Dlaczego design jest ważny w IT?

Projektowanie systemów pod kątem bezpieczeństwa to kluczowy element ochrony organizacji przed atakami. Dotyczy to wszystkich elementów architektury IT. Bardzo dobrym przykładem jest sieć komputerowa, która w wielu organizacjach jest niestety zaprojektowana bez uwzględnienia aspektów związanych z bezpieczeństwem.

Secure by design – to hasło, któremu warto przyjrzeć się bliżej i zrozumieć co tak naprawdę oznacza. Na bazie naszych doświadczeń możemy napisać, że większość sieci jest „płaska”, czyli nie jest podzielona na segmenty. W uproszczeniu wygląda tak: wszystko podłączone jest do przełącznika, on do routera, który oczywiście podłączony jest do Internetu. Tak wyglądają sieci domowe, w małych firmach, ale zdarza się, że podobnie – oczywiście nie aż tak prosto – w większych organizacjach.

To, że urządzenia mogą komunikować się bezpośrednio, czyli wszystkie usługi są dostępne dla wszystkich na pewno ułatwia pracę, w końcu wystarczy się podłączyć do sieci i gotowe. Jest to jednocześnie bardzo duże zagrożenie pod kątem bezpieczeństwa organizacji, ponieważ niechciany gość mający dostęp do jakiegokolwiek urządzenia w sieci, ma dostęp do wszystkiego.

Wystarczy zaprojektować sieć pod kątem bezpieczeństwa, aby znacząco wzmocnić ochronę i utrudnić skuteczne przeprowadzenie ataku. Co to oznacza? Przede wszystkim należy odpowiednio zaplanować segmentację sieci wykorzystując do tego VLANy. Dzięki temu oddzielimy poszczególne segmenty od siebie, to mogą być na przykład:

1.       stacjonarne komputery pracowników, także z podziałem na poszczególne działy firmy, nie wszyscy muszą mieć dostęp do tych samych zasobów.

2.       Sieć WiFi dla gości

3.       Sieć WiFi dla pracowników

4.       Serwery

5.       Zarządzanie przełącznikami

6.       Kwarantanna

Oczywiście konkretny podział zależy od danej organizacji, należy dokonać porządnej analizy, która da nam odpowiedź jak powinna wyglądać sieć logiczna.

Kolejnym krokiem jest przydzielenie odpowiednich dostępów dla poszczególnych segmentów, bo przecież nie ma żadnego uzasadnienia, żeby goście mieli dostęp do serwerów, podobnie jak handlowcy do systemów zarządzania produkcją. Na pewno dobrze wykonana analiza pomoże odpowiednio zaprojektować sieć, w taki sposób, żeby niezbędne zasoby były dostępne, ale pozostałe elementy już nie. Dodatkowo, należy pamiętać, żeby w miarę możliwości analizować ruch pomiędzy poszczególnymi segmentami, a na pewno pomiędzy kluczowymi zasobami, takimi jak segmenty zawierający serwery i systemy niezbędne do tego, żeby organizacja działała. Co to oznacza? Analizę ruchu za pomocą systemów IPS lub NGFW co pozwoli wykryć i zablokować potencjalny atak przeprowadzany już wewnątrz sieci z wykorzystaniem skompromitowanego systemu np. stacji roboczej.

Zaprojektowanie sieci logicznej z uwzględnieniem bezpieczeństwa jest ważne, ale nie można zapominać przy tym o podstawowych elementach takich jak Port Security, DHCP Snooping, Dynamic ARP Inspection i inne, ale to już materiał na inny artykuł. Jeżeli chcesz dowiedzieć się jak zwiększyć bezpieczeństwo swojej infrastruktury – skontaktuj się z nami.

RG