Czym jest segmentacja sieci
Segmentacja sieci to podział infrastruktury na oddzielne strefy, między którymi ruch jest kontrolowany i ograniczony. Zamiast jednej wspólnej sieci, w której każde urządzenie widzi każde inne, powstają izolowane segmenty - każdy z własnym poziomem zaufania i określonymi zasadami komunikacji z pozostałymi.
W praktyce oznacza to, że komputer pracownika z działu handlowego nie ma bezpośredniego dostępu do serwera finansowego, kamera IP nie może komunikować się ze stacjami roboczymi, a sieć dla gości jest całkowicie odizolowana od zasobów firmowych. Ruch między strefami przechodzi przez firewall, który decyduje co może przejść, a co nie.
Dlaczego płaska sieć to ryzyko
W płaskiej sieci - czyli takiej bez segmentacji - każde urządzenie ma potencjalny dostęp do każdego innego. To wygodne z punktu widzenia zarządzania, ale katastrofalne z perspektywy bezpieczeństwa.
Gdy atakujący przejmie jedno urządzenie - komputer pracownika zainfekowany złośliwym oprogramowaniem, drukarkę z domyślnym hasłem czy kamerę IP - ma przed sobą otwartą drogę do całej infrastruktury. Może swobodnie skanować sieć, szukać serwerów z danymi, próbować kolejnych urządzeń. Nic go nie zatrzymuje, bo nie ma żadnych granic do przekroczenia.
Większość ataków ransomware wykorzystuje właśnie tę właściwość płaskich sieci. Złośliwe oprogramowanie, które dostało się na jeden komputer, w ciągu minut szyfruje zasoby na wszystkich serwerach i stacjach roboczych do których ma dostęp sieciowy. W sieci bez segmentacji to często cała firma.
Jak wygląda segmentacja w praktyce
Podstawowy podział, który warto wdrożyć w każdej firmie, obejmuje kilka stref. Sieć użytkowników - stacje robocze i laptopy pracowników. Sieć serwerów - systemy, do których dostęp powinien być ściśle kontrolowany. Sieć urządzeń - kamery, drukarki, telefony IP i inne urządzenia, które nie potrzebują dostępu do zasobów firmowych. Sieć gości - izolowany dostęp do internetu bez możliwości wejścia do sieci wewnętrznej.
Każda strefa komunikuje się z pozostałymi tylko w zakresie, który jest niezbędny do działania. Pracownik może połączyć się z serwerem plików, ale jego komputer nie ma powodu komunikować się z kamerą w recepcji. Kamera może wysyłać obraz do rejestratora, ale nie ma dostępu do sieci użytkowników.
Segmentacja jest ściśle powiązana z domyślnymi hasłami w urządzeniach sieciowych - nawet jeśli atakujący przejmie jedno urządzenie, segmentacja ogranicza zasięg tego przejęcia do jednej strefy.
Segmentacja a zgodność z RODO
Segmentacja sieci ma bezpośrednie przełożenie na ochronę danych osobowych. RODO wymaga stosowania odpowiednich środków technicznych zapewniających bezpieczeństwo danych - a izolacja systemów przetwarzających dane osobowe od reszty infrastruktury jest jednym z takich środków.
Gdy dochodzi do incydentu bezpieczeństwa, segmentacja pozwala też precyzyjnie określić jakie dane mogły być narażone. W płaskiej sieci odpowiedź na to pytanie jest prosta i nieprzyjemna - wszystkie.
Jak wygląda to w Helpwise
Segmentacja sieci jest elementem standardowego projektu infrastruktury, który wdrażamy u naszych klientów. Analizujemy jakie urządzenia i systemy są w sieci, określamy strefy i zasady komunikacji między nimi, konfigurujemy VLAN-y i reguły firewall. Dla istniejących środowisk przeprowadzamy audyt obecnej struktury sieci i wdrażamy segmentację etapami, żeby nie zakłócać bieżącej pracy firmy.