تقسیم بندی شبکه یا Network segmentation تکنولوژی امنیتی است که یک شبکه را به بخش های کوچکتر و زیرشبکه های مجزا تقسیم می کند تا تیم های شبکه در زیرشبکه های تقسیم شده ، کنترل های امنیتی و سرویس های مختص هر زیرشبکه را پیاده سازی کنند. تقسیم بندی با کنترل جریان ترافیک در شبکه کار می کند. ترافیک را می توان براساس مکان یا بخش هایی که ترافیک نمی تواند یا می تواند جریان داشته باشد، محدود کرد. جریان ترافیک را می توان براساس نوع یا منبع و مقصد آن نیز محدود کرد. ایجاد مرز بین شبکه های فناوری عملیاتی (OT) و فناوری اطلاعات (IT) بسیاری از خطرات مرتبط با شبکه IT مانند تهدیدات ناشی از حملات فیشینگ را کاهش می دهد. تقسیم بندی، دسترسی به دستگاه ها، داده ها و برنامه ها را محدود و ارتباطات بین شبکه ها را محدودتر می کند. بخش بندی همچنین لایه های شبکه OT را جدا کرده و از آنها محافظت می کند تا اطمینان حاصل شود که فرآیندهای صنعتی و سایر فرآیندهای حیاتی همانطور که در نظر گرفته شده است عمل می کنند.
فرآیند تقسیم بندی شبکه شامل جداسازی شبکه فیزیکی به زیر شبکه های منطقی متفاوت است. زمانی که شبکه به بخش های کوچکتر تقسیم شود، امکان مدیریت بهتر هر بخش وجود داشته و کنترل ها به صورت جداگانه لحاظ می شود.
با تقسیم بندی شبکه می توان از دسترسی کاربران غیرمجاز به مهمترین دارایی های سازمان، مانند اطلاعات مشتریان، سوابق مالی و … جلوگیری کرد. این دارایی ها اغلب در محیطهای ترکیبی سازمانها قرار دارند به این معنی که ایمن سازی همه مکانها در برابر حملات سایبری حیاتی است.
دلایل استفاده از تقسیم بندی شبکه می تواند موارد زیر باشد:
- شبکه های بسیار بزرگ به منظور مدیریت راحتتر به بخش های کوچکتر تقسیم شود.
- مدیران شبکه می توانند سیاست ها جداگانه ای برای هر زیر شبکه تنظیم نمایند.
- مدیران می توانند جریان ترافیک بین زیر شبکه ها را کنترل، مدیریت و یا محدود کنند.
- ازدحام کاربران در سایر بخش های شبکه برطرف می شود.
- امنیت سایبری با محدود کردن میزان گسترش یک حمله مخرب یا محدود شدن حمله به یک بخش، بهبود می یابد.
مزایای تقسیم بندی شبکه
عدم جداسازی شبکه و خطرات آن:
- شبکه های عملیاتی در معرض آسیب پذیری های شبکه های فناوری اطلاعات متصل هستند.
- حرکت جانبی برای عوامل تهدید پس از نفوذ به شبکه IT آسان تر است.
- به دلیل افزایش حجم ترافیک شبکه، شناسایی عوامل تهدید دشوارتر است.
مزایای جداسازی شبکه
جداسازی و تقسیم بندی شبکه خدمات امنیتی منحصر به فردی برای هر بخش شبکه، امکان کنترل ترافیک سراسری شبکه، بهینه سازی عملکرد شبکه و بهبود شرایط امنیتی را فراهم می کند.
- امنیت
امنیت سازمان با ایزوله سازی، مهار حملات و کنترل دسترسی افزایش می یابد.
میدانیم که هر سازمان به اندازه ضعیف ترین حلقه خود، قوی است! یک شبکه مسطح بزرگ به ناچار سطح حمله بزرگی را فراهم می کند. با این حال هنگامی که شبکه بزرگ به شبکه های کوچکتر فرعی تقسیم شود، جداسازی ترافیک شبکه به شبکه های فرعی سطح حمله راه کاهش میدهد و مانع از حرکت جانبی مهاجمان می شود.
بنابراین جداسازی امنیت را از طریق ایزوله سازی بهتر، پیشگیری از گسترش حملات در شبکه و نفوذ آنها به سیستم های بدون حفاظت، بهبود می بخشد. در یک حمله، جداسازی تضمین می کند که بدافزار نمی تواند به سایر سیستم های سازمان انتقال پیدا کند. به علاوه با کنترل دسترسی مناسبتر، به کاربران اجازه میدهند تا به اندازه ای که برای انجام وظایف خود نیاز دارند دسترسی داشته باشند نه بیشتر و صرفا کاربران تایید شده می توانند به منابع شبکه خاصی دسترسی داشته باشند.
همچنین زمانی که یک مشکل در شبکه رخ میدهد، تاثیر آن به زیر شبکه و بخش خاصی که حادثه در آن رخ داده است، محدود می شود.
یک مثال خوب از نحوه کار این است که در یک حمله بدافزاری به بیمارستان از رسیدن بدافزار به دستگاههای حیاتی بیمار که نرم افزار امنیتی روی آنها نصب نیست، جلوگیری می کند.
- کارآیی
جداسازی شبکه ، شلوغی و ترافیک را که اغلب منجر به کاهش عملکرد می شود کمتر می کند. شبکه هایی یا برنامه های پرترافیک را می توان جدا کرد تا بر سایر بخش های شبکه تاثیری نداشته باشد.
به عنوان مثال با کاهش تراکم شبکه از طریق تقسیم بندی، مشاغلی که برای انجام جلسات به ابزارهای ویدیو کنفرانس متکی هستند، می توانند عملکرد برنامه های خود را اولویت بندی کنند. ازدحام و شلوغی بیش از حد شبکه می تواند منجر به گم شدن پکیج ها شده و فرآیند را با تاخیر مواجه کند همچنین باعث می شود کیفیت صدا و ویدیو تحت تاثیر قرار گیرد. اما تقسیم بندی شبکه و ترافیک می تواند کیفیت جلسات ویدیویی را تضمین کند.
در واقع با تقسیم بندی و جداسازی شبکه ، ترافیک غیرضروری در یک بخش حذف شده و عملکرد آن را بهبود می بخشد. همچنین به جای آنکه همه دارایی های شبکه سخت افزار و خطوط یکسانی را به اشتراک بگذارند، بخش ها پیچیدگی کمتر، اپلیکیشن های کمتر و ترافیک کمتری خواهند داشت.
- نظارت و پاسخگویی
با نظارت بهبود یافته و موثر هر زیرشبکه و ثبت رویدادها ، تشخیص رفتارهای مشکوک آسانتر است. جداسازی شبکه فرآیند نظارت بر ترافیک شبکه را کنترل می کند. این کار به سازمانها کمک تا فعالیت های مخرب و ترافیک های مشکوک را شناسایی کرده، از حوادث لاگ گرفته و ارتباطات رد یا تایید شده را ضبط کنند. جداسازی این امکان را میدهد تا بتوان بر ترافیک ورودی و خروجی به یک زیر شبکه نظارت کرد که در مقایسه با نظارت بر کل شبکه آسانتر است. در نتیجه برقراری امنیت ساده تر شده و احتمال از کنترل خارج شدن تهدیدات کمتر است.
محیط شبکه ها به طور مداوم تغییر می کند، در عین حال که تغییر سریع اجرا می شود باید مدیریت نیز به سرعت انجام شود با اعمال تغییرات به زیرشبکه های خاص می توان این فرآیند را تسریع کرد.
جداسازی شبکه چگونه کار می کند؟
جداسازی شبکه بخش های مختلف ایزوله ای را در یک شبکه بزرگتر ایجاد می کند که هر کدام از آنها می توانند نیازمندی های امنیتی و پالیسی ها خاص خود را داشته باشند. این بخشها انواع مشخصی از اپلیکیشن ها و اندپیونت ها را با سطح مورد اعتماد یکسان در خود نگه می دارند. با توجه به اهمیت این کار نیاز به برنامه ریزی، آماده سازی زیاد و نگهداری مداوم دارد. بنابراین تیم های شبکه به زمان مناسب برای برنامه ریزی و طراحی نیاز دارند که با مراحل زیر شروع می شود.:
تهیه لیست موجودی دارایی ها: بسیاری از سازمان ها و شرکتها اطلاعات کافی در مورد موجودی سیستم های IT خود از جمله داده های حساس و محل قرارگیری آنها ندارند. مدیران شبکه باید بدانند شرکت چه سیستم هایی دارد و چه افرادی به آنها دسترسی دارند.
شناسایی افرادی که باید از داده ها استفاده کنند: این کار به پیاده سازی یک سیستم مبتنی بر قوانین اعطای دسترسی فقط به کاربرانی که به آن نیاز دارند، کمک می کند.
به آنچه بیش از حد از پهنای باند استفاده می کند، توجه کنید. یک برنامه ممکن است 50 درصد از ظرفیت شبکه را مصرف کند. اگر چنین است، مدیران باید آن برنامه را در یک زیر شبکه قرار داده تا از کاهش سرعت سایر بخش ها پیشگیری کند.
طراحی یک شبکه تقسیم شده.: پس از مشخص شدن اینکه کدام کاربران نیاز به دسترسی به سیستم ها و داده های خاصی دارند، می توان تقسیم بندی را طراحی کرد.
با کوچکترین و ساده ترین بخش ها شروع کنید. می توان با شروع از بخش های ساده تر و مستقل تر، راحت تر با شبکه های بزرگ کار کرد.
قانون انکار پیش فرض.: با پیروی از این قانون تنظیمات فایروال و … باید به صورتی باشند که دسترسی به هر چیزی که به صراحت مجوز داده نشده، امکان پذیر نباشد.
تغییرات را مرتبا دنبال کنید. مطمئن باشید که تغییرات، پیکربندی جداسازی را نقض نمی کند.
نظارت دقیق. به هر چیزی از برنامه های مخرب و غیرعادی گرفته تا ترافیک غیرمعمول توجه داشته باشید. مدیران باید هر روز گزارشات را بررسی کرده و رفتارهای مشکوک یا غیرعادی تجزیه و تحلیل شود.
روشهای مختلفی برای اجرای جداسازی شبکه وجود دارد. از جمله:
جداسازی فیزیکی:
در جداسازی فیزیکی شبکه به چندین بخش فیزیکی و زیرشبکه تقسیم می شود. با استفاده از یک فایروال به عنوان گیت وی می توان ترافیک ورودی و خروجی شبکه را همراه با سخت افزارهایی مثل اکسس پوینت، روتر یا سوییچ کنترل کرد. این روش بنظر ساده است اما هزینه گزافی داشته و می تواند مشکلات پیش بینی نشده ای، به همراه داشته باشد و مدیریت آن دشوارتر است.
جداسازی فیزیکی تحت عنوان جداسازی مبتنی بر محیط نیز شناخته می شود. هر بخش به اتصال اینترنت، جداسازی فیزیکی و فایروال نیاز دارد. این تقسیم بندی براساس اعتماد عمل می کند و هرچیزی که داخل شبکه است قابل اعتماد و در صورتیکه که خارج از آن باشد غیرقابل اعتماد است. بنابراین محدودیت های کمی برای منابع داخلی وجود دارد که معمولا روی شبکه ای مسطح با حداقل تقسیم بندی کارآیی دارد.
در این روش برای جابجایی بین بخش ها نیز باید یک پالیسی وجود داشته باشد. برای مثال با استفاده از فایروال علاوه بر کنترل جریان ترافیک، می توان شرایط ارتباط بین بخش های مختلف را فراهم کرد.
جداسازی منطقی:
امروزه بسیاری از سازمانها حوزه های مختلف شبکه را با عملکردهای خاص نگهداری می کنند که نیازمند تقسیم بندی در نقاط مختلف شبکه است. علاوه بر این اندپوینت های یک شبکه که باید پشتیبانی شوند، رشد کرده و انواع گوناگونی دارند که هرکدام با سطح تایید اعتماد مختلفی همراه هستند.
در نتیجه جداسازی فیزیکی به همه نیازهای سازمان پاسخ نمی دهد. همزمان با ظهور مواردی مثل cloud،BYOD و موبایل محیط دارای نقاط و مرز مشخصی نیست. اکنون برای دستیابی به امنیت و عملکرد بهتر شبکه به بخش بندی بیشتر و عمیق تر در شبکه نیاز داریم. علاوه بر این با الگوهای ترافیک جدید نیاز به تقسیم بندی شبکه بیشتر از قبل می باشد.
جداسازی منطقی از روشهای محبوب برای تقسیم شبکه به شبکه های کوچکتر و امکان مدیریت بهتر آنهاست. در این روش معمولا نیازی به خرید سخت افزار جدید و پر هزینه و سیم کشی وجود ندارد و به میزان قابل توجهی در هزینه ها صرفه جویی شده و قابلیت انعطاف پذیری بیشتری دارند. در این روش تقسیم بندی با گروه بندی و برچسب گذاری شبکه ساده سازی می شود. سپس از برچسبهای ترافیک برای اعمال سیاست تقسیم بندی مستقیما بر روی تجهیزات شبکه استفاده می شود در عین حال پیچیدگی رویکردهای سنتی را ندارد.
روش تقسیم بندی منطقی کل شبکه را پوشش می دهد نه صرفا در محیط سازمان و جداسازی به صورت مجازی و توزیع شده است که باعث می شود سیاست های امنیتی بسیار دقیق تر باشند.
هزینه بالای پیاده سازی راهکار جداسازی فیزیکی و همچنین نیازهای امنیتی و انتقال فایل بین شبکه های جدا شده از جمله موضوعاتی است که تاکنون سازمانها را برای اجرای راهکارهای مرسوم با ابهام روبرو کرده است و موجب توجه ویژه آنها به راهکارهای منطقی شده است. از آنجایی که استفاده از محصولات خارجی برای پیاده سازی راهکارهای منطقی در سازمانهای داخل کشور نیز پر هزینه بوده و اغلب با سیاست های سازمانی تطابق لازم و کافی را ندارد، این شرکت اقدام به ارائه راهکارهای جداسازی شبکه بومی نموده است. جهت کسب اطلاعات بیشتر با ما تماس بگیرید.
