عزز الأمن والأداء مع تجزئة الشبكة

ربما تكون قد رأيت الآن إشارات إلى تجزئة الشبكة في أماكن تتراوح من هذا العمود إلى ميزات حول أمان الشبكة ومناقشات حول أفضل الممارسات في مراقبة الشبكة. لكن بالنسبة للعديد من المتخصصين في تكنولوجيا المعلومات ، فإن تجزئة الشبكة هي واحدة من تلك الأشياء التي تخطط دائمًا للالتفاف عليها ، في وقت قريب ، ولكن هناك شيء ما يعترض طريقك. مثل القيام بالضرائب الخاصة بك في فبراير: أنت تعلم أنه يجب عليك ولكنك بحاجة إلى ركلة دافعة إضافية. هذا ما آمل أن أفعله مع هذا الشرح المكون من 5 خطوات.

أولاً ، يجب أن نكون على نفس الصفحة ؛ لنبدأ بما هو عليه: تجزئة الشبكة هي ممارسة تقسيم الشبكة الحالية إلى أجزاء أصغر ، أو إذا كنت محظوظًا بما يكفي لبدء إنشاء شبكة من البداية ، فقم بتصميمها على شكل قطع في البداية. ولكن هذا لا يعني مجرد تقسيم الشبكة بشكل عشوائي إلى أجزاء. بدلاً من ذلك ، يجب أن يكون لديك خطة حتى يكون التجزئة منطقيًا.

هناك عدة أسباب لتجزئة الشبكة ؛ السبب الأكثر أهمية هو الأمن. إذا كانت شبكتك مقسمة إلى عدة شبكات أصغر ، ولكل منها جهاز توجيه خاص بها أو محول Layer 3 ، يمكنك تقييد الدخول إلى أجزاء معينة من الشبكة. بهذه الطريقة ، يتم منح الوصول فقط إلى نقاط النهاية التي تحتاج إليها. هذا يمنع الوصول غير المصرح به إلى أجزاء من الشبكة التي لا تريد الوصول إليها ، كما أنه يحد من بعض المتسللين الذين ربما اخترقوا شريحة واحدة من الوصول إلى كل شيء.

هذا ما حدث مع خرق الهدف في عام 2013. وكان المهاجمون الذين يستخدمون بيانات اعتماد من مقاول التدفئة والتهوية وتكييف الهواء (HVAC) قادرين على الوصول إلى أطراف نقطة البيع (POS) وقاعدة بيانات بطاقة الائتمان وكل شيء آخر على شبكة الاتصال. من الواضح أنه لم يكن هناك سبب يمنع مقاول HVAC من الوصول إلى أي شيء سوى وحدات التحكم HVAC ، لكنهم فعلوا ذلك لأن Target ليس لديه شبكة مجزأة.

ولكن إذا كنت ، على عكس الهدف ، تأخذ الوقت لتقسيم شبكتك ، فسيتمكن هؤلاء المتسللين من رؤية وحدات التحكم في التدفئة وتكييف الهواء الخاصة بك ولكن لا شيء غير ذلك. يمكن أن تنتهي العديد من الانتهاكات كونها غير حدث. وبالمثل ، لن يتمكن موظفو المستودعات من الوصول إلى قاعدة البيانات المحاسبية ولن يتمكنوا من الوصول إلى وحدات التحكم في أجهزة التكييف والتهوية وتكييف الهواء (HVAC) ، لكن سيكون بإمكان موظفي المحاسبة الوصول إلى قاعدة بياناتهم. وفي الوقت نفسه ، سيتمكن الموظفون من الوصول إلى خادم البريد الإلكتروني ، لكن الأجهزة الموجودة على الشبكة لن تفعل ذلك.

اتخاذ قرار بشأن الوظائف التي تريدها

كل هذا يعني أنه يتعين عليك تحديد الوظائف التي تحتاج إلى الاتصال بها على شبكتك ، وعليك تحديد نوع التقسيم الذي تريده. "تحديد الوظائف" تعني أنك بحاجة إلى معرفة من لديه فريقك لديه حق الوصول إلى موارد حوسبة محددة ومن لا يمكنه ذلك. قد يكون ذلك مؤلمًا ، ولكن عند الانتهاء ، ستتمكن من تعيين وظائف حسب المسمى الوظيفي أو مهمة العمل ، والتي يمكن أن تحقق فوائد إضافية في المستقبل.

بالنسبة لنوع التجزئة ، يمكنك استخدام التجزئة الفعلية أو التجزئة المنطقية. يعني التقسيم المادي أن جميع أصول الشبكة في منطقة فعلية واحدة ستكون وراء جدار الحماية الذي يحدد حركة المرور التي يمكن أن تأتي وما حركة المرور يمكن أن يخرج. لذلك ، إذا كان لدى الطابق العاشر جهاز توجيه خاص به ، فيمكنك فعليًا تقسيم كل شخص هناك فعليًا.

قد يستخدم التجزئة المنطقية شبكات محلية ظاهرية (VLAN) أو عنونة الشبكة لإنجاز التجزئة. يمكن أن يعتمد التجزئة المنطقية على شبكات محلية ظاهرية أو شبكات فرعية محددة لتحديد علاقات الشبكات أو يمكنك استخدام كليهما. على سبيل المثال ، قد ترغب في أن تكون أجهزة Internet of Things (IoT) الخاصة بك على شبكات فرعية محددة ، في حين أن شبكة البيانات الرئيسية هي مجموعة واحدة من الشبكات الفرعية ووحدات التحكم في HVAC وحتى طابعاتك يمكن أن تشغل الآخرين. إن العمل الرتيب هناك هو أنك ستحتاج إلى تحديد الوصول إلى الطابعات حتى يتمكن الأشخاص الذين يحتاجون إلى الطباعة من الوصول.

قد تعني بيئات أكثر ديناميكية عمليات تخصيص حركة مرور أكثر تعقيدًا قد تضطر إلى استخدام برنامج جدولة أو تزامن ، ولكن هذه المشكلات تميل إلى الظهور فقط في شبكات أكبر.

وظائف مختلفة ، وأوضح

يدور هذا الجزء حول تعيين وظائف العمل إلى مقاطع الشبكة الخاصة بك. على سبيل المثال ، قد يكون لدى الأعمال التجارية المعتادة محاسبة ، موارد بشرية (HR) ، إنتاج ، تخزين ، إدارة ، وعدد قليل من الأجهزة المتصلة على الشبكة ، مثل الطابعات أو ، في هذه الأيام ، صانعو القهوة. سيكون لكل من هذه الوظائف شريحة الشبكة الخاصة بها ، وستكون نقاط النهاية على هذه القطاعات قادرة على الوصول إلى البيانات وغيرها من الأصول في مجالها الوظيفي. لكن قد يحتاجون أيضًا إلى الوصول إلى مناطق أخرى ، مثل البريد الإلكتروني أو الإنترنت ، وربما منطقة الموظفين العامة لأشياء مثل الإعلانات والنماذج الفارغة.

والخطوة التالية هي معرفة الوظائف التي يجب منعها من الوصول إلى تلك المناطق. قد يكون مثالًا جيدًا على أجهزة إنترنت الأشياء التي تحتاج فقط إلى التحدث مع الخوادم أو وحدات التحكم الخاصة بها ، ولكنها لا تحتاج إلى البريد الإلكتروني أو تصفح الإنترنت أو بيانات الموظفين. سيحتاج موظفو المستودع إلى الوصول إلى المخزون ، لكن من المحتمل ألا يكون لديهم حق الوصول إلى المحاسبة ، على سبيل المثال. سيتعين عليك بدء تجزئة عن طريق تحديد هذه العلاقات أولاً.

5 خطوات أساسية لتجزئة الشبكة

عيّن كل أصل موجود على شبكتك إلى مجموعة محددة بحيث يكون موظفو المحاسبة في مجموعة ، وموظفي المستودع في مجموعة أخرى ، والمديرين في مجموعة أخرى.

قرر كيف تريد التعامل مع تجزئة الخاص بك. يكون التقسيم المادي سهلاً إذا سمحت البيئة الخاصة بك بذلك ، لكنه محدود. ربما يكون التجزئة المنطقية أكثر منطقية بالنسبة لمعظم المؤسسات ، ولكن عليك معرفة المزيد عن الشبكات.

حدد الأصول التي تحتاج إلى الاتصال بها وأي الأصول الأخرى ، ثم قم بإعداد جدران الحماية أو أجهزة الشبكة الخاصة بك للسماح بذلك ولمنع الوصول إلى أي شيء آخر.

قم بإعداد كشف التسلل الخاص بك وخدمات مكافحة البرامج الضارة الخاصة بك حتى يتمكن كلاهما من رؤية جميع شرائح الشبكة. قم بإعداد جدران الحماية أو مفاتيح التبديل الخاصة بك حتى تبلغ عن محاولات الاقتحام.

تذكر أن الوصول إلى أجزاء الشبكة يجب أن يكون شفافًا للمستخدمين المصرح لهم وأنه يجب ألا يكون هناك أي رؤية في القطاعات للمستخدمين غير المصرح لهم. يمكنك اختبار هذا عن طريق المحاولة.

• 10 خطوات للأمن السيبراني يجب أن تتخذها شركتك الصغيرة الآن 10 خطوات للأمن السيبراني يجب أن تتخذها شركتك الصغيرة الآن
• ما وراء المحيط: كيفية التعامل مع الأمن ذو الطبقات ما وراء المحيط: كيفية معالجة الأمن ذو الطبقات

تجدر الإشارة إلى أن تجزئة الشبكة ليس حقًا مشروع "افعلها بنفسك" (DIY) باستثناء أصغر المكاتب. لكن بعض القراءة ستجعلك على استعداد لطرح الأسئلة الصحيحة. يعد فريق التأهب لحالات الطوارئ السيبرانية في الولايات المتحدة أو US-CERT (جزء من وزارة الأمن الداخلي الأمريكية) مكانًا جيدًا للبدء ، على الرغم من أن توجيهاتهم تهدف إلى إنترنت الأشياء ومراقبة العمليات. تحتوي Cisco على ورقة مفصلة حول التجزئة لحماية البيانات التي لا تخص البائع.

هناك بعض البائعين الذين يقدمون معلومات مفيدة ؛ ومع ذلك ، لم نختبر منتجاتها ، لذا لا يمكننا إخبارك ما إذا كانت هذه المنتجات ستكون مفيدة أم لا. تتضمن هذه المعلومات نصائح إرشادية من Sage Data Security ، وأفضل فيديو من AlgoSec ، ومناقشة تجزئة ديناميكية من مزود برامج جدولة الشبكة HashiCorp. أخيرًا ، إذا كنت من النوع المغامر ، فإن Bishop Fox للاستشارات الأمنية تقدم دليلًا لتجزئة الشبكة.

فيما يتعلق بالمزايا الأخرى للقطاعات التي تتجاوز الأمان ، قد يكون لشبكة مجزأة فوائد أداء لأن حركة مرور الشبكة على قطعة ما قد لا تضطر إلى التنافس مع حركة المرور الأخرى. هذا يعني أن موظفي الهندسة لن يجدوا أن رسوماتهم تتأخر عن طريق النسخ الاحتياطية وأن الأشخاص المطورين قد يكونون قادرين على إجراء اختباراتهم دون القلق بشأن تأثيرات الأداء الناتجة عن حركة مرور الشبكة الأخرى. ولكن قبل أن تتمكن من فعل أي شيء ، يجب أن يكون لديك خطة.