Birçok büyük ölçekli ağ güvenliği projesi gibi mikro bölümleme de karmaşık, zaman alıcı ve pahalı görünebilir. Cihazlar arası hizmet bağlantısıyla ilgili karmaşık ayrıntıların yönetilmesini içerir. Bir web sunucusu belirli veritabanlarına bağlanmalı, diğerlerine bağlanmamalı veya yük dengeleyiciler bazı web sunucularına bağlanırken diğerlerinin bağlantılarını kısıtlamalıdır. Tüm bu bağlantıları yönetmek çok zor görünebilir.
Ağ mikro segmentasyonuna yazılım yaklaşımı, hem dış güvenlik ihlallerine hem de kötü niyetli iç tehditlere karşı ağın dayanıklılığını artırmanın en iyi yoludur. Ayrıca yanal hareketi en aza indirmek için ağın bazı bölümlerinin zaten ihlal edildiğini varsayan sıfır güven ağ mimarisi (ZTNA) ilkelerini de uygular. Bu proaktif yaklaşım, mikro segmentasyonun genellikle hükümet veya sektör düzenlemeleri tarafından zorunlu kılınmasının nedenidir.
Etkili olması için mikrosegmentasyonun karmaşık olması gerekmez. Mikrosegmentasyon kavramı sıklıkla yolcu gemileri ve su geçirmez bölmelerle karşılaştırılır. Sızıntı, bir veya daha fazla bölme kapatılarak kapatılabilir ve böylece geminin yüzer durumda kalması sağlanır. Modern yolcu gemileri genellikle 8-12 su geçirmez bölmeye sahiptir; bu da güvenliği sağlamak için düzinelerce bölmeye ihtiyacınız olmadığını kanıtlar.
En kritik veya savunmasız alanları hedef alan basit mikro bölümleme projeleriyle başlamak, önemli ağ güvenliği avantajları sağlayabilir. Aşağıda herhangi bir BT ekibinin sıfır güven yaklaşımıyla ağ güvenliğini güçlendirmek için uygulayabileceği üç basit ancak etkili mikro bölümleme projesi bulunmaktadır.
Ayrı üretim altyapısı
Şunu göz önünde bulundurun: Uzaktaki bir geliştirici, test verilerine erişmek için VPN aracılığıyla ağa bağlanır, ancak daha sonra etki alanı denetleyicilerinden birine erişmek için uzak masaüstü protokolünü (RDP) kullanmaya çalışır. Mikrosegmentasyon uygulandığında etki alanı denetleyicisinin bu bağlantıyı reddetmesi gerekir.
Bunu test etmek ister misin? Şimdi dene. Etki alanı denetleyicinize RDP yapmaya çalışırken dizüstü bilgisayarınızda bir kimlik bilgisi istemi alırsanız, büyük etkisi olan kolay bir mikro bölümleme projeniz var demektir.
Geliştiricinin etki alanı yöneticisi kimlik bilgilerine sahip olmadığını, dolayısıyla riskin minimum düzeyde olduğunu iddia edebilirsiniz. Ancak etki alanı denetleyicisi gibi kritik üretim ağı altyapısına erişim sıkı bir şekilde kontrol edilmelidir. Buna erişim, belirlenmiş birkaç atlama sunucusuyla sınırlı olmalı, diğer herhangi bir konumdan erişim ise reddedilmeli/engellenmelidir.
Genel olarak, etki alanı denetleyicileri, atlama sunucuları, veritabanları ve web sunucuları gibi üretim cihazları arasındaki erişimi, hizmetlerin ayrıntılarını ayırmadan bile yalnızca birbirleriyle bağlantı kuracak şekilde kısıtlamak, erişimi sınırlayarak güvenliği önemli ölçüde artıracaktır. Üretim veritabanı ana bilgisayarının, teorik olarak buna gerek olmasa bile, üretim web sunucusuna bağlanmasına izin verin. Ancak herhangi bir hazırlama veya geliştirme cihazından üretim web sunucularına bağlantıyı reddedin.
Akıllı cihazları izole edin
Birçok toplantı odasında bir üretim ağına bağlı bir akıllı TV bulunur. Bu IoT cihazları, akıllı yazıcılar, fotokopi makineleri ve hatta mutfak buzdolaplarının yanı sıra CPU’lara ve işletim sistemlerine sahiptir ve bu da onları çeşitli saldırılara karşı savunmasız hale getirir.
Bu cihazlara erişim sağlamak ciddi bir tehdit gibi görünmese de daha hassas sistemlere saldırmak için kullanılabilirler. Konferans odanızdaki akıllı TV’nin başka bir binadaki MRI tarayıcısı veya SWIFT terminali gibi kritik ekipmanlarla iletişim kurup kuramayacağını düşünün. Eğer öyleyse, bu cihazları üretim ekipmanınızdan veya ağ altyapınızdan yalıtmak basit ama son derece etkili bir mikro bölümleme projesidir.
İş fonksiyonlarını bölümlere ayırın
Bir üretim veya enerji şirketinin arka ofisindeki muhasebeciler, lazer matkap ekipmanını kontrol eden denetleyici kontrol ve veri toplama (SCADA) altyapısına erişebilmeli mi? Yoksa programlanabilir mantık denetleyicisine (PLC) bağlı bir kat mühendisi, kurumsal bir kurumsal kaynak planlama (ERP) sistemine bağlanabilmeli mi? Bir muhasebecinin veya üretim katı mühendisinin ağınızın daha hassas alanlarına atlamaya çalışması pek olası olmasa da uzaktaki kötü niyetli bir aktör veya bir bot bunu yapabilir.
Kuruluşun bir departmanını diğerinden korumak, sıfır güven mimarisini karmaşık ağa getiren geniş ve nispeten kolay bir projedir. Bir departmanın diğerine serbestçe erişememesini sağlayarak, kötü niyetli aktörlerin ağ içinde yatay olarak hareket etmesini zorlaştıran ek bir güvenlik katmanı oluşturursunuz.
Küçük adımlar, büyük güvenlik kazanımları
Kapsamlı bir mikro bölümleme projesi, binlerce ağ bağlantısının analiz edilmesini, yüzlerce hizmetin tanımlanmasını ve etiketlenmesini, yüzlerce politikanın yapılandırılıp uygulanmasını içerecektir. Ancak böyle bir proje çok büyük bir çaba gerektirecek, yeni hatalara yol açacak, performans ve bakım sorunları yaratacak ve çoğu zaman kritik ve ulaşılması kolay hedefleri kaçıracaktır.
Karmaşıklığın içinde kaybolmamak için mikrosegmentasyon projelerine adım adım yaklaşmak faydalı olacaktır. Uygulanması kolay, kritik geniş alanlara odaklanarak başlayın. Yerleştirildikten sonra, kaynaklarınızı yormadan her adımın gerçek, ölçülebilir güvenlik iyileştirmeleri getirmesini sağlayarak uygulamanın sonraki aşamalarına geçebilirsiniz.