Daftar Isi:
- Tentukan Fungsi yang Anda Inginkan
- Berbagai Fungsi, Dijelaskan
- 5 Langkah Dasar untuk Segmentasi Jaringan
Video: SP302: Segmentasi (Desember 2024)
Saat ini Anda mungkin telah melihat referensi untuk segmentasi jaringan di berbagai tempat mulai dari kolom ini hingga fitur keamanan jaringan dan diskusi praktik terbaik dalam pemantauan jaringan. Tetapi bagi banyak profesional TI, segmentasi jaringan adalah salah satu hal yang Anda selalu rencanakan untuk segera lakukan, dalam waktu dekat, tetapi sesuatu selalu menghalangi. Seperti melakukan pajak pada bulan Februari: Anda tahu harus melakukannya, tetapi Anda membutuhkan dorongan motivasi ekstra. Itulah yang saya harap akan dilakukan dengan penjelajah 5 langkah ini.
Ada beberapa alasan untuk segmentasi jaringan; alasan terpenting adalah keamanan. Jika jaringan Anda dibagi menjadi beberapa jaringan yang lebih kecil, masing-masing dengan router atau sakelar Layer 3 sendiri, maka Anda dapat membatasi entri ke bagian-bagian tertentu dari jaringan. Dengan cara ini, akses hanya diberikan ke titik akhir yang membutuhkannya. Ini mencegah akses tidak sah ke bagian-bagian jaringan yang tidak ingin Anda akses, dan itu juga membatasi beberapa peretas yang mungkin telah menembus satu segmen dari memiliki akses ke semuanya.
Itulah yang terjadi dengan pelanggaran Target pada tahun 2013. Penyerang yang menggunakan kredensial dari kontraktor Pemanasan, Ventilasi, dan Penyejuk Udara (HVAC) memiliki akses ke terminal point-of-sale (POS), database kartu kredit, dan semua hal lain di jaringan. Jelas, tidak ada alasan bagi kontraktor HVAC untuk memiliki akses ke apa pun kecuali pengontrol HVAC, tetapi mereka melakukannya karena Target tidak memiliki jaringan tersegmentasi.
Tetapi jika Anda, tidak seperti Target, meluangkan waktu untuk membagi jaringan Anda, maka para pengganggu itu akan dapat melihat pengontrol pemanas dan pendingin udara Anda tetapi tidak ada yang lain. Banyak pelanggaran bisa berakhir menjadi non-event. Demikian juga, staf gudang tidak akan memiliki akses ke database akuntansi atau mereka tidak akan memiliki akses ke pengontrol HVAC, tetapi staf akuntansi akan memiliki akses ke database mereka. Sementara itu, karyawan akan memiliki akses ke server email, tetapi perangkat di jaringan tidak akan.
Tentukan Fungsi yang Anda Inginkan
Semua ini berarti bahwa Anda harus memutuskan fungsi-fungsi yang perlu dikomunikasikan di jaringan Anda, dan Anda perlu memutuskan jenis segmentasi yang Anda inginkan. "Menentukan fungsi" berarti Anda perlu melihat siapa di staf Anda yang harus memiliki akses ke sumber daya komputasi tertentu dan siapa yang tidak. Ini bisa menyulitkan untuk dipetakan, tetapi ketika sudah selesai, Anda akan dapat menetapkan fungsi berdasarkan jabatan atau penugasan kerja, yang dapat membawa manfaat tambahan di masa depan.
Untuk jenis segmentasi, Anda dapat menggunakan segmentasi fisik atau segmentasi logis. Segmentasi fisik berarti bahwa semua aset jaringan dalam satu area fisik akan berada di belakang firewall yang menentukan lalu lintas apa yang bisa masuk dan lalu lintas apa yang bisa keluar. Jadi, jika lantai 10 memiliki router sendiri, maka Anda dapat secara fisik membagi semua orang di sana.
Segmentasi logis akan menggunakan LAN virtual (VLAN) atau pengalamatan jaringan untuk menyelesaikan segmentasi. Segmentasi logis dapat didasarkan pada VLAN atau subnet tertentu untuk menentukan hubungan jaringan atau Anda dapat menggunakan keduanya. Misalnya, Anda mungkin ingin perangkat Internet of Things (IoT) Anda pada subnet tertentu demikian, sementara jaringan data utama Anda adalah satu set subnet, pengontrol HVAC Anda dan bahkan printer Anda dapat menempati yang lain. Tugasnya adalah Anda harus menentukan akses ke printer sehingga orang yang perlu mencetak akan memiliki akses.
Lingkungan yang lebih dinamis dapat berarti proses penugasan lalu lintas yang lebih kompleks yang mungkin harus menggunakan perangkat lunak penjadwalan atau orkestrasi, tetapi masalah tersebut cenderung muncul hanya di jaringan yang lebih besar.
Berbagai Fungsi, Dijelaskan
Bagian ini adalah tentang memetakan fungsi kerja ke segmen jaringan Anda. Misalnya, bisnis yang khas mungkin memiliki akuntansi, sumber daya manusia (SDM), produksi, pergudangan, manajemen, dan segelintir perangkat yang terhubung di jaringan, seperti printer atau, saat ini, pembuat kopi. Masing-masing fungsi ini akan memiliki segmen jaringan sendiri, dan titik akhir pada segmen tersebut akan dapat mencapai data dan aset lainnya di area fungsional mereka. Tetapi mereka juga mungkin memerlukan akses ke area lain, seperti email atau internet, dan mungkin area personel umum untuk hal-hal seperti pengumuman dan formulir kosong.
Langkah selanjutnya adalah melihat fungsi mana yang harus dicegah agar tidak mencapai area tersebut. Contoh yang baik mungkin perangkat IoT Anda yang hanya perlu berbicara dengan server atau pengontrol masing-masing, tetapi mereka tidak memerlukan email, penelusuran internet, atau data personel. Staf gudang akan memerlukan akses inventaris, tetapi mereka mungkin seharusnya tidak memiliki akses ke akuntansi, misalnya. Anda harus memulai segmentasi dengan terlebih dahulu mendefinisikan hubungan ini.
5 Langkah Dasar untuk Segmentasi Jaringan
Tetapkan setiap aset di jaringan Anda ke grup tertentu sehingga staf akuntansi akan berada dalam grup, staf gudang di grup lain, dan manajer di grup lain.
Putuskan bagaimana Anda ingin menangani segmentasi Anda. Segmentasi fisik mudah jika lingkungan Anda memungkinkan, tetapi membatasi. Segmentasi logis mungkin lebih masuk akal bagi sebagian besar organisasi, tetapi Anda harus tahu lebih banyak tentang jaringan.
Tentukan aset mana yang perlu dikomunikasikan dengan aset lain mana, lalu atur firewall atau perangkat jaringan Anda untuk mengizinkannya dan untuk menolak akses ke yang lainnya.
Siapkan deteksi intrusi dan layanan anti-malware Anda sehingga keduanya dapat melihat semua segmen jaringan Anda. Atur firewall atau sakelar Anda sehingga bisa melaporkan upaya intrusi.
Ingatlah bahwa akses ke segmen jaringan harus transparan untuk pengguna yang berwenang dan bahwa tidak boleh ada visibilitas ke segmen untuk pengguna yang tidak sah. Anda dapat menguji ini dengan mencoba.
- 10 Langkah Cybersecurity Bisnis Kecil Anda Harus Mengambil Sekarang 10 Langkah Cybersecurity Bisnis Kecil Anda Harus Mengambil Sekarang
- Melampaui Perimeter: Cara Mengatasi Keamanan Layered Melampaui Perimeter: Cara Mengatasi Keamanan Layered
Perlu dicatat bahwa segmentasi jaringan tidak benar-benar proyek Do-It-Yourself (DIY) kecuali untuk kantor terkecil. Tetapi beberapa bacaan akan membuat Anda siap untuk mengajukan pertanyaan yang tepat. Tim Kesiapan Darurat Cyber Amerika Serikat atau US-CERT (bagian dari Departemen Keamanan Dalam Negeri AS) adalah tempat yang baik untuk memulai, meskipun panduan mereka ditujukan untuk IoT dan kontrol proses. Cisco memiliki makalah terperinci tentang segmentasi untuk perlindungan data yang tidak spesifik untuk vendor.
Ada beberapa vendor yang memberikan informasi bermanfaat; namun, kami belum menguji produk mereka sehingga kami tidak dapat memberi tahu Anda apakah itu akan bermanfaat. Informasi ini mencakup kiat cara-cara dari Sage Data Security, video praktik terbaik dari AlgoSec, dan diskusi segmentasi dinamis dari penyedia perangkat lunak penjadwalan jaringan HashiCorp. Akhirnya, jika Anda adalah tipe petualang, konsultan keamanan Bishop Fox menawarkan panduan DIY segmentasi jaringan.
Sejauh manfaat lain dari segmentasi di luar keamanan, jaringan tersegmentasi mungkin memiliki manfaat kinerja karena lalu lintas jaringan pada suatu segmen mungkin tidak harus bersaing dengan lalu lintas lainnya. Ini berarti staf teknik tidak akan menemukan gambarnya ditunda oleh cadangan dan orang-orang pengembangan mungkin dapat melakukan pengujian mereka tanpa khawatir tentang dampak kinerja dari lalu lintas jaringan lain. Tetapi sebelum Anda dapat melakukan apa pun, Anda harus memiliki rencana.