2021-11-22 18:19:37
(Microsegmentation) چیست؟
• میکروسگمنتیشن یا ریز تقسیم بندی به یک روش امنیتی گفته میشود که شامل جداسازی مناطق امن در مرکز داده یا محیط ابری است. این امر مدیران فناوری اطلاعات را قادر می سازه تا کنترل دقیق تری بر برنامه ها و حجم کار Workload داشته باشند با استفاده از معماری تقسیم بندی خرد یا همان میکروسگمنتیشن هر منطقه امنیتی خدمات خاص خود را خواهد داشت که به طور سفارشی متناسب با نیازهای آن بخش خاص از شبکه طراحی شده است. هنگام پیاده سازی معماری امنیتی با معماری Zero-trust تقسیم بندی خرد می تواند بسیار مفید باشد.
• مدیران از Microsegmentation شبکه برای ایزوله کردن مناطق خاصی از شبکه یا حتی ایزوله کردن یک یا چند سیستم یا تجهیز استفاده می کنند و سپس با استفاده از یک دروازه تقسیم بندی یک ساختار اعتماد صفر برای آن بخش خاص از شبکه ایجاد می کنند که افراد و داده ها را از لحظه ورود کنترل می کند تا از صلاحیت آنها برای ورود به سیستمها و شبکه مطمئن شود.
Microsegmentation چگونه کار می کند؟
• اگر می خواهید به تقسیم واقعی دست یابید میکروسگمنتیشن یک انتخاب عالی است. این تکنیک به شما این امکان را می دهد که حجم کار یا Workload برنامه های کاربردی مختلف را جدا کنید.
با انجام این کار می توانید از حرکت جانبی تهدیدات جلوگیری کرده و آن ها را در بخش جدا شده ای که برنامه مورد تهدید قرار دارد به دام بیندازید.
میکروسگمنتیشن همچنین دید بهتری را در شبکه فراهم می کند. از آنجا که می توانید بخش های مختلف را جدا کرده و هر یک را با استفاده از یک داشبورد خاص نظارت کنید می توانید سیستم های مدیریت هشدار خود را به صورت بخش به بخش سفارشی کنید. به عنوان مثال می توانید میکروسگمنتیشن را بر روی دستگاه یا مجموعه ای از دستگاه ها بر اساس افرادی که از آنها استفاده می کنند اعمال کنید که می تواند نمای بسیار دقیقی از فعالیتی را که در هر جز اتفاق می افتد ارائه دهد.
- برای اهداف امنیتی میکروسگمنتیشن به شما امکان می دهد راه حل های انعطاف پذیرتری ایجاد کنید زیرا می توانید بارهای کاری Workload جداگانه را خرد کنید و سپس سیاست های امنیتی را که به طور خاص برای ایمن نگه داشتن آنها طراحی شده است اعمال کنید. اگر تهدیدی بخواهد به شبکه شما حمله کند تقسیم بندی خرد می تواند به شما در تشخیص سریعتر آن نیز کمک کند.
با تفاسیر بالا هر بخش می تواند دیوار امنیتی خود را داشته باشد. همانطور که تهدید تلاش می کند از بخش A به بخش B منتقل شود می توان آن را هم از طریق محافظت از قسمت A هنگام خروج و هم از طریق ورودی های بخش های B تشخیص داد. به عنوان مثال یک سیستم ممکن است از Workload بسیار حساس پایگاه داده استفاده کند که حاوی اطلاعات کارت اعتباری هزاران مشتری است با استفاده از معماری میکروسگمنتیشن می توانید اقدامات امنیتی اضافی را برای محافظت از داده های موجوددر داخل شبکه اعمال کنید.
تفاوتMicrosegmentationوNetwork Segmentation
تقسیم بندی سنتی شبکه یا همان Network Segmentationشامل تقسیم یک شبکه به بخش های کوچکتراست که اغلب Subnetنامیده می شوند وهر کدام به خودی خود به یک شبکه تبدیل می شوند.این امر به مدیران این امکان رامی دهد که تعریف کردن پالیسیهای متناسب با هر Subnet محافظت از شبکه را انجام دهند.هرچه سیاست امنیتی برای هر بخش مشخص تر باشد می تواند تهدیدهایی را که آن بخش بخصوص را به عنوان سطح حمله هدف قرار می دهد راحتتر شناسایی کرده و به آن پاسخ دهد.
با تقسیم بندی سنتی شبکه از دیوارهای آتش شبکه های مجازی محلی VLANو سیستم های جلوگیری از نفوذ IPS برای جدا کردن هر بخش استفاده می شود.انتقال داده ها از یک زیر شبکه به شبکه دیگر ممکن است از طریق یک فایروال فیلتر شودکه قبل از انتقال داده ها نفوذ تهدیدها را تشخیص داده و از آن جلوگیری می کند.با استفاده از VLANیک شبکه محلی LANبه بخشهای کوچکتر تقسیم می شود و به شما این آزادی را می دهد که برای هر بخش مکانیزمها و لایههای حفاظتی منحصربه فردی فراهم کنید.با IPS هر بخش از شبکه به طور مداوم تحت نظارت است زیرا سیستم به طور پیشگیرانه به دنبال حوادث مخرب است.
با این حال رویکرد تقسیم بندی شبکه محدود است زیرا فقط بر ترافیک تمرکز می کند یعنی ترافیکی که ازسرویس گیرنده به سرور می رود.از آنجا که داده ها از خارج از شبکه می آیند، تکنیک تقسیم بندی شبکه – Network Segmentation قادر به بررسی و فیلتر آن است.اما اگر فعالیت های مخرب درون شبکه شما اتفاق بیفتد ممکن است با تقسیم بندی سنتی تشخیص داده نشود.
یکی از مهمترین مزایای Microsegmentation این است که می تواند پروتکل های امنیتی را در ترافیکی که قبلاً در شبکه شما قرار دارد اعمال کند و بین سرورهای داخلی نیز بررسی های لازم را انجام دهد.
قسمت بعدی این مقاله به زودی...
=====================
•[ @Bl4ck_Room ]•
86 views• Milad -, 15:19
B
