Kedy potrebujem segmentovať sieť?

Na segmentovanie siete neexistuje správna „veľkosť” spoločnosti alebo siete.
Rozhodnutie by malo prísť vtedy, ak vaša spoločnosť spĺňa niektorú z týchto podmienok:

• Spracúvate citlivé alebo osobné dáta zákazníkov: toto je jednoznačný dôvod na segmentáciu. Tieto údaje by mali byť v samostatnom segmente, ktorý je nielen mimoriadne zabezpečený voči napadnutiu, ale má tiež ošetrené prístupové práva. Prístup by mali mať len osoby, ktoré tieto dáta ku svojej práci potrebujú – a tiež len pre tú časť dát, ktoré potrebujú.
• Máte kritické prevádzkové technológie: Ak by vás napríklad odstavenie výrobnej linky mohlo ochromiť alebo spôsobiť veľké straty, je dobré mať kritické technológie na samostatnej sieti. Inak sa vystavujete riziku, že jedna chyba v bezpečnosti vás vydá na milosť hackerom a ich požiadavkám.
• Pripájate do siete zariadenia rôzneho typu: Pripájajú sa k vašej sieti zamestnanci alebo zákazníci so svojimi osobnými zariadeniami? Majú do vašej firemnej siete prístup IoT zariadenia? Neoverené zariadenia prinášajú do siete riziko, pre ktoré je segmentácia ideálnym riešením. Samostatný segment siete pre hostí, zariadenia IoT, staršie alebo menej zabezpečené zariadenia vám môže ušetriť veľa prebdených nocí.
• Máte rastúcu a komplexnú sieť: Hoci je aj pri menších sieťach segmentácia dôležitá, pri veľkých sieťach alebo sústave sietí je absolútne nevyhnutná. Bez nej je ťažké monitorovať prevádzku v sieti, sledovať podozrivé správanie a kontrolovať prístup rôznych skupín zamestnancov do rozličných častí siete.

Ako vyzerá segment siete v praxi?

Segmentácia môže mať 2 podoby:

• Fyzická segmentácia: v tomto prípade sú segmenty oddelené hardvérovo. Každý segment siete môže mať napr. vlastné switche, routre či firewally a môžu byť aj na iných miestach – napríklad v iných budovách. Je to nákladné, ale najbezpečnejšie.
• Logická segmentácia: sieť je rozdelená na virtuálne „podsiete” (VLAN) a užívatelia dostávajú prístup len do tých častí siete, na ktoré majú právo. Tento systém je oveľa jednoduchší: či už ide o náklady alebo správu.

Častokrát sa tieto dva prístupy kombinujú. Najkritickejšie časti sú oddelené fyzicky, a ostatné „virtuálne”.

Koľko segmentov siete potrebujem?

Toto je samozrejme veľmi všeobecná otázka, ktorá má všeobecnú odpoveď: záleží to od veľkosti vašej firmy a povahy výroby/služby, ktorú poskytujete.

Odpoveď budú najlepšie poznať špecialisti vo vnútri vašej spoločnosti – a ak takých nemáte, vieme pre vás zabezpečiť návrh a implementáciu aj s našimi profesionálmi.

Môžete sa napríklad rozhodnúť, že každé oddelenie spoločnosti bude mať vlastný segment. Alebo, že segmenty budú rozdelené podľa citlivosti dát, fyzických lokalít alebo veľa ďalších parametrov.

Veľmi orientačne – malé spoločnosti si obvykle vystačia s 4-7 segmentami, a stredné spoločnosti (250 zamestnancov) môžu mať aj 10-15.

Číslo samotné však nie je v podstate vôbec dôležité, pokým sa držíte základného pravidla segmentácie:

Každý segment musí mať svoj jasný účel a dôvod.

Príliš veľa segmentov totiž vytvára viac problémov, ako pomáha riešiť. V neprehľadnej a príliš komplexnej infraštruktúre je:

• ťažké nachádzať chyby,
• ťažké ju spravovať,
• ťažké odhaliť útočníka.

Nemysleli ste zo začiatku na segmentáciu?

Správna segmentácia siete sa dá urobiť kedykoľvek … ale čím je sieť väčšia, tým ťažšie je všetko preorganizovať. Preto je dôležité na segmentáciu siete myslieť čo najskôr.

Ak ste práve vo fáze plánovania, alebo chcete expandovať s novou sieťou či prevádzkou, je to ideálny čas na komplexný pohľad na celú sieť. Pre našich klientov poskytujeme konzultácie rovnako ako pomoc pri správnej segmentácii siete, ktoré pomôžu zlepšiť vašu bezpečnosť.

Ak by vám takáto konzultácia pomohla, stačí vyplniť formulár nižšie.

FAQ

Čo je segmentácia siete?

Fyzické alebo virtuálne rozdelenie siete na menšie časti. Tieto časti majú samostatne spravované prístupy a zlyhanie bezpečnosti v jednom sektore tak neohrozuje celú sieť.

Kedy segmentovať sieť?

Ideálne už na začiatku pri plánovaní siete, alebo keď ju rozširujete o nové časti. Ak ju však nemáte rozsegmentovanú, je to dôležité najmä ak: spracúvate osobné údaje, máte kritické a zraniteľné prevádzkové technológie alebo pripájate do siete neoverené zariadenia či IoT.

Aké druhy segmentácie existujú?

Fyzická segmentácia – fyzicky oddelené servery, switche a firewally. Alebo logická segmentácia – jedna fyzická sieť rozdelená virtuálne do niekoľkých VLAN.