Когда дело доходит до сетевой безопасности, большинство людей думают об очевидном: брандмауэры, системы обнаружения и предотвращения вторжений, а также управление идентификацией и доступом. Хотя эти компоненты и методы полезны, их следует рассматривать как базовую безопасность. Но, помимо этого, есть еще много вещей, о которых большинство людей и не подозревают, но которые могут значительно повысить уровень безопасности в сети. В этой статье мы рассмотрим, как внедрить микросегментацию и повысить безопасности сети на уровне IP.
Повышение безопасности сети за счет микросегментации
Внедрение микросегментации — это один из способов вывести сетевую безопасность на новый уровень. Микросегментация в основном включает в себя разделение систем друг от друга и фильтрацию трафика между ними, чтобы убедиться, что они безопасны и изолированы. Это позволяет вам контролировать и формировать то, что происходит в сети, не позволяя взлому или атаке, происходящей в одной системе, повлиять на другие.
Контроль доступа — одно из преимуществ микросегментации. Когда кто-то имеет физический доступ к сети, этому человеку легко подключиться к системе и отключить ее. Используя аутентификацию 802.1X для управления доступом к системному адресу управления доступом к среде (MAC), который является аппаратным адресом карты Ethernet, вы можете предотвратить подключение неавторизованных пользователей к системе.
Сегментация пользователей — еще одна стратегия для добавления уровня безопасности в сети. С помощью сетевой коммутации вы можете создать так называемую виртуальную локальную сеть или VLAN, которая по сути является виртуальным коммутатором внутри сетевого коммутатора. Создавая VLAN, вы можете изолировать пользователей, которым не нужно общаться друг с другом.
Например, виртуальные локальные сети позволяют создать сеть специально для отдела кадров, еще одну для группы бухгалтеров и еще одну для системных администраторов — и все это в одной системе. Чтобы выйти за пределы своей выделенной VLAN, пользователям необходимо пройти через маршрутизатор. Как только маршрутизатор задействован, вы можете использовать списки контроля доступа и другие фильтры безопасности. Сети VLAN позволяют микросегментировать ваши системы, чтобы убедиться, что одна система не может подключиться к другой системе.
Для еще большего контроля можно настроить частные VLAN. Несмотря на то, что сети VLAN разделены, в каждой может быть несколько серверов. Если подключено 15 серверов, все эти серверы могут взаимодействовать друг с другом. Если на один из них попадет червь или вирус, другие серверы в VLAN могут быть заражены. Создание частной VLAN не позволяет этим серверам обмениваться данными, тем самым препятствуя распространению атаки.
Повышение безопасности сети на уровне IP
Перемещение стека TCP-IP на уровень IP предоставляет другие возможности для повышения безопасности сети. Например, создав список управления доступом так же, как правило брандмауэра, которое будет учитывать адрес источника, адрес назначения, протокол и номер порта, вы можете создать фильтры, ограничивающие трафик, который может перемещаться между подсетями. Добавление этого контрольного списка к маршрутизатору ограничивает пользователей, находящихся в разных подсетях, от неограниченного доступа к сети.
Ограничение скорости — еще один инструмент безопасности, который можно реализовать на этом уровне. Представьте, например, что у вас есть система с сетью 100 ГБ, которая заражена червем. Этот червь мог буквально извергнуть 100 ГБ сетевого трафика в сеть, что могло нанести ущерб и привести к сбою системы. Ограничение скорости удерживает трафик от превышения заранее определенного объема. В примере с червем увеличенный трафик нарушил бы стандарты сети и был бы сброшен, что позволило бы избежать кризиса и дорогостоящего сбоя.
Наконец, для повышения безопасности в сети можно использовать качество обслуживания (QoS) или приоритизацию трафика. Если система взломана или заражена червем или вирусом, теоретически атака может привести к перегрузке сети трафиком и отключению важных сетевых функций. Этого можно избежать на стороне сети, включив QoS, иногда называемый механизмом организации очередей, для определения приоритета одного типа трафика над другим.
Например, он может гарантировать, что доступность сети будет иметь приоритет для голосового трафика и трафика некоторых важных приложений, а все остальное будет понижено. По сути, QoS побеждает червя, обеспечивая продолжение прохождения критического трафика.
Когда дело доходит до сетевых атак, компании должны задаваться вопросом: «Когда это произойдет?» а не «Случится ли это?» Статистика за 2021 год показывает, что компания становится жертвой кибератаки каждые 39 секунд. Для отражения атак и ограничения их ущерба требуется нечто большее, чем базовая безопасность. Применение мер безопасности, о которых большинство компаний не думают, может стать тем шагом, который обеспечит безопасность вашей компании.