Sommario:
- Decidi le funzioni che desideri
- Diverse funzioni, spiegate
- I 5 passaggi di base per la segmentazione della rete
Video: Favorire la trasformazione del sistema di sicurezza della rete (Settembre 2024)
Ormai probabilmente hai visto riferimenti alla segmentazione della rete in luoghi che vanno da questa colonna alle funzionalità sulla sicurezza della rete e discussioni sulle migliori pratiche nel monitoraggio della rete. Ma per molti professionisti IT, la segmentazione della rete è una di quelle cose che prevedi sempre di aggirare, a breve, ma qualcosa si mette sempre di mezzo. Come fare le tasse a febbraio: sai che dovresti ma hai bisogno di un calcio in più di motivazione. Questo è quello che spero di fare con questo spiegatore in 5 passaggi.
Esistono diversi motivi per la segmentazione della rete; il motivo più importante è la sicurezza. Se la rete è divisa in più reti più piccole, ognuna con il proprio router o switch di livello 3, è possibile limitare l'accesso a determinate parti della rete. In questo modo, l'accesso è concesso solo agli endpoint che ne hanno bisogno. Ciò impedisce l'accesso non autorizzato a parti della rete a cui non si desidera accedere e limita anche alcuni hacker che potrebbero essere penetrati in un segmento dall'accesso a tutto.
Questo è ciò che è accaduto con la violazione Target nel 2013. Gli aggressori che utilizzano le credenziali del contraente Riscaldamento, ventilazione e aria condizionata (HVAC) hanno avuto accesso ai terminali del punto vendita (POS), al database delle carte di credito e a tutto il resto sul Rete. Chiaramente, non c'era motivo per un appaltatore HVAC di avere accesso a tutto tranne che ai controller HVAC, ma lo hanno fatto perché Target non aveva una rete segmentata.
Ma se, a differenza di Target, prendi il tempo per segmentare la tua rete, quegli intrusi saranno in grado di vedere i tuoi regolatori di riscaldamento e condizionamento ma nient'altro. Molte violazioni potrebbero non essere un evento. Allo stesso modo, il personale del magazzino non avrà accesso al database contabile né avrà accesso ai controllori HVAC, ma il personale contabile avrà accesso al loro database. Nel frattempo, i dipendenti avranno accesso al server di posta elettronica, ma i dispositivi sulla rete no.
Decidi le funzioni che desideri
Tutto ciò significa che devi decidere le funzioni che devono comunicare sulla tua rete e devi decidere quale tipo di segmentazione desideri. "Decidere le funzioni" significa che devi vedere chi nel tuo personale deve avere accesso a risorse informatiche specifiche e chi no. Questo può essere un problema da mappare, ma una volta terminato, sarai in grado di assegnare funzioni in base al titolo o all'assegnazione del lavoro, il che può portare ulteriori vantaggi in futuro.
Per quanto riguarda il tipo di segmentazione, è possibile utilizzare la segmentazione fisica o la segmentazione logica. La segmentazione fisica significa che tutte le risorse di rete in un'area fisica si troverebbero dietro un firewall che definisce quale traffico può entrare e quale traffico può uscire. Quindi, se il decimo piano ha il suo router, puoi segmentare fisicamente tutti lì.
La segmentazione logica utilizza LAN virtuali (VLAN) o indirizzamento di rete per realizzare la segmentazione. La segmentazione logica può essere basata su VLAN o sottoreti specifiche per definire le relazioni di rete oppure è possibile utilizzare entrambe. Ad esempio, potresti volere i tuoi dispositivi Internet of Things (IoT) su sottoreti specifiche, quindi, mentre la tua rete di dati principale è un insieme di sottoreti, i tuoi controller HVAC e persino le tue stampanti possono occuparne altre. Il problema è che dovrai definire l'accesso alle stampanti in modo che le persone che devono stampare abbiano accesso.
Ambienti più dinamici possono significare processi di assegnazione del traffico ancora più complessi che potrebbero dover utilizzare software di pianificazione o orchestrazione, ma questi problemi tendono a insorgere solo in reti più grandi.
Diverse funzioni, spiegate
Questa parte riguarda la mappatura delle funzioni di lavoro sui segmenti di rete. Ad esempio, un'azienda tipica potrebbe avere contabilità, risorse umane (risorse umane), produzione, deposito, gestione e un'infarinatura di dispositivi collegati sulla rete, come stampanti o, al giorno d'oggi, caffettiere. Ognuna di queste funzioni avrà il proprio segmento di rete e gli endpoint di tali segmenti saranno in grado di raggiungere dati e altre risorse nella propria area funzionale. Ma potrebbero anche aver bisogno di accedere ad altre aree, come la posta elettronica o Internet, e forse un'area del personale generale per cose come annunci e moduli vuoti.
Il prossimo passo è vedere quali funzioni devono essere impedite a raggiungere quelle aree. Un buon esempio potrebbe essere rappresentato dai dispositivi IoT che devono solo comunicare con i rispettivi server o controller, ma non necessitano di e-mail, navigazione in Internet o dati personali. Il personale del magazzino avrà bisogno di un accesso all'inventario, ma probabilmente non dovrebbe avere accesso alla contabilità, ad esempio. Dovrai iniziare la segmentazione definendo prima queste relazioni.
I 5 passaggi di base per la segmentazione della rete
Assegna ogni risorsa sulla tua rete a un gruppo specifico in modo che il personale contabile sia in un gruppo, il personale del magazzino in un altro gruppo e i gestori di un altro gruppo.
Decidi come vuoi gestire la tua segmentazione. La segmentazione fisica è semplice se l'ambiente lo consente, ma è limitante. La segmentazione logica probabilmente ha più senso per la maggior parte delle organizzazioni, ma devi sapere di più sulla rete.
Determinare quali risorse devono comunicare con quali altre risorse, quindi impostare i firewall o i dispositivi di rete per consentire ciò e negare l'accesso a tutto il resto.
Imposta il rilevamento delle intrusioni e i servizi anti-malware in modo che entrambi possano vedere tutti i segmenti della tua rete. Imposta i tuoi firewall o switch in modo che segnalino i tentativi di intrusione.
Ricordare che l'accesso ai segmenti di rete dovrebbe essere trasparente per gli utenti autorizzati e che non dovrebbe esserci visibilità nei segmenti per gli utenti non autorizzati. Puoi provarlo provando.
- 10 passi per la sicurezza informatica che la tua piccola impresa dovrebbe intraprendere subito 10 passi per la sicurezza informatica che la tua piccola impresa dovrebbe intraprendere subito
- Oltre il perimetro: come affrontare la sicurezza a più livelli Oltre il perimetro: come affrontare la sicurezza a più livelli
Vale la pena notare che la segmentazione della rete non è in realtà un progetto fai-da-te (fai-da-te) ad eccezione degli uffici più piccoli. Ma alcune letture ti prepareranno a porre le domande giuste. Il Cyber Emergency Readiness Team degli Stati Uniti o US-CERT (parte del Dipartimento della sicurezza nazionale degli Stati Uniti) è un buon punto di partenza, sebbene la loro guida sia rivolta all'IoT e al controllo dei processi. Cisco ha un documento dettagliato sulla segmentazione per la protezione dei dati che non è specifico del fornitore.
Ci sono alcuni venditori che forniscono informazioni utili; tuttavia, non abbiamo testato i loro prodotti, quindi non possiamo dirti se saranno utili. Queste informazioni includono suggerimenti pratici da Sage Data Security, un video sulle best practice di AlgoSec e una discussione sulla segmentazione dinamica del fornitore di software di pianificazione della rete HashiCorp. Infine, se sei un tipo avventuroso, la consulenza sulla sicurezza Bishop Fox offre una guida fai-da-te sulla segmentazione della rete.
Per quanto riguarda gli altri vantaggi della segmentazione oltre la sicurezza, una rete segmentata può avere vantaggi in termini di prestazioni perché il traffico di rete su un segmento potrebbe non essere in concorrenza con l'altro traffico. Ciò significa che lo staff tecnico non troverà i suoi disegni ritardati dai backup e che gli addetti allo sviluppo potrebbero essere in grado di eseguire i test senza preoccuparsi degli impatti sulle prestazioni derivanti da altro traffico di rete. Ma prima di poter fare qualsiasi cosa, devi avere un piano.
