İçindekiler:
Video: Using Waves GTR3 On Rock Bass (Kasım 2024)
Şimdiye dek muhtemelen bu sütundan ağ güvenliği özelliklerine ve ağ izlemede en iyi uygulamaların tartışmalarına kadar değişen alanlarda ağ bölümlendirmesine referanslar gördünüz. Ancak birçok BT uzmanı için, ağ segmentasyonu, yakın bir zamanda her zaman üstesinden gelmeyi planladığınız şeylerden biridir, ancak bir şey her zaman yoluna girer. Vergilerinizi Şubat ayında yapmak gibi: bilmelisiniz ama ek bir motivasyona ihtiyacınız var. Bu 5 adımlı açıklayıcı ile yapmayı umduğum şey bu.
Ağ bölümlendirmesinin birkaç nedeni vardır; en önemli sebep güvenliktir. Ağınız, her biri kendi yönlendiricisine veya Katman 3 anahtarına sahip olan birkaç küçük ağa bölünmüşse, girişi ağın belirli bölümleriyle sınırlayabilirsiniz. Bu yolla, erişim yalnızca ihtiyaç duyan uç noktalara verilir. Bu, erişilmesini istemediğiniz ağın bazı bölümlerine yetkisiz erişimi önler ve bir kesime girmiş olabilecek bazı bilgisayar korsanlarının her şeye erişmesini engeller.
2013'teki Hedef ihlali ile olan şey buydu. Isıtma, Havalandırma ve İklimlendirme (HVAC) yüklenicisinden kimlik bilgilerini kullanan saldırganlar, satış noktası (POS) terminallerine, kredi kartı veritabanına ve diğer her şeyde erişim hakkına sahipti. ağ. Açıkçası, bir HVAC müteahhitinin HVAC kontrolörlerinden başka hiçbir şeye erişimi olmasının bir nedeni yoktu, ancak Hedef bölümlere ayrılmış bir ağa sahip olmadıkları için yaptılar.
Ancak, Target’ten farklı olarak, ağınızı bölümlere ayırmak için zaman ayırırsanız, davetsiz misafirlerimiz ısıtma ve iklimlendirme kontrol cihazlarınızı başka hiçbir şeyden göremezler. Birçok ihlal olay dışı kalabiliyordu. Aynı şekilde, depo personeli de muhasebe veritabanına erişemez ve HVAC kontrolörlerine de erişemezler, ancak muhasebe personeli de veritabanına erişebilir. Bu arada, çalışanlar e-posta sunucusuna erişebilecek, ancak ağdaki cihazlar erişemez.
İstediğiniz İşlevlere Karar Verin
Tüm bunlar, ağınız üzerinde iletişim kurması gereken işlevlere karar vermeniz gerektiği ve ne tür bir bölümlendirme istediğinize karar vermeniz gerektiği anlamına gelir. "İşlevlere karar vermek", çalışanlarınızın kimlerin belirli bilgisayar kaynaklarına erişimi olduğunu ve hangilerinin erişimi olmadığını görmeniz gerektiği anlamına gelir. Bu, ortaya çıkarmak için bir acı olabilir, ancak bittiğinde, gelecekteki ek faydalar getirebilecek iş başlığına veya iş görevine göre işlevler atayabilirsiniz.
Segmentasyon türü olarak, fiziksel segmentasyon veya mantıksal segmentasyon kullanabilirsiniz. Fiziksel bölümleme, bir fiziksel alandaki tüm ağ varlıklarının, hangi trafiğin girebileceğini ve hangi trafiğin dışarı çıkabileceğini tanımlayan bir güvenlik duvarının arkasında olacağı anlamına gelir. Yani, 10. katın kendi yönlendiricisi varsa, o zaman herkesi fiziksel olarak oraya bölümlendirebilirsiniz.
Mantıksal bölümleme, bölümlemeyi gerçekleştirmek için sanal LAN'ları (VLAN) veya ağ adreslemesini kullanır. Mantıksal bölümleme, ağ ilişkilerini tanımlamak için VLAN'lara veya belirli alt ağlara dayalı olabilir veya her ikisini de kullanabilirsiniz. Örneğin, Internet of Things (IoT) cihazlarınızı belirli alt ağlarda isteyebilirsiniz, böylece ana veri ağınız bir alt ağ grubundan biriyse, HVAC denetleyicileriniz ve hatta yazıcılarınız başkalarını meşgul edebilir. Buradaki iş, yazıcılara erişimi tanımlamanız gerektiği, böylece yazdırması gereken kişilerin erişimi olacak.
Daha dinamik ortamlar, zamanlama veya düzenleme yazılımı kullanmak zorunda kalabilecek daha karmaşık trafik atama işlemleri anlamına gelebilir, ancak bu sorunlar yalnızca daha büyük ağlarda ortaya çıkma eğilimindedir.
Açıklanan Farklı İşlevler
Bu bölüm, iş işlevlerini ağ bölümlerinizle eşlemekle ilgilidir. Örneğin, tipik bir işletme muhasebe, insan kaynakları (İK), üretim, depolama, yönetim ve yazıcılarda veya bugünlerde kahve makineleri gibi ağda bağlı cihazların dağılmasını sağlayabilir. Bu işlevlerin her biri kendi ağ segmentine sahip olacak ve bu bölümlerdeki son noktalar, işlev alanındaki verilere ve diğer varlıklara ulaşabilecek. Ancak, e-posta veya internet gibi diğer alanlara ve ayrıca duyurular ve boş formlar için belki de genel bir personel alanına erişmeleri gerekebilir.
Bir sonraki adım, hangi fonksiyonların bu alanlara ulaşmasının önlenmesi gerektiğini görmektir. Bunun iyi bir örneği, yalnızca kendi sunucuları veya kontrol cihazlarıyla konuşması gereken IoT cihazlarınız olabilir, ancak e-postaya, internette gezinmeye veya personel verilerine ihtiyaç duymazlar. Depo personelinin envanter erişimine ihtiyacı olacak, ancak örneğin muhasebe işlemlerine erişmemeleri gerekiyor. Bu ilişkileri tanımlayarak ilk önce bölümlemenizi başlatmanız gerekecektir.
Ağ Bölümlemesinin 5 Temel Adımı
Ağınızdaki her bir varlığı belirli bir gruba atayın; böylece muhasebe personeli bir grupta, başka bir gruptaki depo personeli ve bir başka gruptaki yöneticiler olacaktır.
Segmentasyonunuzu nasıl ele almak istediğinize karar verin. Ortamınız izin veriyorsa fiziksel bölümleme kolaydır, ancak sınırlıdır. Mantıksal bölümleme muhtemelen çoğu kuruluş için daha anlamlı olur, ancak ağ oluşturma hakkında daha fazla bilgi sahibi olmanız gerekir.
Hangi varlıkların hangi varlıklarla iletişim kurması gerektiğini belirleyin ve buna izin vermek ve diğer her şeye erişimi engellemek için güvenlik duvarlarınızı veya ağ aygıtlarınızı ayarlayın.
Her ikisi de tüm ağ kesimlerinizi görebilecek şekilde izinsiz giriş tespitinizi ve kötü amaçlı yazılımdan koruma servislerinizi ayarlayın. Güvenlik duvarlarınızı veya anahtarlarınızı izinsiz giriş denemelerini bildirecek şekilde ayarlayın.
Ağ segmentlerine erişimin yetkili kullanıcılar için şeffaf olması ve izinsiz kullanıcılar için segmentlerde görünürlük olmaması gerektiğini unutmayın. Bunu deneyerek test edebilirsiniz.
- 10 siber güvenlik adım küçük işletme şimdi atmanız gereken 10 siber güvenlik adım küçük işletme şimdi atmam gereken
- Çevrenin Ötesinde: Katmanlı Güvenliğe Nasıl Gidilir? Çevrenin Ötesinde: Katmanlı Güvenliğe Nasıl Gidilir?
Ağ bölümlemesinin en küçük ofisler dışında gerçekten Kendin Yap (DIY) projesi olmadığını belirtmekte fayda var. Ancak bazı okumalar sizi doğru soruları sormaya hazırlar. ABD Siber Acil Durum Hazırlık Ekibi veya US-CERT (ABD İç Güvenlik Bakanlığı'nın bir parçası), rehberliği IoT ve süreç kontrolünü hedeflemesine rağmen, başlamak için iyi bir yerdir. Cisco, satıcıya özel olmayan veri koruması için segmentasyon hakkında ayrıntılı bir makaleye sahiptir.
Yararlı bilgi sağlayan bazı satıcılar var; ancak, ürünlerini test etmedik, bu yüzden bunların yararlı olup olmayacağını size söyleyemeyiz. Bu bilgiler, AlgoSec'in en iyi uygulama videosu olan Sage Data Security'den nasıl yapılacağını ve ağ planlama yazılımı sağlayıcısı HashiCorp'un dinamik bölümlendirme tartışmasını içerir. Sonunda, maceracı bir türseniz, güvenlik danışmanlığı Bishop Fox bir ağ bölümlendirme DIY kılavuzu sunar.
Bölümlendirmenin güvenliğin ötesindeki diğer yararları kadarıyla, bölümlere ayrılmış bir ağın performans avantajları olabilir, çünkü bölümdeki ağ trafiğinin diğer trafikle rekabet etmesi gerekmeyebilir. Bu, mühendislik personelinin çizimlerinin yedeklerle geciktirilmediğini ve geliştirme ekibinin diğer ağ trafiğinden gelen performans etkileri konusunda endişelenmeden testlerini yapabileceği anlamına geliyor. Ama bir şey yapmadan önce bir planın olmalı.
