Turinys:
- Nuspręskite, kokias funkcijas norite
- Skirtingos funkcijos, paaiškintos
- 5 pagrindiniai tinklo segmentavimo žingsniai
Video: LIDL Įgilinamasis pjūklas PARKSIDE PTS 710 A1 (Lapkritis 2024)
Iki šiol tikriausiai matėte nuorodas į tinklo segmentavimą, pradedant nuo šio stulpelio ir baigiant tinklo saugos ypatybėmis, ir aptariant geriausią tinklo stebėjimo praktiką. Tačiau daugeliui IT specialistų tinklo segmentavimas yra vienas iš tų dalykų, į kuriuos visada planuojate patekti, kai kada greitai, tačiau kažkas visada trukdo. Patinka mokėti mokesčius vasario mėnesį: žinote, kad turėtumėte, tačiau jums reikia papildomos motyvacijos. Tai aš tikiuosi padaryti su šiuo 5 žingsnių aiškintuvu.
Tinklo segmentacija yra keletas priežasčių; svarbiausia priežastis yra saugumas. Jei jūsų tinklas yra padalintas į keletą mažesnių tinklų, kurių kiekvienas turi savo maršrutizatorių arba 3 sluoksnio jungiklį, tada galite apriboti įėjimą į tam tikras tinklo dalis. Tokiu būdu prieiga suteikiama tik tiems galiniams taškams, kuriems to reikia. Tai apsaugo nuo neteisėtos prieigos prie tų tinklo dalių, prie kurių nenorite patekti, ir tai taip pat neleidžia tam tikram įsilaužėliui, kuris galėjo patekti į vieną segmentą, turėti prieigą prie visko.
Taip atsitiko su „Target“ pažeidimu 2013 m. Užpuolikai, naudojantys šildymo, vėdinimo ir oro kondicionavimo (HVAC) rangovo įgaliojimus, turėjo prieigą prie pardavimo taškų (POS) terminalų, kreditinių kortelių duomenų bazės ir visa kita. tinklas. Akivaizdu, kad ŠVOK rangovui nebuvo prieigos prie nieko, išskyrus ŠVOK valdiklius, tačiau jie padarė, nes „Target“ neturėjo segmentų tinklo.
Bet jei jūs, skirtingai nei „Target“, skirsite laiko savo tinklo segmentavimui, tada tie įsibrovėliai galės pamatyti jūsų šildymo ir oro kondicionavimo valdiklius, bet nieko daugiau. Daugybė pažeidimų gali būti įvykio nebuvimas. Taip pat sandėlio darbuotojai neturės prieigos prie apskaitos duomenų bazės, taip pat neturės prieigos prie ŠVOK valdiklių, tačiau apskaitos darbuotojai turės prieigą prie savo duomenų bazės. Tuo tarpu darbuotojai turės prieigą prie el. Pašto serverio, tačiau tinklo įrenginiuose nebus.
Nuspręskite, kokias funkcijas norite
Visa tai reiškia, kad jūs turite nuspręsti dėl funkcijų, kurias reikia palaikyti tinkle, ir jūs turite nuspręsti, kokio segmentavimo norite. „Sprendžiamosios funkcijos“ reiškia, kad turite pamatyti, kas iš jūsų darbuotojų turi turėti prieigą prie konkrečių skaičiavimo išteklių, o kas ne. Tai gali būti skausmas išsiaiškinti, bet kai tai padarysite, galėsite priskirti funkcijas pagal pareigybės pavadinimą ar darbo paskyrimą, o tai ateityje gali duoti papildomos naudos.
Dėl segmentavimo tipo galite naudoti fizinį arba loginį segmentavimą. Fizinis segmentacija reiškia, kad visas tinklo turtas vienoje fizinėje zonoje būtų užkardoje, apibrėžiančioje, koks srautas gali patekti ir koks srautas gali išeiti. Taigi, jei 10-as aukštas turi savo maršrutizatorių, tuomet jūs galite fiziškai visus segmentus suskirstyti į segmentus.
Loginiam segmentavimui segmentuoti būtų naudojami virtualūs LAN (VLAN) arba tinklo adresai. Jei norite apibrėžti tinklo ryšius, loginis segmentavimas gali būti pagrįstas VLAN ar konkrečiais potinkliais, arba galite naudoti abu. Pvz., Jūs galite norėti, kad daiktų interneto (IoT) įrenginiai būtų naudojami tam tikruose potinkliuose, taigi, jei jūsų pagrindinis duomenų tinklas yra vienas potinklių rinkinys, jūsų ŠVOK valdikliai ir net spausdintuvai gali užimti kitus. Įdomus dalykas yra tas, kad turėsite apibrėžti prieigą prie spausdintuvų, kad žmonės, kuriems reikia spausdinti, turėtų prieigą.
Dinamiškesnė aplinka gali reikšti dar sudėtingesnius srauto priskyrimo procesus, kuriems gali tekti naudoti planavimo arba orkestravimo programinę įrangą, tačiau tos problemos dažniausiai kyla tik didesniuose tinkluose.
Skirtingos funkcijos, paaiškintos
Ši dalis yra apie darbo funkcijų atvaizdavimą jūsų tinklo segmentams. Pvz., Tipiškas verslas gali turėti apskaitą, žmogiškuosius išteklius (HR), gamybą, sandėliavimą, valdymą ir tinkle sujungtų įrenginių, tokių kaip spausdintuvai ar šiais laikais kavos virimo aparatai, klasifikavimą. Kiekviena iš šių funkcijų turės savo tinklo segmentą, o tų segmentų galiniai taškai galės pasiekti duomenis ir kitą turtą jų funkcinėje srityje. Tačiau jiems taip pat gali prireikti prieigos prie kitų sričių, tokių kaip el. Paštas ar internetas, ir galbūt bendros personalo erdvės, skirtos tokiems dalykams kaip pranešimai ir tuščios formos.
Kitas žingsnis - išsiaiškinti, kurioms funkcijoms reikia užkirsti kelią pasiekti tas sritis. Puikus pavyzdys gali būti jūsų internetiniai įrenginiai, kuriems reikia kalbėtis tik su atitinkamais serveriais ar valdikliais, tačiau jiems nereikia el. Pašto, interneto naršymo ar personalo duomenų. Sandėlio darbuotojams reikės prieigos prie atsargų, tačiau jie greičiausiai neturėtų turėti prieigos prie apskaitos, pavyzdžiui. Turėsite pradėti savo segmentaciją, pirmiausia apibrėždami šiuos santykius.
5 pagrindiniai tinklo segmentavimo žingsniai
Kiekvieną savo tinklo turtą priskirkite tam tikrai grupei, kad apskaitos darbuotojai būtų grupėje, sandėlio darbuotojai kitoje grupėje ir valdytojai kitoje grupėje.
Nuspręskite, kaip norite tvarkyti segmentus. Fizinis segmentavimas yra lengvas, jei tai leidžia jūsų aplinka, tačiau tai riboja. Loginis segmentavimas tikriausiai yra prasmingesnis daugumai organizacijų, tačiau jūs turite žinoti daugiau apie tinklų kūrimą.
Nustatykite, kurį išteklius reikia susisiekti su kokiu kitu turtu, tada nustatykite užkardas ar tinklo įrenginius, kad tai būtų galima leisti ir uždrausti prieigą prie viso kito.
Nustatykite įsilaužimo aptikimo ir kovos su kenkėjiškomis programomis paslaugas, kad abu galėtų pamatyti visus tinklo segmentus. Nustatykite užkardas ar jungiklius taip, kad jie praneštų apie įsibrovimų bandymus.
Atminkite, kad prieiga prie tinklo segmentų turėtų būti skaidri autorizuotiems vartotojams ir kad segmentai neturėtų būti matomi pašaliniams vartotojams. Galite tai išbandyti bandydami.
- 10 kibernetinio saugumo žingsnių jūsų mažasis verslas turėtų imtis dabar
- Už perimetro: kaip spręsti sluoksniuotą apsaugą perimetrą: kaip spręsti sluoksniuotą apsaugą
Verta paminėti, kad tinklo segmentavimas iš tikrųjų nėra „pasidaryk pats“ (pasidaryk pats) projektas, išskyrus mažiausius biurus. Bet kai kurie skaitymai privers jus užduoti teisingus klausimus. Jungtinių Valstijų pasirengimo ekstremalioms situacijoms komanda arba US-CERT (JAV Tėvynės saugumo departamento dalis) yra tinkama vieta pradėti, nors jų nurodymai yra skirti daiktų internetui ir proceso valdymui. „Cisco“ yra pateikęs išsamų dokumentą apie segmentus, susijusius su duomenų apsauga, nesusijusius su pardavėju.
Kai kurie pardavėjai teikia naudingos informacijos; tačiau mes neišbandėme jų produktų, todėl negalime pasakyti, ar jie bus naudingi. Ši informacija apima „Sage Data Security“ patarimus, geriausios praktikos vaizdo įrašą iš „AlgoSec“ ir dinamišką segmentų aptarimą iš tinklo planavimo programinės įrangos tiekėjo „HashiCorp“. Galiausiai, jei esate nuotykių kupinas tipas, saugumo konsultavimo įmonė „Bishop Fox“ siūlo tinklo segmentavimo „pasidaryk pats“ vadovą.
Kalbant apie kitus segmentų pranašumus, nesusijusius su saugumu, segmentinis tinklas gali turėti našumo pranašumų, nes tinklo srautas segmente gali neprivalėti konkuruoti su kitu srautu. Tai reiškia, kad inžinerijos personalui neatrodys, kad jo brėžiniai vėluoja kurti atsargines kopijas, o plėtros žmonės gali atlikti bandymus nesijaudindami dėl kito tinklo srauto įtakos našumui. Bet prieš ką nors darydami, turite turėti planą.
