เพิ่มความปลอดภัยและประสิทธิภาพด้วยการแบ่งส่วนเครือข่าย

ถึงตอนนี้คุณอาจเห็นการอ้างอิงถึงการแบ่งส่วนเครือข่ายในสถานที่ตั้งแต่คอลัมน์นี้ไปจนถึงคุณลักษณะเกี่ยวกับความปลอดภัยของเครือข่ายและการอภิปรายเกี่ยวกับแนวปฏิบัติที่ดีที่สุดในการตรวจสอบเครือข่าย แต่สำหรับมืออาชีพด้านไอทีหลายคนการแบ่งส่วนเครือข่ายเป็นหนึ่งในสิ่งเหล่านั้นที่คุณวางแผนที่จะเดินทางไปไหนมาไหนเร็ว ๆ นี้ แต่ก็มีบางสิ่งที่ขวางทางเสมอ เช่นเดียวกับการทำภาษีของคุณในเดือนกุมภาพันธ์: คุณรู้ว่าคุณควร แต่คุณต้องการแรงกระตุ้นเพิ่มเติม นั่นคือสิ่งที่ฉันหวังว่าจะทำอย่างไรกับตัวอธิบาย 5 ขั้นตอนนี้

อันดับแรกเราต้องอยู่ในหน้าเดียวกัน มาเริ่มกันเลยว่ามันคืออะไร: การแบ่งส่วนเครือข่ายเป็นการฝึกฝนการแบ่งเครือข่ายของคุณเป็นชิ้นเล็ก ๆ หรือถ้าคุณโชคดีพอที่จะเริ่มสร้างเครือข่ายตั้งแต่เริ่มต้นการออกแบบเป็นชิ้น ๆ ตั้งแต่เริ่มแรก แต่มันไม่ได้หมายความว่าเพียงแค่ทำการแยกเครือข่ายออกเป็นส่วน ๆ แต่คุณต้องมีแผนเพื่อให้การแบ่งส่วนเหมาะสม

มีเหตุผลหลายประการสำหรับการแบ่งส่วนเครือข่าย เหตุผลที่สำคัญที่สุดคือความปลอดภัย หากเครือข่ายของคุณแบ่งออกเป็นเครือข่ายเล็ก ๆ หลายเครือข่ายแต่ละเครือข่ายมีสวิตช์เราเตอร์หรือเลเยอร์ 3 ของตัวเองคุณสามารถ จำกัด การเข้าใช้บางส่วนของเครือข่ายได้ ด้วยวิธีนี้การเข้าถึงจะมอบให้กับจุดสิ้นสุดที่ต้องการเท่านั้น วิธีนี้ช่วยป้องกันการเข้าถึงส่วนต่าง ๆ ของเครือข่ายที่คุณไม่ต้องการให้เข้าถึงโดยไม่ได้รับอนุญาตและยัง จำกัด แฮ็กเกอร์บางคนที่อาจบุกเข้าไปในส่วนหนึ่งจากการเข้าถึงทุกสิ่ง

นั่นคือสิ่งที่เกิดขึ้นกับการฝ่าฝืนเป้าหมายในปี 2556 ผู้โจมตีที่ใช้ข้อมูลประจำตัวจากผู้รับเหมาการทำความร้อนการระบายอากาศและการปรับอากาศ (HVAC) มีการเข้าถึงเทอร์มินัล ณ จุดขาย (POS) ฐานข้อมูลบัตรเครดิต เครือข่าย เห็นได้ชัดว่าไม่มีเหตุผลที่ผู้รับเหมา HVAC จะสามารถเข้าถึงสิ่งใดนอกจากตัวควบคุม HVAC แต่ทำเพราะเป้าหมายไม่มีเครือข่ายแบ่งส่วน

แต่ถ้าคุณแตกต่างจาก Target ให้ใช้เวลาในการแบ่งส่วนเครือข่ายของคุณผู้บุกรุกเหล่านั้นจะสามารถเห็นตัวควบคุมความร้อนและปรับอากาศของคุณได้ แต่ไม่มีอะไรอื่น การละเมิดหลายครั้งอาจยุติลงได้หากไม่ใช่เหตุการณ์ ในทำนองเดียวกันเจ้าหน้าที่คลังสินค้าจะไม่สามารถเข้าถึงฐานข้อมูลการบัญชีและจะไม่สามารถเข้าถึงตัวควบคุม HVAC ได้ แต่พนักงานบัญชีจะสามารถเข้าถึงฐานข้อมูลของพวกเขาได้ ในขณะเดียวกันพนักงานจะสามารถเข้าถึงเซิร์ฟเวอร์อีเมลได้ แต่อุปกรณ์ในเครือข่ายจะไม่ทำงาน

ตัดสินใจเลือกฟังก์ชั่นที่คุณต้องการ

ทั้งหมดนี้หมายความว่าคุณต้องตัดสินใจเกี่ยวกับฟังก์ชั่นที่ต้องใช้ในการสื่อสารบนเครือข่ายของคุณและคุณต้องตัดสินใจว่าจะแบ่งส่วนแบบใดที่คุณต้องการ "ฟังก์ชั่นการตัดสินใจ" หมายถึงคุณต้องดูว่าใครในทีมของคุณต้องสามารถเข้าถึงทรัพยากรคอมพิวเตอร์เฉพาะและใครไม่ได้ นี่อาจเป็นความเจ็บปวดในการทำแผนที่ แต่เมื่อเสร็จแล้วคุณจะสามารถกำหนดฟังก์ชั่นตามตำแหน่งงานหรือการมอบหมายงานซึ่งจะก่อให้เกิดประโยชน์เพิ่มเติมในอนาคต

ในฐานะที่เป็นประเภทของการแบ่งส่วนคุณสามารถใช้การแบ่งส่วนทางกายภาพหรือการแบ่งส่วนตรรกะ การแบ่งส่วนแบบฟิสิคัลหมายความว่าสินทรัพย์เครือข่ายทั้งหมดในพื้นที่หนึ่งจะอยู่หลังไฟร์วอลล์ที่กำหนดว่าทราฟฟิกใดสามารถเข้ามาและทราฟฟิกใดที่สามารถออกไปได้ ดังนั้นถ้าชั้น 10 มีเราเตอร์เป็นของตัวเองคุณสามารถแบ่งกลุ่มทุกคนที่นั่นได้

การแบ่งส่วนแบบลอจิคัลจะใช้ LAN เสมือน (VLANs) หรือการกำหนดที่อยู่เครือข่ายเพื่อให้การแบ่งส่วนสำเร็จ การแบ่งส่วนแบบลอจิคัลสามารถยึดตาม VLANs หรือซับเน็ตเฉพาะเพื่อกำหนดความสัมพันธ์ด้านเครือข่ายหรือคุณอาจใช้ทั้งสองอย่าง ตัวอย่างเช่นคุณอาจต้องการอุปกรณ์ Internet of Things (IoT) ของคุณบนซับเน็ตเฉพาะดังนั้นในขณะที่เครือข่ายข้อมูลหลักของคุณคือเครือข่ายย่อยหนึ่งชุดชุดควบคุม HVAC ของคุณและแม้แต่เครื่องพิมพ์ของคุณก็สามารถครอบครองคนอื่นได้ งานที่ต้องทำนั่นคือคุณจะต้องกำหนดการเข้าถึงเครื่องพิมพ์เพื่อให้คนที่ต้องการพิมพ์จะสามารถเข้าถึงได้

สภาพแวดล้อมแบบไดนามิกที่มากขึ้นอาจหมายถึงกระบวนการกำหนดปริมาณการใช้งานที่ซับซ้อนยิ่งขึ้นซึ่งอาจต้องใช้ซอฟต์แวร์การจัดตารางเวลาหรือ orchestration แต่ปัญหาเหล่านั้นมักจะเกิดขึ้นในเครือข่ายขนาดใหญ่เท่านั้น

ฟังก์ชั่นที่แตกต่างอธิบาย

ส่วนนี้เกี่ยวกับการทำแผนที่ฟังก์ชั่นการทำงานกับเครือข่ายของคุณ ตัวอย่างเช่นธุรกิจทั่วไปอาจมีการบัญชีทรัพยากรมนุษย์ (HR) การผลิตการจัดการคลังสินค้าและการจัดการอุปกรณ์ที่เชื่อมต่ออยู่บนเครือข่ายเช่นเครื่องพิมพ์หรือเครื่องชงกาแฟในทุกวันนี้ แต่ละฟังก์ชั่นเหล่านี้จะมีส่วนเครือข่ายของตัวเองและจุดสิ้นสุดในส่วนเหล่านั้นจะสามารถเข้าถึงข้อมูลและสินทรัพย์อื่น ๆ ในพื้นที่การทำงานของพวกเขา แต่พวกเขาอาจต้องการเข้าถึงพื้นที่อื่นเช่นอีเมลหรืออินเทอร์เน็ตและอาจเป็นพื้นที่บุคลากรทั่วไปสำหรับสิ่งต่าง ๆ เช่นประกาศและแบบฟอร์มเปล่า

ขั้นตอนต่อไปคือการดูว่าฟังก์ชั่นใดที่ต้องป้องกันไม่ให้เข้าถึงพื้นที่เหล่านั้น ตัวอย่างที่ดีอาจเป็นอุปกรณ์ IoT ของคุณซึ่งจำเป็นต้องพูดคุยกับเซิร์ฟเวอร์หรือตัวควบคุมที่เกี่ยวข้องเท่านั้น แต่พวกเขาไม่ต้องการอีเมลการท่องอินเทอร์เน็ตหรือข้อมูลบุคลากร พนักงานคลังสินค้าจะต้องเข้าถึงสินค้าคงคลัง แต่พวกเขาอาจไม่สามารถเข้าถึงการบัญชีได้ คุณจะต้องเริ่มแบ่งส่วนของคุณโดยกำหนดความสัมพันธ์เหล่านี้ก่อน

5 ขั้นตอนพื้นฐานสู่การแบ่งส่วนเครือข่าย

มอบหมายสินทรัพย์แต่ละรายการในเครือข่ายของคุณให้กับกลุ่มเฉพาะเพื่อให้เจ้าหน้าที่บัญชีอยู่ในกลุ่มพนักงานคลังสินค้าในกลุ่มอื่นและผู้จัดการในกลุ่มอื่น

ตัดสินใจว่าคุณต้องการจัดการการแบ่งกลุ่มของคุณอย่างไร การแบ่งส่วนทางกายภาพนั้นง่ายถ้าสภาพแวดล้อมของคุณอนุญาต แต่ก็มีข้อ จำกัด การแบ่งส่วนแบบลอจิคัลอาจสมเหตุสมผลสำหรับองค์กรส่วนใหญ่ แต่คุณต้องรู้เพิ่มเติมเกี่ยวกับระบบเครือข่าย

กำหนดว่าสินทรัพย์ใดที่จำเป็นต้องสื่อสารกับสินทรัพย์อื่น ๆ จากนั้นตั้งค่าไฟร์วอลล์หรืออุปกรณ์เครือข่ายของคุณเพื่ออนุญาตและปฏิเสธการเข้าถึงทุกสิ่งอื่น

ตั้งค่าการตรวจจับการบุกรุกและบริการป้องกันมัลแวร์ของคุณเพื่อให้ทั้งคู่สามารถดูกลุ่มเครือข่ายทั้งหมดของคุณ ตั้งค่าไฟร์วอลล์หรือสวิตช์ของคุณเพื่อให้พวกเขารายงานความพยายามในการบุกรุก

โปรดจำไว้ว่าการเข้าถึงกลุ่มเครือข่ายควรโปร่งใสสำหรับผู้ใช้ที่ได้รับอนุญาตและไม่ควรมองเห็นกลุ่มผู้ใช้ที่ไม่ได้รับอนุญาต คุณสามารถทดสอบสิ่งนี้ได้โดยลอง

• 10 ขั้นตอนการรักษาความปลอดภัยทางไซเบอร์ธุรกิจขนาดเล็กของคุณควรดำเนินการทันที 10 ขั้นตอนการรักษาความปลอดภัยทางไซเบอร์ในธุรกิจขนาดเล็กของคุณควรดำเนินการทันที
• Beyond the ปริมณฑล: วิธีการรักษาความปลอดภัยแบบเลเยอร์

เป็นที่น่าสังเกตว่าการแบ่งส่วนเครือข่ายไม่ใช่โครงการ Do-It-Yourself (DIY) จริงๆยกเว้นสำนักงานที่เล็กที่สุด แต่การอ่านบางอย่างจะทำให้คุณเตรียมพร้อมที่จะถามคำถามที่ถูกต้อง ทีมเตรียมพร้อมฉุกเฉินของสหรัฐไซเบอร์หรือ US-CERT (ส่วนหนึ่งของกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐ) เป็นจุดเริ่มต้นที่ดีแม้ว่าแนวทางของพวกเขาจะมุ่งเป้าไปที่ IoT และการควบคุมกระบวนการ Cisco มีเอกสารโดยละเอียดเกี่ยวกับการแบ่งส่วนเพื่อการปกป้องข้อมูลที่ไม่ได้เจาะจงเฉพาะผู้จำหน่าย

มีผู้ค้าบางรายที่ให้ข้อมูลที่เป็นประโยชน์ อย่างไรก็ตามเรายังไม่ได้ทดสอบผลิตภัณฑ์ของพวกเขาดังนั้นเราจึงไม่สามารถบอกคุณได้ว่าสิ่งเหล่านั้นจะมีประโยชน์หรือไม่ ข้อมูลนี้รวมถึงเคล็ดลับวิธีการจาก Sage Data Security วิดีโอแนวทางปฏิบัติที่ดีที่สุดจาก AlgoSec และการอภิปรายการแบ่งกลุ่มแบบไดนามิกจาก HashiCorp ผู้ให้บริการซอฟต์แวร์กำหนดเวลาเครือข่าย ในที่สุดหากคุณเป็นประเภทที่ชอบผจญภัยที่ปรึกษาด้านความปลอดภัย Bishop Fox มีคำแนะนำ DIY การแบ่งส่วนเครือข่าย

เท่าที่ประโยชน์อื่น ๆ ของการแบ่งส่วนที่เกินความปลอดภัยเครือข่ายที่แบ่งกลุ่มอาจมีประโยชน์ด้านประสิทธิภาพเนื่องจากการรับส่งข้อมูลเครือข่ายในส่วนนั้นอาจไม่จำเป็นต้องแข่งขันกับการรับส่งข้อมูลอื่น ซึ่งหมายความว่าเจ้าหน้าที่ด้านวิศวกรรมจะไม่พบภาพวาดที่ล่าช้าจากการสำรองข้อมูลและผู้พัฒนาอาจทำการทดสอบได้โดยไม่ต้องกังวลกับผลกระทบด้านประสิทธิภาพจากการรับส่งข้อมูลเครือข่ายอื่น แต่ก่อนที่คุณจะทำอะไรคุณต้องมีแผน