Segmentace sítě - Network segmentation

Segmentace sítě v počítačové sítě je úkon nebo praxe rozdělení počítačové sítě na podsítě, z nichž každý je a segment sítě. Výhody takového rozdělení jsou primárně pro zvýšení výkonu a zlepšení zabezpečení.

Výhody

  • Snížené dopravní zácpy: Dosahuje se zlepšeného výkonu, protože v segmentované síti je v jedné podsíti méně hostitelů, čímž se minimalizuje místní provoz
  • Vylepšené zabezpečení:
    • Vysílání bude obsaženo v místní síti. Struktura interní sítě nebude zvenčí viditelná.
    • Pokud je ohrožen jeden z hostitelů v síťovém segmentu, je k dispozici zmenšený útočný povrch. Běžné vektory útoku jako LLMNR a NetBIOS otravu lze částečně zmírnit správnou segmentací sítě, protože funguje pouze v místní síti. Z tohoto důvodu se doporučuje segmentovat různé oblasti sítě podle použití. Základním příkladem by bylo rozdělení webových serverů, databázových serverů a standardních uživatelských strojů na každý vlastní segment.
    • Vytvořením síťových segmentů obsahujících pouze prostředky specifické pro spotřebitele, kterým povolíte přístup, vytváříte prostředí s nejmenšími oprávněními[1][2]
  • Obsahující problémy se sítí: Omezení dopadu lokálních poruch na jiné části sítě
  • Kontrola přístupu návštěvníků: Přístup návštěvníků do sítě lze řídit implementací VLAN k oddělení sítě

Vylepšené zabezpečení

Když počítačový zločinec získá neoprávněný přístup k síti, segmentace nebo „zónování“ může poskytnout účinné ovládací prvky k omezení dalšího pohybu po síti.[3] PCI-DSS (Standard pro zabezpečení dat v odvětví platebních karet) a podobné standardy poskytují pokyny pro vytváření jasného oddělení dat v síti, například oddělení sítě pro autorizaci platebních karet od oprávnění pro Point-of-Service (do) nebo zákaznické wi-fi provoz. Dobrá politika zabezpečení zahrnuje segmentaci sítě do několika zón s různými požadavky na zabezpečení a důsledné vynucování zásad v tom, co je povoleno přesouvat ze zóny do zóny.[4]

Kontrola přístupu návštěvníků

Finance a lidské zdroje obvykle potřebují přístup přes vlastní VLAN k jejich aplikačním serverům kvůli důvěrné povaze informací, které zpracovávají a ukládají. Jiné skupiny zaměstnanců mohou vyžadovat vlastní oddělené sítě, jako jsou správci serverů, správa zabezpečení, manažeři a vedoucí pracovníci.[5]

Třetí strany jsou obvykle povinny mít své vlastní segmenty s různými administračními hesly do hlavní sítě, aby se zabránilo útokům prostřednictvím kompromitovaného, ​​méně dobře chráněného webu třetí strany.[6][7]

Prostředky segregace

Segregace se obvykle dosahuje kombinací firewally a VLAN (Virtuální místní sítě). Softwarově definované sítě (SDN) umožňuje vytváření a správu mikrosegmentovaných sítí.

Viz také

Reference

  1. ^ Carter, Kim (2019). „Síť: Identifikace rizik“. Holistický Info-Sec pro webové vývojáře. Leanpub. Citováno 11. dubna 2019.
  2. ^ Carter, Kim (2019). „Síť: Nedostatek segmentace“. Holistický Info-Sec pro webové vývojáře. Leanpub. Citováno 11. dubna 2019.
  3. ^ Reichenberg, Nimmy (20. března 2014). „Zlepšení zabezpečení prostřednictvím správné segmentace sítě“. Týden bezpečnosti.
  4. ^ Barker, Ian (21. srpna 2017). „Jak může segmentace sítě pomoci omezit kybernetické útoky?“. betanews.com. Citováno 11. dubna 2019.
  5. ^ Reichenberg, Nimmy; Wolfgang, Mark (24. listopadu 2014). „Segmentace pro zabezpečení: Pět kroků k ochraně vaší sítě“. Síťový svět. Citováno 11. dubna 2019.
  6. ^ Krebs, Brian (5. února 2014). „Target Hackers Broke in Via HVAC Company“. KrebsonSecurity.com.
  7. ^ Fazio, Ross E. „Prohlášení o narušení cílových dat“ (PDF). faziomechanical.com. Fazio Mechanical Services. Archivovány od originál (PDF) 28. února 2014. Citováno 11. dubna 2019.