Felügyelhető szakaszokra osztva a hálózatot, a munkafolyamatokat biztonságosan elkülönítve egymástól megakadályozható az illetéktelen behatolók oldalirányú mozgása a hálózatban; ennek köszönheti növekvő népszerűségét a mikroszegmentálás. Az elnevezés kissé talán félrevezető, mert a mikroszegmentálás nem csupán egy lépés a teljesítmény- és menedzsmentközpontú hálózati szegmentálás felé. Kifejezetten a kritikus hálózati védelmi problémák kezelésére fejlesztették ki, hogy csökkentsék a kockázatokat, a védelmet pedig az egyre dinamikusabb IT-környezetek igényeihez igazítsák.
Mikroszegmentálást használva központi házirend határozza meg a biztonsági rendszabályokat minden egyes rendszer számára, így lehetővé válik az előírások betartatása a szervezet egész hálózatában, nem csupán annak peremén. Azért van szükség erre a megközelítésre, mert a peremvédelem néha kudarcot vall, és a felhős migráció miatt a hálózati peremek porózusabbakká válnak. Ugyanakkor továbbra is élnek a hagyományos kiberbiztonsági technikák, azokat azonban az egyes munkaterhelésekre alkalmazzák a hálózaton belül. Számos szervezet számára alosztályokra tagoló jellege miatt vonzó a mikroszegmentálás, vagyis azért, mert nemcsak az adatok ellopását akadályozza meg, hanem a károkat is jelentősen csökkenti azzal, hogy a behatolás csupán a hálózat kis részét érinti.
Különféle megközelítések
Képzett támadók több lépésben próbálnak hozzáférni a szervezet erőforrásaihoz, így az infrastruktúra védelmezőinek minden egyes lépésnél meg kell akadályozniuk a hackerek előrehaladását. A rendszerek közötti belső, oldalirányú mozgás kulcsszerepet játszott azon incidensekben, amelyeknél a Mimikatzhoz és a Bloodhoundhoz hasonló eszközöket használtak. Mikroszegmentálással ezek a támadások is blokkolhatók.
Fontos megjegyezni, hogy a mikroszegmentálás nem csupán adatközponti megoldás. Számos incidens abból ered, hogy az alkalmazottak adathalász hivatkozásokra kattintanak, vagy más okból veszélyeztetetik munkaállomásukat. A fertőzés kezdőpontjától kiindulva a támadók behatolhatnak a hálózatba. Minden mikroszegmentációs platformnak képesnek kell lennie arra, hogy egyetlen konzolról érvényesítse az adatközpontban, a felhőbeli munkafolyamatoknál és a végfelhasználói munkaállomásokon bevezetett biztonsági irányelveket, megakadályozva a támadások terjedését.
Sok más feltörekvő technológiához hasonlóan a különböző szállítók a mikroszegmentálásnál is más-más megközelítést alkalmaznak. A három legelterjedtebb módszer a gazda-ügynök szegmentálás, a hypervisor szegmentálás és a hálózati szegmentálás.
Gazda-ügynök szegmentálás: Ez a mikroszegmentácós módszer a végpontokon elhelyezett ügynökökre támaszkodik. Az összes adatáramlás látható, és továbbítható a központi kezelőhöz. Ez a megközelítés segíthet felfedezni a problémát okozó protokollokat és a titkosított forgalmat. A gazda-ügynök technológiát általában igen hatékony megközelítésnek tekintik. Mivel a fertőzött eszközök házigazdák, jó gazdastratégiával minimalizálhatók a behatolásból eredő károk. Hátránya, hogy minden gazdagépre telepíteni kell a szoftvert, ami régi operációs rendszereknél és számítógépeknél problémás lehet.
Hypervisor szegmentálás: Ez esetben a teljes forgalom áthalad a hypervisoron, aminek előnye, hogy használhatunk már létező tűzfalakat, és alkalmazhatjuk az irányelveket új hypervisorokra is. Szakértők szerint a módszer hátránya, hogy általában nem működik felhős környezetekben vagy konténerekkel. Néhány esetben hasznos megoldás, és ahol működik, nagyon előnyösen alkalmazható.
Hálózatszegmentálás: Ez a megközelítés alapvetően a status quo kiterjesztése hozzáférés-vezérlési listák (ACL-ek) és más bevált módszerek alapján történő szegmentálással. Toronymagasan a legegyszerűbb megoldás, és a legtöbb hálózati szakember ismeri. Nagy hálózati szegmenseket alkotva azonban odavész az eredeti cél, ráadásul nagy adatközpontokban bonyolult és költséges lehet az adminisztrációja.
Beruházás előtt alapos leltárt kell készítenünk, mert nem minden megoldás illeszthető be pontosan a három alapkategória valamelyikébe. Egyes szállítók továbbfejlesztett, például gépi tanulást és mesterséges intelligenciát alkalmazó monitorozást használnak. Mielőtt elköteleznénk magunkat valamelyik megoldás mellett, feltétlenül kérdezzük meg a szállítót az alkalmazott technológiáról és arról, hogy vannak-e egyedi kompatibilitási vagy működési követelmények, amelyeket figyelembe kell vennünk.
Vannak hátrányok is
Minden előnye ellenére a mikroszegmentálás járhat bevezetési és működtetési kihívásokkal. Különösen az első telepítéseknél adódhatnak problémák. Lehetnek a használt alkalmazásoktól függően olyan kulcsfontosságú üzleti funkcióink, amelyek mellett nem vagy nem jól működik a mikroszegmentálás, és csak összezavarja a dolgokat.
Bonyolult és időigényes lehet az egyes belső rendszerek igényeit figyelembe vevő előírások meghatározása, belső konfliktusokkal járhat az előírások és azok következményeinek mérlegelése és meghatározása. Amennyiben kritikus és kevésbé jelentős eszközök egyaránt találhatók ugyanazon a biztonsági határon belül, fontos tudnunk, mely portok és protokollok szükségesek a megfelelő hálózati kommunikációhoz, és milyen irányban. A bevezetésnél vétett hibák véletlenszerű hálózati kiesésekhez vezethetnek, a módosításokhoz pedig le kell állítani a hálózatot, ezért fontos a gondos tervezés.
A népszerű operációs rendszereket, így a Linuxot, Windowst és macOS-t futtató környezeteket széles körben támogatja a mikroszegmentációs technológia. Ugyanez nem mondható el a nagyszámítógépekről vagy más öröklött technológiákról, amelyekre nem fejlesztettek mikroszegmentációs szoftvert.
Kezdeti lépések
A sikeres bevezetés előfeltétele a hálózati architektúra és a támogatott rendszerek és alkalmazások részletes ismerete. Tudnunk kell, hogy az egyes rendszerek hogyan kommunikálnak egymással. Annak meghatározásához, hogy a zavartalan működés érdekében hol kell elhelyeznünk a mikroszegmenseket, szükség van a szoros együttműködésre a szállítóval, de legalábbis gondos elemzést kell végeznünk, ha el akarjuk kerülni a későbbi üzemelési zavarokat.
Célszerű a bevezetést részletes eszközkezelési terv kidolgozásával indítani. Nem hozhatunk ésszerű döntést arról, miképpen osszuk fel a hálózatot, amíg nem tudjuk, mi működik benne.
Miután végeztünk az eszközök azonosításával, osztályozásával és kezelésének automatizálásával, az informatikai környezet készen áll a mikroszegmentálásra. Ekkor jön el az ideje, hogy szállítót keressünk, és egy sor fontos kérdést tegyünk fel a kiszemelt megoldás birtoklási összköltségével, integrációs képességeivel, bővíthetőségével és méretezhetőségével kapcsolatban.
Minden mikroszegmentációs platform csak annyira lehet jó, mint a vele betartatott biztonsági előírások. Fontos, hogy ismerjük azokat a lehetséges műveleteket, amelyeket a kiberbűnözők valószínűleg végrehajtanak a behatolási kísérlet során, és gondoskodjunk arról, hogy a bevezetendő biztonsági óvintézkedések bezárják a kapukat a támadók előtt.