نقش Network Segmentation در امنیت سازمانی
Network segmentation به فرایندی گفته می شود که به تقسیم بندی و هدایت ترافیک اشاره دارد. به طور کلی segmentation یا تقسیم بندی شبکه به منظور به حداکثر رساندن عملکرد و پرفورمنس سازمانی مورد استفاده قرار می گیرد.
Network segmentation به ساختاری گفته می شود که شبکه را به بخش ها و یا زیرمجموعه های کوچک تر تقسیم می کند. هر segment عملکردی مستقل داشته و به تیم امنیت این امکان را می دهد که بر ترافیک شبکه، نظارت و کنترل بیشتری داشته باشند.
سازمان ها با network segmentation، مانع از دسترسی های غیر مجاز به شبکه های خود می شوند. با توجه به این که امروزه اکثر سازمان ها، داده های خود را در فضاهای ابری و hybrid مستقر می سازند، اهمیت تامین امنیت سایبری دو چندان می گردد. Network segmentation با network segregation ارتباط تنگاتنگی دارد، اما با مفاهیمی مانند microsegmentation، internal segmentation و intent-based segmentation کاملا متفاوت است.
تفاوت Network Segmentation و Microsegmentation
Microsegmentation قادر است رویکرد دقیق تر و جزیی تری را از طریق VLANها و لیست های کنترل دسترسی بر روی شبکه اعمال کند. در حقیقت microsegmentation، پالیسی ها را بر روی وظایف کاری هر فرد اعمال نموده و به این ترتیب، قدرت مقابله بالاتری با حملات ایجاد خواهد کرد.
تقسیم بندی که microsegmentation بر روی شبکه انجام می دهد، کوچک تر و ایمن تر است و به سازمان ها امکان می دهد به منظور به حداقل رساندن جریان های مختلف بین وظایف کاری گوناگون، پالیسی هایی راتعریف و پیاده کنند. این امر باعث کاهش توانایی مهاجمین سایبری در دستیابی به اپلیکیشن ها و مدیریت بهتر network segmentation می گردد.
تفاوت Network Segmentation و Internal Segmentation
انجام network segmentation در گذشته، برای سازمان هایی که از آدرس های آی پی استاتیک و پورت های ingress و egress استفاده می کردند، نسبتا ساده بود. با این حال، با توجه به گسترش شبکه ها و فضاهای ابری باید گفت آدرس های آی پی به صورت مداوم در حال تغییر هستند. در نتیجه توصیه می شودnetwork segmentation با تغییراتِ چشم اندازها، تکامل یافته تا از دسترسی مهاجمان سایبری به سیستم های تجاری ممانعت به عمل آید.
این در حالی است که internal segmentation، امکان تقسیم کردن شبکه و زیرساخت ها را صرف نظر از موقعیت مکانی به سازمان ها اعم از محیط های فیزیکی و فضاهای ابری می دهد. سپس کسب و کار مورد نظر می تواند با نظارت همیشگی و تطبیق پالیسی های امنیتی، دسترسی پویا و دقیقی به دست آورد. از طرفی به منظور حصول اطمینان از شناسایی سریع تهدیدات و ممانعت از آن ها، داده های مهم را ایزوله می کنند.
تفاوت Network Segmentation و Intent-based Segmentation
کسب و کارهایی که از network segmentation استفاده می کنند می توانند از طریق network semantics، شبکه های خود را مدیریت کنند. با این حال ممکن است آن ها به این نتیجه برسند که این گزینه، امنیت کافی را تامین نمی کند. دلیل آن این است که هیچ قانون یا مکانیسمی برای مدیریت وظایفی مانندکنترل پذیرش و احراز هویت وجود ندارد.
Intent-based segmentation با در پیش گرفتن راهکارهایی مانند “شناسایی مکان هایی که segmentation را می توان اعمال کرد”، “نحوه ایجاد اعتماد” و همچنین “بازرسی امنیتی بر روی ترافیک” مشکل مذکور را برطرف می کند. به این ترتیب segmentation و اصول zero-trust در کنار یکدیگر قرار گرفته و یک ساختار امنیتی یکپارچه ای را ارائه داده که با نیازهای در حال تغییر سازمان ها نیز سازگار است. بنابراین Intent-based segmentation، امکان شناسایی و کاهش تهدیدات پیشرفته را فراهم آورده و دسترسی های متفاوتی را بر اساس نیاز، اعطا می کند.
Intent-based segmentation قادر است کل شبکه و بخش های ارزشمند آن اعم از کلیه ی endpointها و تجهیزات را پوشش دهد. قطعا چنین راهکاری در مقایسه با نوع قدیمی تر آن و همین طور در مقایسه با شبکه های flat، جامع تر می باشد. یکی دیگر از ویژگی های intent-based segmentation این است که از مکانیسم های موجود استفاده می کند، مانند ابزارهای identity-based network و business logic. این امر به سازمان ها کمک می کند از دسترسی به منابع شبکه بر اساس ارزیابی ریسک به دنبال رفتارهای مشکوک کاربران جلوگیری کنند.
سازمان ها می توانند سطح امنیت مورد نیاز خود را مدیریت نموده و کلیه ی ترافیک شبکه را رمزنگاری کنند. این موضوع از این بعد بسیار حائز اهمیت است که کاربران معتبر ممکن است قربانی یک حمله ی باج افزاری شده؛ بدون این که اطلاعی از آن داشته باشند و مسیری به شبکه برای ورود هکرها ایجاد می کنند.
Network Segmentation و Zero-Trust
پیش از این، سازمان ها استراتژی های امنیتی خود را بر اساس یک محیط امن و قابل اعتماد بنا می کردند. در حقیقت تئوری آن بر این اساس بود که تک تک افرادی که در یک سازمان مشغول به کار هستند، قابل اعتماد می باشند. هر چند که با افزایش دورکاری، این ایده دیگر جایی ندارد.
بر خلاف مدل فوق، zero trust بر اساس شعار ” never trust, always verify” بنا شده و تنها به افراد معتبر و بر اساس میزان مورد نیاز، دسترسی های لازم را اعطا می کند. بعد از آن هم به طور مداوم با اقداماتی مانند درخواست اطلاعات کاربرای، کاربران را ارزیابی می کند.
اطلاعات کاربری کاربران را می توان با استفاده از راهکارهای identity and access management (IAM) که از اطلاعات مهم محافظت می کنند، مدیریت نمود. در واقع IAM، چارچوبی از یک پالیسی و فرایند است که سازمان ها را قادر به مدیریت دسترسیِ کاربران به منابع و اطلاعات بسیار مهم و احراز هویت دیجیتالی می نماید. این راهکار تضمین می کند سطح مناسبی از دسترسی به شبکه و منابع آن به هر یک از کاربران اعطا شده، در نتیجه موجب ارتقا امنیت، افزایش سرعت و کاهش هزینه ها می شود.
از دیگر مزایای IAM ، می توان به بهینه سازی تجارب کاربران و ایمن سازی کسب و کار اشاره نمود. IAM با استفاده از ابزارهایی مانند single sign-on (SSO) و multi-factor authentication (MFA)، اقدام به احراز هویت سریع و ساده کاربران نموده و به این ترتیب، به اهداف فوق الذکر خود می رسد. در ضمن کارهای وقت گیری که ممکن است منجر به خطای انسانی شود را به صورت خودکار انجام می دهد.
طبیعتا سازمان ها باید به تک تک تجهیزاتی که وارد شبکه ی آن ها می شود، نظارت داشته باشند. راهکاری که در این راستا به سازمان ها توصیه می شود، Network Access Control (NAC) است که به خصوص به اجرای ایمن BYOD (استفاده از تجهیزات شخصی توسط کارمندان) و تطبیق تجهیزات IoT کمک فراوانی می کند. به این ترتیب نظارت بر همه ی دستگاه ها و کاربرانی که وارد شبکه می شوند افزایش یافته و میزان دسترسی آن ها را محدود می کند.
Network Segmentation چه مزایایی دارد؟
تقسیم بندی شبکه مزایای فراوانی برای سازمان ها به همراه دارد؛ مانند کاهش سطح حملات، ممانعت از حملات و بهبود سطح عملکرد سازمانی. اگر بخواهیم به مهم ترین مزایای آن اشاره کنیم، شامل موارد ذیل می گردد:
-
امنیت
تقسیم بندی شبکه با ممانعت از گسترش حملات به کل شبکه و جلوگیری از نفوذ به دستگاه های محافظت نشده، نقش مهمی در تامین امنیت شبکه دارد. در صورت بروز حملات نیز، تضمین می کند که هیچ بدافزاری نمی تواند به سایر سیستم های سازمانی نفوذ کند. علاوه بر این، چنانچه تهدیدی از فایروال عبور کند، تنها دسترسی محدودی خواهد داشت.این ویژگی در فایروال های NGFW مانند فایروال فورتی گیت 200f دیده میشود .
-
عملکرد
تقسیم بندی شبکه به کاهش ازدحام شبکه که غالبا بر روی عملکرد تاثیر منفی دارد، کمک می کند. اهمیت این امر به خصوص برای خدمات پرمصرف مانند بازی های آنلاین، پخش ویدئو و ویدئوکنفرانس ها مشخص تر می شود.
سازمان های فوق الذکر می توانند با segment کردن شبکه خود و اولویت بندی، عملکرد خود را بهبود بخشند. در چنین سازمان هایی، ازدحام در شبکه منجر به از دست رفتن پکت های دیتا شده که در نهایت به تاخیر در پخش رسانه، قطعی صدا و یا کیفیت پایین ویدئو کنفرانس می گردد.
-
نظارت و مقابله
یکی دیگر از مزایای network segmentation، تسهیل کل فرایند نظارت بر ترافیک شبکه است. در این صورت است که سازمان ها می توانند فعالیت های مخرب را به سرعت شناسایی کنند، لاگ ها را ثبت کنند و همچنین کلیه کانکشن هایی که تایید و یا عدم تایید گرفته اند را ثبت کنند. تقسیم شبکه به زیرمجموعه های کوچک تر به سازمان ها کمک می کند بر کل ترافیک ورودی و خروجی نظارت دقیق داشته باشند. در نتیجه تامین امنیت برای چنین شبکه هایی بسیار ساده تر می گردد.
انواع Network Segmentation
1) Physical Segmentation
در physical segmentation، شبکه به بخش های فیزیکی و یا زیرمجموعه های متعدد تقسیم می شود. فایروال نیز مانند یک درگاه امنیتی عمل کرده و بر ترافیک ورودی و خروجی و همین طور سخت افزارهایی مانند اکسس پوینت، روتر و سوییچ ها نظارت می کند. غالبا روشِ Physical به عنوان یک روش ساده در نظر گرفته می شود، اما ممکن است پرهزینه بوده و مشکلات پیش بینی نشده ای را ایجاد کند.
2) Logical Segmentation
این روش، محبوب تر از نوع قبلی می باشد. در اکثر موارد، نیازی به تهیه سخت افزارهای جدید و یا کابل کشی نمی باشد، بنابراین روشی مقرون به صرفه تر و قابل انعطاف تر است.
رویکرد logical زیرساخت های موجود را با استفاده از VLANها و یا addressing scheme به کار می گیرد. VLANها به طور خودکار، ترافیک را به مناسب ترین زیرمجموعه شبکه، هدایت می کنند.
دفتر تهران
