میکروسگمنتیشن – Microsegmentation چیست و چه مزایایی دارد؟ آشنایی با Microsegmentation و رویکردهای آن

0 42
۵/۵ - (۲ امتیاز)

فهرست

میکروسگمنتیشن (Microsegmentation) چیست؟

میکروسگمنتیشن (Microsegmentation) یا ریز تقسیم بندی به یک روش امنیتی گفته می‌شود که شامل جداسازی مناطق امن در مرکز داده یا محیط ابری است. این امر مدیران فناوری اطلاعات را قادر می سازد تا کنترل دقیق تری بر برنامه ها و حجم کار (Workload) داشته باشند. با استفاده از معماری تقسیم بندی خرد یا همان میکروسگمنتیشن، هر منطقه امنیتی خدمات خاص خود را خواهد داشت که به طور سفارشی متناسب با نیازهای آن بخش خاص از شبکه طراحی شده است. هنگام پیاده سازی معماری امنیتی با معماری Zero-trust، تقسیم بندی خرد می تواند بسیار مفید باشد.

مدیران از Microsegmentation شبکه برای ایروله کردن مناطق خاصی از شبکه (یا حتی ایزوله کردن یک یا چند سیستم یا تجهیز) استفاده می کنند و سپس با استفاده از یک دروازه تقسیم بندی، یک ساختار اعتماد صفر برای آن بخش خاص از شبکه ایجاد می کنند، که افراد و داده ها را از لحظه ورود کنترل می کند تا از صلاحیت آن‌ها برای ورود به سیستم‌ها و شبکه مطمئن شود.

Microsegmentation چگونه کار می کند؟

اگر می خواهید به تقسیم واقعی دست یابید، میکروسگمنتیشن یک انتخاب عالی است. این تکنیک به شما این امکان را می دهد که حجم کار یا Workload برنامه های کاربردی مختلف را جدا کنید. با انجام این کار، می توانید از حرکت جانبی تهدیدات جلوگیری کرده و آن ها را در بخش جدا شده ای که برنامه مورد تهدید قرار دارد، به دام بیندازید.

Microsegmentation همچنین دید بهتری را در شبکه فراهم می کند. از آنجا که می توانید بخش های مختلف را جدا کرده و هر یک را با استفاده از یک داشبورد خاص نظارت کنید، می توانید سیستم های مدیریت هشدار خود را به صورت بخش به بخش سفارشی کنید. به عنوان مثال، می توانید میکروسگمنتیشن را بر روی دستگاه یا مجموعه ای از دستگاه ها بر اساس افرادی که از آنها استفاده می کنند، اعمال کنید، که می تواند نمای بسیار دقیقی از فعالیتی را که در هر جز اتفاق می افتد، ارائه دهد.

برای اهداف امنیتی، میکروسگمنتیشن به شما امکان می دهد راه حل های انعطاف پذیرتری ایجاد کنید زیرا می توانید بارهای کاری (Workload) جداگانه را خرد کنید و سپس سیاست های امنیتی را که به طور خاص برای ایمن نگه داشتن آنها طراحی شده است، اعمال کنید. اگر تهدیدی بخواهد به شبکه شما حمله کند، تقسیم بندی خرد می تواند به شما در تشخیص سریعتر آن نیز کمک کند.

با تفاسیر بالا، هر بخش می تواند دیوار امنیتی خود را داشته باشد. همانطور که تهدید تلاش می کند از بخش A به بخش B منتقل شود، می توان آن را هم از طریق محافظت از قسمت A هنگام خروج و هم از طریق ورودی های بخش های B تشخیص داد. به عنوان مثال، یک سیستم ممکن است از Workload بسیار حساس پایگاه داده استفاده کند که حاوی اطلاعات کارت اعتباری هزاران مشتری است. با استفاده از معماری میکروسگمنتیشن، می توانید اقدامات امنیتی اضافی را برای محافظت از داده های موجود در داخل شبکه اعمال کنید.

تفاوت Microsegmentation و Network Segmentation

تقسیم بندی سنتی شبکه یا همان Network Segmentation شامل تقسیم یک شبکه به بخش های کوچکتر است که اغلب Subnet نامیده می شوند و هر کدام به خودی خود به یک شبکه تبدیل می شوند. این امر به مدیران این امکان را می دهد که تعریف کردن پالیسی‌های متناسب با هر Subnet، محافظت از شبکه را انجام دهند. هرچه سیاست امنیتی برای هر بخش مشخص تر باشد، می تواند تهدیدهایی را که آن بخش بخصوص را به عنوان سطح حمله هدف قرار می دهد، راحت‌تر شناسایی کرده و به آن پاسخ دهد.

با تقسیم بندی سنتی شبکه، از دیوارهای آتش، شبکه های مجازی محلی (VLAN) و سیستم های جلوگیری از نفوذ (IPS) برای جدا کردن هر بخش استفاده می شود. انتقال داده ها از یک زیر شبکه به شبکه دیگر ممکن است از طریق یک فایروال فیلتر شود، که قبل از انتقال داده ها، نفوذ تهدیدها را تشخیص داده و از آن جلوگیری می کند. با استفاده از VLAN، یک شبکه محلی (LAN) به بخشهای کوچکتر تقسیم می شود و به شما این آزادی را می دهد که برای هر بخش مکانیزم‌ها و لایه‌های حفاظتی منحصر به فردی فراهم کنید. با IPS، هر بخش از شبکه به طور مداوم تحت نظارت است زیرا سیستم به طور پیشگیرانه به دنبال حوادث مخرب است.

با این حال، رویکرد تقسیم بندی شبکه محدود است، زیرا فقط بر ترافیک تمرکز می کند، یعنی ترافیکی که از سرویس گیرنده به سرور می رود. از آنجا که داده ها از خارج از شبکه می آیند، تکنیک “تقسیم بندی شبکه – Network Segmentation” قادر به بررسی و فیلتر آن است. اما اگر فعالیت های مخرب درون شبکه شما اتفاق بیفتد، ممکن است با تقسیم بندی سنتی تشخیص داده نشود. یکی از مهمترین مزایای Microsegmentation این است که می تواند پروتکل های امنیتی را در ترافیکی که قبلاً در شبکه شما قرار دارد اعمال کند و بین سرورهای داخلی نیز بررسی های لازم را انجام دهد.

مزایای معماری Microssegmentation

تا به اینجا کم و بیش متوجه مزیت های این معماری شدیم. در این بخش می خواهیم برخی از مزیت های آن را بطور دقیق تر مورد بررسی قرار دهیم.

کاهش تاثیر حملات

در صورت وقوع یک حمله، میکروسگمنتیشن می تواند مساحت سطحی را که حمله تحت تأثیر قرار می دهد با به دام انداختن آن در سطح حمله اولیه کاهش دهد. اگر آلودگی بتواند به یک نقطه ورودی نفوذ کند، چون سایر نقاط اطراف آن توسط میکروسگمنتیشن تقسیم بندی شده اند و از آن محافظت می شود، توسط سیاست های امنیتی اطراف متوقف می شود و امکان راهیابی به دیگر بخش ها وجود نخواهد داشت. این تکنیک از سایر فرآیندها محافظت می کند زیرا تحت تأثیر حمله قرار نمی گیرند. همچنین استقرار رایانه ها یا سیستم های جدید را بدون نگرانی در مورد تهدیدهای بخش دیگری از شبکه که به استقرار جدید حمله می کند، آسان تر می کند.

بهبود محدودیت نقض

با تقسیم بندی خرد، شعاع انفجار یک رخنه را می توان به بخش آسیب دیده محدود کرد. از آنجا که همه داده ها قبل از اجازه خروج از بخش بازرسی و فیلتر می شوند، حرکات جانبی (Lateral Movement) مسدود می شود و سایر برنامه ها را تحت تأثیر قرار نمی دهد.

تقویت انطباق

رعایت الزامات انطباق می تواند یک چالش برای هر سازمان باشد، به ویژه هنگامی که انواع خاصی از داده ها، مانند اطلاعات شخصی مشتریان، تحت قوانین مختلف انطباق قرار گیرند. با استفاده از میکروسگمنتیشن، می توانید محیط هایی را که دارای داده های خاص و محافظت شده هستند، محاصره کرده و سپس اقدامات امنیتی دقیق مورد نیاز خود را برای حفظ انطباق در آن منطقه اعمال کنید.

رویکردهای مختلف Microsegmentation

سه رویکرد اصلی برای میکروسگمنتیشن وجود دارد. این سه رویکرد بر اساس محل اجرای برنامه طبقه بندی می شوند:

  • مبتنی بر شبکه
  • مبتنی بر Hypervisor
  • مبتنی بر Host

میکروسگمنتیشن مبتنی بر شبکه

Microsegmentation مبتنی بر شبکه شامل انتخاب این است که چه کسانی و چه چیزهایی می توانند وارد بخشهای مختلف شبکه شوند. یکی از مزایای این رویکرد این است که مدیریت آن ساده است و کار مدیران را کمتر می کند. با این حال، تقسیم بندی مبتنی بر شبکه در اصل شباهت زیادی به تقسیم بندی سنتی دارد و اگر به تقسیم بندی بخش های بسیار بزرگی منجر شود، مدیریت کنترل های امنیتی دشوار و پرهزینه است.

میکروسگمنتیشن مبتنی بر Hypervisor

با یک hypervisor، شما نرم افزار یا سخت افزاری دارید که ماشین های مجازی را می سازد و اجرا می کند. ریزتقسیم بندی مبتنی بر Hypervisor تمام ترافیک شما را از طریق Hypervisor هدایت می کند و به شما این امکان را می دهد که آن را کنترل و مدیریت کنید. در بسیاری از موارد، این رویکرد یک انتخاب مناسب است زیرا اغلب می توانید این کار را با فایروال های موجود انجام دهید و سیاست های امنیتی را از یک Hypervisor به دیگری منتقل کنید بدون آنکه هزینه زیادی برای شما داشته باشد. از جنبه های منفی رویکرد مبتنی بر hypervisor این است که در استقرار ابر، کانتینر یا Workloadهای فیزیکی خوب کار نمی کند.

میکروسگمنتیشن مبتنی بر Host

ریز تقسیم بندی مبتنی بر میزبان یا Host به موقعیت هر endpoint بستگی دارد. با این نوع معماری، یک مدیر مرکزی از همه داده ها، فرآیندها، نرم افزار، ارتباطات در شبکه و آسیب پذیری های بالقوه باخبر است. با این حال، برای دستیابی به این دید، مدیر باید یک agent را روی هر میزبان نصب کند. این امر می تواند هم برای مدیر و هم برای کاربران نهایی وقت گیر باشد.

درباره ما

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
دوره‌های آکادمی ترجنس | courses.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence

ارسال یک پاسخ