Підвищити безпеку та продуктивність за допомогою сегментації мережі

На сьогодні ви вже, мабуть, бачили посилання на сегментацію мережі в місцях, починаючи від цього стовпця, до особливостей безпеки мережі та обговорення кращих практик моніторингу мережі. Але для багатьох ІТ-фахівців сегментація мережі - це одна з тих речей, до яких завжди планується обійтись, колись незабаром, але щось завжди стає на шляху. Як і робити податки в лютому: ви знаєте, що повинні, але вам потрібен додатковий мотиваційний мотив. Ось що я сподіваюся зробити з цим 5-ступінчастим пояснювачем.

По-перше, нам потрібно бути на одній сторінці; почнемо з того, що це таке: Сегментація мережі - це практика ділити існуючу мережу на більш дрібні шматочки або, якщо вам пощастило почати мережу будувати з нуля, проектуючи її на шматки з самого початку. Але це не означає просто випадковим чином розбивати мережу на частини. Натомість потрібно мати план, щоб сегментація мала сенс.

Існує кілька причин сегментації мережі; найважливіша причина - безпека. Якщо ваша мережа розділена на кілька менших мереж, кожна з яких має власний маршрутизатор або комутатор рівня 3, ви можете обмежити вхід до певних частин мережі. Таким чином, доступ надається лише кінцевим точкам, які цього потребують. Це запобігає несанкціонованому доступу до частин мережі, до яких ви не хочете отримати доступ, а також обмежує деякий хакер, який, можливо, проник в один сегмент, не маючи доступу до всього.

Ось що сталося з порушенням цілі в 2013 році. Зловмисники, що використовують облікові дані від підрядника опалення, вентиляції та кондиціонування (HVAC), мали доступ до терміналів торгового пункту (POS), бази даних кредитних карток та всього іншого мережа. Зрозуміло, що у підрядника HVAC не було жодного приводу мати доступ до чого-небудь, крім контролерів HVAC, але вони це зробили, оскільки у Target не було сегментованої мережі.

Але якщо ви, на відміну від Target, витратите час на сегментацію вашої мережі, то ці зловмисники зможуть побачити ваші контролери опалення та кондиціонування, але нічого іншого. Багато порушень можуть закінчитися неприбуттям. Так само працівники складу не матимуть доступу до бази даних обліку, а також не матимуть доступу до контролерів HVAC, але працівники бухгалтерії матимуть доступ до своєї бази даних. Тим часом співробітники отримають доступ до сервера електронної пошти, але пристрої в мережі не будуть.

Визначте потрібні функції

Все це означає, що вам потрібно визначитися з функціями, які потрібно передавати у вашій мережі, і вам потрібно вирішити, яку саме сегментацію ви хочете. "Вирішення функцій" означає, що вам потрібно побачити, хто з ваших співробітників повинен мати доступ до певних обчислювальних ресурсів, а хто ні. Це може бути болючим для відображення, але коли це буде зроблено, ви зможете призначити функції за назвою роботи або робочим завданням, що може принести додаткові переваги в майбутньому.

Що стосується типу сегментації, ви можете використовувати фізичну сегментацію або логічну сегментацію. Фізична сегментація означає, що всі мережеві активи в одній фізичній зоні опиняться за брандмауером, який визначає, який трафік може надходити і який трафік може виходити. Отже, якщо на 10 поверсі є власний маршрутизатор, то ви можете фізично сегментувати всіх там.

Логічна сегментація використовує віртуальні локальні мережі (VLAN) або мережеві адреси для здійснення сегментації. Логічна сегментація може базуватися на VLAN або конкретних підмережах для визначення мережних зв’язків, або ви можете використовувати обидва. Наприклад, ви, можливо, хочете, щоб ваші пристрої Internet of Things (IoT) у певних підмережах, тоді як ваша основна мережа даних - це один набір підмереж, ваші контролери HVAC і навіть ваші принтери можуть займати інші. Справа в тому, що вам потрібно буде визначити доступ до принтерів, щоб люди, яким потрібно друкувати, матимуть доступ.

Більш динамічні середовища можуть означати ще складніші процеси присвоєння трафіку, які, можливо, повинні використовувати програмне забезпечення для планування чи оркестрування, але ці проблеми, як правило, виникають лише у великих мережах.

Різні функції, пояснено

У цій частині йдеться про зіставлення робочих функцій у ваші мережеві сегменти. Наприклад, типовий бізнес може мати бухгалтерський облік, людські ресурси (HR), виробництво, складування, управління та дефектування підключених пристроїв у мережі, як-от принтери або, сьогодні, кавоварки. Кожна з цих функцій матиме свій власний мережевий сегмент, і кінцеві точки на цих сегментах зможуть дістатись до даних та інших активів у їх функціональній області. Але вони також можуть потребувати доступу до інших областей, наприклад електронної пошти чи Інтернету, і, можливо, загальної сфери персоналу для таких речей, як оголошення та пусті форми.

Наступний крок - з’ясувати, яким функціям слід не допускати до цих областей. Хорошим прикладом можуть бути ваші пристрої IoT, яким потрібно спілкуватися лише з відповідними серверами чи контролерами, але їм не потрібна електронна пошта, Інтернет-перегляд або дані персоналу. Працівники складу потребуватимуть доступу до запасів, але, мабуть, вони не повинні мати доступ до бухгалтерського обліку, наприклад. Потрібно розпочати свою сегментацію, спершу визначивши ці відносини.

5 основних кроків до сегментації мережі

Призначте кожен актив у вашій мережі певній групі, щоб персонал бухгалтерії був у групі, складський склад в іншій групі та менеджери ще в іншій групі.

Вирішіть, як ви хочете обробити свою сегментацію. Фізична сегментація проста, якщо ваше середовище дозволяє, але обмежує. Логічна сегментація, ймовірно, має більше сенсу для більшості організацій, але ви повинні знати більше про створення мереж.

Визначте, з якими активами потрібно спілкуватися, з якими іншими активами, а потім налаштуйте брандмауері чи мережеві пристрої, щоб це дозволило та заборонили доступ до всього іншого.

Налаштуйте систему виявлення вторгнень та свої анти-зловмисні програми, щоб обидва могли бачити всі ваші мережеві сегменти. Налаштуйте брандмауери або комутатори так, щоб вони повідомляли про спроби вторгнення.

Пам’ятайте, що доступ до сегментів мережі повинен бути прозорим для авторизованих користувачів і не повинно бути видимості в сегментах для несанкціонованих користувачів. Ви можете перевірити це, спробувавши.

• 10 кроків з кібербезпеки, який має ваш малий бізнес, зараз слід зробити 10 кроків з кібербезпеки, які має здійснити ваш малий бізнес
• Поза периметром: як вирішити рівень шару безпеки за межами периметра: як вирішити багатошарову безпеку

Варто зазначити, що сегментація мережі насправді не є проектом "Зроби сам", окрім найменших офісів. Але деяке читання змусить вас підготуватися до правильних питань. Команда з кібербезпеки США з надзвичайних ситуацій або US-CERT (частина Міністерства внутрішньої безпеки США) є хорошим місцем для початку, хоча їх керівництво спрямоване на ІОТ та контроль процесів. Cisco має докладний документ про сегментацію для захисту даних, який не залежить від постачальника.

Є деякі постачальники, які надають корисну інформацію; проте ми не перевірили їхню продукцію, тому не можемо сказати, чи будуть вони корисні. Ця інформація включає поради щодо рекомендацій від Sage Data Security, відео з найкращих практик від AlgoSec та динамічну дискусію щодо сегментації від постачальника програмного забезпечення HashiCorp для планування мережі. Нарешті, якщо ви є пригодним типом, консультант з питань безпеки Бішоп Фокс пропонує посібник із сегментації мережевих довідників.

Що стосується інших переваг сегментації за межами безпеки, то сегментована мережа може мати переваги від продуктивності, оскільки мережевий трафік на сегменті, можливо, не повинен конкурувати з іншим трафіком. Це означає, що інженерний персонал не знайде, що його креслення затримуються резервними копіями, і люди з розробки можуть мати змогу пройти тестування, не турбуючись про ефективність роботи інших мережевого трафіку. Але перш ніж робити що-небудь, потрібно мати план.