Сегментация сети — это стратегия, используемая для разделения и изоляции сегментов в корпоративной сети с целью уменьшения поверхности атаки.

Однако, учитывая сегодняшние центры обработки данных, взрывной рост пользователей и динамику приложений и ресурсов, стратегии безопасности предполагают перемещение периметра ближе к ресурсу, чем это было в стратегии «замок и ров».

Сегментация сети является одной из основных концепций стратегии безопасности с нулевым доверием, наряду с идентификацией, основанной на структуре нулевого доверия NIST SP 800-207.

Cетевая макросегментация и микросегментация

Традиционная сегментация сети, также известная как макросегментация, обычно достигается с помощью внутренних брандмауэров и виртуальных локальных сетей. При микросегментации элементы управления периметром и безопасностью перемещаются ближе к ресурсу (например, рабочей нагрузке или трехуровневому приложению), создавая безопасные зоны.

Сетевая макро-/микросегментация в первую очередь выполняется для ограничения трафика Восток-Запад через центр обработки данных и предотвращения/замедления бокового перемещения злоумышленников.

Сетевая макро/микросегментация может быть достигнута с помощью:

- Аппаратные брандмауэры (например, внутренние брандмауэры сегментации) — поток трафика в зоны или сегменты регулируется правилами брандмауэра.

- VLAN и списки контроля доступа (ACL) — фильтрация доступа к сетям/подсетям.

- Программно-определяемый периметр (SDP) — перемещает периметр ближе к хосту, обеспечивая виртуальную границу. Он обеспечивает детальный контроль политик на уровне рабочей нагрузки.

Сетевая макросегментация: плюсы и минусы

Политики доступа к ресурсам, определенные с помощью правил брандмауэра и VLAN/ACL, являются статическими и ориентированы только на входящий и исходящий трафик. Эти политики являются жесткими и не могут масштабироваться или адаптироваться к динамическим гибридным средам и динамическим требованиям безопасного доступа, которые вышли за пределы статических периметров.

Плюсы:

- Один из старейших и широко распространенных методов сегментации, предшествующий Zero Trust.

- Знакомые аппаратные брандмауэры для контроля трафика Восток-Запад и Север-Юг.

Минусы:

- Виртуальные локальные сети и брандмауэры создают в сети несколько узких мест, что негативно влияет на производительность сети и продуктивность бизнеса.

- Тысячи правил брандмауэра и VLAN/ACL быстро превращаются в кошмар управления и безопасности (настройка сложная, подверженная человеческим ошибкам).

- Дорого для масштабирования с инвестициями в оборудование и затратами на персонал.

- Сложно для достижения централизованной видимости локально и в облаке.

- То, что работает локально, не работает в облаке (пробелы в видимости и безопасности — большая поверхность атаки).

- Сложно реализовать детализированные политики.

- Политика является жесткой – не адаптируется к динамичной среде или внезапным изменениям в бизнес-моделях (например, удаленная рабочая сила, слияния и поглощения, продажа активов).

- Привязка к поставщику становится накладными расходами.

Сетевая микросегментация: плюсы и минусы

Периметр перемещается ближе к ресурсу, и на отдельном узле применяются меры безопасности.

Плюсы:

- Независимость от платформы и инфраструктуры

- Контекстные элементы управления безопасностью с детализированными политиками

- Единая платформа

Минусы:

- Потребуются агенты на каждой конечной точке, рабочей нагрузке или гипервизоре/виртуальных машинах.

- Хотя детализированные политики являются преимуществом, само количество политик, которые необходимо создавать и управлять ими для тысяч ресурсов, групп пользователей, зон (микросегментов) и приложений, огромно.

- 90% трафика зашифровано, что требует ресурсоемкой расшифровки SSL/TLS для полной видимости, что резко увеличивает требования к обработке и, следовательно, затраты на внедрение и ввод в действие этой сегментации.

- Необходимо быть полностью осведомленным обо всей архитектуре центра обработки данных — что меняется, что нового и каковы пробелы — чтобы начать думать о политиках, которые не снижают производительность бизнеса. (Например, сценарии: внезапный переход на удаленную работу и что происходит, когда сотрудники возвращаются после пандемии? Как изменится архитектура/топология и как это повлияет на политики и каковы «новые» пробелы?)

- Минимальное обнаружение и предотвращение угроз или вовсе их отсутствие. Нужны отдельные инструменты и интеграция для анализа, обнаружения и предотвращения угроз.

Сетецентрический подход к сегментации с макросегментацией или микросегментацией имеет свои плюсы и минусы. Сегментация сети включает множество частей: аппаратные брандмауэры, программно-определяемые периметры, дополнительные элементы управления и инструменты для многооблачной инфраструктуры, а также несколько политик доступа к ресурсам, которыми необходимо управлять и обновлять, чтобы не отставать от атак и меняющегося ландшафта угроз.

Отличие сегментации сети от сегментации удостоверений

Хотя сегментация сети уменьшает поверхность атаки, эта стратегия не защищает от методов и тактик злоумышленников на этапах идентификации. Метод сегментации, обеспечивающий максимальное снижение рисков при снижении затрат и операционной сложности, — это сегментация удостоверений.

Защита удостоверений значительно снижает риск взлома от современных атак, таких как программы-вымогатели и угрозы цепочки поставок, в которых скомпрометированные учетные данные являются ключевым фактором. Согласно отчету экспертов о стоимости утечки данных, скомпрометированные или украденные учетные данные пользователей были наиболее распространенной основной причиной утечек, а также требовалось больше всего времени — в среднем 250 дней — для выявления.

Именно поэтому сегментация удостоверений помогает значительно ограничить поверхность атаки, изолируя и сегментируя удостоверения, обеспечивая немедленную ценность, поскольку в большинстве нарушений используются учетные данные пользователей.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.