Správne urobená segmentácia je základným pilierom bezpečnosti siete. Čo presne znamená, ako vyzerá v praxi a kedy je najlepšie začať ju implementovať? To všetko nájdete v tomto článku.

 

Kybernetická bezpečnosť je dnes pre firmy všetkých veľkostí nevyhnutnosťou. Či už ide o veľké firmy so stovkami zamestnancov, alebo malé spoločnosti na lokálnej úrovni: všetky sú dnes pre hackerov lákavou korisťou.

Segmentácia je jedným zo základných opatrení. Sťažuje útočníkovi pohyb po sieti a dokáže výrazne obmedziť škody, ktoré môže napáchať. Je to (takmer) jednorazová záležitosť, ktorá je veľmi efektívna a navyše podľa zvoleného riešenia ani nemusí byť príliš nákladná.

 

Čo je segmentácia siete?

Najlepšie si môžete segmentáciu siete predstaviť ako dobre zabezpečenú budovu, kde sú všetky dvere zatvorené a vybavené čipovými kartami.

Keď do nej vojdete, už pri vstupe sa musíte preukázať svojou kartou, aby vás pustil turniket. Ale vaša kartička vás pustí len do tých častí budovy, ku ktorým môžete mať prístup: vedca do laboratória, IT technika do serverovne. Vedec sa so svojou kartičkou do serverovne nedostane, a rovnako IT technik nepochodí pred dverami do laboratória. A riaditeľ spoločnosti má so svojou kartičkou prístup všade.

Vďaka segmentácii môžete rozbiť celú vašu sieť na menšie časti, ktoré majú samostatné prístupy. To znamená, že:

  • zamestnanci sa dostanú len do tej časti siete, ktorú potrebujú na svoju prácu (a zamedzí sa tak rôznym omylom), a čo je dôležitejšie;
  • útočník, ktorý získal prístup od niektorého zo zamestnancov sa dostane len do obmedzenej časti siete. V nej síce môže urobiť škodu, ale zvyšok siete je v bezpečí.

Kedy potrebujem segmentovať sieť?

Na segmentovanie siete neexistuje správna „veľkosť” spoločnosti alebo siete.
Rozhodnutie by malo prísť vtedy, ak vaša spoločnosť spĺňa niektorú z týchto podmienok:

  • Spracúvate citlivé alebo osobné dáta zákazníkov: toto je jednoznačný dôvod na segmentáciu. Tieto údaje by mali byť v samostatnom segmente, ktorý je nielen mimoriadne zabezpečený voči napadnutiu, ale má tiež ošetrené prístupové práva. Prístup by mali mať len osoby, ktoré tieto dáta ku svojej práci potrebujú – a tiež len pre tú časť dát, ktoré potrebujú.
  • Máte kritické prevádzkové technológie: Ak by vás napríklad odstavenie výrobnej linky mohlo ochromiť alebo spôsobiť veľké straty, je dobré mať kritické technológie na samostatnej sieti. Inak sa vystavujete riziku, že jedna chyba v bezpečnosti vás vydá na milosť hackerom a ich požiadavkám.
  • Pripájate do siete zariadenia rôzneho typu: Pripájajú sa k vašej sieti zamestnanci alebo zákazníci so svojimi osobnými zariadeniami? Majú do vašej firemnej siete prístup IoT zariadenia? Neoverené zariadenia prinášajú do siete riziko, pre ktoré je segmentácia ideálnym riešením. Samostatný segment siete pre hostí, zariadenia IoT, staršie alebo menej zabezpečené zariadenia vám môže ušetriť veľa prebdených nocí.
  • Máte rastúcu a komplexnú sieť: Hoci je aj pri menších sieťach segmentácia dôležitá, pri veľkých sieťach alebo sústave sietí je absolútne nevyhnutná. Bez nej je ťažké monitorovať prevádzku v sieti, sledovať podozrivé správanie a kontrolovať prístup rôznych skupín zamestnancov do rozličných častí siete.

Ako vyzerá segment siete v praxi?

Segmentácia môže mať 2 podoby:

  • Fyzická segmentácia: v tomto prípade sú segmenty oddelené hardvérovo. Každý segment siete môže mať napr. vlastné switche, routre či firewally a môžu byť aj na iných miestach – napríklad v iných budovách. Je to nákladné, ale najbezpečnejšie.
  • Logická segmentácia: sieť je rozdelená na virtuálne „podsiete” (VLAN) a užívatelia dostávajú prístup len do tých častí siete, na ktoré majú právo. Tento systém je oveľa jednoduchší: či už ide o náklady alebo správu.

Častokrát sa tieto dva prístupy kombinujú. Najkritickejšie časti sú oddelené fyzicky, a ostatné virtuálne”.

Koľko segmentov siete potrebujem?

Toto je samozrejme veľmi všeobecná otázka, ktorá má všeobecnú odpoveď: záleží to od veľkosti vašej firmy a povahy výroby/služby, ktorú poskytujete.

Odpoveď budú najlepšie poznať špecialisti vo vnútri vašej spoločnosti – a ak takých nemáte, vieme pre vás zabezpečiť návrh a implementáciu aj s našimi profesionálmi.

Môžete sa napríklad rozhodnúť, že každé oddelenie spoločnosti bude mať vlastný segment. Alebo, že segmenty budú rozdelené podľa citlivosti dát, fyzických lokalít alebo veľa ďalších parametrov.

Veľmi orientačne – malé spoločnosti si obvykle vystačia s 4-7 segmentami, a stredné spoločnosti (250 zamestnancov) môžu mať aj 10-15.

Číslo samotné však nie je v podstate vôbec dôležité, pokým sa držíte základného pravidla segmentácie:

Každý segment musí mať svoj jasný účel a dôvod.

Príliš veľa segmentov totiž vytvára viac problémov, ako pomáha riešiť. V neprehľadnej a príliš komplexnej infraštruktúre je:

  • ťažké nachádzať chyby,
  • ťažké ju spravovať,
  • ťažké odhaliť útočníka.

Nemysleli ste zo začiatku na segmentáciu?

Správna segmentácia siete sa dá urobiť kedykoľvek … ale čím je sieť väčšia, tým ťažšie je všetko preorganizovať. Preto je dôležité na segmentáciu siete myslieť čo najskôr.

Ak ste práve vo fáze plánovania, alebo chcete expandovať s novou sieťou či prevádzkou, je to ideálny čas na komplexný pohľad na celú sieť. Pre našich klientov poskytujeme konzultácie rovnako ako pomoc pri správnej segmentácii siete, ktoré pomôžu zlepšiť vašu bezpečnosť.

Ak by vám takáto konzultácia pomohla, stačí vyplniť formulár nižšie.


FAQ


Čo je segmentácia siete?

Fyzické alebo virtuálne rozdelenie siete na menšie časti. Tieto časti majú samostatne spravované prístupy a zlyhanie bezpečnosti v jednom sektore tak neohrozuje celú sieť.

Kedy segmentovať sieť?

Ideálne už na začiatku pri plánovaní siete, alebo keď ju rozširujete o nové časti. Ak ju však nemáte rozsegmentovanú, je to dôležité najmä ak: spracúvate osobné údaje, máte kritické a zraniteľné prevádzkové technológie alebo pripájate do siete neoverené zariadenia či IoT.

Aké druhy segmentácie existujú?

Fyzická segmentácia – fyzicky oddelené servery, switche a firewally. Alebo logická segmentácia – jedna fyzická sieť rozdelená virtuálne do niekoľkých VLAN.

Ako sa zbaviť najväčšej bezpečnostnej diery: „aktualizujte” myslenie vašich zamestnancov

Každý digitálny systém je len taký bezpečný, ako jeho najslabší článok. V 9 z 10 prípadov ním ale nie sú ...

Čítať viac
Showing Slide 1 of 2