WikiDer > Сегментация сети
Эта статья нужны дополнительные цитаты для проверка. (Март 2016 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
Сегментация сети в компьютерная сеть это действие или практика разделения компьютерной сети на подсети, каждый из которых сегмент сети. Преимущества такого разделения прежде всего заключаются в повышении производительности и безопасности.
Преимущества
- Снижение заторов: Достигается улучшенная производительность, поскольку в сегментированной сети меньше хостов на подсеть, что минимизирует локальный трафик.
- Повышенная безопасность:
- Трансляции будут проводиться в локальной сети. Структура внутренней сети не будет видна снаружи.
- Существует уменьшенная поверхность атаки, доступная для поворота, если один из хостов в сегменте сети скомпрометирован. Общие векторы атак, такие как LLMNR и NetBIOS отравление может быть частично уменьшено за счет правильной сегментации сети, поскольку они работают только в локальной сети. По этой причине рекомендуется сегментировать различные области сети по использованию. Базовым примером может быть разделение веб-серверов, серверов баз данных и стандартных пользовательских машин на каждый отдельный сегмент.
- Создавая сетевые сегменты, содержащие только ресурсы, специфичные для потребителей, которым вы разрешаете доступ, вы создаете среду с наименьшими привилегиями.[1][2]
- Проблемы с сетью: Ограничение влияния локальных сбоев на другие части сети
- Контроль доступа посетителей: Доступ посетителей к сети можно контролировать путем реализации виртуальных локальных сетей для разделения сети.
Повышенная безопасность
Когда киберпреступник получает несанкционированный доступ к сети, сегментация или «зонирование» может обеспечить эффективный контроль для ограничения дальнейшего перемещения по сети.[3] PCI-DSS (Стандарт безопасности данных индустрии платежных карт) и аналогичные стандарты содержат рекомендации по созданию четкого разделения данных в сети, например, отделение сети для авторизации платежных карт от авторизации для точек обслуживания (кассовых терминалов) или Wi-Fi для клиентов. трафик. Надежная политика безопасности влечет за собой сегментирование сети на несколько зон с различными требованиями безопасности и строгое соблюдение политики в отношении того, что разрешено перемещать из зоны в зону.[4]
Контроль доступа посетителей
Финансовым и кадровым службам обычно требуется доступ через собственную виртуальную локальную сеть к своим серверам приложений из-за конфиденциального характера информации, которую они обрабатывают и хранят. Другим группам персонала могут потребоваться свои собственные изолированные сети, такие как администраторы серверов, администрация безопасности, менеджеры и руководители.[5]
Третьи стороны обычно должны иметь свои собственные сегменты с разными паролями администратора для основной сети, чтобы избежать атак через скомпрометированный, менее хорошо защищенный сторонний сайт.[6][7]
Средства сегрегации
Сегрегация обычно достигается за счет комбинации брандмауэры и VLAN (Виртуальные локальные сети). Программно-определяемая сеть (SDN) позволяет создавать микросегментированные сети и управлять ими.
Смотрите также
- Мостовое соединение (сеть)
- Домен коллизии
- Междоменное решение
- Плоская сеть
- Сетевой коммутатор
- Маршрутизатор (вычисления)
- Однонаправленная сеть
Рекомендации
- ^ Картер, Ким (2019). «Сеть: определение рисков». Комплексная информационная безопасность для веб-разработчиков. Leanpub. Получено 11 апреля, 2019.
- ^ Картер, Ким (2019). «Сеть: отсутствие сегментации». Комплексная информационная безопасность для веб-разработчиков. Leanpub. Получено 11 апреля, 2019.
- ^ Райхенберг, Нимми (20 марта 2014 г.). «Повышение безопасности за счет правильной сегментации сети». Неделя безопасности.
- ^ Баркер, Ян (21 августа 2017 г.). «Как сегментация сети может помочь сдерживать кибератаки». betanews.com. Получено 11 апреля, 2019.
- ^ Райхенберг, Нимми; Вольфганг, Марк (24 ноября 2014 г.). «Сегментирование в целях безопасности: пять шагов для защиты вашей сети». Сетевой мир. Получено 11 апреля, 2019.
- ^ Кребс, Брайан (5 февраля 2014 г.). «Целевые хакеры взломали компанию, занимающуюся HVAC». KrebsonSecurity.com.
- ^ Фацио, Росс Э. «Заявление о нарушении целостности данных» (PDF). faziomechanical.com. Fazio Mechanical Services. Архивировано из оригинал (PDF) 28 февраля 2014 г.. Получено 11 апреля, 2019.
Этот компьютерная сеть статья - это заглушка. Вы можете помочь Википедии расширяя это. |