Сетевой периметр — что это такое и как вы можете использовать его для управления доступом вашей организации к Интернету

Опубликовано: 13 Марта, 2023
Сетевой периметр — что это такое и как вы можете использовать его для управления доступом вашей организации к Интернету

Сетевой периметр определяет, где заканчивается ваша внутренняя сеть и где начинается подключение к Интернету. Для традиционных частных сетей знать эту границу было легко, так как шлюз часто был маршрутизатором, не говоря уже о том, что в прошлом все было жестко подключено.

В настоящее время это не так просто, особенно при работе с облачными компонентами и мобильными устройствами, используемыми удаленно. Где вы проводите границу между тем, что является и не является частью вашей сети? Сети не всегда находятся под полным контролем администратора, и сложность решения может еще больше скрыть это. Независимо от вашей сети и средств защиты периметра, в основном вы имеете дело с вопросом доверия.

В этой статье вы узнаете, что такое сетевой периметр и как его можно использовать для успешной защиты вашего бизнеса от кибератак, а также ваших собственных пользователей. Во-первых, давайте посмотрим, что такое сетевой периметр.

Что такое сетевой периметр?

Сетевой периметр — это граница того, что вы считаете надежным, а что нет. По сути, вы должны рассматривать все, что находится внутри вашей сети, как надежное, а все, что находится вне вашей сети, — как ненадежное. Это звучит достаточно просто, верно?

Давайте на минутку рассмотрим, с чего начинается Интернет для вашей компании. На каждом сайте он начинается с 'demark'. Здесь провод от телекоммуникационной компании соединяется с частной сетью. Часто именно здесь в помещение входит телекоммуникационный провод.

Одним из первых используемых аппаратных средств является маршрутизатор. Либо ваш интернет-провайдер поставляет его, либо ваша компания владеет им. Его также называют клиентским оборудованием (CPE). Этот маршрутизатор направляет трафик между Интернетом и остальной частью вашей частной сети.

Теперь давайте взглянем на сетевые инструменты, которые помогут вам определить сетевой периметр.

Брандмауэры

Очевидно, вам понадобится какая-то форма безопасности между ранее упомянутым маршрутизатором и вашей сетью. Здесь вступают в игру брандмауэры. Вы можете использовать брандмауэры и добавлять списки контроля доступа (ACL), содержащие правила для входящего и исходящего трафика. контролировать, кто имеет доступ к вашей сети.

ДМЗ

Один из вопросов, который вы можете задать себе, звучит так: «Как мне справиться с публичным доступом к моей сети?» Многие компании используют демилитаризованную зону, также известную как демилитаризованная зона. Это третья зона, где происходит доверенная и ненадежная связь. и обычно считается ненадежным. Часто компании разделяют серверы, делая некоторые из них общедоступными в DMZ, а некоторые — частными и доверенными. ACL брандмауэра контролируют, что входит в каждую зону в качестве привратника.

ИДС

Вы можете добавить в свою сеть системы обнаружения вторжений (IDS), чтобы обеспечить более высокий уровень защиты. Они работают аналогично брандмауэрам, но имеют некоторые дополнительные функции. Например, вы можете использовать IDS для оповещения администраторов и помещения в карантин потенциально неверных пакетов данных. В отличие от брандмауэра, IDS сканирует не только заголовок и нижний колонтитул пакета, но и его тело, чтобы попытаться найти любую форму вредоносного ПО. Кроме того, вы можете использовать IDS для мониторинга сетевого трафика и уведомления о ненормальном использовании сети.

Примером этого могут быть пользователи, пытающиеся получить доступ к хранилищам в нерабочее время. Вы можете распределять устройства IDS перед разрозненными командами или подразделениями, чтобы ограничить доступ для разных членов команды. Например, вы можете по какой-то причине не захотеть, чтобы ваша команда дизайнеров имела доступ к вашему подразделению Skunk Works. Наконец, вы также можете настроить IDS на выполнение автоматических действий при обнаружении подозрительного трафика.

Большинство организаций также предпочтут использовать демилитаризованную зону Wi-Fi специально для обеспечения гостей подключением к Интернету. Это делается для того, чтобы они могли, например, проверять свою электронную почту, не взаимодействуя ни с какой частью частной сети.

Сегментация

Вы также можете использовать вложенность и подсети для защиты данных и пользователей от потенциальных угроз. Это полезная практика, так как киберпреступникам может быть сложно повышать разрешения и отображать всю вашу сеть. Некоторые компании также выбирают безопасные зоны, исходя из требований безопасности и потребностей пользователей. Вы можете найти компании с высоким уровнем безопасности и зелеными зонами с высоким уровнем доверия, такими как центральные серверные комнаты.

Затем у вас может быть оранжевая зона с политиками, аналогичными демилитаризованной зоне, но она больше предназначена для частного использования. Они обеспечивают персоналу начального уровня и гостям, прошедшим проверку безопасности, доступ к внутренней сети. Они полезны для подрядчиков или сторонних компаний, которым не нужен доступ к административным решениям.

Наконец, вы можете добавить красную зону, которая используется только широкой публикой; никакой бизнес не будет вестись в этой зоне. Здесь можно ожидать низкую безопасность, но доверие не предоставляется. Примером этого является гостевой Wi-Fi в вестибюле предприятия.

Теперь вы знаете, что такое сетевой периметр и как его использовать, чтобы предотвратить доступ киберпреступников к конфиденциальной информации. Давайте теперь посмотрим, как облачные решения и удаленный доступ мешают этим аккуратным сетевым политикам.

Как облачные вычисления и удаленный доступ влияют на сетевой периметр?

Облачные вычисления позволяют вам входить в службы и компьютеры за пределами вашей компании. Иногда вы даже входите в систему с компьютера, не принадлежащего вашей компании. Это серьезная проблема, так как система не будет знать IP-адрес машины, пытающейся подключиться, и не будет ли на ней размещено какое-либо вредоносное ПО. Итак, что вы можете с этим поделать? Вот 3 метода, которые вы можете реализовать для решения этой проблемы:

1. Добавьте многофакторную аутентификацию (MFA)

Чтобы повысить доверие, вы можете попробовать добавить многофакторную аутентификацию (MFA), чтобы гарантировать, что человек, входящий в систему, является тем, кем он себя называет. Это, однако, все еще не заставляет вас доверять их машине. Например, что, если пользователь получает доступ к вашей системе с сайта клиента со своим оборудованием? Насколько безопасны их сайт и операции? Произошло много кибератак, когда вредоносное ПО изначально размещалось в другом месте в цепочке поставок и распространялось на другие компании до того, как атака была выполнена. Обычно используются поставщики, поскольку они часто представляют собой небольшие предприятия с плохими инструментами и политиками безопасности.

2. Заставьте пользователей использовать только свои корпоративные компьютеры

Другой способ — заставить ваших пользователей использовать только компьютеры своей компании для получения доступа. Однако помните, что даже тогда эти компьютеры могли быть скомпрометированы. Например, слабая безопасность домашней сети пользователей и организованная против них атака «человек посередине» (MIM) могут быть использованы для компрометации вашей сети. Хорошей новостью здесь является то, что вы можете обращаться с облачным решением так же, как с локальным. Просто предположите, что весь трафик ненадежен, и используйте DMZ. Используйте доверенные зоны, в которых применяются неявные политики доверия.

3. Используйте брандмауэр как услугу (FWaaS)

Наконец, вы можете использовать брандмауэр как услугу (FWaaS) для защиты облачных вычислений, не нарушая банк, и гарантировать, что они размещены в используемом облачном домене. Вы можете использовать решение FWaaS на любом удаленном компьютере для защиты соединения. Это означает, что вам не нужны тысячи лицензий брандмауэра для одного пользователя и нескольких точек доступа. Также рассмотрите возможность использования брандмауэра уровня приложений, также известного как брандмауэр третьего или четвертого поколения, для защиты соединений между приложениями.

Теперь вы знаете, какую инфраструктуру необходимо учитывать при создании и обслуживании сетевого периметра. Давайте перейдем к рассмотрению преимуществ и рисков, связанных с сетевыми периметрами.

Преимущества и риски сетевых периметров

Сетевой периметр является основой современной сети. Прошли те времена, когда несколько ученых передавали данные между несколькими сайтами. В наши дни нам нужно защитить сеть от всех. Сюда входят сотрудники с самыми лучшими намерениями, которые могут легко распространять информацию о компании между командами или даже через Интернет в мгновение ока. Это риск, на который вы не хотите идти!

Преимущества наличия сетевого периметра включают в себя снижение риска успешных атак вредоносного ПО, используемых либо для нарушения работы, либо для получения выкупа, либо для мошенничества. Вы можете эффективно защитить свою сеть, используя правильный брандмауэр и настроив правильные правила ACL для своей сети.

Кроме того, рассмотрите возможность использования IDS на конечных точках или в разрозненных структурах, чтобы дополнить ваш брандмауэр. Организуйте свою сетевую структуру, чтобы создать зеленые, оранжевые и красные зоны доверия и защитите их с помощью соответствующих политик доверия. Эти методы снизят риски во всей вашей сети.

Давайте подведем итоги!

Последние мысли

Сетевые периметры помогают определить, что является доверенным источником, входящим в вашу сеть, а что нет. Надежные зоны хороши для продуктивности, но плохо противостоят кибератакам.

Точно так же ненадежные зоны часто предоставляют ограниченные услуги и функциональные возможности, но их лучше использовать для предотвращения распространения атак на остальную часть сети.

Вы можете использовать DMZ в качестве зоны, которая предполагает, что доступ не должен быть доверенным, чтобы разрешить публичное использование. Разделяйте команды и подразделения и используйте IDS на конечных точках для проверки аномального трафика, который затем может быть отмечен администраторами, в то время как пакеты данных автоматически помещаются в карантин.

У вас есть еще вопросы по сетевым периметрам? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!

Часто задаваемые вопросы

Что такое периметр сети?

Сетевой периметр это граница между тем, что является доверенным, например, частью вашей сети, и тем, что не является, например Интернетом. Сети начинаются там, где телекоммуникационная линия входит в участок. Сетевые периметры — это внешний брандмауэр, который определяет, кто получает доступ, на основе списков управления доступом (ACL). Вы также можете настроить исходящие и входящие правила в соответствии с требованиями безопасности в вашей компании.

Что такое брандмауэр как услуга (FWaaS)?

Решение FWaaS — это предоставление брандмауэра, часто используемого как часть облачных сетей в качестве услуги. Это означает, что компании получают счета за каждого пользователя или время использования, а не за то, на каких устройствах он размещен. Это гораздо более эффективно для облачных решений, где пользователи могут использовать несколько платформ для доступа к сети.

Что такое ИДС?

Системы обнаружения вторжений (IDS) работают аналогично брандмауэрам, но у них есть дополнительные функции, такие как анализ пакетов для оценки угроз, скрытых в теле пакетов данных. Вы можете использовать IDS для помещения данных в карантин и оповещения администраторов об аномальном сетевом трафике. IDS часто используется в качестве привратника для разрозненных подразделений или команд в сети.

Почему я должен разделять команды и данные?

Разделите разные команды, которые не взаимодействуют друг с другом, чтобы избежать утечки данных между командами или подразделениями. Это повышает общую безопасность сети и защищает данные и пользователей от вредоносных программ и кибератак. Некоторые компании также используют поддельные бункеры, чтобы удержать киберпреступников от адекватного отображения сети и эскалации разрешений.

Какие проблемы возникают при использовании ACL-списков брандмауэра?

Брандмауэры используют списки контроля доступа (ACL) с исходящими и входящими правилами для управления сетевой безопасностью. Основная проблема, связанная с использованием списков управления доступом, заключается в поддержании актуальности этих списков и обеспечении отсутствия пропущенных исходящих или входящих правил. Используйте межсетевые экраны более высокого уровня, которые абстрагируют и автоматизируют управление ACL. Это помогает уменьшить человеческий фактор со стороны администраторов и экономит время при изменении инфраструктуры.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023