Что такое сегментация сети?


Сегментация сети — метод обеспечения безопасности сети, который заключается в разделении сети на более мелкие отдельные подсети. При этом специалисты по сети могут распределять эти подсети по сегментам и предоставлять уникальные средства и службы управления безопасностью для каждой из них.

Процесс сегментации сети включает в себя разделение физической сети на разные логические подсети. После разделения сети на более мелкие и удобные в управлении единицы средства управления применяются к отдельным распределенным сегментам.

Подробности о микросегментации читайте в информативной книге.

Подробности о микросегментации читайте в информативной книге.

Скачать 

Преимущества сегментации сети

Сегментация сети предоставляет уникальные службы безопасности для каждого сегмента сети, повышая уровень контроля сетевого трафика, оптимизируя производительность сети и улучшая систему безопасности.

 

Сначала рассмотрим повышение безопасности. Общеизвестно, что уровень безопасности определяется самой уязвимой точкой. Крупная одноуровневая сеть неизбежно имеет большую площадь атаки. Однако если крупная сеть разделена на более мелкие подсети, изоляция сетевого трафика внутри подсетей уменьшает площадь атаки и препятствует горизонтальному распространению угроз. Таким образом, если периметр сети нарушен, сегментированная сеть не позволяет злоумышленникам перемещаться по сети горизонтально.

 

Кроме того, сегментация предоставляет логический способ изолировать активную атаку до того, как она распространится по сети. Например, сегментация гарантирует, что вредоносное ПО в одном сегменте не повлияет на системы в другом. Создание сегментов ограничивает дальность распространения атаки и сокращает площадь атаки до абсолютного минимума.

 

Теперь поговорим о производительности. Сегментация снижает перегрузку сети, что повышает ее производительность за счет устранения ненужного трафика в определенном сегменте. Например, медицинское оборудование в больнице может находиться в сегменте, отделенном от сети посетителей, чтобы на него не влиял трафик просмотра веб-сайтов гостевыми пользователями.

 

В результате сегментации сети требуется меньше узлов для каждой подсети, минимизируется локальный трафик каждой подсети, а внешний трафик ограничивается только предназначенным для подсети.

 

 

Каковы принципы работы сегментации сети?

Сегментация сети обеспечивает создание нескольких изолированных сегментов в пределах более крупной сети, каждый из которых может иметь различные требования к безопасности и политику защиты. Эти сегменты содержат приложения или конечные устройства определенного типа с одинаковым уровнем доверия.

 

Есть несколько способов сегментации сети. Мы рассмотрим сегментацию на основе периметра, реализуемую с использованием сетей VLAN, а затем сегментацию, выполняемую на более глубоком уровне сети с помощью методов виртуализации сети.

 

Сегментация на основе периметра

Сегментация на основе периметра предусматривает создание внутренних и внешних сегментов на основе доверия: система доверяет элемента, которые являются внутренними по отношению к сетевому сегменту, и не доверяет внешним элементам. В результате применяются несколько ограничений в отношении внутренних ресурсов, которые обычно работают в одноуровневой сети с минимальной внутренней сегментацией. Фильтрация и сегментация выполняются в фиксированных точках сети.

 

Изначально виртуальные локальные сети были введены для разделения широковещательных доменов с целью повышения производительности сети. Со временем они стали использоваться в качестве средства безопасности, хотя никогда не предназначались для подобного применения. Проблема виртуальных локальных сетей заключается в том, что они не предоставляют возможности внутренней фильтрации и имеют очень широкий уровень доступа.

 

Кроме того, для перемещения между сегментами требуется политика. С помощью политики можно либо остановить поток трафика из одного сегмента в другой, либо ограничить его (в зависимости от типа, источника и пункта назначения трафика).

 

Сетевой брандмауэр — это распространенное средство, используемое для сегментации на основе периметра. Изначально он использовался для управления движением вертикального сетевого трафика, разрешая при этом взаимодействие между всеми компонентами в пределах сегмента.

 

Виртуализация сети

В настоящее время многие организации поддерживают множество сетевых областей с конкретными функциями, требующими сегментации в многочисленных сетевых точках. Кроме того, теперь существует множество типов конечных устройств, которые должна поддерживать сеть, и каждый из этих типов имеет различные уровни доверия.

 

В связи с этим сегментации на основе периметра уже недостаточно. С появлением, например, облачных и мобильных технологий, а также стратегий использования личных устройств периметр теперь не имеет четких точек разграничения. Теперь нам требуется более глубокая сегментация сети, чтобы достичь более высокого уровня безопасности и производительности сети. Более того, при современных моделях горизонтального трафика требуется еще большая сегментация сети. Именно здесь становится полезной виртуализация сети, поскольку она выводит процесс сегментации на новый уровень.

 

Простейшая форма виртуализация сети — это предоставление сетевых служб и служб безопасности независимо от физической инфраструктуры. Обеспечивая сегментацию в пределах всей сети, а не только по периметру, виртуализация сети играет важную роль в эффективной сегментации. Фактически сегментация на основе периметра, к которой мы привыкли, теперь виртуализирована и распределена — наряду с гибкими детализированными политиками безопасности, — охватывая каждый сегмент сети.

Решения и ресурсы VMware, связанные с обеспечением безопасности приложений

VMware NSX: ведущая корпоративная платформа виртуализации сети и системы безопасности

Подключайте и защищайте приложения в ЦОД и облаках с помощью виртуализированных сетей и систем безопасности на платформе VMware NSX.

Брандмауэр VMware SDF

Защитите горизонтальный трафик с помощью специализированного внутреннего брандмауэра, встроенного в гипервизор и распределенного на каждом узле.

Сегментация сети и микросегментация с помощью брандмауэра SDF

С легкостью развертывайте сегменты сети в ПО и внедряйте микросегментацию между приложениями и рабочими нагрузками.