Полное руководство по микросегментации
Когда вы посещаете старые европейские здания и соборы, вы заметите, что многие окна имеют небольшие стеклянные секции. Если кто-нибудь бросит камень в одно из этих окон, разобьется небольшая часть, а не все окно. По сути, микросегментация работает по тому же принципу для кибербезопасности.
В частности, это позволяет выделить каждое приложение в вашей системе в отдельный раздел. Таким образом, приложение будет использовать только те системные ресурсы, которые ему необходимы. В результате, даже если кибератака нацелена на этот раздел, его легко заменить, и он не повлияет на остальную часть системы.
В этом руководстве я рассмотрю все вопросы, связанные с микросегментацией. Вы узнаете, что это такое, как это работает, какие преимущества и многое другое. Без дальнейших задержек, давайте начнем.
Что такое микросегментация?
Микросегментация — это метод кибербезопасности , при котором вы ограничиваете определенные приложения и действия объемом полосы пропускания и системными ресурсами, которые они могут использовать. Этот метод основан на том принципе, что вы не должны давать приложению или процессу больше ресурсов, чем ему нужно.
Чтобы уточнить, микросегментация (MS) основана на разделении всех доступных системных ресурсов на ограниченные виртуальные диски. В свою очередь, эти диски будут строго соответствовать тому процессу, который вы им зададите. Это ограничит следующие ресурсы для этих процессов:
- использование процессора
- Использование оперативной памяти
- Доступное место на ROM/облачном диске
- Пропускная способность
- Доступ к сети
- Доступ к данным
Давайте теперь посмотрим, как работает микросегментация.
Как работает микросегментация?
Если вы не реализуете микросегментацию, каждое приложение будет иметь доступ ко всей вашей системе. По сути, микросегментация работает, предоставляя каждому приложению доступ к крошечной части всей вашей системы. Если эта «маленькая часть» станет целью кибератаки, это будет гораздо более заметно, но гораздо менее вредно для всей вашей системы.
Наиболее распространенным примером является соединение сервер-клиент (также называемое «север-юг»). Поскольку MS может ограничивать использование полосы пропускания, клиент не может отправлять или получать больше пакетов данных, чем это было ограничено системой. В этом сценарии это не то, что вы можете изменить. Почему? Потому что в системе осталась нулевая полоса пропускания.
Однако локальная сеть или подключение к Интернету — не единственное, что вы можете сегментировать. В боковых системных коммуникациях (также называемых «восток-запад») можно сегментировать вычислительную мощность и дисковое пространство. В результате это делает любую потенциальную атаку еще более ограниченной.
В некоторых типах микросегментации можно управлять всеми сегментами из серверной части, как если бы они находились в одной системе. Тем не менее, передовой опыт обычно предполагает автоматическую работу приложений и мониторинг только из серверной части.
Вы можете установить отдельные наборы системных правил внутри каждой виртуальной машины. Вы даже можете иметь отдельную инфраструктуру кибербезопасности внутри каждой виртуальной машины, например, брандмауэр или программное обеспечение для обеспечения соответствия требованиям.
До сих пор я рассмотрел краткое определение и то, как работает микросегментация. Как насчет его преимуществ? Давайте посмотрим на них сейчас.
Преимущества микросегментации
Самым большим преимуществом MS является компартментализация. Поскольку вы разделили свою систему на более мелкие разделы, многим кибератакам будет трудно пройти. Это только одно преимущество.
Ниже приведена таблица, показывающая еще некоторые преимущества MS в нескольких секторах, а также некоторые ограничения:
Сектор | Выгода | Ограничение |
Кибербезопасность | Уменьшенная поверхность атаки Улучшить отчеты об атаках | Каждый сегмент потребует особого внимания к кибербезопасности. |
Стабильность системы | Атаки и проблемы не влияют на основную систему Простое автоматическое резервное копирование | Отказ основной системы или облачного сервера приведет к отключению всех виртуальных машин. |
Обновления приложений | Неудачные обновления не влияют на основную систему Атаки нулевого дня затрагивают только виртуальную машину с приложением | Ограниченное дисковое пространство и мощность процессора могут остановить обновление приложений. |
Исходящая связь | Меньше риска при общении Строгие ограничения на то, что вы можете отправлять или получать | Вы не можете отправлять сообщения тем, кто находится за пределами ограниченных параметров |
Оптимизация пропускной способности | Нет шансов на задержку отправки пакетов Идеальное распределение полосы пропускания | Приложения с низким приоритетом могут получать меньшую пропускную способность, чем им нужно |
Мониторинг функций | Каждая функция имеет несколько параметров Вы можете контролировать все отсеки из одного места | Вы не можете защитить атакуемые виртуальные машины; их можно только удалить |
Согласие | Каждое отделение может иметь определенные решения для соответствия Нет шансов на противоречащее соответствие | Некоторые правила соответствия могут значительно увеличить использование ресурсов. |
Далее идут особенности микросегментации!
Особенности микросегментации
В то время как различные типы микросегментации фокусируются на разных аспектах системы, внедрение MS всегда следует одним и тем же принципам. Уже один этот факт может рассказать вам о функциях, которые вы должны искать в хорошей системе MS.
Как правило, вы должны искать следующие функции:
- Мониторинг
- Маркировка
- Автоматизация
- Снижение рисков
К счастью, сегодня почти каждый механизм виртуализации поддерживает все эти функции. В целом, если у вас есть третья сторона, создающая вашу безопасность MS, вам понадобится легкий доступ ко всем им.
Давайте теперь рассмотрим каждую из вышеперечисленных функций более подробно.
Мониторинг
Для начала важна четкая видимость. Мониторинг является огромной частью любой системы. То же самое относится и к МС. Из-за этого вам необходимо иметь прямую карту от основной системы ко всем виртуальным машинам. Эта видимость позволит вам легко вносить улучшения и изменения.
Вы должны сделать все панели доступа для мониторинга доступными исключительно из серверной части. Даже если удаленный доступ необходим, всегда обеспечивайте наличие нескольких дополнительных уровней защиты и шифрования.
Маркировка
Далее у нас идет маркировка и номенклатура. В отличие от сегментации системы в прошлом, вы можете сделать эти метки ориентированными на человека, а не на компьютер с помощью виртуальных машин. Вы можете называть их обычными именами, такими как «приложение электронной почты» и «принтер», вместо того, чтобы полагаться на локальные IP-адреса.
Прежде чем приступить к работе с первой этикеткой, рекомендуется разработать систему маркировки. В противном случае вы можете получить такие имена, как «email 1» и «email sec», которые со временем будут становиться только более запутанными. У вас также есть будущие люди, о которых нужно подумать.
Автоматизация
Еще одна функция, на которую стоит обратить внимание, — это автоматизация. Следуя схеме, упомянутой ранее, система должна иметь возможность заполнять правила и действовать в соответствии с ними, даже если возникают проблемы. Новые виртуальные машины должны автоматически получать определенные привилегии и ограничения.
Здесь также будет полезна хорошая маркировка. Если вы сможете быстро определить, к какому сегменту относится тот или иной сегмент в системе, будет легко создать правила, определяющие, сколько привилегий могут иметь эти сегменты.
Снижение рисков
Наконец, у нас есть снижение риска. Любая связь между виртуальными машинами или основной системой должна осуществляться только там, где это необходимо. В частности, вы захотите использовать автоматизацию, чтобы часто ограничивать внутреннее общение, насколько это возможно. Подобно клапану, может существовать правило, разрешающее поток в одном направлении, но не в другом.
Я надеюсь, что вы наслаждаетесь поездкой до сих пор. Далее я расскажу о типах микросегментации, которые вы, возможно, ожидаете там найти.
Типы микросегментации
Различия между типами микросегментации заключаются в том, что вы сегментируете в первую очередь. Различные предприятия и специализированные системы получат наибольшую выгоду, если сосредоточатся на тех аспектах, с которыми связана большая часть их операционных проблем и проблем с кибербезопасностью.
Вот 7 типов рассеянного склероза. Каждый из них фокусируется на уникальном аспекте и имеет различные специальные преимущества, все из которых описаны ниже.
Тип микросегментации | Фокус | Специальное преимущество |
Сегментация приложений | Основные рабочие приложения | Снижение уязвимости |
Экологическая сегментация | Секторы деятельности | Четкое разделение ресурсов |
Сегментация на уровне приложений | Взаимозависимые приложения | Приложения могут взаимодействовать с соседними приложениями |
Нано-сегментация на основе процессов | Отдельные процессы приложения | Значительно сокращает количество возможных векторов атаки |
Сегментация пользователей | Индивидуальные пользователи | Предотвращение распространения конфиденциальных данных |
Сегментация контейнеров | Сохраненные данные | Улучшенная конфиденциальность данных |
Сегментация Kubernetes | Связь между службами | Улучшенный мониторинг передачи данных |
К сожалению, они также сопряжены с некоторыми проблемами. Эти проблемы чаще всего связаны с сетевой связью. Сейчас я кратко расскажу о некоторых из этих проблем, прежде чем перейти к наиболее известным практикам.
Проблемы сегментации сети
Самая большая проблема с сегментацией сети, которая относится к сегментации среды, заключается в том, что трудно предсказать, сколько ресурсов потенциально может использовать какое-либо приложение.
А именно, вам нужно расставить приоритеты при реализации наиболее важных приложений. Затем вам придется пройтись по списку — наименее важные приложения могут использовать одни и те же ресурсы.
Иногда обновления отдельных приложений и процессов увеличивают требования к ресурсам для обычных операций. В зависимости от вашей текущей ситуации вам может потребоваться разрешить это в некоторых моментах.
К счастью, с хорошей системной картой не так уж сложно переоценить распределение системных ресурсов. Однако эта задача может быть очень утомительной для некоторых типов, таких как наносегментация на основе процессов.
Теперь, когда вы знаете, что там есть, мы можем погрузиться в текущие передовые практики.
Лучшие практики для успешной микросегментации
Чтобы внедрить MS, это может быть так же просто, как пройти контрольный список. Но вы также должны помнить о некоторых передовых методах. Даже если вам не нужно применять их все, полезно их знать! Итак, давайте рассмотрим некоторые из этих лучших практик для успешного внедрения микросегментации.
Лучшие практики проектирования
Во-первых, у вас должна быть четкая системная карта. Эта карта всегда должна вести от главного сервера системы к конечным пользователям функции.
Начните с основного сервера и соседнего резервного. Затем пройдите через секторы операций, которые вы можете разделить. Для каждого из них может потребоваться разделение дополнительных приложений и процессов.
В целом, эта строгая иерархия со многими не связанными ветвями сделает вашу систему более простой в эксплуатации и более сложной для атак.
Определите свои границы
При микросегментации важно определить свои границы. Чтобы уточнить, разрешите только необходимые соединения и использование ресурсов и заблокируйте все остальное.
Такой подход упрощает выделение дополнительных ресурсов, если они нужны приложению.
Используйте прикладной подход
Вам не нужно учитывать справедливость и равенство, когда речь идет о распределении ресурсов приложения. Приложениям требуются только те ресурсы, которые им нужны в данный момент. Предоставление им большего количества ресурсов не заставит их работать лучше. Наоборот, это может сделать их уязвимыми для кибератак.
Не просто распределяйте ресурсы на основе вашей пропускной способности или вычислительной мощности. Вместо этого сосредоточьтесь на том, сколько нужно вашим ключевым операционным приложениям, и работайте оттуда.
Определить уровни доступа
Важно определить уровни доступа для ваших приложений в MS. Проработайте каждый из них, чтобы узнать, какая информация им понадобится, насколько велики данные и когда они смогут получить к ним доступ.
Следует только поддерживать наличие внутренней связи в устоявшихся параметрах. Кроме того, заблокируйте все остальное. Если возникает потребность в большем доступе, вы можете добавить только это в белый список.
Приоритет реализации
Всегда расставляйте приоритеты и начинайте с основных рабочих приложений и точек связи. После того, как вы успешно реализовали для них микросегментацию, вы можете включить в систему другие приложения и процессы. Короче говоря, расстановка приоритетов значительно упрощает реализацию.
Используйте модель реализации Crawl-Walk-Run
При внедрении лучше начинать с малого, прежде чем переходить к более крупным и сложным системам. Выделите одну виртуальную машину и создайте стресс-тест. Представьте его положение в системе, и как только вы убедитесь, что он работает, вы можете перейти к другому.
Кибербезопасность, как правило, не назначает никаких очков стиля или скорости, поэтому разумно не торопиться, пока вы не освоитесь со стабильностью системы.
Маркировка ресурсов для обеспечения безопасности
Не все виртуальные машины в системе должны иметь специальные меры безопасности. Но если некоторые часто получают данные из ненадежных источников (все источники вне вашей системы), всегда лучше иметь защищенные файлы.
Кроме того, вы должны правильно маркировать эти виртуальные машины. К счастью, это легко, потому что вам не нужно использовать сложные метки. Вы можете просто назвать виртуальную машину «ЗАЩИЩЕННОЙ» на странице индексации.
Создание и настройка политик
Все системы имеют политику эксплуатации, доступа и безопасности. В этом случае каждая виртуальная машина должна иметь свою конкретную политику, которая будет определять, как получить к ней доступ, кто может получить к ней доступ и по какой причине.
Эти строгие правила улучшат мониторинг, поскольку все, что выходит за рамки политики, будет помечено как проблема. Такой подход может привести к большему количеству ложных срабатываний, чем к проблемам, но лучше перестраховаться, чем сожалеть.
Моделирование и проверка приложений
Поскольку у вас уже есть виртуальная машина, тестирование и имитация атак дешевы и просты. После того, как вы решили, что завершили сегмент, примените стресс-тест, чтобы узнать, может ли кто-нибудь скомпрометировать его безопасность извне.
Самостоятельное тестирование не позволит злоумышленникам протестировать его для вас, как только они найдут способ атаки.
Наконец, я сосредоточусь на том, как реализовать микросегментацию для любой общей системы. Надеюсь, это поможет вам начать работу, прежде чем применять рекомендации, которые мы только что рассмотрели.
Как внедрить микросегментацию
Реализация микросегментации идентична реализации любой системы виртуальных машин. Как только вы узнаете свои ресурсы, такие как вычислительная мощность вашего сервера, оперативная память и пропускная способность, вы можете разделить их на виртуальные машины.
Во-первых, вам понадобится операционная система для виртуальной машины. Во многих случаях люди используют ОС Linux, но также доступны такие варианты, как Android. Затем вы можете выделить определенные аппаратные ресурсы для этой виртуальной машины.
Окончательный счет для этих ресурсов должен включать требования приложения и требования вспомогательной структуры. В эту структуру могут входить любые дополнительные средства защиты и сама ОС виртуальной машины.
Наконец, пройдите этапы наилучшей практики с каждой машиной, которую вы изготавливаете, и установите их в систему. Вы увидите больше преимуществ и безопасности от микросегментации по мере роста структуры.
И вот! Это было довольно путешествие, не так ли? Как всегда, пришло время сделать быстрый и простой обзор!
Заключительные слова
В заключение, микросегментация — это метод кибербезопасности, и вы должны рассматривать его как один из инструментов, который есть в вашем арсенале кибербезопасности. При правильной реализации это может значительно уменьшить урон от атаки и предотвратить большинство из них.
Микросегментация работает путем создания виртуальных машин для каждого ключевого рабочего приложения, которое у вас есть или которое вы подключили к внешнему миру. Поэтому, если кто-то атакует одну из этих ВМ, остальная часть вашей системы останется в целости и сохранности.
Как упоминалось ранее, MS имеет много преимуществ. Основным преимуществом является снижение рисков. Если вам нужно быстро освежить в памяти, не стесняйтесь вернуться к списку преимуществ.
Когда дело доходит до реализации, вам нужно начинать медленно и работать с наиболее важных приложений, которые вы используете, вниз. К счастью, вы можете применять рекомендации, упомянутые выше, чтобы не сбиться с пути.
В целом MS несколько более требовательна к оборудованию и сети, чем некоторые другие решения. Тем не менее, это имеет то преимущество, что его практически невозможно обойти снаружи, если все сделано правильно.
У вас есть еще вопросы о микросегментации? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!
Часто задаваемые вопросы
Что может сделать микросегментация, чего не может сделать брандмауэр?
Хотя в настоящее время существуют виртуальные брандмауэры для обслуживания виртуальных машин, подход между ними и MS отличается. В то время как брандмауэры являются «отказными» и разрешают все, кроме известных угроз, микросегментация блокирует все, кроме того, что вы специально разрешаете.
Почему микросегментация не вызывает доверия?
Текущий подход к кибербезопасности заключается в том, что все является вредоносным ПО, пока не доказано обратное, и вам нужно доказать обратное, чтобы получить к нему доступ. Подобно доступу к сети с нулевым доверием, микросегментация требует определенных условий для связи и в противном случае заблокирована.
Использует ли микросегментация большую пропускную способность?
Нет. В то время как для внутренних подключений может потребоваться большая пропускная способность или даже расширенные решения для пропускной способности, внешняя пропускная способность, используемая процессами, внутри микросегментов будет такой же, как и в единой системе.
Является ли микросегментация термином кибербезопасности?
Это, среди прочего. Помимо кибербезопасности, вы можете увидеть этот термин, обычно используемый в продажах, бизнес-консалтинге и маркетинге. Этот термин иногда может пересекаться между отраслями, например, с данными о намерениях, термином науки о данных, используемым в продажах и маркетинге.
Остановит ли микросегментация кибератаки?
Не обязательно. Хотя каждый сегмент может иметь специальное программное обеспечение для защиты от вредоносных и шпионских программ, сама система не предназначена для предотвращения киберпреступлений любого типа. Вместо этого он препятствует кибератакам и делает атаки гораздо менее эффективными.