Akú technológiu môžete použiť na zabezpečenie logického oddelenia a ochrany medzi hostiteľmi, ktorí sú v rovnakej fyzickej sieti?

Niekoľko technológií môže poskytnúť logické oddelenie a ochranu medzi hostiteľmi v rovnakej fyzickej sieti. Najlepšia voľba závisí od konkrétnych bezpečnostných požiadaviek a sieťovej architektúry. Tu je niekoľko kľúčových možností:

* Virtual LANS (VLAN): VLANS segment fyzická sieť do viacerých logických sietí. Hostitelia na rôznych VLAN nemôžu priamo komunikovať, pokiaľ nie sú výslovne smerovaní, čo poskytuje izoláciu. Toto je riešenie vrstvy 2 implementované pomocou prepínačov, ktoré podporujú označovanie VLAN (802.1q).

* Virtuálne súkromné ​​siete (VPNS): Aj keď sa často používajú na vzdialený prístup, VPN môžu tiež vytvárať logické oddelenie medzi hostiteľmi v rovnakej fyzickej sieti. Každá VPN vytvára šifrovaný tunel, ktorý izoluje prenos v tuneli z prenosu v širšej sieti. Toto je roztok vrstvy 3.

* Segmentácia siete s firewall: Nasadenie firewall medzi rôznymi časťami siete (napr. Medzi VLAN alebo podsiete) poskytuje silnú prekážku proti neoprávnenej komunikácii. Firewall Filtruje prenos na základe pravidiel a presadzuje politiky oddelenia.

* softvérovo definované siete (SDN): Riešenia SDN poskytujú centralizovanú kontrolu nad sieťovými zdrojmi, čo umožňuje dynamickú a podrobnú kontrolu nad segmentáciou siete. Môžu automatizovať vytváranie a správu VLAN, firewall a ďalších bezpečnostných politík.

* kontajnery a virtuálne stroje (VMS): Aj keď to nie sú prísne sieťové technológie, kontajnery (napr. Docker) a VM (napr. VMware, VirtualBox, Hyper-V) poskytujú silnú izoláciu na úrovni operačného systému. Aj keď hostitelia zdieľajú fyzickú sieť, kontajnery a VM môžu byť nakonfigurované tak, aby obmedzili svoj sieťový prístup a zabránili komunikácii medzi kontajnermi/VM, pokiaľ nie je výslovne povolené.

* Kontrola prístupu do siete (NAC): NAC Systems presadzuje bezpečnostné politiky pred umožnením prístupu do siete. Môžu zabrániť tomu, aby neoprávnené zariadenia pripájali a izolovali kompromitované zariadenia.

* Micro-segmentácia: Tento prístup presahuje nad rámec tradičnej segmentácie siete uplatňovaním bezpečnostných politík na podrobnej úrovni, často až po jednotlivé aplikácie alebo pracovné zaťaženie. To ponúka jemnozrnnú kontrolu a vylepšenú bezpečnosť.

V mnohých prípadoch sa kombinácia týchto technológií používa na dosiahnutie robustného logického oddelenia. Napríklad VLAN by sa mohli použiť na počiatočnú segmentáciu, pričom brány firewall pridávajú ďalšiu kontrolu a bezpečnosť a prípadne kontajnery alebo virtuálne virtuálne hodnoty poskytujú ďalšiu izoláciu na úrovni aplikácie.

• Predchádzajúca strana: Ktoré zariadenie eliminuje vysielacie búrky? 
• Ďalšia strana: Aký typ zdrojov nakonfigurujete správcu zariadení?