Taula de continguts:
- Decidiu les funcions que voleu
- Explicació de diferents funcions
- Els 5 passos bàsics per a la segmentació de xarxa
Vídeo: Seguridad y Salud Ocupacional - HySLA (Setembre 2024)
Probablement ja heu vist referències a la segmentació de la xarxa en llocs que van des d'aquesta columna fins a funcions sobre seguretat de xarxa i debats de bones pràctiques en el monitoratge de xarxa. Però, per a molts professionals de la informàtica, la segmentació de la xarxa és una de les coses a les que sempre teniu intenció de posar-vos a punt, en algun moment aviat, però alguna cosa sempre entra en marxa. Com fer els vostres impostos al febrer: sabeu que ho heu de fer, però necessiteu una mica més de motivació. Això és el que espero fer amb aquest explicador de cinc passos.
Hi ha diverses raons per a la segmentació de la xarxa; la raó més important és la seguretat. Si la vostra xarxa es divideix en diverses xarxes més petites, cadascuna amb el seu propi encaminador o commutador de capa 3, podeu restringir l'entrada a determinades parts de la xarxa. D’aquesta manera, l’accés només es concedeix als endpoints que ho necessitin. D’aquesta manera, s’evita l’accés no autoritzat a parts de la xarxa a les quals no es vol accedir, i també es limita que alguns hackers que podrien haver penetrat en un segment tinguessin accés a tot.
Això va passar amb l’incompliment Target el 2013. Els atacants que utilitzessin les credencials del contractista Calefacció, ventilació i climatització (HVAC) tenien accés als terminals de venda (POS), a la base de dades de targetes de crèdit i a la resta de dades a la base de dades de targetes de crèdit. xarxa. És evident que no hi havia cap raó perquè un contractista de l’HVAC tingués accés a res més que els controladors d’HVAC, però ho van fer perquè Target no tenia una xarxa segmentada.
Però si, a diferència de Target, trigueu el temps per segmentar la vostra xarxa, els intrusos podran veure els vostres controladors de calefacció i climatització, però res més. Molts incompliments podrien acabar sent un fet no. Així mateix, el personal del magatzem no tindrà accés a la base de dades comptable ni tindrà accés als controladors d’HVAC, però el personal comptable tindrà accés a la seva base de dades. Mentrestant, els empleats tindran accés al servidor de correu electrònic, però els dispositius de la xarxa no ho faran.
Decidiu les funcions que voleu
Tot això significa que heu de decidir les funcions que cal comunicar a la vostra xarxa i que haureu de decidir quin tipus de segmentació voleu. "Decidir funcions" significa que heu de veure qui del vostre personal ha de tenir accés a recursos informàtics específics i qui no. Això pot ser un dolor per fer un mapa, però, quan s’acabi, podreu assignar funcions per títol de treball o tasca de treball, que poden aportar avantatges addicionals en el futur.
Quant al tipus de segmentació, podeu utilitzar segmentació física o segmentació lògica. La segmentació física significa que tots els actius de la xarxa d'una àrea física estarien darrere d'un tallafoc que defineix el trànsit que pot arribar i el que pot sortir. Així, si el desè pis té el seu propi enrutador, aleshores podeu segmentar físicament tothom.
La segmentació lògica utilitzarà LANs virtuals (VLANs) o adreces de xarxa per realitzar la segmentació. La segmentació lògica es pot basar en VLAN o en subxarxes específiques per definir relacions de xarxa o bé podeu utilitzar-les totes dues. Per exemple, potser desitgeu que els vostres dispositius Internet of Things (IoT) estiguin en subxarxes específiques, mentre que la vostra xarxa de dades principal és un conjunt de subxarxes, els vostres controladors HVAC i fins i tot les impressores poden ocupar-ne d'altres. La tasca que hi ha és que haureu de definir l’accés a les impressores perquè les persones que necessiten imprimir tindran accés.
Els entorns més dinàmics poden suposar processos d'assignació de trànsit encara més complexos que poden haver d'utilitzar programari de planificació o orquestració, però aquests problemes solen créixer en xarxes més grans.
Explicació de diferents funcions
Aquesta part tracta de mapar les funcions de treball amb els vostres segments de xarxa. Per exemple, una empresa típica pot comptar amb comptabilitat, recursos humans (RRHH), producció, magatzematge, gestió i batuda de dispositius connectats a la xarxa, com impressores o, en aquests dies, cafetera. Cadascuna d’aquestes funcions tindrà el seu propi segment de xarxa i els punts finals d’aquests segments podran arribar a dades i altres actius de la seva àrea funcional. Però també poden necessitar accés a altres àrees, com ara correu electrònic o internet, i potser a una àrea general de personal per a coses com ara anuncis i formularis en blanc.
El següent pas és veure quines funcions s’han d’evitar que arribin a aquestes zones. Un bon exemple poden ser els vostres dispositius IoT que només han de parlar amb els seus respectius servidors o controladors, però no necessiten correu electrònic, navegació per Internet o dades de personal. El personal del magatzem necessitarà accés a l’inventari, però probablement no haurien d’accedir a la comptabilitat, per exemple. Haureu d’iniciar la vostra segmentació definint primer aquestes relacions.
Els 5 passos bàsics per a la segmentació de xarxa
Assigneu cada actiu a la vostra xarxa a un grup específic de manera que el personal comptable estigués en un grup, el personal de magatzem d'un altre grup i els gestors d'un altre grup.
Decidiu com voleu gestionar la vostra segmentació. La segmentació física és fàcil si el vostre entorn ho permet, però és limitat. La segmentació lògica probablement té més sentit per a la majoria d’organitzacions, però heu de saber més coses sobre les xarxes.
Determineu quins actius han de comunicar-se amb quins altres recursos i, a continuació, configureu els tallafocs o els dispositius de xarxa per permetre-ho i denegar l'accés a la resta.
Configureu la vostra detecció d’intrusos i els vostres serveis anti-malware per poder veure tots els segments de la vostra xarxa. Configureu els tallafocs o els interruptors perquè informin dels intents d’intrusisme.
Recordeu que l’accés als segments de xarxa ha de ser transparent per als usuaris autoritzats i que no hauria d’haver visibilitat als segments per als usuaris no autoritzats. Podeu provar-ho provant.
- 10 passos de ciberseguretat que haurien de fer ara la vostra petita empresa 10 passos de ciberseguretat que hauria de fer la teva petita empresa ara mateix
- Més enllà del perímetre: Com abordar la seguretat en capes més enllà del perímetre: com abordar la seguretat en capes
Val la pena assenyalar que la segmentació de xarxa no és realment un projecte Do-It-Yourself (DIY), tret de les oficines més petites. Però alguna lectura us permetrà preparar-vos per fer les preguntes més adequades. L’equip de preparació d’emergència cibernètica dels Estats Units o el US-CERT (part del departament de seguretat nacional dels Estats Units) és un bon lloc per iniciar-se, tot i que la seva orientació s’orienta a IoT i al control de processos. Cisco té un document detallat sobre la segmentació per a la protecció de dades que no és específic del venedor.
Hi ha alguns venedors que proporcionen informació útil; tanmateix, no hem provat els seus productes i, per tant, no us podem dir si aquests seran útils. Aquesta informació inclou consells sobre Sage Data Security, un vídeo de bones pràctiques d'AlgoSec i una discussió de segmentació dinàmica del proveïdor de programari HashiCorp. Finalment, si sou del tipus aventurer, la consultoria de seguretat Bishop Fox ofereix una guia de bricolatge de segmentació de xarxa.
Quant als altres avantatges de la segmentació més enllà de la seguretat, una xarxa segmentada pot tenir avantatges de rendiment perquè el trànsit de xarxa en un segment pot no haver de competir amb un altre trànsit. Això significa que el personal d'enginyeria no trobarà retards dels seus dibuixos per còpies de seguretat i és possible que els desenvolupadors puguin fer les proves sense preocupar-se dels impactes del rendiment d'altres trànsits de xarxa. Però abans de poder fer qualsevol cosa, cal tenir un pla.
