انفجار در کار از راه دور که به دنبال همه گیری COVID-19 انجام شد ، مدل های شرکت را از مرکز اصلی شعبه دفتر به دفاتر کمی کارمند و کارمندان بسیار گسترده تبدیل کرده است. این به نوبه خود تمرکز خود را از شبکه ها و فناوری های توزیع شده مانند SD-WAN به لبه شبکه منتقل کرده است و به فناوری هایی مانند امنیت اعتماد صفر و تقسیم بندی خرد منجر شده است.
نرم افزار- امنیت تعریف شده با ریز تقسیم بندی
ریز تقسیم بندی از فناوری مجازی سازی برای ایجاد مناطق امن به طور فزاینده دانه در شبکه ها استفاده می کند. با استفاده از سیاست های امنیتی ریز ریز ، تقسیم خرد ، امنیت را از شبکه ها و آدرس های IP دور می کند و امنیت را بر اساس هویت کاربر و برنامه های کاربردی قرار می دهد – کاربران فقط از دسترسی لازم برخوردار می شوند و از ایجاد ترافیک جانبی در شبکه جلوگیری می کنند. این یک فن آوری اصلی برای اعتماد صفر است ، این ایده است که به هیچ کس نباید اعتماد کرد یا بیش از آنچه نیاز است دسترسی داشت.
مزایای ریز تقسیم بندی
ریز تقسیم بندی چندین مزیت را به سازمان ها ارائه می دهد:
- سطح حمله کاهش یافته: [19659013] تقسیم خرد توانایی مهاجم را در حرکت جانبی از طریق شبکه محدود می کند و در نهایت سطح حمله بالقوه را کاهش می دهد. . اما ریز تقسیم بندی می تواند زمان تهدید و پاسخ تهدید را به شدت بهبود بخشد. هنگامی که تخلفات خط مشی شناسایی می شود ، ابزارهای ریز تقسیم بندی می توانند هشدارهایی در زمان واقعی ایجاد کرده و حتی فعالیت های غیر مجاز را مسدود کنند. ایجاد بخشهایی که به طور خاص داده های تنظیم شده را ذخیره می کنند. سپس می توان سیاست های متمرکز بر انطباق را برای این بخشها ایجاد کرد. این امر همچنین فرآیند حسابرسی را بسیار ساده می کند.
مشکل با تکنیک های امنیتی سنتی
ابزارهای امنیتی سنتی ، مانند دیوارهای آتش ، VPN ها و کنترل دسترسی شبکه ( NAC) محدودیت های خود را دارند زیرا آنها در درجه اول بر امنیت محیط شبکه تمرکز می کنند. تیم های امنیتی از نظر تاریخی بزرگترین تهدیدها حمله از خارج از شبکه بودند. اما این رویکرد تهدیدات داخلی را نادیده گرفت – و خسارتی که ممکن است هکرها در نهایت وارد شبکه شوند.
پیچیده شدن تصویر امنیتی شبکه ، افزایش فعالیت در لبه شبکه است ، که همچنین نیاز به رویکردهای جدید در زمینه امنیت است. ، به طور کلی تحت اصطلاح edge edge با هم جمع می شوند. همه این تحولات در شبکه نیاز به رویکردهای جدیدی در زمینه امنیت دارد و مفهوم بنیادی آن اعتماد صفر است.
تأیید اعتبار کاربران و دستگاه های دارای امنیت اعتماد صفر
چارچوب اعتماد صفر به فلسفه "اعتماد به هیچ چیز و تأیید همه چیز" متکی است " این بدان معناست که سازمانها باید قبل از اجازه دسترسی به هرگونه برنامه یا داده ذخیره شده ، به تک کاربر و دستگاهی که از طریق داخلی یا خارجی به شبکه متصل هستند احراز هویت و مجوز دهند. این روش دسترسی به حداقل امتیاز تشخیص می دهد که اعتماد آسیب پذیر است.
اگر یک بازیگر مخرب به شبکه دسترسی پیدا کند ، ابزارهای امنیتی متمرکز بر محیط نمی توانند مانع از حرکت جانبی آنها از طریق شبکه شوند و به آنها امکان دسترسی به برنامه ها و داده ها را می دهند. . اعتماد صفر دسترسی به همه برنامه ها و محیط های شبکه را تضمین می کند.
بنابراین چگونه تیم های امنیتی می توانند تعداد زیادی از کاربران و دستگاه هایی را که در سراسر شبکه سفر می کنند ، احراز هویت کنند؟ یکی از کلیدها ایجاد بخشهای تعریف شده توسط نرم افزار و تعریف سیاستهای امنیتی برای آنها در سطح دانه ای با استفاده از ریز تقسیم بندی است.
جداسازی شبکه ها و بارهای کاری با تقسیم بندی خرد
از نظر تاریخی ، سازمان ها از تقسیم بندی شبکه برای امنیت استفاده می کردند که این یک روش برای ایجاد زیر -در یک محیط مبتنی بر سخت افزار شبکه می شود. این بخشهای شبکه با استفاده از ابزارهای سنتی و متمرکز بر پارامترها ، مانند VPN یا فایروال ها ، برای تأمین امنیت شمال به جنوب ساخته شده اند.
تقسیم بندی خرد ، از ترافیک شرق به غرب ، یا جانبی محافظت می کند. این شامل اتصالات سرور به سرور ، برنامه به سرور و وب به سرور در داخل شبکه است. با ایجاد بخشهای امنیتی برای بارهای فردی با کنترلهای سیاست دانه بندی ، خردبخشی کنترل کاملی بر میزان ترافیک درون و بین بخشهای تعریف شده توسط نرم افزار فراهم می کند. به عنوان دیوارها و خندق های اطراف قلعه شبکه شما. ریز تقسیم بندی به عنوان محافظانی محافظت می کند که از هر در و مسیر داخل دیوارهای قلعه محافظت می کند.
مشکلات تقسیم شبکه
تئوری تقسیم بندی شبکه کاملاً با اعتماد صفر در تضاد است ، زیرا فقط مربوط به اجازه دسترسی اولیه به شبکه. این بدان معناست که به محض دسترسی اتصال ، می توان به راحتی در سراسر شبکه رفت و آمد کرد. نشان داده شده است که این اعتماد منجر به نقض امنیت می شود که می تواند بخشهای جانبی را آلوده کند. برای دستیابی به برخی از محافظت های جانبی از ترافیک ، بخشهای تعریف شده توسط نرم افزار در شبکههای ترکیبی و ابری مدرن به هزاران سیاست درشت برای هر بخش نیاز دارند. این امر به مراتب بیش از آن است که بتوان مدیریت جدیدی کرد زیرا منابع جدید و کاربران به طور مداوم به شبکه اضافه می شوند.
عدم وجود سیاست های جامع و دقیق برای محافظت از ترافیک جانبی ، مسئله ویژه ای در مورد تهدیدهای مداوم پیشرفته است (APT ها) . در این موارد ، مهاجمان از اعتبار سرقتی برای دسترسی به شبکه استفاده می کنند. بدون وجود یک چارچوب اعتماد صفر ، مهاجمان می توانند برای مدت زمان طولانی در یک شبکه شناسایی نشده پیمایش کنند ، از سیستم سازمان نقشه برداری کرده و بدافزار بسیار سفارشی را برای برداشت داده های حساس ایجاد کنند. اعتماد صفر و تقسیم خرد کلیدی برای جلوگیری از سفر آشکار APT ها در سراسر شبکه است.