در دوره ای که لبه شبکه با بیشترین میزان ترافیک روبرو است ، سازمان ها برای افزودن امنیت قوی تر می شتابند اما در انجام تلاش طولانی مدت موسوم به ریز تقسیم بندی تردید دارند. تقسیم خرد عبارت است از شناسایی باارزش ترین بخشهای شبکه سازمان ، ایجاد سیاستهای دقیق ارتباطی و تبدیل شدن به جریان اصلی شبکه. برخلاف تقسیم بندی سنتی شبکه ، که برای عملکرد و مدیریت شبکه بسیار حیاتی است ، تقسیم بندی خرد بیشتر به موضوعات مهم مرتبط با امنیت و مهارت در کسب و کار می پردازد.
به عنوان فناوری اصلی اعتماد صفر ، اجرای ریز تقسیم بندی محدود کردن ارتباطات در داخل شبکه نیست. در عوض ، با افزایش دید در نحوه جریان داده ها ، مدیران شبکه می توانند با تحلیلگران مشاغل و امنیت برای ایجاد سیاست های فعال شده در برنامه کار کنند. موفقیت در اجرای تقسیم بندی خرد برای سازمان شما به معنای برچسب گذاری بر روی ترافیک ، سرویس دهی به ارتباطات منظم تجاری ، سازگاری با تهدیدهای و و انکار سایر ناهنجاری های دیگر است.
این مقاله به بررسی رویکردهای تقسیم بندی خرد می پردازد ، مراحلی که سازمان شما می تواند برای اجرای ریز تقسیم بندی انجام دهد و اینکه چرا امروز می توانید به سمت جلوگیری از حرکت جانبی بروید.
همچنین بخوانید: ریز تقسیم بندی: تکامل بعدی در امنیت سایبری
رویکردهای ریز تقسیم بندی
ده سال پس از ریشه های مفهومی اعتماد صفر ، صنعت امنیت سایبری چهار روش برای اجرای تقسیم بندی خرد دارد: شبکه شبکه ، hypervisor ، نماینده یا NFGW ها. در حالی که هر چهار رویکرد می تواند به سازمان شما کمک کند تا به سمت ریز تقسیم بندی حرکت کند ، برخی از آنها برای امنیت شبکه جامع حیاتی هستند.
اجرای مبتنی بر پارچه
اولین رویکرد ، دو برابر کردن شبکه شبکه برای ریز تقسیم بندی است. گارتنر پارامترهای مبتنی بر پارچه (FBI) را با ادغام عمودی سخت افزار و نرم افزار فراخوانی می کند و دسترسی مدیریتی "در زمان واقعی" را به زیرساخت های شما می دهد. برای مراکز داده سنتی (DC) و مراکز داده تعریف شده توسط نرم افزار (SDDC) ، استفاده از ساختار شبکه می تواند یک نقطه اجرای ضروری باشد. با این حال ، اجرای ریز تقسیم بندی از طریق شبکه شبکه در محیط های ابری داستان متفاوتی است.
استفاده از Hypervisor
مسیر دیگر ریز تقسیم بندی داخلی در سطح hypervisor است. مانند رویکرد مبتنی بر پارچه ، یک Hypervisor شبکه ، همچنین به عنوان مدیر ماشین مجازی (VM) شناخته می شود ، به عنوان یک نقطه اجرای ترافیک در شبکه دستگاه های شما عمل می کند. همچنین ، مانند پارچه شبکه ، hypervisor برای یک محیط SDDC قابل استفاده است.
استفاده از hypervisor می تواند نیاز به مدیریت و patch نرم افزار را برای هر دستگاه از بین ببرد. این رویکرد همچنین یک روش معمول برای ریز تقسیم بندی – همکاری طبیعی بین تحلیلگران امنیتی و مدیران شبکه را تسهیل می کند.
Outsource Endpoint Protection
روش سوم کمک گرفتن از فروشندگان متخصص در endpoint حفاظت است. این روش مبتنی بر عامل به معنای محافظت از سیاست های شما در زمان واقعی است. برون سپاری نمایندگان نقطه پایانی در همکاری بین شبکه و نیروهای امنیتی داخلی تداخل ایجاد می کند اما یک انتخاب سازمانی است. راه حل های عامل به همراه NGFW می توانند در هر سه محیط کار کنند.
عمده فروشندگان امنیتی نقطه پایان شامل BitDefender ، Check Point ، CrowdStrike ، Sophos ، Symantec ، Trend Micro و VMWare هستند.
همچنین بخوانید: Endpoint Security: بسیار پیچیده تر از آن است كه شما تصور می كنید
Firewall های نسل بعدی را بالا ببرید
سرانجام ، و احتمالاً پیشرفته ترین روش ریز تقسیم بندی دیوارهای فایروال نسل بعدی (NGFW ها) NGFW ها در هر سه محیط کار می کنند و امنیت را تا لایه 7 تأمین می کنند ، و آنها را به ابزاری ارزشمند برای بازرسی بسته های عمیق ، کنترل برنامه ها و IDPS تبدیل می کنند. فروشندگان NGFW گرچه در ابتدا برای فضای ابری در نظر گرفته نشده اند ، به طور فزاینده ای راه حل های امنیتی خود را در قالب دیوارهای آتش به عنوان سرویس (FWaaS) ارائه می دهند.
عمده فروشندگان NGFW شامل Barracuda ، Cisco ، Fortinet ، Huawei ، Juniper ، Palo Alto Networks و SonicWall هستند.
همچنین بخوانید: ده فروشنده برتر دیوار آتش (NGFW)
محیط زیست و امنیت در برابر ریز تقسیم بندی
هنگام بررسی روش های مختلف تقسیم بندی خرد ، محیط شبکه و نیازهای امنیتی شاخص های مفیدی هستند. در حال حاضر ، دارایی ها بدون محافظت بیشتر از DC های سنتی به SDDC و محیط عمومی یا چند ابر (19659002) در حال سفر هستند.
سیاستهای سطح برنامه به سرعت در حال تبدیل شدن به استانداردی برای امنیت شبکه هستند ، و این سه روش اول را کمتر از توان NGFW ها می کند. روش شبکه و فروشنده فقط می تواند از لایه های 2-4 محافظت کند ، در حالی که استفاده از NGFW تنها روشی است که تهدیدها و قابلیت مشاهده و امنیت کامل لایه 7 را شناسایی می کند. سازمانهایی که چندین روش را فعال می کنند ، فقط به وضعیت امنیتی آنها اضافه می کنند ، به طور بالقوه ترافیک مخرب را در سطح شبکه یا hypervisor متوقف می کنند ، قبل از اینکه حتی به دیوارهای آتش داخلی شما برسد.
همچنین بخوانید: دیوارهای آتش به عنوان یک سرویس ( FWaaS): آینده فایروال های شبکه؟
بهترین روش برای ریز تقسیم بندی
برای ریز تقسیم بندی ، همان اندازه که مربوط به فرآیند است ، همان فن آوری است. مراحل را با دقت دنبال نکنید ، و شما فقط پروژه را طولانی خواهید کرد و سردردهای غیر ضروری ایجاد خواهید کرد.
هیچ ترافیکی در پشت
ریز تقسیم بندی به معنای دید بی نقص جریان های ترافیکی شمال-جنوب و شرق-غرب است. در مرحله کشف شبکه ، اطلاعات جمع آوری شده باید در مورد برنامه ها ، میزان کار و ارتباطات فعال بین آنها باشد. منابع اضافی می توانند پایگاه داده های مدیریت پیکربندی (CMDB) ، ابزارهای ارکستراسیون ، موجودی سیستم ، سیاهههای مربوط به رویدادها ، فایروال ها و SIEM و ترازهای بار باشد.
بسته به اندازه و منابع تیم IT شما ، فروشندگان همچنین نرم افزار شخص ثالث یا قابل تنظیم را برای نقشه برداری از جریان معاملات در زیرساخت های شبکه premium و cloud ارائه می دهند. نقشه برداری از این جریان ها حیاتی است زیرا شما نمی خواهید در حین خاموش کردن ارتباطات غیر ضروری ، از ارتباطات روزمره کسب و کار جلوگیری کنید.
حرکت به سمت اعتماد صفر
ریز تقسیم بندی و معماری اعتماد صفر دست به دست هم می دهند. سطح حمله شما ، که اغلب به عنوان محیط شبکه شما دیده می شود ، در رونق شبکه فعلی غیرقابل کنترل است. با ورود دقیق و شناسایی "محافظت از سطح" ، با ارزش ترین بخشهای شما ، به مدیران دستورالعملهای روشنی برای مراحل بعدی می دهد.
محافظت از شما ، یا همانطور که Palo Alto Networks می گوید ، داده ها ، برنامه ها ، دارایی ها و خدمات (DAAS) شما ، اولویت هستند. این بخشها به طور معمول برای بقا-سازمان ، مربوط به انطباق یا بهره برداری سازمان بسیار مهم هستند. پس از تعریف ، کار ایجاد دروازه های تقسیم بندی یا NGFW آغاز می شود.
مطابق با چارچوب اعتماد صفر ، هدف نهایی باید در لیست سفید باشد. با استفاده از فناوری تجسم برای کمک به مدیریت قوانین و تهدیدات سیاست ، نتیجه خرد خرد شدن شبکه ای است که هرگونه ناهنجاری را انکار می کند. تمام ترافیک شناخته شده ، برچسب گذاری یا تأیید شده است و از هرگونه آسیب پذیری احتمالی مرتبط با اعتماد جلوگیری می کند.
بارهای خود را برچسب گذاری کنید
برچسب گذاری بارهای بعدی آخرین نسخه مهم برای هر سازمانی است. در حالی که متخصصان امنیتی یک بار سیاست های مبتنی بر IP و زیر شبکه را نوشتند و به ساختارهای شبکه مانند VLAN / IP / VRF اعتماد کردند ، این روزها به گذشته تبدیل شده اند.
شناسایی و برچسب گذاری برچسب های حجم کار در داخل شبکه شما هنگام در نظر گرفتن راه حل های خودکار برای برچسب گذاری بارهای برنامه موجود و جدید ، یک ارزش افزوده باورنکردنی است. با جذابیت مقیاس پذیری و گسترش محاسبات ابری ، برچسب گذاری بار کاری امکان ایجاد امنیت و چابکی در تجارت را فراهم می کند. برچسب های حجم کار برای سازمان ها اغلب شامل موارد زیر است:
- نقش
- برنامه
- طبقه بندی
- انطباق
- محیط
- مکان
ایجاد یک سیاست جامع
یک سیاست جامع به سیاست های امنیتی سختگیرانه و [19659002] تشخیص تهدید . و در مورد ریز تقسیم بندی ، این خط مشی ها در محدوده محیطی شما در شبکه وجود دارد. ویژگی های کل سیاست های خرد بخش تقسیم شده شما باید شامل کنترل هایی مانند شناسه برنامه ، شناسه کاربر ، محدودیت های مبتنی بر پرونده ، فیلتر کردن URL و جلوگیری از تهدید باشد.
هيچ استاندارد صنعتي براي آزمايش خط مشي هاي شما قبل از اقدام به اجراي قانون وجود ندارد. از آنجا که ماهیت زیرساخت اعتماد صفر و تقسیم بندی خرد برای شبکه سفارشی است ، این یک سوال داخلی است که آیا با شرایط شما مطابقت دارد یا خیر. اولویت بندی نکردن یک سیاست جامع می تواند تیم شما را در تقسیم برنامه های HTTP / 2 و SSL رمزگشایی یا در معرض خطر حملاتی مانند تونل سازی DNS قرار دهد.
اجرای سیاست های سازگار
در حالی که تقسیم خرد می تواند به ایجاد تصویر واضحی از شبکه موجود کمک کند ، همچنین لازم است یک راه حل سازگار باشد. این مرحله نیاز به دید کامل پیشگیری از تهدید ، بدافزار و فیشینگ و ورود به سیستم دیوار آتش در زمان واقعی دارد. با IP های جدید که به طور مداوم به داخل و خارج از شبکه منتقل می شوند ، سیستم های مبتنی بر برچسب خودکار آینده هستند.
با فناوری یادگیری خودکار و ماشینی ، این گزارش ها با فیلتر گرانول وجود دارد و سیستم شما می تواند به صورت پویا برچسب هایی را به بارهای کاری که قبلاً شناسایی نشده اند ، بدهد. نمونه ای از این موارد ممکن است نیاز به MFA برای آدرس IP که دارای برچسب خطرناک است باشد.
همچنین بخوانید : خودکارسازی ارزیابی های امنیتی برای حفاظت بهتر
برنامه اقدام خود را شروع کنید
در "John Friedman and Illumio" در " راهنمای قطعی تقسیم بندی خرد ،" می توانید به جزئیات فنی در مورد چرایی ، چه چیزی ، در کجا ، چه زمانی و نحوه اجرای ریز تقسیم بندی بیندیشید. در مورد مراحل اجرا ، آقای فریدمن دوازده مورد را ارائه می دهد كه ما به طور خلاصه شرح می دهیم:
| مرحله | شرح | |||
| 1 | انفجار بزرگ نیازی نیست | هیچ اقدام سریع لازم نیست. | ||
| 2 | به تدریج رویكرد داشته باشید. | تیم پروژه را انتخاب كنید | به طور معمول شامل: مجری ، معمار امنیتی ، سرپرستی فن آوری و مدیریت پروژه (فروشنده را در نظر بگیرید). | |
| 3 | آموزش team | به همه اعضای تیم در مورد هدف و عملکرد ریز تقسیم بندی آموزش دهید. ] راه حل های ریز تقسیم بندی را نصب کنید | شروع به آزمایش ریز تقسیم بندی بر روی برنامه ها با بازخورد کنید. | |
| 6 | ادغام گزارش ها ، رویدادها و تهدیدها | گسترش مقیاس گسترده با یکپارچه سازی ابزارهای ثبت وقایع و مدیریت رویدادها برای نظارت بر ترافیک شبکه. | گروه های برنامه را اولویت بندی کنید | رتبه بندی و برچسب گذاری گروه های برنامه بر اساس اولویت امنیتی / تجاری و سهولت تقسیم بندی خرد. |
| 8 | کشف و مشاهده | برای هر گروه برنامه ، اکنون شما برای درک بهتر ترافیک ، مدل سازی سیاست های بالقوه و سپس آزمایش سیاست ها ، مراحل زیر را بخورید. وقتی زمان اجرای این سیاست ها فرا رسید ، دوره پاسخ سریع برای اطمینان از اینکه همه طبق برنامه ریزی کار می کنند ، آغاز می شود. | ||
| 9 | سیاست های مدل | |||
| 10 | سیاست های آزمون | |||
| 11 | آماده رفع مشكلات باشید | |||
| 12 | تمدید و اصلاح | پس از اجرا ، منحل نشوید تیم پروژه یک طرح پس از عرضه باید شامل پاسخگویی برای سیستم جدید | ||
چرا ریز تقسیم بندی باشد؟
مزایای ریز تقسیم بندی بی پایان است هنگامی که می تواند از حملات بافر جلوگیری کند و داده ها و دارایی های حساس را به خطر بیندازد. با تخمین تحلیلگران 70-80٪ از ترافیک شرق به غرب در یک شبکه مسطح ، تقریباً یک ارتباط بین برد آزاد بین کاربران ، برنامه ها و دستگاه هایی که در شبکه شما بازی می کنند وجود دارد. این واقعیت پنجره ای را برای بازیگران مخرب باز می کند ، کسانی که می توانند از یک درگاه فروشنده به طور جانبی به داده ها و سیستم های مهم ماموریت بروند.
علاوه بر جلوگیری از حرکت جانبی در مسیرهای خود ، اجرای ریز تقسیم بندی نیز استفاده کارآمد از وقت سازمان شما است. متخصصان امنیتی می دانند که روزهای محافظت از کل سطح حمله کوتاه است. با تعریف سطح محافظت ، محافظت از مهمترین چیزها خوش طعم می شود در حالیکه اطمینان از رعایت کلیه استانداردهای انطباق با امنیت شما است.
همچنین بخوانید: آنتی ویروس در برابر EPP در مقابل EDR: چگونه نقاط پایانی خود را ایمن کنیم
تسلط بر ترافیک شبکه
تقسیم بندی خرد در واقع تسلط بر ترافیک شبکه شما است. با تجسم اتصال بخشهای شبکه و ایجاد سیاست دانه ای و مدیریت انطباقی در اطراف بخشها ، جلوگیری از حرکت جانبی مشکلی ندارد. البته ، راه رسیدن به تقسیم بندی خرد شبکه آسان نیست. برای غلبه بر چالش به زمان ، برنامه ریزی و منابع کافی نیاز دارد.
اگر درست انجام شود ، مزایای اجرای ریز تقسیم بندی بسیار ارزشمند است.
