Segmentera nätverken och filtrera trafik mellan segmenten
Det finns flera anledningar till varför man ska segmentera sina nätverk och jag törs nästan säga att alla våra kunder på ett eller annat sätt faktiskt gör detta aktivt, stora som små.
Bloggpost #8 ⎸ Segmentera nätverken och filtrera trafik mellan segmenten
Författare: Johan Nylén, säkerhetsspecialist
Med segmentering så menar vi traditionellt sett att dela upp våra nätverk i mindre delar som ibland är både fysiskt och logiskt separerade från varandra. Sedan tillämpar vi regler för hur trafik mellan dessa segment tillåts eller blockeras samt hur trafik flödar mellan segmenten. Ett enkelt exempel är att alla organisationens klienter ligger på ett nätverkssegment medans alla servrar ligger på ett annat där trafiken mellan segmenten begränsas med t.ex. olika regler i en brandvägg. Den här typen av segmentering bidrar absolut till både ökad säkerhet och prestanda och gör det dessutom svårare för (eller kanske t.o.m. hindrar) en angripare att få fotfäste i hela organisationens it-miljö.
Med den här typen av traditionell nätverkssegmentering så finns det dock en utmaning som många organisationer kanske inte direkt tänker på. Vad gör vi med trafiken inom ett och samma nätverkssegment? Det är ju en gigantisk risk om alla organisationens klienter kan kommunicera obehindrat med varandra om en hotaktör skulle ta sig in och exempelvis vilja sprida skadlig kod. Om en klient inte behöver kunna kommunicera med en annan klient på nätverket så ska denna kommunikation helt och hållet begränsas och det vanligaste sättet att åstadkomma begränsningen inom ett segment är exempelvis genom central hantering av klienternas lokala brandvägg. När ett nätverkssegment för klienter oftast inte behöver tillåta trafik mellan just klienterna (och således också väldigt enkelt att enhälligt begränsa), så blir det aningen mer komplicerat då vi försöker applicera samma princip och strategi på andra delar av nätverket. Det finns en rad olika produkter och tekniker för så kallad mikrosegmentering som är en mer detaljerad begränsning inom ett nätverk där man snarare tittar på enskilda kommunikationsflöden för applikationer och system och helt och hållet begränsar både ingående och utgående trafik för alla delar av systemet.
Framtida connectivitet och åtkomst
Då nätverkssegmentering och mikrosegmentering framförallt är strategier för interna nätverk så pratas det idag otroligt mycket om den ökade användningen av molntjänster och andelen användare som ansluter till applikationer och system från platser utanför det klassiska perimeterskyddet. Nya strategier och ramverk för mer strikt kontrollerad nätverkstrafik ser dagens ljus som exempelvis Secure Access Service Edge (SASE), där olika typer av nätverksteknologier som exempelvis SD-WAN, kombineras med säkerhetsramverk som Zero Trust Network Access (ZTNA). Allt för att ge användare en så sömlös, begränsad och säker åtkomst till organisationens resurser, oavsett var användaren sitter rent nätverksmässigt och var dessa resurser befinner sig.
Glöm inte bort den utgående nätverkstrafiken
Vi är traditionellt sett väldigt duktiga på att begränsa den inkommande nätverkstrafiken men ett sista medskick är att vi behöver bli mycket bättre på att både begränsa och dessutom aktivt övervaka den utgående nätverkstrafiken från alla våra enheter. Ett tydligt tecken på de allra flesta typer av intrång är nätverkstrafik från komprometterade enheter till hotaktörens så kallade Command and Control infrastruktur, även kallat C2 eller C&C. Ett väl etablerat skydd och övervakning på utgående nätverkstrafik kommer att ge bättre förmåga att både upptäcka och agera på ett intrång.
Läs mer om hur Atea kan stötta er organisation med just den här rekommenderade åtgärden på sidan CIS - Ramverk för cybersäkerhet under kontroll 3 och 12.
Vill du veta hur ni säkerställer god informationssäkerhet och hur just din verksamhet bör tänka säkert? Tveka inte att höra av dig till Johan Nylén, säkerhetsspecialist.
Så länge..
...Tänk säkert och skydda era tillgångar