Oksana Uljaninkova. Șeful Departamentului de promovare al Codului de Securitate
Cum să alegeți cea mai bună metodă de segmentare a rețelei
Astăzi nu există o organizație a cărei sistem informatic nu este segmentat. Rețeaua segmentată îmbunătățește performanța și securitatea, îmbunătățește performanța
Ca parte a personalului segmentare de rețea, de regulă, zonele restricționate, definite ca aparținând unui anumit departament, care ajută la prevenirea accesului neautorizat la un segment la altul și de a reduce riscurile de securitate a informațiilor. În plus, pot fi impuse diferite cerințe de securitate pentru segmentele de rețea, de exemplu, pentru segmente cu niveluri diferite de confidențialitate a informațiilor. În plus, fiecare segment de acest gen este un mediu închis, care exclude răspândirea, de exemplu, a software-ului rău intenționat în alte segmente.
Metode pentru a segmenta rețelele se dezvoltă rapid, în primul rând de a utiliza pod, apoi routere (switch-al treilea nivel), pe standardul de facto a fost prezența dispozitivului care funcționează la un nivel ridicat al modelului OSI firewall. Cu toate acestea, administratorii s-au confruntat cu probleme legate de supraîncărcarea dispozitivului, necesitatea de a distribui încărcarea în porturi și de a reduce viteza traficului. În locul unei abordări bazate pe limitarea fizică a utilizării rețelelor și routere de comunicare între segmentele, tehnologia a venit construirea de rețele VLAN virtuale. Astăzi, VLAN este susținut de majoritatea comutatoarelor moderne. Motivul pentru utilizarea pe scară largă a tehnologiei a fost flexibilitatea de a segmentului de rețea nu este în locația fizică a locațiilor angajaților, precum și pe baza funcțiilor lor și roluri de afaceri. Rețeaua, segmentat prin utilizarea VLAN, are o mai bună manipulare, partea esențială a problemelor de administrare, de exemplu, este posibil să se controleze traficul de difuzare și de a crește utilizarea eficientă a lățimii de bandă a rețelei.
Figura 1. Folosirea TrustAccess distribuite pentru a crea segmente LAN izolate virtual
Cu toate avantajele evidente, tehnologia are un șir de dezavantaje, printre care costul soluției, constând în prețul echipamentelor și al instrumentelor suplimentare pentru detectarea și eliminarea problemelor de comunicare și sprijinul unui specialist înalt calificat. Tehnologia VLAN utilizează protocoalele IEEE 802.1Q și ISL, care nu sunt întotdeauna susținute de echipamente standard, iar în unele cazuri este necesar un echipament special pentru abonați. În plus, configurarea configurației în rețele complexe va necesita o configurație manuală laborioasă.
Alegerea metodei de segmentare depinde de sarcinile care se află în prim-plan - optimizarea performanței rețelei sau a politicii de securitate a companiei. Dacă echipamentul de rețea suportă VLAN, atunci aceasta este soluția cea mai optimă pentru creșterea performanței și flexibilității rețelei. Este important să se analizeze ce informații sunt transmise prin rețea și dacă autoritățile de reglementare au cerințe specifice pentru protecția acestora. În același timp, respectarea cerințelor legislației ruse, în special protecția datelor cu caracter personal, pentru multe companii, se află în prim plan. Implementarea certificatului FSTEC ME permite izolarea secțiunilor izolate în rețea, împărțind segmentele de rețea de diferite nivele de securitate în conformitate cu cerințele legislației. În unele cazuri, o astfel de abordare va fi o modalitate legitimă de salvare a cerințelor autorităților de reglementare.