatokra. A raktár munkatársainak szükség lesz a készletlehetőségre, de valószínűleg nem férhetnek hozzá például a könyveléshez. A szegmentálást el kell kezdenie, először meghatározva ezeket a kapcsolatokat.
A hálózati szegmentálás öt alapvető lépése
Rendelje meg a hálózat minden eszközét egy adott csoporthoz úgy, hogy a számviteli alkalmazottak egy csoportban legyenek, a raktár munkatársai egy másik csoportban, és a vezetők egy másik csoportban legyenek.
Döntse el, hogyan kezeli a szegmentálását. A fizikai szegmentálás könnyű, ha a környezet ezt lehetővé teszi, de ez korlátozó. A logikai szegmentálás valószínűleg sokkal értelmesebb a legtöbb szervezetnél, de többet kell tudnia a hálózatépítésről.
Határozza meg, mely eszközöknek kell kommunikálniuk más eszközökkel, majd állítsa be a tűzfalakat vagy a hálózati eszközöket, hogy ezt lehetővé tegye, és megtagadja a hozzáférést minden máshoz.
Állítsa be a behatolás észlelését és a rosszindulatú programok elleni szolgáltatásokat, hogy mindkettő láthassa az összes hálózati szegmenst. Állítsa be a tűzfalakat vagy a kapcsolókat úgy, hogy azok behatolási kísérleteket jelentsenek.
Ne feledje, hogy a hálózati szegmensekhez való hozzáférésnek átláthatónak kell lennie az engedélyezett felhasználók számára, és hogy a szegmensekben nem szabad láthatóvá válni a jogosulatlan felhasználók számára. Ezt kipróbálhatja.
- 10 kiberbiztonsági lépés, amelyet a kisvállalkozásának azonnal meg kell tennie 10
- A kerületen túl: A rétegelt biztonság kezelése a kerületen kívül: Hogyan kezeljük a réteges biztonságot
Érdemes megjegyezni, hogy a hálózati szegmentálás valójában nem a csináld magad (DIY) projekt, kivéve a legkisebb irodákat. Néhány olvasás kész arra, hogy feltegye a megfelelő kérdéseket. Az Egyesült Államok számítógépes vészhelyzeti készenléti csapata vagy az US-CERT (az Egyesült Államok Belbiztonsági Minisztériumának része) jó hely a kezdéshez, bár útmutatásuk célja a tárgyak internete és a folyamatok ellenőrzése. A Cisco részletes adatlapot készít az adatvédelem szegmentálásáról, amely nem gyártó-specifikus.
Vannak olyan szállítók, amelyek hasznos információkat nyújtanak; azonban nem teszteltük termékeiket, így nem tudjuk megmondani, vajon ezek hasznosak-e. Ez az információ tartalmazza a Sage Data Security útmutatásait, az AlgoSec bevált gyakorlati videóit, valamint a HashiCorp hálózati ütemezési szoftver szolgáltatójának dinamikus szegmentálási beszélgetését. Végül, ha kalandos vagy, a Bishop Fox biztonsági tanácsadó hálózati szegmentálási útmutatót kínál.
A szegmentálásnak a biztonságon kívüli egyéb előnyeit illetően a szegmentált hálózatnak előnyei lehetnek a teljesítmény szempontjából, mivel a szegmensek hálózati forgalmának nem kell versenyeznie más forgalommal. Ez azt jelenti, hogy a mérnöki személyzet nem fogja észrevenni, hogy a rajzokat a biztonsági mentések késleltetik, és a fejlesztő emberek képesek lesznek elvégezni a tesztelést anélkül, hogy aggódnának a többi hálózati forgalom teljesítményhatása miatt. De mielőtt bármit megtehetsz, rendelkeznie kell egy tervvel.
