Желіні сегментациялау - Network segmentation

Желіні сегментациялау жылы компьютерлік желі компьютерлік желіні екіге бөлу әрекеті немесе тәжірибесі болып табылады ішкі желі, әрқайсысы а желі сегменті. Мұндай бөлінудің артықшылығы ең алдымен өнімділікті арттыруға және қауіпсіздікті жақсартуға арналған.

Артықшылықтары

  • Тығыздық азайған: Жақсартылған өнімділікке қол жеткізілді, өйткені сегменттелген желіде ішкі желіде хост аз болады, осылайша жергілікті трафикті азайтады
  • Қауіпсіздік жақсарды:
    • Хабарламалар жергілікті желіге қосылады. Ішкі желі құрылымы сырттан көрінбейтін болады.
    • Егер желі сегментіндегі хосттардың бірі бұзылған болса, бұрылуға болатын шабуылдың беті азаяды. Сияқты қарапайым шабуыл векторлары LLMNR және NetBIOS желіні дұрыс сегментациялау арқылы улануды ішінара жеңілдетуге болады, өйткені олар тек жергілікті желіде жұмыс істейді. Осы себепті желінің әртүрлі аймақтарын пайдалану бойынша сегментациялау ұсынылады. Негізгі мысал веб-серверлерді, дерекқорлар серверлерін және стандартты пайдаланушы машиналарын әрқайсысын өз сегментіне бөлу болады.
    • Сіз кіруге рұқсат берген тұтынушыларға ғана арналған ресурстарды қамтитын желі сегменттерін құру арқылы сіз ең аз артықшылықты орта жасайсыз[1][2]
  • Желілік проблемалардан тұрады: Жергілікті ақаулардың желінің басқа бөліктеріне әсерін шектеу
  • Келушілердің кіруін бақылау: Келушілердің желіге кіруін желіні бөліп алу үшін VLAN желілерін енгізу арқылы басқаруға болады

Қауіпсіздік жақсарды

Қашан киберқылмыскер желіге санкцияланбаған қол жеткізуді, сегменттеуді немесе «аймақтарды бөлуді» желі бойынша одан әрі қозғалуды шектеу үшін тиімді басқаруды қамтамасыз ете алады.[3] PCI-DSS (Төлем карточкаларының өнеркәсіптік қауіпсіздік стандарты) және осыған ұқсас стандарттар желінің ішіндегі деректерді нақты бөлуді құру бойынша нұсқаулық береді, мысалы, төлем карточкаларын авторизациялау үшін желіні қызмет көрсету пункті (дейін) немесе клиенттің wi-fi үшін бөлу трафик. Қауіпсіздіктің сенімді саясаты желіні бірнеше аймақтарға бөлуге, әр түрлі қауіпсіздік талаптарын ескере отырып және аймақтан аймаққа ауысуға болатын нәрселер туралы саясатты қатаң түрде орындауға мәжбүр етеді.[4]

Келушілердің кіруін бақылау

Қаржы және адам ресурстары әдетте өздерінің VLAN желісі арқылы қолданбалы серверлерге қол жеткізуді қажет етеді, өйткені олар өңдейтін және сақтайтын ақпараттың құпиялылығына ие. Персоналдың басқа топтары сервер әкімшілері, қауіпсіздік әкімшілігі, менеджерлер мен басқарушылар сияқты жеке желілерді қажет етуі мүмкін.[5]

Үшінші тараптардан, әдетте, бұзылған, нашар қорғалған, үшінші тараптың сайты арқылы шабуылдарды болдырмау үшін негізгі сегментке әр түрлі әкімшілік парольдері бар өз сегменттері қажет.[6][7]

Бөліну құралдары

Сегрегацияға әдетте комбинациясы арқылы қол жеткізіледі брандмауэрлер және VLAN (Виртуалды жергілікті желілер). Бағдарламалық қамтамасыздандырылған желі (SDN) микро сегменттелген желілерді құруға және басқаруға мүмкіндік бере алады.

Сондай-ақ қараңыз

Әдебиеттер тізімі

  1. ^ Картер, Ким (2019). «Желі: Тәуекелдерді анықтау». Веб-әзірлеушілерге арналған тұтас ақпарат. Leanpub. Алынған 11 сәуір, 2019.
  2. ^ Картер, Ким (2019). «Желі: сегментацияның жоқтығы». Веб-әзірлеушілерге арналған тұтас ақпарат. Leanpub. Алынған 11 сәуір, 2019.
  3. ^ Рейхенберг, Нимми (20.03.2014). «Желіні дұрыс сегментациялау арқылы қауіпсіздікті жақсарту». Қауіпсіздік апталығы.
  4. ^ Баркер, Ян (21 тамыз, 2017). «Желіні сегментациялау кибершабуылдарды қалай қамтуы мүмкін». betanews.com. Алынған 11 сәуір, 2019.
  5. ^ Рейхенберг, Нимми; Вольфганг, Марк (24 қараша 2014). «Қауіпсіздік үшін сегменттеу: желіні қорғаудың бес қадамы». Network World. Алынған 11 сәуір, 2019.
  6. ^ Кребс, Брайан (5 ақпан, 2014). «HVAC компаниясымен мақсатты хакерлер бұзылды». KrebsonSecurity.com.
  7. ^ Фазио, Росс Е. «Мақсатты деректерді бұзу туралы мәлімдеме» (PDF). faziomechanical.com. Fazio механикалық қызметтері. Архивтелген түпнұсқа (PDF) 2014 жылғы 28 ақпанда. Алынған 11 сәуір, 2019.