Beef up security at pagganap sa segment ng network

Sa ngayon marahil nakakita ka ng mga sanggunian sa segment ng network sa mga lugar na mula sa haligi na ito hanggang sa mga tampok sa seguridad sa network at mga talakayan ng pinakamahusay na kasanayan sa pagsubaybay sa network. Ngunit para sa maraming mga propesyonal sa IT, ang segmentasyon ng network ay isa sa mga bagay na palagi mong planuhin na makarating, sa madaling panahon, ngunit may isang bagay na laging nakakakuha. Tulad ng paggawa ng iyong mga buwis sa Pebrero: alam mong dapat ngunit kailangan mo ng dagdag na sipa ng pagganyak. Iyon ang inaasahan kong gawin sa 5-hakbang na nagpapaliwanag na ito.

Una, kailangan nating maging sa parehong pahina; magsimula tayo sa kung ano ito: Ang segmentasyon ng network ay ang kasanayan ng paghati sa iyong umiiral na network sa mas maliit na mga piraso o, kung sapat ka na masuwerteng magsimula sa isang build ng network mula sa simula, pagdidisenyo nito nang mga piraso sa simula. Ngunit hindi ito nangangahulugan lamang ng sapalarang paghahati ng network sa mga bahagi. Sa halip, kailangan mong magkaroon ng isang plano upang magkaroon ng kahulugan ang pagkakabukod.

Mayroong maraming mga kadahilanan para sa pagkakabukod ng network; ang pinakamahalagang dahilan ay ang seguridad. Kung ang iyong network ay nahahati sa maraming mas maliit na mga network, ang bawat isa ay may sariling router o Layer 3 switch, pagkatapos ay maaari mong paghigpitan ang pagpasok sa ilang mga bahagi ng network. Sa ganitong paraan, ang pag-access ay ipinagkaloob lamang sa mga pagtatapos na nangangailangan nito. Pinipigilan nito ang hindi awtorisadong pag-access sa mga bahagi ng network na hindi mo nais na ma-access, at nililimitahan din nito ang ilang hacker na maaaring tumagos sa isang segment mula sa pagkakaroon ng pag-access sa lahat.

Iyon ang nangyari sa paglabag sa Target sa taong 2013. Ang mga nagsasalakay na gumagamit ng mga kredensyal mula sa kontraktor ng Heating, Ventilation, at Air Conditioning (HVAC) ay may access sa mga terminal na point-of-sale (POS), database ng credit card, at lahat ng iba pa sa network. Maliwanag, walang dahilan para sa isang kontratista ng HVAC na magkaroon ng access sa anuman kundi ang mga kontrol ng HVAC, ngunit ginawa nila ito sapagkat ang Target ay walang isang segmented network.

Ngunit kung ikaw, hindi tulad ng Target, maglaan ng oras upang i-segment ang iyong network, pagkatapos ay makita ng mga nanghihimasok sa iyong pag-init at air conditioning Controllers ngunit wala pa. Maraming mga paglabag ay maaaring i-wind up ang pagiging isang hindi kaganapan. Gayundin, ang kawani ng bodega ay hindi magkakaroon ng access sa database ng accounting o magkakaroon din sila ng access sa mga HVAC Controller, ngunit ang kawani ng accounting ay magkakaroon ng access sa kanilang database. Samantala, ang mga empleyado ay magkakaroon ng access sa email server, ngunit ang mga aparato sa network ay hindi.

Magpasya sa Mga function na nais mo

Ang lahat ng ito ay nangangahulugan na kailangan mong magpasya sa mga pag-andar na kailangang makipag-usap sa iyong network, at kailangan mong magpasya kung anong uri ng segmentasyon ang nais mo. Ang "Pagpasya ng mga function" ay nangangahulugang kailangan mong makita kung sino sa iyong kawani ang dapat magkaroon ng access sa mga tiyak na mapagkukunan ng computing at kung sino ang hindi. Maaari itong maging isang sakit upang mag-mapa out, ngunit kapag ito ay tapos na, magagawa mong magtalaga ng mga function sa pamamagitan ng pamagat ng trabaho o pagtatalaga sa trabaho, na maaaring magdala ng karagdagang mga benepisyo sa hinaharap.

Tulad ng uri ng segmentasyon, maaari mong gamitin ang pisikal na pagkakabukod o lohikal na pagkakabukod. Ang pisikal na segmentasyon ay nangangahulugan na ang lahat ng mga pag-aari ng network sa isang pisikal na lugar ay nasa likuran ng isang firewall na tumutukoy kung ano ang maaaring pumasok sa trapiko at kung ano ang maaaring lumabas ang trapiko. Kaya, kung ang ika-10 palapag ay may sariling router, kung gayon maaari mong pisikal na i-segment ang lahat doon.

Ang lohikal na segment ay gagamit ng virtual LANs (VLANs) o pagtugon sa network upang makamit ang segment. Ang lohikal na pagkakabukod ay maaaring batay sa mga VLAN o mga tukoy na subnets upang tukuyin ang mga ugnayan sa networking o maaari mong gamitin ang pareho. Halimbawa, maaaring gusto mo ang iyong mga aparatong Internet of Things (IoT) sa mga tukoy na subnets kaya, habang ang iyong pangunahing network ng data ay isang hanay ng mga subnets, ang iyong mga HVAC na magsusupil at maging ang iyong mga printer ay maaaring sakupin ang iba. Ang gawain doon ay kailangan mong tukuyin ang pag-access sa mga printer upang ang mga taong kailangang mag-print ay magkakaroon ng access.

Ang mas maraming mga dynamic na kapaligiran ay maaaring mangahulugan ng mas kumplikadong mga proseso ng pagtatalaga sa trapiko na maaaring gumamit ng pag-iskedyul o software ng orkestasyon, ngunit ang mga problemang ito ay may posibilidad na i-crop ang mga mas malalaking network lamang.

Iba't ibang Mga Pag-andar, Naipaliwanag

Ang bahaging ito ay tungkol sa pag-andar ng pag-andar sa trabaho sa iyong mga segment ng network. Halimbawa, ang isang pangkaraniwang negosyo ay maaaring magkaroon ng accounting, human mapagkukunan (HR), paggawa, warehousing, pamamahala, at isang smattering ng mga konektadong aparato sa network, tulad ng mga printer o, ngayon, mga gumagawa ng kape. Ang bawat isa sa mga pag-andar na ito ay magkakaroon ng kanilang sariling mga segment ng network, at ang mga pagtatapos sa mga segment na ito ay makakaabot ng data at iba pang mga pag-aari sa kanilang lugar na may paggana. Ngunit maaaring kailanganin din nila ang pag-access sa iba pang mga lugar, tulad ng email o internet, at marahil isang lugar ng pangkalahatang tauhan para sa mga bagay tulad ng mga anunsyo at blangko.

Ang susunod na hakbang ay upang makita kung aling mga pag-andar ang dapat maiwasan sa pag-abot sa mga lugar na iyon. Ang isang mabuting halimbawa ay maaaring ang iyong IoT aparato na kailangan lamang makipag-usap sa kani-kanilang mga server o mga magsusupil, ngunit hindi nila kailangan ng email, pag-browse sa internet, o data ng tauhan. Ang kawani ng bodega ay kakailanganin ang pag-access sa imbentaryo, ngunit marahil hindi sila dapat magkaroon ng access sa accounting, halimbawa. Kailangan mong simulan ang iyong segment sa pamamagitan ng unang pagtukoy sa mga ugnayang ito.

Ang 5 Pangunahing Mga Hakbang sa Segmentasyon sa Network

Magtalaga ng bawat asset sa iyong network sa isang tiyak na grupo upang ang mga kawani ng accounting ay nasa isang grupo, kawani ng bodega sa ibang grupo, at ang mga tagapamahala sa isa pang grupo.

Magpasya kung paano mo gustong hawakan ang iyong segment. Madali ang pisikal na paghati kung pinahihintulutan ito ng iyong kapaligiran, ngunit nililimitahan nito. Ang lohikal na pagkakabukod ay marahil ay nagbibigay kahulugan sa karamihan ng mga samahan, ngunit kailangan mong malaman ang higit pa tungkol sa networking.

Alamin kung aling mga pag-aari ang kailangang makipag-usap sa kung aling iba pang mga pag-aari, at pagkatapos ay i-set up ang iyong mga firewall o ang iyong mga aparato sa network upang payagan ito at tanggihan ang pag-access sa lahat ng iba pa.

I-set up ang iyong panghihimasok sa panghihimasok at ang iyong mga serbisyo ng anti-malware upang pareho ng makita ang lahat ng iyong mga segment ng network. I-set up ang iyong mga firewall o switch upang mag-ulat sila ng mga pagtatangka sa panghihimasok.

Alalahanin na ang pag-access sa mga segment ng network ay dapat na transparent para sa mga awtorisadong gumagamit at na walang dapat makita sa mga segment para sa mga hindi awtorisadong gumagamit. Maaari mong subukan ito sa pamamagitan ng pagsubok.

• 10 Mga Hakbang sa Cybersecurity Ang Dapat Mong Gawin Ngayon Ngayon 10 Mga Hakbang sa Cybersecurity na Dapat Gawin ng Maliit na Negosyo Ngayon
• Higit pa sa Perimeter: Paano Makikipag-usap sa Layered Security Higit pa sa Perimeter: Paano Makikipag-usap sa Layered Security

Ito ay nagkakahalaga na tandaan na ang segmentasyon ng network ay hindi talagang isang proyekto ng Do-It-Yourself (DIY) maliban sa pinakamaliit na tanggapan. Ngunit ang ilang pagbabasa ay makapaghanda ka upang magtanong ng mga tamang katanungan. Ang Estados Unidos Cyber ​​Emergency Handa ng Kahandaan o US-CERT (bahagi ng US Department of Homeland Security) ay isang magandang lugar upang magsimula, bagaman ang kanilang gabay ay naglalayong IoT at proseso ng kontrol. Ang isang Cisco ay may detalyadong papel sa segmentasyon para sa proteksyon ng data na hindi tiyak sa vendor.

Mayroong ilang mga vendor na nagbibigay ng kapaki-pakinabang na impormasyon; gayunpaman, hindi namin nasubukan ang kanilang mga produkto kaya hindi namin masasabi sa iyo kung magiging kapaki-pakinabang ba ang mga iyon. Kasama sa impormasyong ito kung paano ang mga tip mula sa Sage Data Security, isang pinakamahusay na kasanayan sa video mula sa AlgoSec, at isang dinamikong diskusyon sa paghati mula sa network provider ng software sa pag-iskedyul ng HashiCorp. Sa wakas, kung ikaw ang hindi kapani-paniwala na uri, ang pagkonsulta sa seguridad na si Bishop Fox ay nag-aalok ng isang gabay sa network segmentation DIY.

Bilang malayo sa iba pang mga benepisyo ng segmentasyon na lampas sa seguridad, ang isang segment na network ay maaaring magkaroon ng mga benepisyo sa pagganap dahil ang trapiko sa network sa isang segment ay maaaring hindi upang makipagkumpetensya sa iba pang trapiko. Nangangahulugan ito na hindi mahahanap ng kawani ng engineering ang mga guhit na naantala sa pamamagitan ng mga backup at maaaring gawin ng mga tao sa pag-unlad ang kanilang pagsubok nang hindi nababahala tungkol sa mga epekto ng pagganap mula sa ibang trapiko sa network. Ngunit bago ka makakagawa, kailangan mong magkaroon ng isang plano.