Innholdsfortegnelse:
- Bestem deg for funksjonene du ønsker
- Ulike funksjoner, forklart
- De 5 grunnleggende trinnene for nettverkssegmentering
Video: Nye Ford Ranger. Dra det du vil. (Oktober 2024)
Nå har du sannsynligvis sett referanser til nettverkssegmentering på steder som spenner fra denne kolonnen til funksjoner om nettverkssikkerhet og diskusjoner om beste praksis innen nettverksovervåking. Men for mange IT-fagfolk er nettverkssegmentering en av de tingene du alltid planlegger å komme deg til, en gang snart, men noe kommer alltid i veien. Som å gjøre skatten din i februar: du vet at du burde, men du trenger et ekstra kick av motivasjon. Det er det jeg håper å gjøre med denne 5-trinns forklareren.
Det er flere grunner til nettverkssegmentering; den viktigste grunnen er sikkerhet. Hvis nettverket ditt er delt inn i flere mindre nettverk, med hver sin ruter eller Layer 3-bryter, kan du begrense inngangen til bestemte deler av nettverket. På denne måten gis tilgang bare til sluttpunkter som trenger det. Dette forhindrer uautorisert tilgang til deler av nettverket du ikke vil ha tilgang til, og det begrenser også noen hacker som kan ha trengt gjennom ett segment fra å ha tilgang til alt.
Det var det som skjedde med Target bruddet i 2013. Angripere som bruker legitimasjon fra oppvarmings-, ventilasjons- og klimaanlegg (HVAC) -entreprenør, hadde tilgang til salgsstedet (POS) -terminalene, kredittkortdatabasen og alt annet på nettverk. Det var helt klart ingen grunn til at en VVS-entreprenør hadde tilgang til annet enn HVAC-kontrollerne, men det gjorde de fordi Target ikke hadde et segmentert nettverk.
Men hvis du, i motsetning til Target, tar deg tid til å segmentere nettverket ditt, vil disse inntrengerne kunne se dine oppvarmings- og klimaanleggskontrollere, men ingenting annet. Mange brudd kan være en ikke-begivenhet. Likeledes vil ikke lagerpersonalet ha tilgang til regnskapsdatabasen, og de vil heller ikke ha tilgang til HVAC-kontrollerne, men regnskapspersonalet vil ha tilgang til databasen sin. I mellomtiden vil ansatte ha tilgang til e-postserveren, men enheter i nettverket vil ikke.
Bestem deg for funksjonene du ønsker
Alt dette betyr at du må bestemme deg for funksjonene som trenger å kommunisere i nettverket ditt, og du må bestemme hva slags segmentering du vil ha. "Bestemme funksjoner" betyr at du må se hvem på personalet ditt som har tilgang til bestemte databehandlingsressurser og hvem som ikke gjør det. Dette kan være vondt å kartlegge, men når det er gjort, vil du kunne tildele funksjoner etter stillingstittel eller arbeidsoppgave, noe som kan gi flere fordeler i fremtiden.
Når det gjelder type segmentering, kan du bruke fysisk segmentering eller logisk segmentering. Fysisk segmentering betyr at alle nettverksfordelene i ett fysisk område vil være bak en brannmur som definerer hvilken trafikk som kan komme inn og hvilken trafikk som kan gå ut. Så hvis 10. etasje har en egen ruter, kan du fysisk segmentere alle der.
Logisk segmentering vil bruke virtuelle LAN (VLAN) eller nettverksadressering for å oppnå segmenteringen. Logisk segmentering kan være basert på VLAN-er eller spesifikke undernett for å definere nettverksrelasjoner, eller du kan bruke begge deler. For eksempel kan det hende du vil at Internet of Things (IoT) -enheter på spesifikke undernett, så mens hoveddatanettverket ditt er ett sett med undernett, kan HVAC-kontrollerne og til og med skriverne dine okkupere andre. Arbeidet med det er at du må definere tilgang til skriverne slik at folk som trenger å skrive ut får tilgang.
Mer dynamiske miljøer kan bety enda mer komplekse trafikkoppdragsprosesser som kanskje må bruke planleggings- eller orkestrasjonsprogramvare, men disse problemene har en tendens til å bare vokse opp i større nettverk.
Ulike funksjoner, forklart
Denne delen handler om å kartlegge arbeidsfunksjoner til nettverkssegmentene dine. For eksempel kan en typisk virksomhet ha regnskap, menneskelige ressurser (HR), produksjon, lagring, administrasjon og en smattering av tilkoblede enheter i nettverket, som skrivere eller i disse dager kaffetraktere. Hver av disse funksjonene vil ha sitt eget nettverkssegment, og endepunktene på disse segmentene vil kunne nå data og andre eiendeler i deres funksjonsområde. Men de kan også trenge tilgang til andre områder, for eksempel e-post eller internett, og kanskje et generelt personalområde for ting som kunngjøringer og blanke skjemaer.
Neste trinn er å se hvilke funksjoner som må forhindres i å nå disse områdene. Et godt eksempel kan være IoT-enhetene dine som bare trenger å snakke med sine respektive servere eller kontrollere, men de trenger ikke e-post, nettlesing eller personaldata. Lagerpersonalet vil trenge lagertilgang, men de bør sannsynligvis ikke ha tilgang til regnskap, for eksempel. Du må starte segmenteringen ved først å definere disse forholdene.
De 5 grunnleggende trinnene for nettverkssegmentering
Tildel hver eiendel i nettverket ditt til en spesifikk gruppe slik at regnskapspersonalet vil være i en gruppe, lagerpersonalet i en annen gruppe og lederne i enda en gruppe.
Bestem deg for hvordan du vil håndtere segmenteringen. Fysisk segmentering er enkelt hvis miljøet tillater det, men det er begrensende. Logisk segmentering er sannsynligvis mer fornuftig for de fleste organisasjoner, men du må vite mer om nettverk.
Bestem hvilke eiendeler som må kommuniseres med andre eiendeler, og sett deretter opp brannmuren eller nettverksenhetene dine for å tillate dette og for å nekte tilgang til alt annet.
Konfigurer din intrusjonsdeteksjon og anti-malware-tjenestene dine, slik at begge kan se alle nettverkssegmentene dine. Sett opp brannmurer eller brytere slik at de rapporterer innbruddsforsøk.
Husk at tilgang til nettverkssegmenter skal være gjennomsiktig for autoriserte brukere, og at det ikke skal være synlig i segmentene for uautoriserte brukere. Du kan teste dette ved å prøve.
- 10 Cybersecurity-trinn som den lille bedriften din bør ta akkurat nå. 10 Cybersecurity-trinnene som den lille bedriften din bør ta akkurat nå
- Beyond the Perimeter: How to adress Layered Security Beyond the Perimeter: How to adress Layered Security
Det er verdt å merke seg at nettverkssegmentering ikke egentlig er et gjør-det-selv-prosjekt (DIY) bortsett fra de minste kontorene. Men litt lesing vil få deg forberedt på å stille de riktige spørsmålene. USAs Cyber Emergency Readiness Team eller US-CERT (del av US Department of Homeland Security) er et bra sted å starte, selv om deres veiledning er rettet mot IoT og prosesskontroll. Cisco har en detaljert artikkel om segmentering for databeskyttelse som ikke er leverandørspesifikk.
Det er noen leverandører som gir nyttig informasjon; Vi har imidlertid ikke testet produktene deres, så vi kan ikke fortelle deg om de vil være nyttige. Denne informasjonen inneholder tips fra Sage Data Security, en beste praksisvideo fra AlgoSec og en dynamisk segmenteringsdiskusjon fra leverandøren av nettverksplanleggingsprogramvare HashiCorp. Til slutt, hvis du er den eventyrlystne typen, tilbyr sikkerhetskonsulent Bishop Fox en nettverkssegmentering DIY-guide.
Så langt de andre fordelene ved segmentering utover sikkerhet, kan et segmentert nettverk ha ytelsesfordeler fordi nettverkstrafikk på et segment kanskje ikke trenger å konkurrere med annen trafikk. Dette betyr at ingeniørpersonalet ikke vil finne at tegningene blir forsinket ved sikkerhetskopiering, og at utviklingsfolket kanskje kan gjøre sine tester uten å bekymre seg for ytelseseffekter fra annen nettverkstrafikk. Men før du kan gjøre noe, må du ha en plan.
