بخش بندی شبکه (Network Segmentation) چیست؟
بخشبندی شبکه یک تکنیک امنیتی شبکه است که شبکه را به زیرشبکههای کوچکتر و مجزا تقسیم میکند که تیمهای شبکه را قادر میسازد تا زیرشبکهها را تقسیم کرده و کنترلها و خدمات امنیتی منحصربهفردی را به هر زیرشبکه ارائه کنند.
فرآیند تقسیمبندی شبکه شامل تقسیمبندی یک شبکه فیزیکی به زیرشبکههای منطقی مختلف است. هنگامی که شبکه به واحدهای کوچکتر قابل مدیریت تقسیم شد، کنترلها بر روی بخشهای جداگانه اعمال میشوند.
چرا تقسیم بندی شبکه: مزایای تقسیم بندی شبکه
تقسیم بندی شبکه خدمات امنیتی منحصر به فردی را در هر بخش شبکه ارائه می دهد، کنترل بیشتری بر ترافیک شبکه، بهینه سازی عملکرد شبکه و بهبود وضعیت امنیتی ارائه می دهد.
مزیت اول: امنیت بیشتر. همه ما می دانیم در بحث امنیت، شما به اندازه ضعیف ترین حلقه خود قوی هستید. یک شبکه مسطح بزرگ به ناچار سطح حمله (attack surface) بزرگی را ارائه می دهد. با این حال، هنگامی که یک شبکه بزرگ به شبکه های فرعی کوچکتر تقسیم می شود، جداسازی ترافیک شبکه در داخل شبکه های فرعی سطح حمله را کاهش می دهد و مانع حرکت جانبی(lateral movement) می شود. بنابراین، اگر محیط شبکه به قسمتهای کوچکتر شکسته شود، بخش های شبکه از حرکت جانبی مهاجمان در سراسر شبکه جلوگیری می کند.
علاوه بر این، بخش بندی یک راه منطقی برای جداسازی یک حمله فعال قبل از انتشار در سراسر شبکه فراهم می کند. به عنوان مثال، بخشبندی تضمین میکند که بدافزار در یک بخش بر سیستمهای بخش دیگر تأثیر نمیگذارد. ایجاد بخشها میزان گسترش حمله را محدود میکند و سطح حمله را به حداقل مطلق کاهش میدهد.
بعد، بیایید در مورد عملکرد صحبت کنیم. بخش بندی تراکم شبکه را کاهش می دهد که با حذف ترافیک غیر ضروری در یک بخش خاص، عملکرد شبکه را بهبود می بخشد. برای مثال، دستگاههای پزشکی یک بیمارستان را میتوان از شبکه بازدیدکنندگان آن تقسیم کرد تا دستگاههای پزشکی تحت تأثیر ترافیک وبگردی مهمان قرار نگیرند.
در نتیجه تقسیمبندی شبکه، میزبانهای کمتری در هر زیرشبکه داریم، ترافیک محلی در هر زیرشبکه را به حداقل میرسانیم و ترافیک خارجی را فقط به موارد تعیینشده برای زیرشبکه محدود میکنیم.
تقسیم بندی شبکه چگونه کار می کند؟
بخشبندی شبکه، بخشهای مجزا و متعددی را در یک شبکه بزرگتر ایجاد میکند، که هر کدام میتوانند الزامات امنیتی و سیاستهای متفاوتی داشته باشند. این بخشها انواع برنامهها یا نقطه پایانی خاصی را با سطح اعتماد یکسانی دارند.
روش های مختلفی برای انجام بخش بندی شبکه وجود دارد. ما به تقسیم بندی مبتنی بر محیطی که با VLAN ها پیاده سازی شده است نگاه خواهیم کرد و سپس تقسیم بندی عمیق تر در شبکه با تکنیک های مجازی سازی شبکه را مورد بررسی قرار میدهیم.
تقسیم بندی بر اساس محیط (Perimeter-based segmentation)
بخشبندی مبتنی بر محیط، بخشهای داخلی و خارجی را بر اساس اعتماد ایجاد میکند: آنچه در بخش شبکه داخلی است قابل اعتماد است و هر چیز خارجی قابل اعتماد نیست. در نتیجه، محدودیتهای کمی در منابع داخلی وجود دارد، که معمولاً روی یک شبکه مسطح با حداقل بخشبندی شبکه داخلی کار میکنند. فیلتر و تقسیم بندی در نقاط شبکه ثابت است.
در ابتدا، VLAN ها برای تقسیم دامنه های پخش برای بهبود عملکرد شبکه معرفی شدند. با گذشت زمان، VLAN ها به عنوان یک ابزار امنیتی مورد استفاده قرار گرفتند; اما هرگز قرار نبود به عنوان یک ابزار امنیتی مورد استفاده قرار گیرند. مشکل VLAN ها این است که فیلتر درون VLAN وجود ندارد. سطح دسترسی بسیار وسیعی دارند.
علاوه بر این، برای جابجایی بین بخش ها، نیاز به یک سیاست وجود دارد. با استفاده از خط مشی، می توانید جریان ترافیک را از یک بخش به بخش دیگر متوقف کنید یا ترافیک را محدود کنید (بر اساس نوع ترافیک، منبع و مقصد).
فایروال شبکه یک ابزار معمولی است که برای تقسیم بندی مبتنی بر محیط استفاده می شود. در ابتدا برای کنترل حرکت ترافیک شمالی-جنوبی شبکه به کار گرفته شد و در عین حال امکان برقراری ارتباط بین هر بخش را فراهم کرد.
مجازی سازی شبکه (Network Virtualization)
امروزه، بسیاری از سازمانها حوزههای مختلف شبکه را با عملکردهای خاص نگهداری میکنند که نیازمند تقسیمبندی در نقاط متعدد شبکه است. علاوه بر این، نقاط پایانی که شبکه باید پشتیبانی کند، به گونهای رشد کردهاند که انواع نقطه پایانی متعددی را شامل میشوند که هر کدام با سطوح اعتماد متفاوتی همراه هستند.
در نتیجه، تقسیم بندی مبتنی بر محیط دیگر کافی نیست. برای مثال، با ظهور ابر، BYOD، و موبایل، مرزهای شبکه محو شده است. اکنون برای دستیابی به امنیت و عملکرد بهتر شبکه، به بخش بندی بیشتر، عمیق تر در شبکه نیاز داریم. علاوه بر این، با الگوهای ترافیک شرقی-غربی امروزی، هنوز به بخشبندی شبکه بیشتری نیاز است. اینجاست که مجازیسازی شبکه مطرح میشود، زیرا بخشبندی را به سطح بعدی میبرد.
در ساده ترین شکل، مجازی سازی شبکه، ارائه خدمات شبکه و امنیت مستقل از زیرساخت فیزیکی است. با فعال کردن بخشبندی شبکه در کل شبکه و نه فقط در محیط، مجازیسازی شبکه نقش کلیدی در ایجاد تقسیمبندی کارآمد شبکه ایفا میکند. در واقع، بخشبندی مبتنی بر محیطی که در گذشته به آن عادت داشتیم، به همراه سیاستهای امنیتی منعطف و دقیق در هر بخش از شبکه به صورت مجازی و توزیع شده است.
مطالب زیر را حتما بخوانید
-
راهنمای جامع و کاربردی Rsyslog: مدیریت لاگها در سیستمهای لینوکسی
12 بازدید
-
راهنمای جامع Syslog: مدیریت و تحلیل لاگها در سیستمهای شبکه
14 بازدید
-
بررسی کامل LogRhythm: ابزار پیشرفته مدیریت امنیت و وقایع (SIEM)
8 بازدید
-
مترپرتر (Meterpreter): راهنمای جامع و کاربردی برای تست نفوذ و امنیت سایبری
8 بازدید
-
راهنمای کامل Bind Shell: مفاهیم، کاربردها و ملاحظات امنیتی
7 بازدید
-
آشنایی کامل با شلتر (Shellter): ابزاری قدرتمند برای تزریق کد و دور زدن مکانیزمهای امنیتی
6 بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.