הגבר את האבטחה והביצועים באמצעות פילוח רשת

בשלב זה בטח ראית הפניות לפילוח רשת במקומות הנעים מעמודה זו לתכונות בנושא אבטחת רשת ודיונים על שיטות עבודה מומלצות במעקב אחר רשתות. אך עבור אנשי מקצוע רבים בתחום ה- IT, פילוח רשת הוא אחד הדברים האלה שתמיד מתכננים להגיע אליהם, מתישהו בקרוב, אבל משהו תמיד בדרך. כמו לעשות את המסים שלך בפברואר: אתה יודע שאתה צריך אבל אתה צריך בעיטה נוספת של מוטיבציה. זה מה שאני מקווה לעשות עם המסביר 5 השלבים הזה.

ראשית, עלינו להיות באותו עמוד; נתחיל במה שהוא: פילוח רשת הוא הנוהג של חלוקת הרשת הקיימת שלך לחלקים קטנים יותר, או אם אתה בר מזל מספיק להתחיל רשת לבנות מאפס, לעצב אותה בחלקים כבר בהתחלה. אבל זה לא אומר רק לפצל באופן אקראי את הרשת לחלקים. במקום זאת, עליך להיות בעל תוכנית כדי שהפילוח יהיה הגיוני.

ישנן כמה סיבות לפילוח רשת; הסיבה החשובה ביותר היא ביטחון. אם הרשת שלך מחולקת למספר רשתות קטנות יותר, לכל אחת מהן נתב או מתג שכבה 3 משלה, אתה יכול להגביל כניסה לחלקים מסוימים ברשת. בדרך זו ניתנת גישה רק לנקודות קצה הזקוקות לה. זה מונע גישה לא מורשית לחלקים ברשת שאינך מעוניין לגשת אליהם, וזה גם מגביל כמה האקרים שאולי חדרו לקטע אחד מקבל גישה לכל דבר.

זה מה שקרה עם הפרת היעד בשנת 2013. לתוקפים המשתמשים באישורי אישור מקבלן חימום, אוורור ומיזוג אויר (HVAC) הייתה גישה למסופי נקודת המכירה (POS), למסד הנתונים של כרטיסי האשראי וכל השאר על רשת. ברור שלא הייתה שום סיבה שלקבלן HVAC תהיה גישה לכל דבר פרט לבקרי ה- HVAC, אך הם עשו זאת מכיוון של- Target לא הייתה רשת מפולחת.

אבל אם אתה, בניגוד ל- Target, לוקח את הזמן לפלח את הרשת שלך, אז אותם פולשים יוכלו לראות את בקרי החימום והמיזוג שלך, אך שום דבר אחר. פריצות רבות עשויות להיות בסופו של דבר לא אירוע. באופן דומה, לעובדי המחסן לא תהיה גישה למסד הנתונים החשבונאי ולא תהיה להם גישה לבקרי ה- HVAC, אך לצוות הנהלת החשבונות תהיה גישה למסד הנתונים שלהם. בינתיים, לעובדים תהיה גישה לשרת הדוא"ל, אך מכשירים ברשת לא יעשו זאת.

החלט על הפונקציות שאתה רוצה

כל זה אומר שעליך להחליט על הפונקציות שצריך לתקשר ברשת שלך, ועליך להחליט איזה סוג פילוח אתה רוצה. "קביעת פונקציות" פירושו שאתה צריך לראות למי יש לצוות שלך גישה למשאבי מחשוב ספציפיים ומי לא. זה יכול להיות כאב למיפוי, אך בסיום זה תוכל להקצות פונקציות לפי שם תפקיד או משימת עבודה, שיכולים להביא יתרונות נוספים בעתיד.

באשר לסוג הפילוח, אתה יכול להשתמש בפילוח פיזי או בפילוח לוגי. פילוח פיזי פירושו שכל נכסי הרשת באזור פיזי אחד יהיו מאחורי חומת אש המגדירה איזו תנועה יכולה להיכנס ואיזו תנועה יכולה לצאת. אז אם לקומה העשירית יש נתב משלה, אז אתה יכול לפלח פיזית את כולם שם.

פילוח לוגי ישתמש ברשתות LAN וירטואליות (VLAN) או כתובות רשת כדי לבצע את הפילוח. פילוח לוגי יכול להתבסס על VLAN או תת-רשת ספציפיים להגדרת יחסי רשת או שתוכלו להשתמש בשניהם. לדוגמה, יתכן שתרצו להתקני האינטרנט של הדברים (IoT) על רשתות משנה ספציפיות כך, בעוד שרשת הנתונים הראשית שלכם היא קבוצה אחת של רשתות משנה, בקרי ה- HVAC שלכם ואפילו המדפסות שלכם יכולים להעסיק אחרים. המטלה שם היא שתצטרך להגדיר גישה למדפסות כך שלאנשים הזקוקים להדפיס תהיה גישה.

סביבות דינאמיות יותר יכולות להיות תהליכי הקצאת תנועה מורכבים עוד יותר שעשויים להידרש להשתמש בתוכנת תזמון או תזמור, אך בעיות אלה נוטות להתבצר רק ברשתות גדולות יותר.

פונקציות שונות, מוסברות

חלק זה עוסק במיפוי פונקציות עבודה לקטעי הרשת שלך. לדוגמה, לעסק טיפוסי עשויים להיות חשבונאות, משאבי אנוש (HR), ייצור, אחסנה, ניהול, והתנפצות של מכשירים מחוברים ברשת, כמו מדפסות או בימינו מכונות קפה. לכל אחת מהפונקציות הללו יהיה קטע רשת משלהן, ונקודות הקצה על אותם פלחים יוכלו להגיע לנתונים ולנכסים אחרים בתחום הפונקציונלי שלהם. אך יתכן שהם יצטרכו גם גישה לאזורים אחרים, כגון דואר אלקטרוני או אינטרנט, ואולי גם אזור כוח אדם כללי לדברים כמו הכרזות וטפסים ריקים.

השלב הבא הוא לראות אילו פונקציות יש למנוע מהאזורים הללו. דוגמה טובה עשויה להיות מכשירי ה- IoT שלכם אשר רק צריכים לדבר עם השרתים או הבקרים שלהם, אך הם אינם זקוקים לדוא"ל, גלישה באינטרנט או נתוני כוח אדם. צוות המחסן יזדקק לגישה למלאי, אך ככל הנראה לא צריך שיהיה להם גישה לחשבונאות, למשל. תצטרך להתחיל את הפילוח שלך על ידי הגדרת תחילה מערכות יחסים אלה.

חמשת השלבים הבסיסיים לפילוח רשת

הקצה כל נכס ברשת שלך לקבוצה ספציפית כך שצוות החשבונאות יהיה בקבוצה, צוות המחסן בקבוצה אחרת והמנהלים בקבוצה אחרת.

החלט כיצד תרצה להתמודד עם הפילוח שלך. פילוח פיזי קל אם הסביבה שלך מאפשרת זאת, אך היא מגבילה. פילוח לוגי כנראה הגיוני יותר עבור מרבית הארגונים, אבל צריך לדעת יותר על רשתות.

קבע אילו נכסים צריכים לתקשר עם נכסים אחרים ואז הגדר את חומת האש שלך או את התקני הרשת שלך כדי לאפשר זאת ולמנוע גישה לכל השאר.

הגדר את איתור החדירה שלך ושירותי האנטי-תוכנות הזדוניות שלך, כך ששניהם יוכלו לראות את כל מקטעי הרשת שלך. הגדר את חומת האש או המתגים שלך כך שהם ידווחו על ניסיונות פריצה.

זכור כי הגישה לקטעי רשת צריכה להיות שקופה למשתמשים מורשים וכי לא אמורה להיות נראות בפלחים עבור משתמשים לא מורשים. אתה יכול לבדוק זאת על ידי ניסיון.

• 10 צעדים לאבטחת סייבר צריכים לעסוק בעסק הקטן שלך עכשיו 10 שלבי אבטחת סייבר צריכים לנקוט נכון עכשיו
• מעבר להיקף: כיצד לטפל באבטחה שכבתית מעבר להיקף: כיצד לטפל באבטחה שכבה

ראוי לציין כי פילוח רשת אינו באמת פרויקט עשה זאת בעצמך (עשה זאת בעצמך) פרט למשרדים הקטנים ביותר. אולם קריאה מסוימת תביא אתכם מוכנים לשאול את השאלות הנכונות. צוות מוכנות החירום לסייבר בארצות הברית או US-CERT (חלק מהמחלקה האמריקאית לביטחון פנים) הוא מקום טוב להתחיל בו, למרות שההנחיות שלהם מכוונות ל- IoT ולבקרת תהליכים. לסיסקו יש מאמר מפורט על פילוח להגנה על נתונים שאינו ספציפי לספק.

ישנם ספקים המספקים מידע שימושי; עם זאת, לא בדקנו את המוצרים שלהם כך שלא נוכל לומר לכם אם אלה יהיו שימושיים. מידע זה כולל טיפים כיצד לבצע מ- Sage Data Security, סרטון שיטות עבודה מומלצות מ- AlgoSec ודיון על פילוח דינאמי מאת ספק תוכנת תזמון הרשת HashiCorp. לבסוף, אם אתה הטיפוס ההרפתקני, ייעוץ האבטחה בישופ פוקס מציע מדריך DIY לפילוח רשת.

ככל היתרונות האחרים של פילוח מעבר לאבטחה, לרשת מפולחת עשויים להיות יתרונות ביצועים מכיוון שתנועת רשת בפלח עשויה שלא תצטרך להתמודד עם תנועה אחרת. המשמעות היא שצוות ההנדסה לא יגלה שציוריו מתעכבים בגיבויים ואנשים הפיתוח עשויים לבצע בדיקות מבלי לדאוג להשפעות על ביצועים מתעבורת רשת אחרת. אבל לפני שתוכל לעשות משהו, אתה צריך להיות תוכנית.