Sisällysluettelo:
Video: Markkinointistrategia - Mitä sisältää ja miten laatia hyvä markkinointistrategia (Lokakuu 2024)
Tähän mennessä olet todennäköisesti nähnyt viittauksia verkon segmentointiin paikoissa tästä sarakkeesta verkon tietoturvan ominaisuuksiin ja keskusteluihin verkonvalvonnan parhaista käytännöistä. Mutta monille IT-ammattilaisille verkon segmentointi on yksi niistä asioista, joihin aiot aina siirtyä, joskus pian, mutta jotain on aina tiellä. Kuten verojen maksaminen helmikuussa: tiedät, että sinun pitäisi, mutta tarvitset ylimääräisen motivaatiopotkun. Sitä toivon voivani tehdä tämän 5-vaiheisen selittäjän kanssa.
Verkon segmentoitumiseen on useita syitä; tärkein syy on turvallisuus. Jos verkko on jaettu useampaan pienempään verkkoon, jokaisella on oma reititin tai kerroksen 3 kytkin, voit rajoittaa pääsyn tiettyihin verkon osiin. Tällä tavalla käyttöoikeus myönnetään vain päätepisteille, jotka sitä tarvitsevat. Tämä estää luvattoman pääsyn sellaisiin verkon osiin, joihin et halua pääsyä, ja se myös rajoittaa jotakin yhden segmentin tunkeutuneita hakkereita pääsemään kaikkeen.
Näin tapahtui Target-rikkomuksessa vuonna 2013. Hyökkääjillä, jotka käyttivät lämmitys-, ilmanvaihto- ja ilmastointiyrityksen (HVAC) urakoitsijan tietoja, oli pääsy myyntipisteiden (POS) terminaaleihin, luottokorttitietokantaan ja kaikkeen muuhun verkkoon. On selvää, ettei LVI-urakoitsijalla ollut mitään syytä päästä muihin kuin LVI-ohjaimiin, mutta he tekivät, koska Targetilla ei ollut segmentoitua verkkoa.
Mutta jos et, toisin kuin Target, vie aikaa segmentoida verkkoasi, niin nämä tunkeilijat näkevät lämmitys- ja ilmastointiohjaimesi, mutta ei mitään muuta. Monet rikkomukset saattavat olla tapahtuma, joka ei ole tapahtuma. Samoin varaston henkilökunnalla ei ole pääsyä kirjanpitotietokantaan eikä HVAC-ohjaimiin, mutta kirjanpitohenkilöstöllä on pääsy tietokantaansa. Samaan aikaan työntekijöillä on pääsy sähköpostipalvelimeen, mutta verkon laitteet eivät.
Päätä haluamasi toiminnot
Kaikki tämä tarkoittaa, että sinun on päätettävä toiminnoista, jotka täytyy kommunikoida verkossa, ja sinun on päätettävä, millaista segmentointia haluat. "Päättävät toiminnot" tarkoittaa, että sinun täytyy nähdä, kenellä henkilöstölläsi on oltava pääsy tiettyihin laskentaresursseihin ja kuka ei. Tämä voi olla tuskaa kartoittaa, mutta kun se on valmis, voit määrittää toimintoja tehtävänimikkeen tai työtehtävän perusteella, mikä voi tuoda lisäetuja tulevaisuudessa.
Segmenttityypin suhteen voit käyttää fyysistä segmentointia tai loogista segmentointia. Fyysinen segmentointi tarkoittaa, että kaikki verkon omaisuus yhdellä fyysisellä alueella olisi palomuurin takana, joka määrittelee mitä liikenne voi tulla ja mikä liikenne voi mennä ulos. Joten, jos 10. kerroksessa on oma reititin, voit jakaa fyysisesti kaikki siellä olevat.
Looginen segmentointi käyttäisi segmentointiin virtuaalisia LAN-verkkoja (VLAN) tai verkkoosoitteita. Looginen segmentointi voi perustua VLAN-verkkoihin tai tiettyihin aliverkkoihin verkkoyhteysten määrittelemiseksi, tai voit käyttää molempia. Voit esimerkiksi haluta esineiden Internet (IoT) -laitteesi tietyissä aliverkoissa, joten vaikka päädataverkkosi on yksi aliverkkojoukko, LVI-ohjaimet ja jopa tulostimet voivat miehittää muita. Suuri työ on, että sinun on määritettävä tulostimien käyttöoikeus, jotta tulostusta tarvitsevilla ihmisillä olisi käyttöoikeus.
Dynaamisemmat ympäristöt voivat tarkoittaa vieläkin monimutkaisempia liikenteenmääritysprosesseja, joissa joudutaan ehkä käyttämään aikataulutus- tai orkesteriohjelmistoja, mutta näillä ongelmilla on taipumus rajautua vain suurempiin verkkoihin.
Eri toiminnot, selitetty
Tämä osa koskee työtoimintojen kartoittamista verkkosegmenteillesi. Esimerkiksi tyypillisellä yrityksellä voi olla kirjanpito, henkilöstöresurssit (HR), tuotanto, varastointi, hallinta ja verkossa olevien kytkettyjen laitteiden sekoitus, kuten tulostimet tai nykyään kahvinkeittimet. Jokaisella näistä toiminnoista on oma verkkosegmentti, ja näiden segmenttien päätepisteet pystyvät saavuttamaan tietoja ja muita resursseja toiminta-alueellaan. Mutta he voivat tarvita myös pääsyn muille alueille, kuten sähköposti tai Internet, ja kenties yleisen henkilöstöalueen esimerkiksi ilmoituksia ja tyhjiä lomakkeita varten.
Seuraava vaihe on nähdä, mitkä toiminnot on estettävä pääsemästä kyseisille alueille. Hyvä esimerkki voivat olla Internet-laitteet, joiden on puhuttava vain vastaaville palvelimilleen tai ohjaimiin, mutta ne eivät tarvitse sähköpostia, Internet-selaamista tai henkilötietoja. Varastotyöntekijät tarvitsevat varaston käyttöoikeuden, mutta todennäköisesti heidän ei pitäisi olla pääsyä esimerkiksi kirjanpitoon. Sinun on aloitettava segmentointi määrittelemällä ensin nämä suhteet.
Verkon segmentoinnin viisi vaihetta
Määritä jokainen verkostosi omaisuus tietylle ryhmälle niin, että kirjanpitohenkilöstö olisi ryhmässä, varastotyöntekijä toisessa ryhmässä ja johtajat toisessa ryhmässä.
Päätä, kuinka haluat käsitellä segmentointia. Fyysinen segmentoituminen on helppoa, jos ympäristösi sallii, mutta se on rajoittava. Looginen segmentointi on todennäköisesti järkevämpää useimmille organisaatioille, mutta sinun on tiedettävä enemmän verkottumisesta.
Määritä, minkä omaisuuden on kommunikoitava minkä muun omaisuuden kanssa, ja määritä sitten palomuurit tai verkkolaitteesi salliaksesi tämän ja estääksesi pääsyn kaikkeen muuhun.
Asenna tunkeutumisen tunnistus ja haittaohjelmien torjuntapalvelut, jotta molemmat näkevät kaikki verkkosegmentit. Asenna palomuurit tai kytkimet siten, että ne ilmoittavat tunkeutumisyrityksistä.
Muista, että pääsy verkkosegmentteihin tulee olla avointa valtuutetuille käyttäjille ja että segmentteihin ei tule näkyä luvattomia käyttäjiä. Voit testata tämän yrittämällä.
- 10 kyberturvallisuusvaihetta pienyrityksesi tulisi ottaa heti 10 kymberturvallisuusaskelta pienyrityksen tulisi suorittaa nyt
- Kehyksen ulkopuolella: Kuinka puuttua kerrostettuun suojaukseen Kehyksen ulkopuolella: Kuinka osoittaa kerrostettuun suojaukseen
On syytä huomata, että verkon segmentointi ei oikeastaan ole Tee-se-itse-projekti (DIY), paitsi pienimmissä toimistoissa. Mutta osa lukemisesta saa sinut valmiiksi esittämään oikeita kysymyksiä. Yhdysvaltojen kyberturvallisuusjoukot tai US-CERT (osa Yhdysvaltain sisäisen turvallisuuden ministeriötä) on hyvä paikka aloittaa, vaikka heidän ohjauksensa on suunnattu Internetin ja prosessien hallintaa. Ciscolla on yksityiskohtainen asiakirja tietosuojaa koskevasta segmentoinnista, joka ei ole toimittajakohtainen.
Jotkut myyjät tarjoavat hyödyllistä tietoa; Emme kuitenkaan ole testanneet heidän tuotteitaan, joten emme voi kertoa sinulle, ovatko niistä hyödyllisiä. Nämä tiedot sisältävät Sage Data Securityn toimintaohjeita, AlgoSecin parhaiden käytäntöjen videon ja dynaamisen segmentointikeskustelun verkon aikataulutusohjelmistotoimittaja HashiCorpilta. Viimeinkin, jos olet seikkailunhaluinen tyyppi, tietoturvakonsultointi Bishop Fox tarjoaa verkon segmentoinnin DIY-oppaan.
Segmentin muista eduista, jotka ovat turvallisuuden ulkopuolella, segmentoidulla verkolla voi olla suorituskyvyn etuja, koska segmentin verkkoliikenteen ei tarvitse joutua kilpailemaan muun liikenteen kanssa. Tämä tarkoittaa, että suunnitteluhenkilöstö ei löydä sen piirustuksia viivästyvän varmuuskopioiden avulla, ja kehitysyhteistyön henkilöt voivat pystyä tekemään testauksensa murehtimatta muun verkkoliikenteen suorituskykyvaikutuksista. Mutta ennen kuin voit tehdä mitään, sinulla on oltava suunnitelma.
