차례:
비디오: [ë¸ ì¤í 리ì§-â¡]ë°ì´í° ë í주, ì! ë§ë í ì í ììê¹?â¦PS5000E, PS5500E (십월 2024)
지금까지이 칼럼에서 네트워크 보안 기능 및 네트워크 모니터링 모범 사례에 대한 설명에 이르기까지 네트워크 세분화에 대한 참조를 보았을 것입니다. 그러나 많은 IT 전문가들에게 네트워크 세분화는 항상 언젠가는 갈 계획이지만 그 중에서도 항상 방해가되는 것들 중 하나입니다. 2 월에 세금을내는 것처럼: 당신은해야한다는 것을 알고 있지만 동기 부여가 더 필요합니다. 이것이 5 단계 설명자와 함께하기를 희망하는 것입니다.
네트워크 세분화에는 몇 가지 이유가 있습니다. 가장 중요한 이유는 보안입니다. 네트워크가 각각 자체 라우터 또는 레이어 3 스위치가있는 여러 개의 작은 네트워크로 나뉘어 진 경우 네트워크의 특정 부분으로 항목을 제한 할 수 있습니다. 이러한 방식으로 액세스가 필요한 엔드 포인트에만 액세스 권한이 부여됩니다. 이를 통해 액세스하지 않으려는 네트워크 부분에 대한 무단 액세스를 방지하고 한 세그먼트에 침입 한 일부 해커가 모든 것에 액세스하지 못하도록 제한합니다.
2013 년 목표 위반으로 발생한 일입니다. HVAC (난방, 환기 및 에어컨) 계약 업체의 자격 증명을 사용하는 공격자는 POS (Point-of-Sale) 터미널, 신용 카드 데이터베이스 및 기타 모든 항목에 액세스 할 수있었습니다. 회로망. 분명히, HVAC 계약자가 HVAC 컨트롤러 이외의 것에 액세스 할 이유는 없었지만 Target에 세그먼트 화 된 네트워크가 없었기 때문입니다.
그러나 Target과 달리 네트워크를 세분화하는 데 시간이 걸리면 침입자가 난방 및 에어컨 컨트롤러를 볼 수 있지만 다른 것은 없습니다. 많은 위반이 비 사건이 될 수 있습니다. 마찬가지로 창고 직원은 회계 데이터베이스에 액세스 할 수 없으며 HVAC 컨트롤러에 액세스 할 수 없지만 회계 직원은 데이터베이스에 액세스 할 수 있습니다. 한편 직원은 전자 메일 서버에 액세스 할 수 있지만 네트워크의 장치는 액세스 할 수 없습니다.
원하는 기능 결정
이 모든 것은 네트워크에서 통신해야하는 기능을 결정하고 원하는 분할 유형을 결정해야 함을 의미합니다. "기능 결정"은 직원이 특정 컴퓨팅 리소스에 액세스 할 수있는 사람과 그렇지 않은 사람을 확인해야 함을 의미합니다. 이를 파악하기가 어려울 수 있지만 작업이 완료되면 직책 또는 작업 할당별로 기능을 할당 할 수있어 향후 추가 혜택을 얻을 수 있습니다.
분할 유형에 대해서는 물리적 분할 또는 논리적 분할을 사용할 수 있습니다. 물리적 세분화는 한 물리적 영역의 모든 네트워크 자산이 어떤 트래픽이 들어오고 나갈 수 있는지 정의하는 방화벽 뒤에 있음을 의미합니다. 따라서 10 층에 자체 라우터가 있으면 물리적으로 모든 사람을 세그먼트로 나눌 수 있습니다.
논리적 분할은 VLAN (가상 LAN) 또는 네트워크 주소 지정을 사용하여 분할을 수행합니다. 논리적 세분화는 VLAN 또는 특정 서브넷을 기반으로 네트워킹 관계를 정의하거나 둘 다 사용할 수 있습니다. 예를 들어 특정 서브넷에 사물 인터넷 (IoT) 장치가 필요할 수 있으므로 주 데이터 네트워크는 하나의 서브넷 집합이지만 HVAC 컨트롤러 및 프린터도 다른 서브넷을 차지할 수 있습니다. 인쇄가 필요한 사람들이 액세스 할 수 있도록 프린터에 대한 액세스 권한을 정의해야합니다.
동적 환경이 많을수록 스케줄링 또는 오케스트레이션 소프트웨어를 사용해야하는 훨씬 복잡한 트래픽 할당 프로세스를 의미 할 수 있지만 이러한 문제는 대규모 네트워크에서만 발생하는 경향이 있습니다.
설명 된 다른 기능
이 부분은 업무 기능을 네트워크 세그먼트에 매핑하는 것에 관한 것입니다. 예를 들어, 일반적인 비즈니스에는 회계, 인사 관리 (HR), 생산, 창고 보관, 관리 및 프린터 나 요즘 커피 메이커와 같은 네트워크에 연결된 장치가 포함되어있을 수 있습니다. 이러한 각 기능에는 고유 한 네트워크 세그먼트가 있으며 해당 세그먼트의 엔드 포인트는 해당 기능 영역의 데이터 및 기타 자산에 도달 할 수 있습니다. 그러나 전자 메일이나 인터넷과 같은 다른 영역 및 공지 사항 및 빈 양식과 같은 일반 직원 영역에 액세스해야 할 수도 있습니다.
다음 단계는 어떤 기능이 해당 영역에 도달하지 못하게하는지 확인하는 것입니다. 예를 들어 IoT 서버는 각각의 서버 또는 컨트롤러와 만 통신하면되지만 전자 메일, 인터넷 브라우징 또는 개인 데이터는 필요하지 않습니다. 창고 직원은 재고 액세스가 필요하지만 회계와 같은 액세스 권한이 없어야합니다. 먼저 이러한 관계를 정의하여 세분화를 시작해야합니다.
네트워크 세분화를위한 5 가지 기본 단계
네트워크의 각 자산을 특정 그룹에 할당하여 회계 담당자가 그룹에 있고 창고 직원이 다른 그룹에 있고 관리자가 또 다른 그룹에있게하십시오.
세분화를 처리 할 방법을 결정하십시오. 환경에서 허용하면 물리적 세분화는 쉽지만 제한적입니다. 논리적 세분화는 대부분의 조직에 더 적합 할 수 있지만 네트워킹에 대해 더 많이 알아야합니다.
어떤 자산이 다른 자산과 통신해야하는지 결정한 다음이를 허용하고 다른 모든 항목에 대한 액세스를 거부하도록 방화벽 또는 네트워크 장치를 설정하십시오.
침입 탐지 및 맬웨어 방지 서비스를 설정하여 둘 다 모든 네트워크 세그먼트를 볼 수 있도록하십시오. 침입 시도를보고하도록 방화벽 또는 스위치를 설정하십시오.
네트워크 세그먼트에 대한 액세스는 권한이 부여 된 사용자에게는 투명해야하며 권한이없는 사용자에 대해서는 세그먼트에 대한 가시성이 없어야합니다. 시도하여 이것을 테스트 할 수 있습니다.
- 소규모 기업이 지금 당장해야하는 10 가지 사이버 보안 단계 소규모 기업이 지금 당장해야하는 10 가지 사이버 보안 단계
- 경계 너머: 계층화 된 보안 문제를 해결하는 방법 경계 너머: 계층화 된 보안 문제를 해결하는 방법
네트워크 세분화는 가장 작은 사무실을 제외하고 실제로 DIY (Do-It-Yourself) 프로젝트가 아니라는 점에 주목할 가치가 있습니다. 그러나 약간의 독서는 올바른 질문을 할 수 있도록 준비시켜 줄 것입니다. 미국 사이버 비상 준비 팀 또는 US-CERT (미국 국토 안보부 소속)는 IoT 및 프로세스 제어를 목표로하지만 시작하기에 좋은 장소입니다. 시스코에는 벤더별로 다르지 않은 데이터 보호를위한 세분화에 대한 자세한 문서가 있습니다.
유용한 정보를 제공하는 공급 업체가 있습니다. 그러나 제품을 테스트하지 않았으므로 제품이 유용한 지 여부를 알 수 없습니다. 이 정보에는 Sage Data Security의 방법 팁, AlgoSec의 모범 사례 비디오 및 네트워크 스케줄링 소프트웨어 제공 업체 HashiCorp의 동적 분할 토론이 포함됩니다. 마지막으로 모험적인 유형이라면 보안 컨설팅 Bishop Fox는 네트워크 세분화 DIY 가이드를 제공합니다.
보안 이외의 세분화의 다른 이점은 세그먼트의 네트워크 트래픽이 다른 트래픽과 경쟁 할 필요가 없기 때문에 세그먼트 화 된 네트워크의 성능 이점이있을 수 있습니다. 이는 엔지니어링 직원이 백업으로 인해 도면이 지연되는 것을 발견하지 못하고 개발 담당자가 다른 네트워크 트래픽의 성능 영향에 대한 걱정없이 테스트를 수행 할 수 있음을 의미합니다. 그러나 무엇이든하기 전에 계획이 있어야합니다.
