39 видео на IT - тематику на нашем YouTube канале

ћерион Ќетворкс

3 минуты чтени€

ƒавайте дл€ начала разберемс€, что же такое сегментаци€ сети. Ёто важный инструмент защиты информации, который позвол€ет уменьшить площадь атаки при проникновени€х в сеть, а также способ защититьс€ от таких атак с отказом в обслуживании как бродкастный шторм (слишком большое количество широковещательных запросов в единицу времени).

—егментаци€ сети Ц почему это важно?

ƒл€ чего требуетс€ сегментаци€ сети?

„тобы снизить риск на получени€ ущерба от злоумышленников в корпоративных инфраструктурах существует сегментаци€ сети. Ётот процесс помогает уменьшить веро€тность повреждени€ данных, тем самым снизив многие риски информационной безопасности.

—егментаци€ сети выполн€ет разделение юзеров на различные сетевые группы, которые изолированы друг от друга. ¬ зависимости от политик сегментации (которые чаще всего регламентируютс€ департаментом »Ѕ), обмен информацией между группами может строго контролироватьс€, а также быть недоступным.

ѕолитика безопасности компаний определ€ет некие принципы, которые позвол€ют подразделить сотрудников на некоторые подгруппы: гость, временный персонал, сотрудник. ј также представленные подгруппы, можно разделить на группы, к примеру: р€довой работник, руководитель и так далее.

—егментацию сети желательно выполн€ть при полной реализации бизнес-процессов.   таким процессам относитс€ выдача доступа к сети интернет пользовател€м, не состо€щих в р€дах работников компании, так сказать, гостевым юзерам. ѕомимо гостей, к сети также требуетс€ подключение различных устройств, которые используютс€ в другой организации. ј также возможно привести еще один пример с использованием сегментации сети, это разграничение доступа между работниками, которые используют одну сеть. “аковых сценариев может быть очень много.


ѕопул€рные методы выполнени€ сегментации сети

≈сли вы собираетесь использовать сегментацию сети, тогда вам потребуетс€ обратить внимание на следующие ключевые задачи:

  • ќпределить, действительно ли пользователь принадлежит той или иной группе в сети;
  • ќграничить доступ к интернет-трафику юзеров из одной группы, от группы других;
  • ѕредоставить юзерам разрешение на использование только разрешенных ресурсов, а также требуетс€ наложить запрет на остальную информацию.

–ешением первой задачи €вл€етс€ использование технологии802.1x в корпоративных сет€х - то есть использование дополнительного фактора (например, учетки в AD и сертификата) дл€ получени€ доступа в сеть.

¬тора€ проблема решаетс€ с помощью создани€ дополнительных виртуальных сетей, путем создани€ разных дл€ сотрудников разных департаментов и т.д - отдельный серверный сегмент, отдельна€ DMZ и пр.

ƒл€ решени€ третьей задачи обычно используетс€ фильтраци€ на основе IP-адресов.  онтроль доступа обычно может быть реализован двум€ способами: грубыми средствами и тонкой фильтрацией. Ёто реализуетс€ с помощью листов контрол€ доступа - обычных, расширенных и динамических.


ќграничени€ традиционных методов сегментации

≈сли использовать попул€рные подходы дл€ исправлени€ второй и третьей задачи, большинство функций вы будете выполн€ть вручную, особенно когда будете использовать сеть. Ёта ситуаци€ станет более ощутимой, ведь после сегментировани€ среда будет динамичной. Ќапример, могут отличатьс€:

  • Ќекоторые правила, которые тесно св€заны с обновлени€ми служб защиты, а также которые управл€ют ресурсами и сотрудниками компаний;
  •  оличество групп юзеров, которое может мен€тьс€ от условий реорганизации внутри организации, а от различных дополнений ресурсов в сети и так далее;
  • –асположение групп пользователей, в св€зи с чем может возникнуть необходимость расширить сегментацию на новые части сети;

ѕоддержание сегментации сети становитьс€ все более сложной в зависимости от динамики роста количества сотрудников и различных устройств - то есть сегментаци€ это не единовременна€ операци€, а посто€нный и очень важный процесс. Ќа данный момент также попул€рным подходом становитс€ программно-определ€ема€ сегментаци€ сети, к примеру у Cisco это протокол TrustSec. Ётот подход позвол€ет полностью уйти от IP-адресации и не мучатьс€ с перекраиванием листов контрол€ доступа в случае смены VLAN-а или изменени€ топологии сети.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: