Isi kandungan:
- Tentukan Fungsi Yang Anda Mahu
- Fungsi yang berbeza, Dijelaskan
- 5 Langkah Asas ke Segmentasi Rangkaian
Video: SP302: Segmentasi (November 2024)
Sekarang anda mungkin melihat rujuk kepada segmentasi rangkaian di tempat-tempat dari lajur ini ke ciri keselamatan rangkaian dan perbincangan amalan terbaik dalam pemantauan rangkaian. Tetapi bagi kebanyakan profesional IT, segmentasi rangkaian adalah salah satu daripada perkara-perkara yang anda selalu merancang untuk berkeliling, kadang-kadang tidak lama lagi, tetapi sesuatu yang selalu ada dalam perjalanan. Seperti melakukan cukai pada bulan Februari: anda tahu anda harus tetapi anda memerlukan sepakan motivasi tambahan. Inilah yang saya harap lakukan dengan penjelasan 5 langkah ini.
Terdapat beberapa sebab untuk segmentasi rangkaian; Sebab yang paling penting ialah keselamatan. Jika rangkaian anda dibahagikan kepada beberapa rangkaian yang lebih kecil, masing-masing dengan penghala sendiri atau suis Layer 3, maka anda boleh menyekat kemasukan ke bahagian tertentu rangkaian. Dengan cara ini, akses hanya diberikan kepada titik akhir yang memerlukannya. Ini menghalang akses yang tidak dibenarkan ke bahagian rangkaian yang anda tidak mahu diakses, dan ia juga mengehadkan sesetengah penggodam yang mungkin menembusi segmen daripada mempunyai akses kepada segala-galanya.
Itulah yang berlaku dengan pelanggaran Sasaran pada tahun 2013. Penyerang menggunakan kelayakan dari kontraktor Pemanas, Pengudaraan, dan Pendingin Udara (HVAC) mempunyai akses kepada terminal jualan (POS), pangkalan data kad kredit, dan segala-galanya di rangkaian. Jelas, tidak ada alasan untuk kontraktor HVAC mempunyai akses kepada apa-apa tetapi pengendali HVAC, tetapi mereka melakukannya kerana Sasaran tidak mempunyai rangkaian yang tersegmentasi.
Tetapi jika anda, tidak seperti Target, luangkan waktu untuk segmen rangkaian anda, maka penceroboh tersebut akan dapat melihat pemanasan dan penghawa dingin anda tetapi tidak ada yang lain. Pelbagai pelanggaran boleh menjadi suatu peristiwa bukan. Begitu juga, kakitangan gudang tidak akan mempunyai akses kepada pangkalan data perakaunan dan tidak akan mempunyai akses kepada pengawal HVAC, tetapi staf perakaunan akan mempunyai akses kepada pangkalan data mereka. Sementara itu, pekerja akan mempunyai akses ke pelayan e-mel, tetapi peranti di rangkaian tidak akan.
Tentukan Fungsi Yang Anda Mahu
Semua ini bermakna anda perlu membuat keputusan tentang fungsi yang perlu dikomunikasikan di rangkaian anda, dan anda perlu memutuskan jenis segmen yang anda mahu. "Menentukan fungsi" bermakna anda perlu melihat siapa kakitangan anda yang mempunyai akses kepada sumber pengkomputeran tertentu dan yang tidak. Ini boleh menjadi kesukaran untuk memetakan, tetapi apabila ia selesai, anda akan dapat menyerahkan fungsi oleh tajuk pekerjaan atau tugasan kerja, yang boleh membawa manfaat tambahan pada masa akan datang.
Mengenai jenis segmentasi, anda boleh menggunakan segmentasi fizikal atau segmentasi logik. Segmentasi fizikal bermakna bahawa semua aset rangkaian di satu kawasan fizikal akan berada di belakang firewall yang menentukan lalu lintas apa yang boleh masuk dan lalu lintas apa yang boleh keluar. Oleh itu, jika tingkat 10 mempunyai penghala sendiri, maka anda boleh segmen segmen semua orang di sana.
Segmentasi logik akan menggunakan LAN maya (VLAN) atau alamat rangkaian untuk mencapai segmentasi. Segmentasi logik boleh didasarkan pada VLAN atau subnet tertentu untuk menentukan hubungan rangkaian atau anda boleh menggunakan kedua-duanya. Sebagai contoh, anda mungkin mahu peranti Internet Anda (IoT) pada subnet tertentu, sedangkan rangkaian data utama anda adalah satu set subnet, pengawal HVAC anda dan bahkan pencetak anda boleh menduduki orang lain. Kerja di sana adalah anda perlu menentukan akses kepada pencetak supaya orang yang perlu mencetak akan mendapat akses.
Persekitaran yang lebih dinamik boleh bermakna proses penugasan lalu lintas yang lebih kompleks yang mungkin perlu menggunakan perisian penjadualan atau orkestrasi, tetapi masalah tersebut cenderung untuk menghasilkan hanya dalam rangkaian yang lebih besar.
Fungsi yang berbeza, Dijelaskan
Bahagian ini adalah mengenai pemetaan fungsi kerja ke segmen rangkaian anda. Misalnya, perniagaan tipikal mungkin mempunyai perakaunan, sumber manusia (SDM), pengeluaran, pergudangan, pengurusan, dan pemecahan peranti yang bersambung pada rangkaian, seperti pencetak atau, hari ini, pembuat kopi. Setiap fungsi ini akan mempunyai segmen rangkaian mereka sendiri, dan titik akhir pada segmen tersebut akan dapat mencapai data dan aset lain di kawasan fungsinya. Tetapi mereka juga mungkin memerlukan akses ke kawasan lain, seperti e-mel atau internet, dan mungkin kawasan personel umum untuk perkara-perkara seperti pengumuman dan bentuk kosong.
Langkah seterusnya adalah untuk melihat fungsi mana yang harus dihalang daripada mencapai bidang tersebut. Contoh yang baik mungkin peranti IoT yang hanya perlu dibincangkan dengan pelayan atau pengawal mereka masing-masing, tetapi mereka tidak memerlukan e-mel, pelayaran internet, atau data peribadi. Kakitangan gudang akan memerlukan akses inventori, tetapi mereka mungkin tidak boleh mengakses perakaunan, misalnya. Anda perlu memulakan segmentasi anda dengan mendefinisikan hubungan ini terlebih dahulu.
5 Langkah Asas ke Segmentasi Rangkaian
Berikan setiap aset di rangkaian anda kepada kumpulan tertentu supaya kakitangan perakaunan berada dalam kumpulan, kakitangan gudang dalam kumpulan lain, dan pengurus dalam kumpulan lain.
Tentukan bagaimana anda mahu mengendalikan segmentasi anda. Segmentasi fizikal adalah mudah jika persekitaran anda membenarkannya, tetapi ia mengehadkan. Segmen logik mungkin lebih masuk akal untuk kebanyakan organisasi, tetapi anda perlu mengetahui lebih lanjut mengenai rangkaian.
Tentukan aset mana yang perlu untuk berkomunikasi dengan aset lain, dan kemudian sediakan firewall atau peranti rangkaian anda untuk membenarkan ini dan menolak akses kepada segala-galanya.
Sediakan pengesanan pencerobohan dan perkhidmatan anti-malware anda sehingga kedua-duanya dapat melihat semua segmen rangkaian anda. Sediakan firewall atau suis supaya mereka melaporkan percubaan pencerobohan.
Ingat bahawa akses kepada segmen rangkaian harus telus bagi pengguna yang diberi kuasa dan tidak harus ada penglihatan ke dalam segmen untuk pengguna yang tidak sah. Anda boleh menguji ini dengan mencuba.
- 10 Langkah Siber Cybersecurity Perniagaan Kecil Anda Perlu Ambil Kanan Sekarang 10 Langkah Keselamatan Cybersecurity Perniagaan Kecil Anda Harus Ambil Kanan Sekarang
- Beyond the Perimeter: Bagaimana Melakukan Keamanan Layered Di Luar Perimeter: Bagaimana Melakukan Keamanan Layered
Perlu diingat bahawa segmentasi rangkaian bukan projek Do-It-Yourself (DIY) kecuali pejabat terkecil. Tetapi beberapa bacaan akan membuat anda bersedia untuk bertanya soalan yang betul. Pasukan Kesediaan Kecemasan Siber Amerika Syarikat atau US-CERT (sebahagian daripada Jabatan Keselamatan Dalam Negeri Amerika Syarikat) adalah tempat yang baik untuk memulakan, walaupun panduan mereka ditujukan kepada kawalan IoT dan proses. Cisco mempunyai kertas terperinci mengenai segmentasi untuk perlindungan data yang bukan vendor khusus.
Terdapat beberapa vendor yang memberikan maklumat yang berguna; Walau bagaimanapun, kami belum menguji produk mereka supaya kami tidak dapat memberitahu anda sama ada mereka akan berguna. Maklumat ini termasuk petua cara dari Sage Data Security, video amalan terbaik dari AlgoSec, dan perbincangan segmentasi dinamik daripada penyedia perisian penjadualan rangkaian HashiCorp. Akhir sekali, jika anda jenis cabaran, perundingan keselamatan Bishop Fox menawarkan panduan segmentasi rangkaian DIY.
Setakat faedah lain dari segmen di luar keselamatan, rangkaian yang dibahagikan mungkin mempunyai faedah prestasi kerana trafik rangkaian pada segmen mungkin tidak perlu bersaing dengan lalu lintas yang lain. Ini bermakna kakitangan kejuruteraan tidak akan menemui lukisannya yang ditangguhkan oleh sandaran dan orang-orang pembangunan mungkin dapat melakukan ujian tanpa bimbang tentang kesan prestasi dari trafik rangkaian lain. Tetapi sebelum anda boleh berbuat apa-apa, anda perlu mempunyai rancangan.
