Оксана Ульянінкова. керівник відділу просування продуктів компанії «Код Безпеки»
Як вибрати оптимальний метод сегментації мережі
Сьогодні навряд чи знайдеться організація, чия інформаційна система не розділена на сегменти. У сегментированной мережі підвищуються продуктивність і рівень безпеки, поліпшуються робочі характеристики
В рамках сегментування мережі співробітники, як правило, обмежені зонами, визначеними по їх приналежності до того чи іншого відділу, що дозволяє запобігти несанкціонованого доступу з одного сегмента в інший і знизити ІБ-ризики. Крім того, до сегментам мережі можуть пред'являтися різні вимоги безпеки, наприклад, до сегментів з різними рівнями конфіденційності інформації. Крім цього, кожен сегмент в своєму роді замкнута среда, що виключає поширення, наприклад, шкідливого ПО в інші сегменти.
Способи сегментації мережі стрімко розвиваються: спочатку використовувалися мости, потім маршрутизатори (комутатори третього рівня), далі стандартом де-факто стала наявність в пристрої функціонуючого на високому рівні моделі OSI файрволу. Однак адміністратори стикалися з проблемами перевантаження пристроїв, необхідністю розподілу балансу навантаження на порти, зниженням швидкості проходження трафіку. На зміну підходу, заснованого на фізичному обмеженні мереж і застосуванні маршрутизаторів для організації зв'язку між сегментами, прийшла технологія побудови віртуальних мереж VLAN. Сьогодні VLAN підтримується більшістю сучасних комутаторів. Причиною широкого застосування технології стала її гнучкість, що дозволяє сегментувати мережу не по фізичній розташуванню робочих місць співробітників, а на основі їх функцій і бізнес-ролей. Мережа, сегментована з використанням VLAN, має кращу керованість, при цьому вирішується частина проблем адміністрування, наприклад, з'являється можливість контролювати широкомовний трафік і збільшити ефективність використання смуги пропускання мережі.
Малюнок 1. Використання розподіленого МЕ TrustAccess для створення віртуальних ізольованих сегментів локальної мережі
При всіх явних перевагах технологія має і ряд недоліків, серед яких вартість рішення, що складається з ціни на обладнання та додаткових інструментів для виявлення і усунення проблем зв'язку, і підтримка висококваліфікованого фахівця. Технологія VLAN використовує протоколи IEEE 802.1Q і ISL, які не завжди підтримуються стандартним обладнанням, відповідно в деяких випадках потрібне спеціальне абонентське обладнання. Крім того, для настройки конфігурації в складних мережах потрібно трудомістка ручна настройка.
Вибір способу сегментування залежить від того, які завдання стоять на першому плані - оптимізація продуктивності мережі або політики безпеки компанії. Якщо мережеве обладнання підтримує VLAN, то це найоптимальніше рішення для збільшення продуктивності і гнучкості мережі. Важливо враховувати, яка інформація передається по мережі і пред'являють чи регулятори особливі вимоги до її захисту. При цьому дотримання вимог російського законодавства, зокрема, захисту персональних даних, для багатьох компаній виходить на перший план. Впровадження сертифікованого ФСТЕК МЕ дозволяє виділити ізольовані ділянки в мережі, розділити сегменти мережі різних рівнів захищеності відповідно до вимог законодавства. У деяких випадках такий підхід стане легітимним способом заощадити на виконанні вимог регуляторів.