Segmentacja sieci firmowej - czy to ma sens?

Dużo mówimy o bezpieczeństwie w IT, ale czy rozumiemy pojęcia których używamy? Przykładem często wykorzystywanego pojęcia jest segmentacja sieci. Mówimy, że zwiększa ona bezpieczeństwo sieci. Ale jak to się dzieje? Co za tym stoi, i jak to należy rozumieć?

Segmentacja to w najprostszym ujęciu podział sieci firmowej na podsieci. To tak, jakbyśmy open space podzielili na pokoje. Wielka otwarta przestrzeń została podzielona na mniejsze części, które są łatwiejsze do kontrolowania. Każdy pokój to podsieć.

Wracając do bardziej technicznego żargonu. Podzieliliśmy sieć na podsieci i co dalej? W każdej z nich umieszczamy inne urządzenia. Jedna podsieć będzie przeznaczona dla serwerów, druga dla księgowości, kolejna natomiast dla działu handlowego, a jeszcze inna dla serwisu. Drukarki otrzymają swoją podsieć i kamery przemysłowe również. Czy korzystamy z urządzeń IoT albo Smart Home? Dajmy im osobną przestrzeń. Obrabiarki CNC też lepiej oddzielić od innych urządzeń. A jeśli planujemy dostęp dla gości, to oni również niech mają swoje „pomieszczenie”. 

Wspaniale – mamy podsieci. Co dalej? 

Teraz możemy ustalić osobne uprawnienia dla każdej z nich oraz ustalić kto i z kim może się kontaktować. Kto ma dostęp do Internetu, a kto go nie ma. Pomyślmy – czy drukarki lubią zaglądać na Facebooka? A czy hakerzy lubią zaglądać do naszych drukarek i do tego co się drukuje? Jeśli drukarki nie będą miały dostępu do Internetu to i dostęp do nich będzie utrudniony, prawda? Identyczna sytuacja dotyczy kamer przemysłowych. Czy wiecie, ile jest kamer przemysłowych, których właściciele nie wiedzą, że nadają całodobowe relacje ze swoich domów, biur, magazynów i placów. Można to znaleźć w Internecie, ponad 70 000 kamer, do których każdy może mieć dostęp za pomocą jednej strony internetowej. Nie podam adresu, ale znalezienie jej za pomocą wyszukiwarek internetowych nie nastręcza wielkich trudności.

Aby egzekwować uprawnienia użytkowników podsieci – czyli dostęp lub brak dostępu do innych przestrzeni i Internetu – należy skorzystać z firewalla. Firewall to, wracając do terminologii biurowej, taki korytarz ze strażnikiem, który wie, czy możemy wyjść z pokoju i do którego pokoju możemy się udać. Ten sprytny strażnik sprawdza nasze uprawnienia i jeśli w jakikolwiek sposób wydamy mu się podejrzani to może skierować nas na dodatkowy wywiad.

Zatem mamy podsieci i mamy firewall. Możliwe i dopuszczalne połączenia między podsieciami są zdefiniowane i egzekwowane na firewallu. W wyniku błędu ludzkiego lub niedoskonałości innych zabezpieczeń doszło do infekcji jednego z komputerów 
w dziale handlowym. W płaskiej sieci wirus lub szkodliwe oprogramowanie mogło by sobie wędrować niezauważone od komputera do komputera. Dzięki temu, że dział handlowy ma dostęp do drukarek i do Internetu, ale nie ma dostępu do działu księgowości, a dostęp do serwerów jest ograniczony, to jedyne co może się wydarzyć to infekcja w dziale handlowym. Nie stracimy danych księgowych, a informacje o naszych produktach lub klientach, które przechowujemy na serwerach, będą bezpieczne.

Podsumowując, segmentacja gwarantuje nam to, że "co się dzieje w Vegas, zostaje w Vegas".

Zadajmy więc sobie ponownie pytanie czy segmentacja sieci firmy ma sens?

Mając już świadomość, jak podział sieci może nam pomóc w bezpiecznym transferze danych, ich ochronie przed wypłynięciem na zewnątrz oraz przechowywaniu krytycznych informacji naszej firmy, odpowiedź może być tylko jedna – tak, ma sens!

MB