Inhoudsopgave:
- Bepaal welke functies u wilt
- Verschillende functies, uitgelegd
- De 5 basisstappen voor netwerksegmentatie
Video: 제로데이 (Zeroday) Gameplay Android / iOS (November 2024)
Inmiddels heb je waarschijnlijk verwijzingen gezien naar netwerksegmentatie op plaatsen variërend van deze kolom tot functies over netwerkbeveiliging en discussies over best practices in netwerkmonitoring. Maar voor veel IT-professionals is netwerksegmentatie een van de dingen waar u altijd snel naar toe wilt, maar iets staat altijd in de weg. Zoals je belastingen doen in februari: je weet dat je dat moet, maar je hebt een extra kick van motivatie nodig. Dat is wat ik hoop te doen met deze 5-stappen uitleg.
Er zijn verschillende redenen voor netwerksegmentatie; de belangrijkste reden is beveiliging. Als uw netwerk is verdeeld in verschillende kleinere netwerken, elk met een eigen router of Layer 3-schakelaar, kunt u de toegang beperken tot bepaalde delen van het netwerk. Op deze manier wordt toegang alleen verleend aan eindpunten die dit nodig hebben. Dit voorkomt ongeautoriseerde toegang tot delen van het netwerk waartoe u geen toegang wilt en het beperkt ook een hacker die in één segment is doorgedrongen, toegang tot alles.
Dat is wat er gebeurde met de Target-inbreuk in 2013. Aanvallers die referenties van de aannemer voor verwarming, ventilatie en airconditioning (HVAC) gebruikten, hadden toegang tot de POS-terminals, de creditcarddatabase en al het andere op de netwerk. Het was duidelijk dat er geen reden was voor een HVAC-aannemer om toegang te hebben tot alles behalve de HVAC-controllers, maar dat deden ze omdat Target geen gesegmenteerd netwerk had.
Maar als u, in tegenstelling tot Target, de tijd neemt om uw netwerk te segmenteren, kunnen die indringers uw verwarmings- en airconditioningregelaars zien, maar verder niets. Veel inbreuken kunnen een non-event worden. Evenzo hebben de magazijnmedewerkers geen toegang tot de boekhouddatabase en hebben ze ook geen toegang tot de HVAC-controllers, maar hebben de boekhoudkundigen wel toegang tot hun database. Ondertussen hebben werknemers toegang tot de e-mailserver, maar apparaten in het netwerk niet.
Bepaal welke functies u wilt
Dit alles betekent dat u moet beslissen over de functies die op uw netwerk moeten communiceren en dat u moet beslissen wat voor segmentering u wilt. "Beslissingsfuncties" betekent dat u moet zien wie van uw medewerkers toegang moet hebben tot specifieke computerbronnen en wie niet. Dit kan lastig zijn om in kaart te brengen, maar als het klaar is, kun je functies toewijzen op functietitel of werkopdracht, wat in de toekomst extra voordelen kan opleveren.
Wat betreft het type segmentatie, kunt u fysieke segmentatie of logische segmentatie gebruiken. Fysieke segmentatie betekent dat alle netwerkactiva in één fysiek gebied zich achter een firewall zouden bevinden die definieert wat verkeer kan binnenkomen en welk verkeer eruit kan gaan. Dus als de 10e verdieping een eigen router heeft, kunt u iedereen daar fysiek segmenteren.
Logische segmentatie zou virtuele LAN's (VLAN's) of netwerkadressering gebruiken om de segmentatie te bereiken. Logische segmentatie kan gebaseerd zijn op VLAN's of specifieke subnetten om netwerkrelaties te definiëren of u kunt beide gebruiken. U wilt bijvoorbeeld uw Internet of Things (IoT) -apparaten op specifieke subnetten, terwijl uw hoofddatanetwerk één set subnetten is, uw HVAC-controllers en zelfs uw printers anderen kunnen bezetten. Het karwei is dat je de toegang tot de printers moet definiëren, zodat mensen die moeten afdrukken toegang hebben.
Meer dynamische omgevingen kunnen betekenen dat er nog complexere verkeerstoewijzingsprocessen nodig zijn die plannings- of orkestratiesoftware moeten gebruiken, maar die problemen komen meestal alleen in grotere netwerken voor.
Verschillende functies, uitgelegd
Dit deel gaat over het toewijzen van werkfuncties aan uw netwerksegmenten. Een typisch bedrijf kan bijvoorbeeld accounting, human resources (HR), productie, warehousing, beheer en een kleine hoeveelheid verbonden apparaten op het netwerk hebben, zoals printers of tegenwoordig koffiezetapparaten. Elk van deze functies heeft zijn eigen netwerksegment en de eindpunten op die segmenten kunnen gegevens en andere activa in hun functionele gebied bereiken. Maar ze hebben mogelijk ook toegang nodig tot andere gebieden, zoals e-mail of internet, en misschien een algemeen personeelsgebied voor dingen zoals aankondigingen en blanco formulieren.
De volgende stap is om te zien welke functies voorkomen moeten worden om die gebieden te bereiken. Een goed voorbeeld kunnen uw IoT-apparaten zijn die alleen met hun respectieve servers of controllers moeten praten, maar ze hebben geen e-mail, internetbrowsen of personeelsgegevens nodig. De magazijnmedewerkers hebben voorraadtoegang nodig, maar ze zouden bijvoorbeeld geen toegang tot boekhouding mogen hebben. U moet uw segmentatie starten door eerst deze relaties te definiëren.
De 5 basisstappen voor netwerksegmentatie
Wijs elk activum op uw netwerk toe aan een specifieke groep zodat het boekhoudpersoneel in een groep zou zijn, het magazijnpersoneel in een andere groep en de managers in nog een andere groep.
Bepaal hoe u uw segmentatie wilt verwerken. Fysieke segmentatie is eenvoudig als uw omgeving het toelaat, maar het is beperkend. Logische segmentatie is waarschijnlijk logischer voor de meeste organisaties, maar u moet meer weten over netwerken.
Bepaal welke middelen moeten communiceren met welke andere middelen en stel vervolgens uw firewalls of uw netwerkapparaten in om dit toe te staan en toegang tot al het andere te weigeren.
Stel uw inbraakdetectie en uw anti-malwareservices in, zodat beide al uw netwerksegmenten kunnen zien. Stel uw firewalls of schakelaars in zodat ze inbraakpogingen melden.
Onthoud dat toegang tot netwerksegmenten transparant moet zijn voor geautoriseerde gebruikers en dat er geen zichtbaarheid is in de segmenten voor ongeautoriseerde gebruikers. Je kunt dit testen door het te proberen.
- 10 Cybersecurity-stappen die uw kleine onderneming nu moet nemen 10 Cybersecurity-stappen die uw kleine onderneming nu moet nemen
- Voorbij de perimeter: hoe om te gaan met gelaagde beveiliging Voorbij de perimeter: hoe om te gaan met gelaagde beveiliging
Het is vermeldenswaard dat netwerksegmentatie niet echt een doe-het-zelf (DIY) -project is, behalve voor de kleinste kantoren. Maar wat lezen zal je voorbereiden om de juiste vragen te stellen. Het Amerikaanse Cyber Emergency Readiness Team of US-CERT (onderdeel van het Amerikaanse ministerie van Binnenlandse Veiligheid) is een goede plek om te beginnen, hoewel hun begeleiding gericht is op IoT en procescontrole. Cisco heeft een gedetailleerd document over segmentatie voor gegevensbescherming dat niet leverancierspecifiek is.
Er zijn enkele leveranciers die nuttige informatie verstrekken; We hebben hun producten echter niet getest, dus we kunnen u niet vertellen of deze nuttig zullen zijn. Deze informatie bevat praktische tips van Sage Data Security, een video met best practices van AlgoSec en een dynamische segmentatiediscussie van softwareprovider voor netwerkplanning HashiCorp. Ten slotte, als je van het avontuurlijke type bent, biedt beveiligingsadviesbureau Bishop Fox een DIY-gids voor netwerksegmentatie.
Wat betreft de andere voordelen van segmentatie buiten de beveiliging, kan een gesegmenteerd netwerk prestatievoordelen hebben omdat netwerkverkeer op een segment mogelijk niet hoeft te concurreren met ander verkeer. Dit betekent dat het engineeringpersoneel niet zal merken dat zijn tekeningen worden vertraagd door back-ups en dat de ontwikkelaars mogelijk hun tests kunnen uitvoeren zonder zich zorgen te maken over de gevolgen voor de prestaties van ander netwerkverkeer. Maar voordat je iets kunt doen, moet je een plan hebben.
