Микросегментация (сетевая безопасность)

Микросегментация — это подход к сетевой безопасности , который позволяет архитекторам безопасности создавать границы зон сетевой безопасности для каждой машины в центрах обработки данных и облачных средах, чтобы независимо разделять и защищать рабочие нагрузки. ^[1]^[2]

Теперь он также используется в клиентской сети, а также в сети центров обработки данных.

Виды микросегментации

Существует три основных типа микросегментации:

Сегментация межсетевого экрана на основе хоста ОС использует брандмауэры ОС для регулирования сетевого трафика между сегментами сети. Вместо использования маршрутизатора или сетевых брандмауэров или развертывания агентов каждый брандмауэр хоста используется как для аудита, так и для принудительного применения, не позволяя злоумышленникам перемещаться между сетевыми компьютерами. Хотя брандмауэры на базе хостов Native OS могут реализовать множество схем сегментации, включая микросегментацию, только недавние инновации в этой области сделали реализацию и управление достижимыми в больших масштабах. ^[3]
Сегментация хост-агент . Этот стиль микросегментации использует агенты на основе конечных точек. Наличие централизованного менеджера, имеющего доступ ко всем потокам данных, сложность обнаружения скрытых протоколов или зашифрованных сообщений . снижает ^[4] Использование технологии хост-агента общепризнано как мощный метод микросегментации. ^[4] Поскольку зараженные устройства действуют как хосты, надежная стратегия хоста может в первую очередь предотвратить проявление проблем. Однако это программное обеспечение должно быть установлено на каждом хосте. ^[4]
Сегментация гипервизора . В этой реализации микросегментации весь трафик проходит через гипервизор . ^[4] Поскольку возможен мониторинг трафика на уровне гипервизора, можно использовать существующие межсетевые экраны и переносить правила на новые гипервизоры по мере развертывания и остановки экземпляров. ^[4] Сегментация гипервизора обычно не работает с облачными средами, контейнерами или «голым железом», что является недостатком. ^[4]
Сегментация сети . Этот подход основан на текущей настройке с использованием проверенных методов, таких как списки управления доступом (ACL) для сегментации сети. ^[4]

Преимущества

Микросегментация позволяет защитникам предотвращать практически любые методы атак, перекрывая векторы атак во внутренних сетях , чтобы злоумышленники были остановлены. ^[4]

Микросегментация в средах Интернета вещей (IoT) может помочь предприятиям получить контроль над растущим объемом горизонтальной связи между устройствами, которая в настоящее время не контролируется мерами безопасности, ориентированными на периметр. ^[5]

Проблемы

Внедрение и поддержание микросегментации может быть затруднено. ^[4] Первое развертывание всегда является самым сложным. ^[4] Некоторые приложения могут не поддерживать микросегментацию, и процесс реализации микросегментации может вызвать другие проблемы. ^[4]

Определение политик, отвечающих требованиям каждой внутренней системы, является еще одним потенциальным препятствием. При рассмотрении и определении политики и ее последствий могут возникать внутренние конфликты, что делает этот процесс сложным и трудоемким для некоторых пользователей. ^[4]

Сетевое соединение между активами с высокой и низкой чувствительностью внутри одной границы безопасности требует знания того, какие порты и протоколы должны быть открыты и в каком направлении. Непреднамеренные сбои в работе сети представляют собой риск небрежной реализации. ^[4]

Микросегментация широко совместима со средами, в которых работают распространенные операционные системы, включая Linux , Windows и MacOS . Однако это не относится к компаниям, которые полагаются на мэйнфреймы или другие устаревшие технологии. ^[4]

Чтобы воспользоваться преимуществами микросегментации, несмотря на ее проблемы, компании разработали решения, используя автоматизацию и самообслуживание. ^[6]

Ссылки

^ Беднарц, Энн (30 января 2018 г.). «Что такое микросегментация? Как детализированная сегментация повышает безопасность сети» . Сетевой мир .
^ «1 Краткое содержание — документация NIST SP 1800-24» . www.nccoe.nist.gov .
^ Хуан, Дицзян; Чоудхари, Анкур; Пишароди, Сандип. Программно-определяемые сети и безопасность . doi : 10.1201/9781351210768-8/microsegmentation-dijiang-huang-ankur-choudhary-sandeep-pisharody .
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н Эдвардс, Джон (16 апреля 2020 г.). «Как микросегментация может ограничить ущерб, наносимый хакерами» . Сетевой мир .
^ Виолино, Боб (10 октября 2019 г.). «Может ли микросегментация помочь в обеспечении безопасности Интернета вещей?» . Сетевой мир .
^ «Израильский стартап Zero Networks привлек $20,3 млн» .

[1] Беднарц, Энн (30 января 2018 г.). «Что такое микросегментация? Как детализированная сегментация повышает безопасность сети» . Сетевой мир .

[2] «1 Краткое содержание — документация NIST SP 1800-24» . www.nccoe.nist.gov .

[3] Хуан, Дицзян; Чоудхари, Анкур; Пишароди, Сандип. Программно-определяемые сети и безопасность . doi : 10.1201/9781351210768-8/microsegmentation-dijiang-huang-ankur-choudhary-sandeep-pisharody .

[auto-4] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н Эдвардс, Джон (16 апреля 2020 г.). «Как микросегментация может ограничить ущерб, наносимый хакерами» . Сетевой мир .

[5] Виолино, Боб (10 октября 2019 г.). «Может ли микросегментация помочь в обеспечении безопасности Интернета вещей?» . Сетевой мир .

[JP-6] «Израильский стартап Zero Networks привлек $20,3 млн» .

[1]

[2]

[3]

[4]

[5]

[6]