Сегментация сети-это все о разделении существующей сети на более мелкие куски, так как это может иметь значительные преимущества в плане безопасности и производительности. Вот как это осуществить пять основных шагов.
Сейчас вы, наверное, видели ссылки на сетевые сегментации в разных местах, от этого столбца в особенности по сетевой безопасности и обсуждения передовой практики в области сетевого мониторинга. Но для многих ИТ-специалистов, сегментация сети-это одна из тех вещей, которые вы всегда планируете обойти, в ближайшее время, но что-то всегда встает на пути. Как делают ваши налоги в феврале: вы знаете, вы должны, но вам нужно дополнительный заряд мотивации. Вот что я надеюсь сделать с этим 5-ступенчатой объясняющего.
Во-первых, мы должны быть на той же странице; начнем с того, что это: сеть сегментация-это метод разделения существующей сети на более мелкие кусочки или, если вы достаточно удачливы, чтобы запуск сети с нуля строить, конструировать его на куски в самом начале. Но это не значит, просто случайно разделение сети на части. Вместо этого, вы должны иметь план так, что сегментация имеет смысл.
Есть несколько причин для сегментации сети; наиболее важной является безопасность. Если сеть разделить на ряд небольших сетей, каждая со своим маршрутизатор или коммутатор 3, то вы можете ограничить въезд в определенные части сети. Таким образом, доступ предоставляется только к конечным точкам, которые нуждаются в этом. Это предотвращает несанкционированный доступ к элементам сети, к которой вы не хотите попасть, а также ограничивает некоторые хакера, который может проникнуть в один сегмент от имеющих доступ ко всему.
Вот что случилось с целевым нарушения в 2013 году. Злоумышленники, используя учетные данные от систем отопления, вентиляции и кондиционирования воздуха (HVAC) подрядчик имел доступ к Point-оф-продажи (PoS) и прочие терминалы, кредитной карты, базы данных и все остальное в сети. Очевидно, что нет никаких оснований для HVAC подрядчика, чтобы иметь доступ к чему-либо, но контроллеры HVAC, но они сделали, потому что цели не было сегментированных сетей.
Но если вы, в отличие от цели, не торопитесь, чтобы сегментировать сеть, то эти люди будут в состоянии видеть ваш отопление и регуляторы кондиционер, но ничего. Многие нарушения могут оказаться не-событие. Аналогичным образом, работники склада не имеют доступ к базе данных бухгалтерского учета они не будут иметь доступ к контроллеры HVAC, но сотрудники бухгалтерии имеют доступ к их базе. Между тем, сотрудники будут иметь доступ к серверу электронной почты, но устройства в сети не будет.
Решиться на функции, которые вы хотите
Все это означает, что вы должны определиться с функциями, которые нужны для общения в сети, и вам нужно решить, какого рода сегментации, которые вы хотите. «Выбор функций» означает, что вы должны увидеть, кто на ваш персонал должен иметь доступ к определенным вычислительным ресурсам, а кто нет. Это может быть боль, чтобы наметить, но когда это будет сделано, вы будете иметь возможность назначать функции на должности или работы, которые могут принести дополнительные выгоды в будущем.
Как тип сегментации, вы можете использовать физическую сегментацию или логической сегментации. Физическая сегментация означает, что все сетевые активы в одной физической области будут за брандмауэром, который определяет, какой трафик может прийти и то, что трафик может пойти. Так, если на 10-м этаже имеет свой собственный маршрутизатор, то вы можете физически сегменте все есть.
Логическая сегментация будет использовать виртуальные локальные сети (VLAN) или сетевой адресации для выполнения сегментации. Логическая сегментация может осуществляться на основе виртуальных локальных сетей или подсетей для определения сетевых связей или вы можете использовать оба. Например, вы хотите, чтобы ваш интернет вещей (IoT) устройств на определенных подсетей так, в то время как ваша основная сеть передачи данных-это один набор подсетей, контроллеры HVAC и даже принтеры могут занять другие. Муторно есть, что вам потребуется для определения доступа к принтерам так, чтобы люди, которые нуждаются в печати будут иметь доступ.
Более динамичной среде может означать еще более сложные процессы присвоения трафик, который могли бы использовать планирования или программного обеспечения оркестровки, но эти проблемы как правило возникают только в крупных сетях.
Различных Функций, Объяснил
Эта часть о отображение работы функции сегментов сети. Например, типичная бизнес может иметь Бухгалтерский учет, человеческие ресурсы (HR), производство, хранение, управление и небольшого количества других устройств, подключенных к сети, таких как принтеры или, в эти дни, кофеварка. Каждая из этих функций будет иметь свой собственный сегмент сети, а конечные точки этих сегментов сможете достичь данных и других средств в их функциональной области. Но они также должны иметь доступ к другим областям, таких как электронная почта или интернет, и, возможно, общего персонала для таких вещей, как списки и бланки.
Следующим шагом является, чтобы увидеть, какие функции должны быть недопущено в этих областях. Хорошим примером может быть устройств Интернета вещей, которые нужно только поговорить с соответствующих серверов или контроллеров, но они не должны по электронной почте, просмотре интернет, или данных персонала. Работники склада необходимо открыть инвентарь, но они, вероятно, не должны иметь доступ к бухгалтерии, например. Вам придется начать свой сегментации необходимо определить эти отношения.
5 основных шагов к сети сегментация
- Назначьте каждого ресурса в сети к определенной группе, так что сотрудники бухгалтерии были бы в группе, сотрудники склада в другой группе, и менеджеры в еще одну группу.
- Решите, как вы хотите обрабатывать вашей сегментации. Физическая сегментация легко, если среда позволяет, но это ограничивает. Логическая сегментация, вероятно, имеет больше смысла для большинства организаций, но вы должны знать больше о сети.
- Определить, какие активы должны взаимодействовать с другими активами, и затем настройте фаерволл или сетевых устройств, чтобы разрешить и запретить доступ ко всему остальному.
- Настройка системы обнаружения вторжений и защиты от шпионских служб, так как можно увидеть все свои сегменты сети. Настройте фаерволл или переключателей, чтобы попытки вторжения.
- Помните, что доступ к сегментам сети должна быть прозрачной для авторизованных пользователей и что не должно быть никакой видимости в сегментах для неавторизованных пользователей. Вы можете проверить это, пытаясь.
Стоит отметить, что сегментация сети не Сделай-Сам проект (поделки), за исключением небольших офисах. Но почитать вам готовы задавать правильные вопросы. Команда экстренной готовности организации кибер-государства или США-ДСК (входит в состав Департамента внутренней безопасности США) является хорошим местом, чтобы начать, хотя их руководство имеет целью IoT и контролировать процесс. Cisco имеет подробный документ о сегментации для защиты данных, которые не конкретного поставщика.
Есть некоторые производители, которые предоставляют полезную информацию, однако мы не тестировал свою продукцию, поэтому мы не можем сказать, являются ли эти пригодятся. Эта информация включает практические советы от мудреца безопасности данных, лучшие практики они от AlgoSec, и динамическую сегментацию обсуждение планирования сети поставщика программного обеспечения HashiCorp. Наконец, если вы любите приключения, консультирование по безопасности епископ Фокс предлагает руководство по сегментации сети СДЕЛАЙ САМ.
Что касается других преимуществ сегментации помимо безопасности, сегментированной сети может иметь преимущества в производительности, потому что сетевой трафик в сегменте, возможно, не придется конкурировать с другим транспортом. Это означает, инженерно-технический персонал не может найти свои рисунки задерживается резервных копий и людей развитие может быть в состоянии сделать их тестирования, не беспокоясь о последствиях производительность от остального сетевого трафика. Но прежде чем вы можете сделать что-нибудь, вы должны иметь план.