Сегментация сети - Network segmentation

Сегментация сети в компьютерная сеть это действие или практика разделения компьютерной сети на подсети, каждый из которых сегмент сети. Преимущества такого разделения прежде всего заключаются в повышении производительности и безопасности.

Преимущества

  • Снижение заторов: Достигается улучшенная производительность, поскольку в сегментированной сети меньше хостов на подсеть, что минимизирует локальный трафик.
  • Повышенная безопасность:
    • Трансляции будут проводиться в локальной сети. Структура внутренней сети не будет видна снаружи.
    • Существует уменьшенная поверхность атаки, доступная для поворота, если один из хостов в сегменте сети скомпрометирован. Общие векторы атак, такие как LLMNR и NetBIOS отравление может быть частично уменьшено за счет правильной сегментации сети, поскольку они работают только в локальной сети. По этой причине рекомендуется сегментировать различные области сети по использованию. Базовым примером может быть разделение веб-серверов, серверов баз данных и стандартных пользовательских машин на каждый отдельный сегмент.
    • Создавая сетевые сегменты, содержащие только ресурсы, специфичные для потребителей, которым вы разрешаете доступ, вы создаете среду с наименьшими привилегиями.[1][2]
  • Проблемы с сетью: Ограничение влияния локальных сбоев на другие части сети
  • Контроль доступа посетителей: Доступ посетителей к сети можно контролировать путем реализации виртуальных локальных сетей для разделения сети.

Повышенная безопасность

Когда киберпреступник получает несанкционированный доступ к сети, сегментация или «зонирование» может обеспечить эффективный контроль для ограничения дальнейшего перемещения по сети.[3] PCI-DSS (Стандарт безопасности данных индустрии платежных карт) и аналогичные стандарты содержат рекомендации по созданию четкого разделения данных в сети, например, отделение сети для авторизации платежных карт от авторизации для точек обслуживания (кассовых терминалов) или Wi-Fi для клиентов. трафик. Надежная политика безопасности влечет за собой сегментирование сети на несколько зон с различными требованиями безопасности и строгое соблюдение политики в отношении того, что разрешено перемещать из зоны в зону.[4]

Контроль доступа посетителей

Финансовым и кадровым службам обычно требуется доступ через собственную виртуальную локальную сеть к своим серверам приложений из-за конфиденциального характера информации, которую они обрабатывают и хранят. Другим группам персонала могут потребоваться свои собственные изолированные сети, такие как администраторы серверов, администрация безопасности, менеджеры и руководители.[5]

Третьи стороны обычно должны иметь свои собственные сегменты с разными паролями администратора для основной сети, чтобы избежать атак через скомпрометированный, менее хорошо защищенный сторонний сайт.[6][7]

Средства сегрегации

Сегрегация обычно достигается за счет комбинации брандмауэры и VLAN (Виртуальные локальные сети). Программно-определяемая сеть (SDN) позволяет создавать микросегментированные сети и управлять ими.

Смотрите также

Рекомендации

  1. ^ Картер, Ким (2019). «Сеть: определение рисков». Комплексная информационная безопасность для веб-разработчиков. Leanpub. Получено 11 апреля, 2019.
  2. ^ Картер, Ким (2019). «Сеть: отсутствие сегментации». Комплексная информационная безопасность для веб-разработчиков. Leanpub. Получено 11 апреля, 2019.
  3. ^ Райхенберг, Нимми (20 марта 2014 г.). «Повышение безопасности за счет правильной сегментации сети». Неделя безопасности.
  4. ^ Баркер, Ян (21 августа 2017 г.). «Как сегментация сети может помочь сдерживать кибератаки». betanews.com. Получено 11 апреля, 2019.
  5. ^ Райхенберг, Нимми; Вольфганг, Марк (24 ноября 2014 г.). «Сегментирование в целях безопасности: пять шагов для защиты вашей сети». Сетевой мир. Получено 11 апреля, 2019.
  6. ^ Кребс, Брайан (5 февраля 2014 г.). «Целевые хакеры взломали компанию, занимающуюся HVAC». KrebsonSecurity.com.
  7. ^ Фацио, Росс Э. «Заявление о нарушении целостности данных» (PDF). faziomechanical.com. Fazio Mechanical Services. Архивировано из оригинал (PDF) 28 февраля 2014 г.. Получено 11 апреля, 2019.