در دوره ای که لبه شبکه با بیشترین میزان ترافیک روبرو است ، سازمان ها برای افزودن امنیت قوی تر می شتابند اما در انجام تلاش طولانی مدت موسوم به ریز تقسیم بندی تردید دارند. تقسیم خرد عبارت است از شناسایی باارزش ترین بخشهای شبکه سازمان ، ایجاد سیاستهای دقیق ارتباطی و تبدیل شدن به جریان اصلی شبکه. برخلاف تقسیم بندی سنتی شبکه ، که برای عملکرد و مدیریت شبکه بسیار حیاتی است ، تقسیم بندی خرد بیشتر به موضوعات مهم مرتبط با امنیت و مهارت در کسب و کار می پردازد.
به عنوان فناوری اصلی اعتماد صفر ، اجرای ریز تقسیم بندی محدود کردن ارتباطات در داخل شبکه نیست. در عوض ، با افزایش دید در نحوه جریان داده ها ، مدیران شبکه می توانند با تحلیلگران مشاغل و امنیت برای ایجاد سیاست های فعال شده در برنامه کار کنند. موفقیت در اجرای تقسیم بندی خرد برای سازمان شما به معنای برچسب گذاری بر روی ترافیک ، سرویس دهی به ارتباطات منظم تجاری ، سازگاری با تهدیدهای و و انکار سایر ناهنجاری های دیگر است.
این مقاله به بررسی رویکردهای تقسیم بندی خرد می پردازد ، مراحلی که سازمان شما می تواند برای اجرای ریز تقسیم بندی انجام دهد و اینکه چرا امروز می توانید به سمت جلوگیری از حرکت جانبی بروید.
همچنین بخوانید: ریز تقسیم بندی: تکامل بعدی در امنیت سایبری
رویکردهای ریز تقسیم بندی
ده سال پس از ریشه های مفهومی اعتماد صفر ، صنعت امنیت سایبری چهار روش برای اجرای تقسیم بندی خرد دارد: شبکه شبکه ، hypervisor ، نماینده یا NFGW ها. در حالی که هر چهار رویکرد می تواند به سازمان شما کمک کند تا به سمت ریز تقسیم بندی حرکت کند ، برخی از آنها برای امنیت شبکه جامع حیاتی هستند.
اجرای مبتنی بر پارچه
اولین رویکرد ، دو برابر کردن شبکه شبکه برای ریز تقسیم بندی است. گارتنر پارامترهای مبتنی بر پارچه (FBI) را با ادغام عمودی سخت افزار و نرم افزار فراخوانی می کند و دسترسی مدیریتی "در زمان واقعی" را به زیرساخت های شما می دهد. برای مراکز داده سنتی (DC) و مراکز داده تعریف شده توسط نرم افزار (SDDC) ، استفاده از ساختار شبکه می تواند یک نقطه اجرای ضروری باشد. با این حال ، اجرای ریز تقسیم بندی از طریق شبکه شبکه در محیط های ابری داستان متفاوتی است.
استفاده از Hypervisor
مسیر دیگر ریز تقسیم بندی داخلی در سطح hypervisor است. مانند رویکرد مبتنی بر پارچه ، یک Hypervisor شبکه ، همچنین به عنوان مدیر ماشین مجازی (VM) شناخته می شود ، به عنوان یک نقطه اجرای ترافیک در شبکه دستگاه های شما عمل می کند. همچنین ، مانند پارچه شبکه ، hypervisor برای یک محیط SDDC قابل استفاده است.
استفاده از hypervisor می تواند نیاز به مدیریت و patch نرم افزار را برای هر دستگاه از بین ببرد. این رویکرد همچنین یک روش معمول برای ریز تقسیم بندی – همکاری طبیعی بین تحلیلگران امنیتی و مدیران شبکه را تسهیل می کند.
Outsource Endpoint Protection
روش سوم کمک گرفتن از فروشندگان متخصص در endpoint حفاظت است. این روش مبتنی بر عامل به معنای محافظت از سیاست های شما در زمان واقعی است. برون سپاری نمایندگان نقطه پایانی در همکاری بین شبکه و نیروهای امنیتی داخلی تداخل ایجاد می کند اما یک انتخاب سازمانی است. راه حل های عامل به همراه NGFW می توانند در هر سه محیط کار کنند.
عمده فروشندگان امنیتی نقطه پایان شامل BitDefender ، Check Point ، CrowdStrike ، Sophos ، Symantec ، Trend Micro و VMWare هستند.
همچنین بخوانید: Endpoint Security: بسیار پیچیده تر از آن است كه شما تصور می كنید
Firewall های نسل بعدی را بالا ببرید
سرانجام ، و احتمالاً پیشرفته ترین روش ریز تقسیم بندی دیوارهای فایروال نسل بعدی (NGFW ها) NGFW ها در هر سه محیط کار می کنند و امنیت را تا لایه 7 تأمین می کنند ، و آنها را به ابزاری ارزشمند برای بازرسی بسته های عمیق ، کنترل برنامه ها و IDPS تبدیل می کنند. فروشندگان NGFW گرچه در ابتدا برای فضای ابری در نظر گرفته نشده اند ، به طور فزاینده ای راه حل های امنیتی خود را در قالب دیوارهای آتش به عنوان سرویس (FWaaS) ارائه می دهند.
عمده فروشندگان NGFW شامل Barracuda ، Cisco ، Fortinet ، Huawei ، Juniper ، Palo Alto Networks و SonicWall هستند.
همچنین بخوانید: ده فروشنده برتر دیوار آتش (NGFW)
محیط زیست و امنیت در برابر ریز تقسیم بندی
هنگام بررسی روش های مختلف تقسیم بندی خرد ، محیط شبکه و نیازهای امنیتی شاخص های مفیدی هستند. در حال حاضر ، دارایی ها بدون محافظت بیشتر از DC های سنتی به SDDC و محیط عمومی یا چند ابر (19659002) در حال سفر هستند.
سیاستهای سطح برنامه به سرعت در حال تبدیل شدن به استانداردی برای امنیت شبکه هستند ، و این سه روش اول را کمتر از توان NGFW ها می کند. روش شبکه و فروشنده فقط می تواند از لایه های 2-4 محافظت کند ، در حالی که استفاده از NGFW تنها روشی است که تهدیدها و قابلیت مشاهده و امنیت کامل لایه 7 را شناسایی می کند. سازمانهایی که چندین روش را فعال می کنند ، فقط به وضعیت امنیتی آنها اضافه می کنند ، به طور بالقوه ترافیک مخرب را در سطح شبکه یا hypervisor متوقف می کنند ، قبل از اینکه حتی به دیوارهای آتش داخلی شما برسد.
همچنین بخوانید: دیوارهای آتش به عنوان یک سرویس ( FWaaS): آینده فایروال های شبکه؟
بهترین روش برای ریز تقسیم بندی
برای ریز تقسیم بندی ، همان اندازه که مربوط به فرآیند است ، همان فن آوری است. مراحل را با دقت دنبال نکنید ، و شما فقط پروژه را طولانی خواهید کرد و سردردهای غیر ضروری ایجاد خواهید کرد.
هیچ ترافیکی در پشت
ریز تقسیم بندی به معنای دید بی نقص جریان های ترافیکی شمال-جنوب و شرق-غرب است. در مرحله کشف شبکه ، اطلاعات جمع آوری شده باید در مورد برنامه ها ، میزان کار و ارتباطات فعال بین آنها باشد. منابع اضافی می توانند پایگاه داده های مدیریت پیکربندی (CMDB) ، ابزارهای ارکستراسیون ، موجودی سیستم ، سیاهههای مربوط به رویدادها ، فایروال ها و SIEM و ترازهای بار باشد.
بسته به اندازه و منابع تیم IT شما ، فروشندگان همچنین نرم افزار شخص ثالث یا قابل تنظیم را برای نقشه برداری از جریان معاملات در زیرساخت های شبکه premium و cloud ارائه می دهند. نقشه برداری از این جریان ها حیاتی است زیرا شما نمی خواهید در حین خاموش کردن ارتباطات غیر ضروری ، از ارتباطات روزمره کسب و کار جلوگیری کنید.
حرکت به سمت اعتماد صفر
ریز تقسیم بندی و معماری اعتماد صفر دست به دست هم می دهند. سطح حمله شما ، که اغلب به عنوان محیط شبکه شما دیده می شود ، در رونق شبکه فعلی غیرقابل کنترل است. با ورود دقیق و شناسایی "محافظت از سطح" ، با ارزش ترین بخشهای شما ، به مدیران دستورالعملهای روشنی برای مراحل بعدی می دهد.
محافظت از شما ، یا همانطور که Palo Alto Networks می گوید ، داده ها ، برنامه ها ، دارایی ها و خدمات (DAAS) شما ، اولویت هستند. این بخشها به طور معمول برای بقا-سازمان ، مربوط به انطباق یا بهره برداری سازمان بسیار مهم هستند. پس از تعریف ، کار ایجاد دروازه های تقسیم بندی یا NGFW آغاز می شود.
مطابق با چارچوب اعتماد صفر ، هدف نهایی باید در لیست سفید باشد. با استفاده از فناوری تجسم برای کمک به مدیریت قوانین و تهدیدات سیاست ، نتیجه خرد خرد شدن شبکه ای است که هرگونه ناهنجاری را انکار می کند. تمام ترافیک شناخته شده ، برچسب گذاری یا تأیید شده است و از هرگونه آسیب پذیری احتمالی مرتبط با اعتماد جلوگیری می کند.
بارهای خود را برچسب گذاری کنید
برچسب گذاری بارهای بعدی آخرین نسخه مهم برای هر سازمانی است. در حالی که متخصصان امنیتی یک بار سیاست های مبتنی بر IP و زیر شبکه را نوشتند و به ساختارهای شبکه مانند VLAN / IP / VRF اعتماد کردند ، این روزها به گذشته تبدیل شده اند.
شناسایی و برچسب گذاری برچسب های حجم کار در داخل شبکه شما هنگام در نظر گرفتن راه حل های خودکار برای برچسب گذاری بارهای برنامه موجود و جدید ، یک ارزش افزوده باورنکردنی است. با جذابیت مقیاس پذیری و گسترش محاسبات ابری ، برچسب گذاری بار کاری امکان ایجاد امنیت و چابکی در تجارت را فراهم می کند. برچسب های حجم کار برای سازمان ها اغلب شامل موارد زیر است:
- نقش
- برنامه
- طبقه بندی
- انطباق
- محیط
- مکان
ایجاد یک سیاست جامع
یک سیاست جامع به سیاست های امنیتی سختگیرانه و [19659002] تشخیص تهدید . و در مورد ریز تقسیم بندی ، این خط مشی ها در محدوده محیطی شما در شبکه وجود دارد. ویژگی های کل سیاست های خرد بخش تقسیم شده شما باید شامل کنترل هایی مانند شناسه برنامه ، شناسه کاربر ، محدودیت های مبتنی بر پرونده ، فیلتر کردن URL و جلوگیری از تهدید باشد.
هيچ استاندارد صنعتي براي آزمايش خط مشي هاي شما قبل از اقدام به اجراي قانون وجود ندارد. از آنجا که ماهیت زیرساخت اعتماد صفر و تقسیم بندی خرد برای شبکه سفارشی است ، این یک سوال داخلی است که آیا با شرایط شما مطابقت دارد یا خیر. اولویت بندی نکردن یک سیاست جامع می تواند تیم شما را در تقسیم برنامه های HTTP / 2 و SSL رمزگشایی یا در معرض خطر حملاتی مانند تونل سازی DNS قرار دهد.
اجرای سیاست های سازگار
در حالی که تقسیم خرد می تواند به ایجاد تصویر واضحی از شبکه موجود کمک کند ، همچنین لازم است یک راه حل سازگار باشد. این مرحله نیاز به دید کامل پیشگیری از تهدید ، بدافزار و فیشینگ و ورود به سیستم دیوار آتش در زمان واقعی دارد. با IP های جدید که به طور مداوم به داخل و خارج از شبکه منتقل می شوند ، سیستم های مبتنی بر برچسب خودکار آینده هستند.
با فناوری یادگیری خودکار و ماشینی ، این گزارش ها با فیلتر گرانول وجود دارد و سیستم شما می تواند به صورت پویا برچسب هایی را به بارهای کاری که قبلاً شناسایی نشده اند ، بدهد. نمونه ای از این موارد ممکن است نیاز به MFA برای آدرس IP که دارای برچسب خطرناک است باشد.
همچنین بخوانید : خودکارسازی ارزیابی های امنیتی برای حفاظت بهتر
برنامه اقدام خود را شروع کنید
در "John Friedman and Illumio" در " راهنمای قطعی تقسیم بندی خرد ،" می توانید به جزئیات فنی در مورد چرایی ، چه چیزی ، در کجا ، چه زمانی و نحوه اجرای ریز تقسیم بندی بیندیشید. در مورد مراحل اجرا ، آقای فریدمن دوازده مورد را ارائه می دهد كه ما به طور خلاصه شرح می دهیم:
مرحله | شرح | |||
1 | انفجار بزرگ نیازی نیست | هیچ اقدام سریع لازم نیست. | ||
2 | به تدریج رویكرد داشته باشید. | تیم پروژه را انتخاب كنید | به طور معمول شامل: مجری ، معمار امنیتی ، سرپرستی فن آوری و مدیریت پروژه (فروشنده را در نظر بگیرید). | |
3 | آموزش team | به همه اعضای تیم در مورد هدف و عملکرد ریز تقسیم بندی آموزش دهید. ] راه حل های ریز تقسیم بندی را نصب کنید | شروع به آزمایش ریز تقسیم بندی بر روی برنامه ها با بازخورد کنید. | |
6 | ادغام گزارش ها ، رویدادها و تهدیدها | گسترش مقیاس گسترده با یکپارچه سازی ابزارهای ثبت وقایع و مدیریت رویدادها برای نظارت بر ترافیک شبکه. | گروه های برنامه را اولویت بندی کنید | رتبه بندی و برچسب گذاری گروه های برنامه بر اساس اولویت امنیتی / تجاری و سهولت تقسیم بندی خرد. |
8 | کشف و مشاهده | برای هر گروه برنامه ، اکنون شما برای درک بهتر ترافیک ، مدل سازی سیاست های بالقوه و سپس آزمایش سیاست ها ، مراحل زیر را بخورید. وقتی زمان اجرای این سیاست ها فرا رسید ، دوره پاسخ سریع برای اطمینان از اینکه همه طبق برنامه ریزی کار می کنند ، آغاز می شود. | ||
9 | سیاست های مدل | |||
10 | سیاست های آزمون | |||
11 | آماده رفع مشكلات باشید | |||
12 | تمدید و اصلاح | پس از اجرا ، منحل نشوید تیم پروژه یک طرح پس از عرضه باید شامل پاسخگویی برای سیستم جدید |
چرا ریز تقسیم بندی باشد؟
مزایای ریز تقسیم بندی بی پایان است هنگامی که می تواند از حملات بافر جلوگیری کند و داده ها و دارایی های حساس را به خطر بیندازد. با تخمین تحلیلگران 70-80٪ از ترافیک شرق به غرب در یک شبکه مسطح ، تقریباً یک ارتباط بین برد آزاد بین کاربران ، برنامه ها و دستگاه هایی که در شبکه شما بازی می کنند وجود دارد. این واقعیت پنجره ای را برای بازیگران مخرب باز می کند ، کسانی که می توانند از یک درگاه فروشنده به طور جانبی به داده ها و سیستم های مهم ماموریت بروند.
علاوه بر جلوگیری از حرکت جانبی در مسیرهای خود ، اجرای ریز تقسیم بندی نیز استفاده کارآمد از وقت سازمان شما است. متخصصان امنیتی می دانند که روزهای محافظت از کل سطح حمله کوتاه است. با تعریف سطح محافظت ، محافظت از مهمترین چیزها خوش طعم می شود در حالیکه اطمینان از رعایت کلیه استانداردهای انطباق با امنیت شما است.
همچنین بخوانید: آنتی ویروس در برابر EPP در مقابل EDR: چگونه نقاط پایانی خود را ایمن کنیم
تسلط بر ترافیک شبکه
تقسیم بندی خرد در واقع تسلط بر ترافیک شبکه شما است. با تجسم اتصال بخشهای شبکه و ایجاد سیاست دانه ای و مدیریت انطباقی در اطراف بخشها ، جلوگیری از حرکت جانبی مشکلی ندارد. البته ، راه رسیدن به تقسیم بندی خرد شبکه آسان نیست. برای غلبه بر چالش به زمان ، برنامه ریزی و منابع کافی نیاز دارد.
اگر درست انجام شود ، مزایای اجرای ریز تقسیم بندی بسیار ارزشمند است.
ماندن در بالای تهدیدهای امنیت سایبری می تواند طاقت فرسا باشد و یافتن ابزارهای امنیتی که می توانند به شما کمک کنند نیز می تواند یک کار دلهره آور باشد. برای برخی از شرکت ها ، واگذاری مشکل به یک ارائه دهنده خدمات امنیتی مدیریت شده (MSSP) یک راه حل جذاب است. سیستم های مدیریت امنیت اطلاعات و مدیریت رویداد (SIEM) روش خوبی برای تحقق این امر است. سیستم های SIEM دید متمرکز بر امنیت IT ، بلعیدن اطلاعات مربوط به گزارش ها و رویدادها را از طیف وسیعی از ابزارهای امنیتی ، سخت افزار و برنامه ها و هشدارها ارائه می دهند. تیم های امنیتی IT در صورت مشاهده تهدیدات امنیتی احتمالی. این نقش اصلی آنها را به مکانی ایده آل برای کمک به MSSP تبدیل می کند ، درست در آنجا با فایروال های مدیریت شده و شناسایی و پاسخ مدیریت شده. SIEM مدیریت شده راهی را به سازمان ها ارائه می دهد تا به اندازه دلخواه امنیت سایبری کمک می کنند. آنها از جمله مزایای زیادی را به همراه دارند: SIEM مدیریت شده مقرون به صرفه است. بودجه محدود می تواند یکی از بزرگترین دلایلی باشد که سازمانها نمی توانند راه حلهای امنیتی خاصی را برای سازمان خود اجرا کنند. در حالی که راه حل های SIEM مدیریت شده ارزان نیستند ، اما در مقایسه با هزینه پیشین یک راه حل در محل با کارکنان 24-7 ، هنوز می توانند در هزینه شما صرفه جویی کنند. اگرچه یک SIEM مدیریت شده در نهایت می تواند گران باشد ، اما هزینه توسعه ، استقرار ، آموزش و نگهداری منابع امنیتی IT در محل افزایش می یابد. SIEM مدیریت شده یک مسیر سریع برای امنیت بهتر با هزینه های کمتری است. SIEM های مدیریت شده در زمان و پیچیدگی استقرار صرفه جویی می کنند. یک راه حل SIEM در محل به طور معمول به ماه ها استقرار و آموزش نیاز دارد ، تلاشی فراتر از توانایی بسیاری از سازمان ها. اگر سازمان شما وقت لازم برای تهیه یک راه حل داخلی یا توانایی تخصیص نیروی انسانی و منابع مورد نیاز برای پیاده سازی را ندارد ، پس یک راه حل SIEM داخلی برای شما مناسب نیست. همچنین این زمانی است که شما زیرساخت امنیتی بهینه ای در دسترس نخواهید داشت. راه حل SIEM مدیریت شده سریعتر اجرا می شود و در ارائه سریع نتایج برای سازمان شما موثر است. اکثر ارائه دهندگان راه حل های SIEM از قبل دانش و زیرساخت های لازم را برای اجرای سریع استقرار دارند. SIEM های مدیریت شده کمبود استعداد امنیتی را برطرف می کنند. یک راه حل داخلی SIEM نیز به استعداد اجرای آن در زمان کمبود چشمگیر مهارت های امنیت سایبری نیاز دارد. برای راه اندازی ، مدیریت ، نظارت و بهینه سازی هشدارها برای تأمین نیازهای امنیتی سازمان شما ، بیشتر راه حلهای SIEM به منابع داخلی و پرسنل امنیتی نیاز دارند. اگر سازمان شما کوچکتر است و شما یک تیم امنیتی کوچکتر یا تیمی دارید که نمی تواند زمانی را برای نگهداری از راه حل SIEM اختصاص دهد ، یک راه حل SIEM مدیریت شده گزینه بهتری خواهد بود. ارائه دهندگان SIEM مدیریت شده می توانند به شما کمک کنند با پاسخ حادثه. یک ارائه دهنده SIEM مدیریت شده ، کارکنان بسیار ماهری از متخصصان و متخصصان امنیت سایبری را ارائه می دهد که برای تجزیه و تحلیل گزارش های امنیتی شرکت شما ، بررسی حوادث و ارائه خدمات شناسایی و پاسخ به تهدید ، با سازمان شما همکاری خواهند کرد. توانایی کمک به پاسخگویی در برابر حادثه می تواند سرعت و چابکی را برای پاسخگویی در برابر هرگونه حادثه امنیتی یا نقض رخ داده در اختیار شما قرار دهد. SIEM های مدیریت شده جدیدترین فناوری را به شما ارائه می دهند. یک مشکل در خرید فناوری این است که به سرعت تاریخ می رود. اشتراك به شما اجازه می دهد به عنوان بخشی از خدمات خود ، به جدیدترین فنآوری و بروزرسانی دسترسی داشته باشید – و شما حتی نیازی به انجام خود بروزرسانی ها و به روزرسانی ها ندارید. ارائه دهندگان SIEM مدیریت شده از شرکت های خدمات امنیتی تا توسعه دهندگان و شرکای سیستم های SIEM. بیشتر MSSP های اصلی خدمات SIEM مدیریت شده را ارائه می دهند و برخی از فروشندگان SIEM نیز خدمات SIEM را ارائه می دهند یا فناوری خود را از طریق شرکای MSSP در دسترس قرار می دهند. چند ارائه دهنده قابل توجه AT&T Cybersecurity ، IBM و Netsurion هستند. یک راه حل SIEM مدیریت شده می تواند سازمان ، سرمایه ، منابع و زمان زیادی را صرفه جویی کند. در نهایت ، برون سپاری مدیریت SIEM بهترین انتخاب برای مشاغلی است که می خواهند امنیت کلی و مدیریت تهدیدات خود را بدون دردسر تلاش برای استقرار و مدیریت یک سیستم SIEM در داخل افزایش دهند. این یک مسیر سریع برای رسیدن به امنیت بالا است و این به تنهایی یک پیشنهاد ارزش جذاب برای بسیاری از سازمان ها است. SIEM مدیریت شده: راهی سریعتر به امنیت عالی
پنج راهی که SIEM مدیریت شده می تواند کمک کند
ارائه دهندگان SIEM مدیریت شده
خرید وی پی ان