Mục lục:
Video: CẬU BÉ TỐT BỤNG | ĂN PIZA NHÀ GIÀU ♥ Xoong Nồi TV (Tháng Chín 2024)
Đến bây giờ có lẽ bạn đã thấy các tài liệu tham khảo về phân đoạn mạng ở những nơi từ cột này đến các tính năng về bảo mật mạng và thảo luận về các thực tiễn tốt nhất trong giám sát mạng. Nhưng đối với nhiều chuyên gia CNTT, phân khúc mạng là một trong những điều bạn luôn có kế hoạch để thực hiện, đôi khi sớm, nhưng một cái gì đó luôn luôn cản trở. Giống như làm thuế của bạn vào tháng Hai: bạn biết bạn nên nhưng bạn cần thêm một động lực. Đó là những gì tôi hy vọng sẽ làm với trình giải thích 5 bước này.
Có một số lý do để phân chia mạng; lý do quan trọng nhất là bảo mật. Nếu mạng của bạn được chia thành nhiều mạng nhỏ hơn, mỗi mạng có bộ định tuyến hoặc chuyển đổi Lớp 3 riêng, thì bạn có thể hạn chế nhập vào một số phần nhất định của mạng. Bằng cách này, truy cập chỉ được cấp cho các điểm cuối cần nó. Điều này ngăn chặn truy cập trái phép vào các phần của mạng mà bạn không muốn truy cập và nó cũng hạn chế một số hacker có thể đã xâm nhập vào một phân khúc để có quyền truy cập vào mọi thứ.
Đó là những gì đã xảy ra với vi phạm Target năm 2013. Những kẻ tấn công sử dụng thông tin đăng nhập từ nhà thầu Hệ thống sưởi, thông gió và điều hòa không khí (HVAC) có quyền truy cập vào các điểm bán hàng (POS), cơ sở dữ liệu thẻ tín dụng và mọi thứ khác trên mạng. Rõ ràng, không có lý do gì để nhà thầu HVAC có quyền truy cập vào bất cứ thứ gì ngoại trừ bộ điều khiển HVAC, nhưng họ đã làm vì Target không có mạng được phân đoạn.
Nhưng nếu bạn, không giống như Target, dành thời gian để phân chia mạng của bạn, thì những kẻ xâm nhập đó sẽ có thể thấy bộ điều khiển hệ thống sưởi và điều hòa không khí của bạn chứ không có gì khác. Nhiều vi phạm có thể trở thành một sự kiện không. Tương tự, nhân viên kho sẽ không có quyền truy cập vào cơ sở dữ liệu kế toán và họ cũng không có quyền truy cập vào bộ điều khiển HVAC, nhưng nhân viên kế toán sẽ có quyền truy cập vào cơ sở dữ liệu của họ. Trong khi đó, nhân viên sẽ có quyền truy cập vào máy chủ email, nhưng các thiết bị trên mạng sẽ không.
Quyết định các chức năng bạn muốn
Tất cả điều này có nghĩa là bạn phải quyết định các chức năng cần giao tiếp trên mạng của mình và bạn cần quyết định loại phân khúc nào bạn muốn. "Các chức năng quyết định" có nghĩa là bạn cần xem ai trong đội ngũ nhân viên của bạn phải có quyền truy cập vào các tài nguyên điện toán cụ thể và ai không. Điều này có thể là một nỗi đau để vạch ra, nhưng khi hoàn thành, bạn sẽ có thể gán các chức năng theo chức danh công việc hoặc phân công công việc, có thể mang lại lợi ích bổ sung trong tương lai.
Đối với loại phân khúc, bạn có thể sử dụng phân khúc vật lý hoặc phân khúc hợp lý. Phân đoạn vật lý có nghĩa là tất cả các tài sản mạng trong một khu vực vật lý sẽ nằm sau tường lửa xác định lưu lượng truy cập có thể đi vào và lưu lượng nào có thể đi ra. Vì vậy, nếu tầng 10 có bộ định tuyến riêng, thì bạn có thể phân khúc vật lý mọi người ở đó.
Phân đoạn logic sẽ sử dụng mạng LAN ảo (Vlan) hoặc địa chỉ mạng để thực hiện phân đoạn. Phân đoạn logic có thể dựa trên Vlan hoặc mạng con cụ thể để xác định mối quan hệ mạng hoặc bạn có thể sử dụng cả hai. Ví dụ: bạn có thể muốn các thiết bị Internet vạn vật (IoT) của mình trên các mạng con cụ thể, trong khi mạng dữ liệu chính của bạn là một bộ mạng con, bộ điều khiển HVAC và thậm chí máy in của bạn có thể chiếm các thiết bị khác. Vấn đề ở đây là bạn sẽ cần xác định quyền truy cập vào máy in để những người cần in sẽ có quyền truy cập.
Các môi trường năng động hơn có thể có nghĩa là các quy trình gán lưu lượng truy cập phức tạp hơn thậm chí có thể phải sử dụng phần mềm lập lịch hoặc điều phối, nhưng những vấn đề này có xu hướng chỉ xuất hiện trong các mạng lớn hơn.
Chức năng khác nhau, giải thích
Phần này là về ánh xạ các chức năng công việc đến các phân đoạn mạng của bạn. Ví dụ: một doanh nghiệp điển hình có thể có kế toán, nhân sự (HR), sản xuất, lưu kho, quản lý và phân tán các thiết bị được kết nối trên mạng, như máy in hoặc, ngày nay, các nhà sản xuất cà phê. Mỗi chức năng này sẽ có phân khúc mạng riêng và các điểm cuối trên các phân đoạn đó sẽ có thể tiếp cận dữ liệu và các tài sản khác trong khu vực chức năng của chúng. Nhưng họ cũng có thể cần truy cập vào các lĩnh vực khác, chẳng hạn như email hoặc internet, và có lẽ là một khu vực nhân sự chung cho những thứ như thông báo và biểu mẫu trống.
Bước tiếp theo là xem các chức năng nào phải được ngăn chặn để tiếp cận các khu vực đó. Một ví dụ điển hình có thể là các thiết bị IoT của bạn chỉ cần nói chuyện với máy chủ hoặc bộ điều khiển tương ứng của chúng, nhưng chúng không cần email, duyệt internet hoặc dữ liệu nhân sự. Nhân viên kho sẽ cần truy cập hàng tồn kho, nhưng có lẽ họ không nên có quyền truy cập vào kế toán. Bạn sẽ phải bắt đầu phân khúc của mình bằng cách trước tiên xác định các mối quan hệ này.
5 bước cơ bản để phân đoạn mạng
Chỉ định từng tài sản trên mạng của bạn cho một nhóm cụ thể để nhân viên kế toán sẽ ở trong một nhóm, nhân viên kho trong một nhóm khác và người quản lý trong một nhóm khác.
Quyết định cách bạn muốn xử lý phân khúc của bạn. Phân khúc vật lý là dễ dàng nếu môi trường của bạn cho phép, nhưng nó hạn chế. Phân khúc hợp lý có thể có ý nghĩa hơn đối với hầu hết các tổ chức, nhưng bạn phải biết nhiều hơn về mạng.
Xác định tài sản nào cần liên lạc với tài sản nào khác, sau đó thiết lập tường lửa hoặc thiết bị mạng của bạn để cho phép điều này và từ chối quyền truy cập vào mọi thứ khác.
Thiết lập phát hiện xâm nhập và các dịch vụ chống phần mềm độc hại của bạn để cả hai có thể thấy tất cả các phân đoạn mạng của bạn. Thiết lập tường lửa hoặc công tắc của bạn để chúng báo cáo các nỗ lực xâm nhập.
Hãy nhớ rằng quyền truy cập vào các phân đoạn mạng phải minh bạch đối với người dùng được ủy quyền và sẽ không có khả năng hiển thị trong các phân khúc cho người dùng trái phép. Bạn có thể kiểm tra điều này bằng cách thử.
- 10 bước bảo mật không gian mạng Doanh nghiệp nhỏ của bạn nên thực hiện ngay 10 bước bảo mật không gian mạng Doanh nghiệp nhỏ của bạn nên thực hiện ngay bây giờ
- Vượt ra ngoài vành đai: Cách giải quyết vấn đề bảo mật lớp ngoài phạm vi: Cách giải quyết vấn đề bảo mật lớp
Điều đáng chú ý là phân khúc mạng không thực sự là một dự án Tự làm (DIY) ngoại trừ các văn phòng nhỏ nhất. Nhưng một số bài đọc sẽ giúp bạn chuẩn bị để đặt câu hỏi đúng. Nhóm Sẵn sàng Khẩn cấp Mạng Hoa Kỳ hoặc US-CERT (một phần của Bộ An ninh Nội địa Hoa Kỳ) là một nơi tốt để bắt đầu, mặc dù hướng dẫn của họ là nhằm vào IoT và kiểm soát quy trình. Cisco có một bài viết chi tiết về phân khúc để bảo vệ dữ liệu không dành riêng cho nhà cung cấp.
Có một số nhà cung cấp cung cấp thông tin hữu ích; tuy nhiên, chúng tôi chưa thử nghiệm sản phẩm của họ vì vậy chúng tôi không thể cho bạn biết liệu những sản phẩm đó có hữu ích hay không. Thông tin này bao gồm các mẹo hướng dẫn từ Sage Data Security, video thực hành tốt nhất từ AlgoSec và thảo luận phân đoạn động từ nhà cung cấp phần mềm lập lịch mạng HashiCorp. Cuối cùng, nếu bạn là người thích phiêu lưu, tư vấn bảo mật, Giám mục Fox cung cấp hướng dẫn DIY phân đoạn mạng.
Đối với các lợi ích khác của phân khúc ngoài bảo mật, mạng được phân đoạn có thể có lợi ích về hiệu suất vì lưu lượng mạng trên một phân khúc có thể không phải cạnh tranh với lưu lượng khác. Điều này có nghĩa là nhân viên kỹ thuật sẽ không thấy các bản vẽ của mình bị trì hoãn bởi các bản sao lưu và những người phát triển có thể thực hiện thử nghiệm của họ mà không phải lo lắng về tác động hiệu suất từ lưu lượng mạng khác. Nhưng trước khi bạn có thể làm bất cứ điều gì, bạn cần phải có một kế hoạch.
