Creșteți securitatea și performanța cu segmentarea rețelei

Până acum, probabil, ați văzut referiri la segmentarea rețelei în locuri care variază de la această coloană la funcții privind securitatea rețelei și discuții despre cele mai bune practici în monitorizarea rețelei. Dar, pentru mulți profesioniști în IT, segmentarea rețelei este unul dintre acele lucruri la care intenționați întotdeauna să vă apropiați, cândva în curând, dar ceva întotdeauna este în cale. Parcă îți faci taxele în februarie: știi că ar trebui, dar ai nevoie de o lovitură suplimentară de motivație. Asta sper să fac cu acest explicator în 5 pași.

În primul rând, trebuie să fim pe aceeași pagină; haideți să începem cu ce este: segmentarea rețelei este practica de a împărți rețeaua existentă în bucăți mai mici sau, dacă aveți norocul să începeți o construire a rețelei de la început, să o proiectați în bucăți de la început. Dar nu înseamnă doar împărțirea aleatorie a rețelei în părți. În schimb, trebuie să aveți un plan astfel încât segmentarea să aibă sens.

Există mai multe motive pentru segmentarea rețelei; motivul cel mai important este securitatea. Dacă rețeaua dvs. este împărțită în mai multe rețele mai mici, fiecare cu propriul router sau comutatorul Layer 3, atunci puteți restricționa intrarea la anumite părți ale rețelei. În acest fel, accesul este acordat doar punctelor care au nevoie. Acest lucru împiedică accesul neautorizat la anumite părți ale rețelei la care nu doriți să fiți accesat și, de asemenea, limitează ca un hacker care ar fi putut pătrunde într-un segment să aibă acces la toate.

Asta s-a întâmplat cu încălcarea Target în 2013. Atacatorii care folosesc credențiale de la contractorul de încălzire, ventilație și climatizare (HVAC) au avut acces la terminalele punctului de vânzare (POS), la baza de date cu cardul de credit și la orice altceva pe reţea. În mod clar, nu a existat niciun motiv pentru care un contractant HVAC să aibă acces la altceva decât la controlerele HVAC, dar au făcut-o pentru că Target nu avea o rețea segmentată.

Dar dacă, spre deosebire de Target, îți faci timp pentru a-ți segmenta rețeaua, atunci acei intruși vor putea să-ți vadă controloarele de încălzire și climatizare, dar nimic altceva. Multe încălcări ar putea ajunge să fie un eveniment non-eveniment. De asemenea, personalul depozitului nu va avea acces la baza de date contabilă și nici nu va avea acces la controloarele HVAC, dar personalul contabil va avea acces la baza de date a acestora. Între timp, angajații vor avea acces la serverul de e-mail, dar dispozitivele din rețea nu vor.

Decideți funcțiile pe care le doriți

Toate acestea înseamnă că trebuie să decideți cu privire la funcțiile care trebuie să comunice în rețeaua dvs. și trebuie să decideți ce fel de segmentare doriți. „Decizia funcțiilor” înseamnă că trebuie să vedeți cine trebuie să aibă acces la resursele de calcul specifice și cine nu. Acest lucru poate fi o durere de a face o carte, dar, atunci când este terminat, veți putea atribui funcții în funcție de titlul postului sau de sarcina lucrării, ceea ce poate aduce beneficii suplimentare în viitor.

În ceea ce privește tipul de segmentare, puteți utiliza segmentarea fizică sau segmentarea logică. Segmentarea fizică înseamnă că toate activele rețelei dintr-o singură zonă fizică s-ar afla în spatele unui firewall care definește ce trafic poate intra și ce trafic poate ieși. Așadar, dacă etajul 10 are propriul router, atunci puteți segmenta fizic pe toată lumea acolo.

Segmentarea logică ar folosi LAN-urile virtuale (VLAN) sau adresarea de rețea pentru a realiza segmentarea. Segmentarea logică se poate baza pe VLAN-uri sau sub-rețele specifice pentru a defini relațiile de rețea sau puteți utiliza ambele. De exemplu, este posibil să doriți dispozitivele dvs. Internet of Things (IoT) pe anumite subrețele, în timp ce rețeaua principală de date este una dintr-un set de subrețele, controlerele HVAC și chiar imprimantele dvs. pot ocupa alte. Corectul există este că va trebui să definiți accesul la imprimante, astfel încât persoanele care trebuie să imprimeze vor avea acces.

Medii mai dinamice pot însemna procese de alocare a traficului și mai complexe, care ar putea fi nevoite să utilizeze software de planificare sau de orchestrare, dar aceste probleme tind să crească doar în rețele mai mari.

Funcții diferite, explicate

Această parte se referă la maparea funcțiilor de lucru pe segmentele de rețea. De exemplu, o afacere obișnuită ar putea avea contabilitate, resurse umane (HR), producție, depozitare, administrare și o distrugere a dispozitivelor conectate în rețea, precum imprimantele sau, în aceste zile, producătorii de cafea. Fiecare dintre aceste funcții va avea propriul segment de rețea, iar punctele finale ale acestor segmente vor putea ajunge la date și alte active din aria lor funcțională. Dar pot avea nevoie și de acces la alte domenii, cum ar fi e-mail sau internet, și poate o zonă generală de personal pentru lucruri precum anunțuri și formulare necompletate.

Următorul pas este de a vedea ce funcții trebuie împiedicate să ajungă în acele zone. Un exemplu bun ar putea fi dispozitivele dvs. IoT care trebuie doar să vorbească cu serverele sau controlerele respective, dar nu au nevoie de e-mail, navigare pe internet sau date despre personal. Personalul depozitului va avea nevoie de acces la inventar, dar probabil că nu ar trebui să aibă acces la contabilitate, de exemplu. Va trebui să începeți segmentarea dvs. definind mai întâi aceste relații.

Cei 5 pași de bază pentru segmentarea rețelei

Alocați fiecare activ din rețeaua dvs. unui anumit grup, astfel încât personalul contabil să fie într-un grup, personalul de depozit dintr-un alt grup și managerii din încă un grup.

Decideți cum doriți să vă gestionați segmentarea. Segmentarea fizică este ușoară dacă mediul dvs. o permite, dar este limitativ. Segmentarea logică are probabil mai mult sens pentru majoritatea organizațiilor, dar trebuie să știți mai multe despre rețea.

Determinați ce resurse trebuie să comunice cu alte active, apoi configurați firewall-urile sau dispozitivele de rețea pentru a permite acest lucru și pentru a refuza accesul la orice altceva.

Configurează-ți detecția de intruziune și serviciile anti-malware, pentru ca ambele să poată vedea toate segmentele de rețea. Configurați firewall-urile sau comutatoarele astfel încât acestea să raporteze încercări de intruziune.

Nu uitați că accesul la segmentele de rețea ar trebui să fie transparent pentru utilizatorii autorizați și că nu ar trebui să existe vizibilitate în segmente pentru utilizatorii neautorizați. Puteți testa acest lucru încercând.

• 10 pași de securitate cibernetică Întreprinderile dvs. mici ar trebui să facă chiar acum 10 pași de securitate cibernetică dvs. Întreprinderea dvs. mică ar trebui să facă chiar acum
• Dincolo de perimetru: Cum să abordați securitatea stratificată dincolo de perimetru: cum să abordați securitatea stratificată

De remarcat faptul că segmentarea rețelei nu este chiar un proiect Do-It-Yourself (DIY), cu excepția celor mai mici birouri. Dar unele lecturi te vor pregăti să pui întrebări corecte. Echipa de pregătire în caz de urgență a ciberului din SUA sau US-CERT (parte a Departamentului SUA pentru Securitatea Internă) este un loc bun pentru a începe, deși îndrumarea lor vizează IoT și controlul proceselor. Cisco are o hârtie detaliată privind segmentarea pentru protecția datelor care nu este specifică furnizorului.

Există unii furnizori care oferă informații utile; cu toate acestea, nu le-am testat produsele, astfel încât nu vă putem spune dacă acestea vor fi utile. Aceste informații includ sfaturi despre Sage Data Security, un videoclip cu cele mai bune practici de la AlgoSec și o discuție de segmentare dinamică de la furnizorul de software de programare a rețelei HashiCorp. În cele din urmă, dacă sunteți tipul aventuros, consultanța de securitate Bishop Fox oferă un ghid DIY pentru segmentarea rețelei.

În ceea ce privește celelalte avantaje ale segmentării dincolo de securitate, o rețea segmentată poate avea beneficii de performanță, deoarece este posibil ca traficul de rețea pe un segment să nu fie în competiție cu alt trafic. Acest lucru înseamnă că personalul de inginerie nu va găsi că desenele sale sunt întârziate de copii de rezervă și este posibil ca oamenii de dezvoltare să poată face testarea lor fără să-și facă griji cu privire la impactul de performanță al altor trafic de rețea. Dar înainte de a putea face orice, trebuie să aveți un plan.