تقسیم بندی یا بخش بندی، شبکه ی کامپیوتری را به بخش های کوچک تر تقسیم می کند. هدف آن بهبود عملکرد و امنیت شبکه است. تقسیم بندی از طریق کنترل این موضوع کار می کند که ترافیک چطور در بین بخش ها جریان می یابد. شما می توانید انتخاب کنید که رسیدن کل ترافیک یک بخش را به بخش دیگر متوقف کنید، یا می توانید جریان را بر مبنای نوع ترافیک، مبدأ، مقصد و بسیاری گزینه های دیگر محدود سازید. نحوه ی تصمیم گیری شما برای بخش بندی شبکه تان، خط مشی تقسیم بندی نامیده می شود. حال micro segmentation يا ریزتقسیم بندی از اطلاعات بسیار بیشتری در خط مشی های تقسیم بندی استفاده می کند، این امر سبب می شود تا خط مشی ها دقیق تر و انعطاف پذیرتر شوند و نیازهای بسیار خاص یک سازمان یا برنامه ی تجاری را برآورده نمایند. در ادامه مقاله به بررسی کامل Micro segmentation در شبکه می پردازیم.
تکنولوژی Micro segmentation
میکروسگمنتیشن یک تکنیک امنیتی است که یک شبکه را به مناطق قابل تعریف تقسیم می کند و از سیاست هایی برای تعیین نحوه دسترسی و کنترل داده ها و برنامه های کاربردی در آن مناطق استفاده می کند. Micro segmentation از نظر لغوی به معنای تقسيم به اجزای بسيار ريز يا ميکرو است اما اين تکنيک در امنيت شبکه معنا و مفهوم نسبتاً پيچيده تری دارد. ميکروسگمنتيشن به طور خلاصه روشی است براي ساخت محيط های امن در شبکه مناطقی که هريک به صورت جزيره ای عمل مي کنند و حتی مسئوليت کنترل و برقراری امنيت خود را نيز برعهده مي گيرند. برخلاف Segmentation شبکه که به سخت افزار نیاز دارد، برای ترافیک کلاینت و سرور که بین مراکز داده جریان می یابد، میکروسگمنتیشن به نرم افزار متکی است و برای ترافیک یا داده های سرور به سرور و بین برنامه ها طراحی شده است.
Micro segmentation یا تقسیم به اجزای بسیار زیر، نقاط امنی را در محیط های ابری و مراکز داده ایجاد می کند تا حجم کاری اپلیکیشن ها را از هم تفکیک و آن ها را به طور مجزا ایمن کند. با اجرای آن سیاست های فایروال، ترافیک شرقی یا غربی بین حجم های کاری را بر اساس رویکرد امنیتی zero-trust یا اعتماد صفر، با هدف کاهش سطوح حمله، جلوگیری از حرکت جانبی تهدیدات برای مهار نفوذ و افزایش انطباق قانونی محدود می کنند. از Micro segmentation در یک دیتاسنتر چند ابری، تحت عنوان بخش بندی اپلیکیشن یا بخش بندی شرقی و غربی هم یاد می شود.
Micro-segmentation شبکه را به قطعات کوچک تر تقسیم می کند و نوع ترافیکی که می تواند به صورت جانبی سراسر شبکه را طی کند محدود می سازد و می توان آن را در سراسر شبکه، هم در مرکز داده داخلی و هم در محیط های ابری اعمال کرد. میکروسگمنتیشن تیم های امنیتی را قادر می سازد تا تعیین کنند که برنامه ها یا بارهای کاری چگونه می توانند داده ها را در یک سیستم به اشتراک بگذارند، داده ها در کدام جهت می توانند به اشتراک گذاشته شوند.
برخی مواردی که می توانند به عنوان بخشی از میکروسگمنتیشن تعریف شوند عبارتند از:
• بارهای کاری: حجم کار مقدار مشخصی از قابلیت پیش بینی شده برای یک نمونه است، هر زمان که یک برنامه یا اپلیکیشن اجرا می شود.
• اپلیکیشن ها: اپلیکیشن ها برنامه های نرم افزاری هستند که روی رایانه، ابر یا ماشین مجازی یا VM اجرا می شوند.
• VM ها: ماشین های مجازی کامپیوترهایی هستند که شامل تمام اجزای اصلی برای اجرا هستند، اما سخت افزار فیزیکی ندارند و در فریمورک یک کامپیوتر دیگر قرار دارند.
• سیستم عامل: سیستم عامل کامپیوتر نرم افزار پایه ای است که می تواند نرم افزارهای دیگر را اجرا کند.
Micro segmentation اپلیکیشن ها را با مجوزدهی به یک ترافیک خاص و منع سایر ترافیک ها به طور پیش فرض ایمن می کند. حال Micro segmentation مبنای پیاده سازی یک مدل امنیتی اعتماد صفر برای حجم های کاری اپلیکیشن ها در دیتاسنتر و ابر است. میکروسگمنتیشن به جای پیکربندی سخت افزاری، فایروال ها و VLAN، از سیاست های نرم افزاری برای مدیریت و ایجاد واحدهای منطقی استفاده می کند. این خط مشی ها نحوه ایجاد مناطق امن و نحوه دسترسی به زیرمجموعه ها را تعیین کرده و مشخص می کنند که کاربران و برنامه ها چگونه می توانند به منابع و خدمات مورد نیاز خود متصل شده و به آنها دسترسی داشته باشند. میکروسگمنتیشن را می توان به روش های مختلفی پیاده سازی کرد که فایروال های NGFW رایج ترین آنها هستند. البته NGFW ها روی هر لایه از مدل OSI قابل مشاهده هستند و سازمان ها را قادر می سازند تا یک خط مشی کنترل دسترسی منطقی، در اطراف هر برنامه ای که در شبکه اجرا می شود ایجاد کنند. میکروسگمنتیشن نیز به طور فزاینده به عنوان بخشی از SD-WAN ارائه می شود، به طوری که می توان آن را در شعبه ها و سایت های راه دور مستقر کرد. میکروسگمنتیشن می تواند از طریق fabric ها، hypervisor ها و واسط های دیگر نیز راه اندازی شود.
شرکت ها سال هاست که در ديتاسنترهای خود از شبکه های مجازی یا VLAN، فايروال ها یا Firewall و ابزارهاي کنترل شبکه یا ACL به صورت ترکيبی استفاده مي کنند. در روش های معمول قبلی، برای برقراری امنيت اطلاعات و شبکه، دسترسی وب، ديتابيس و نرم افزار اجراکننده سرويس ها هر يک به صورت مجزا و در سرورهای جداگانه و در مسيرهای امن قرار داده مي شدند. در ميکروسگمنتيشن نيز قواعد بالا مي تواند حاکم باشد، با اين تفاوت که اجزای شبکه از طريق روترها، سوئيچ ها و فايروال های متعدد به انشعابات محدودتر تقسيم شده اند. تفاوت ديگری که اين روش با ساير روش های امنيتی دارد، چيدمان افقي آن است. در شبکه هايی که از ميکروسگمنتيشن استفاده نمي کنند، معمولاً دسترسی ها و مسير توزيع اطلاعات از شمال به جنوب يا از بالا به پايين است به طوری که هکر برای نفوذ، مرحله به مرحله بالاتر مي رود و در نهايت به رأس هرم مي رسد. اما در اين روش، حرکت به صورت افقی و هم عرض و البته با پيچيدگي بسيار بيشتری انجام مي پذيرد. هر بخش يا segment، خود متشکل از زيرشاخه های متعددی است که هکرها برای بررسی آنها نياز به زمان و انرژی بسيار زيادی خواهند داشت. اين در حالی است که مسئولان امنيت شبکه مي توانند تعداد بي شماری از شبکه ها و اجزای کاذب را نيز برای گمراه کردن آنها ايجاد کنند. ميکروسگمنتيشن مي تواند به صورت فيزيکی ايجاد شود. يعنی با روترها، سوئيچ ها و فايروال های سخت افزاری، اما اين کار به هيچ وجه مقرون به صرفه نيست. نکته بسيار مثبت در رابطه با ميکروسگمنتيشن اين است که با مجازی سازها نيز قابل پياده سازی است. مزيت ديگر اين روش، کاهش تنظيمات و قواعد فايروال هاست. در اينجا فشار از روی فايروال اصلي برداشته می شود و هر بخش توسط فايروال اختصاصی خود مورد رصد قرار می گيرد.
مزایای Micro-Segmentation
1. سطح حمله را کاهش می دهد، همانطور که سازمان ها دیتاسنتر درون سازمانی یا on-premises خود را مجازی کرده و به اتخاذ محیط های ابری روی می آورند، محیط شبکه آن ها ناپدید گشته و سطح حمله افزایش پیدا می کند. حجم های کاری، اتوماسیون و حملات مبتنی بر رابط برنامه نویسی نرم افزار یا API به بردارهای تهدید جدید بدل می شوند. Micro segmentation از مدل لیست مجاز برای کاهش سطح حمله در محیط های مختلف و انواع حجم های کاری استفاده می کند.
2. هنگامی که بخش های جداگانه زیرساخت سیستم ایمن شد، حفظ سلامت و امنیت کلی سیستم ساده تر می شود زیرا هر بخش را می توان در مقیاس کوچک تر نگهداری کرد.
3. احتمال اینکه ویروس یا بدافزار کل شبکه را آلوده کند بسیار کمتر است زیرا هر قسمت از شبکه دارای نقاط بازرسی و مرزهای امن است. حتی اگر مهاجمان بخشی از یک شبکه را در معرض خطر قرار دهند، نمی توانند از نقطه به خطر افتاده برای دسترسی به بخش دیگری استفاده کنند.
4. محافظت از اپلیکیشن های حیاتی، Micro segmentation کمک می کند که تهدیدات را بهتر ببینید و بار کاری workload و اپلیکیشن های مربوط به محیط ها و پلتفرم های مختلف را بهتر اجرا کنید. همچنین دامنه حرکت جانبی یک رخداد امنیتی را از یک ماشین مجازی، سرویس یا کانتینرِ به خطرافتاده به موارد دیگر محدود می کند.
5. میکروسگمنتیشن سیاست های اجرایی را به جای سخت افزار شبکه با بارهای کاری خاص همراه می کند. این خط مشی ها عمدتاً خودکار بوده و می توانند بارهای کاری مجزا را در هر جایی که در سراسر شبکه سفر می کنند همراهی کرده و به طور خودکار با هر گونه تغییر در زیرساخت سازگار شوند.
6. اشتباهات و سهل انگاری ها کاهش می یابد زیرا فایروال ها و روترها برای تطبیق تغییرات یا ارتقاء زیرساخت امنیتی یک شرکت دیگر نیازی به پیکربندی دستی ندارند.
7. دستیابی به انطباق قانونی، میکروسگمنتیشن امنیت بهتری فراهم کرده و انطباق اپلیکیشن ها را با فرامین قانونی تضمین می کند. کنترل و دید گرانولار بر روی حجم های کاری حساس، حاکی از امنیت و تفکیک داده هاست که با هدف ساده سازی ممیزی ها و انطباق اسناد صورت می گیرد.
8. نواحی دارای مشکل یا جریان های کاری بیش از حد بارگذاری شده را می توان جدا کرد و به آنها پرداخت. خلاء های موجود میان مراکز داده ابری،container و on-premises حذف می شوند.
9. فناوری اطلاعات در نحوه ایمن سازی حجم کاری انعطاف پذیری بیشتری به دست می آورد. میکروسگمنتیشن به شرکت ها این توانایی را می دهد که یک خط مشی واحد و یکپارچه برای مدیریت دسترسی، امنیت و تشخیص سرقت و کاهش آن اعمال کنند که بدون توجه به تغییرات زیرساخت، به طور خودکار سازگار می شود.
10. میکروسگمنتیشن به عنوان یک مدل معماری به ایجاد پایه و اساس یک مدل امنیتی با zero-trust کمک می کند، که در آن ترافیک بر اساس اصل حداقل امتیاز محدود است.
ميکروسگمنتيشن علاوه بر امنيت ديتاسنترها و سرورهای ابری، تأثير بسيار قابل توجهی در افزايش امنيت در حوزه اينترنت اشياء دارد. در سال های اخير دستگاه های IOT به ميزان قابل توجهی آماج حملات سايبری قرار گرفته اند. اگرچه اخلال در عملکرد دستگاه های IOT در روند انجام بسياري از خدمات، سرويس ها و حتي توليد کالاهای صنعتی و تجاری تأثيرات مخربی خواهد داشت اما امنيت در حوزه IOT در بعضی از حوزه های کاربردی غيرقابل جبران خواهد بود. آمارها ما را با واقعيت های هولناکی روبرو مي کند. در سال های اخير به طور ميانگين ۸۰ درصد از مراکز پزشکی که از دستگاه های IOT استفاده مي کنند، مورد حملات سايبری قرار گرفته اند. حملاتی که عدم توانايی در دفع آنها مي تواند به از دست رفتن جان يک انسان منجر شود و يا حتی آسيب ها و عوارض حاد جسماني که اثرات آن تا پايان عمر با يک انسان بي گناه همراه خواهد بود، بر جاي بگذارد. در ميکروسگمنتيشن هکر نمي تواند دستگاه هدف و يا قربانی خود را به راحتی در شبکه پيدا کند و گاهی حتی مجبور خواهد بود برای کنترل يک دستگاه مشخص، چندين بخش از اجزای شبکه يا دستگاه های موازی را نيز به کنترل خود درآورد. ميکروسگمنتيشن دورنمای روشن و اميدوارکننده ای از آينده امنيت سايبری برای ما به تصوير مي کشد. آينده ای که در آن اينترنت اشياء یا IOT و رايانش ابری یا cloud computing نقش آفرينی بسيار گسترده تر و پررنگ تری در زندگی ما خواهند داشت.
Micro segmentation در حال تبدیل شدن به یک ابزار محبوب برای سازمان هایی است که به دنبال راه هایی برای بهبود امنیت شبکه هستند و شرکت ها را قادر می سازد تا سیاست های امنیتی جامع را در سراسر شبکه های خود حفظ کنند. اجرای Micro-segmentation مستلزم سازگاری و برنامه ریزی مناسب است و می تواند چالش های زیر را ایجاد کند:
• قوانین باید دائماً مورد بازبینی قرار گیرند تا از مناسب بودن آنها اطمینان حاصل شود.
• عملکرد باید برای حصول اطمینان از برآورده شدن اهداف مورد تجزیه و تحلیل قرار گیرد.
• تغییرات در الگوهای ترافیک یا معرفی برنامه های کاربردی جدید باید مورد توجه و رسیدگی قرار گیرد. هر برنامه کاربردی، به ویژه برنامه های کاربردی حساس به عملکرد، ممکن است برای Micro segmentation مناسب نباشد.
• Micro segmentation پیچیده است، مدل سازی رفتار برنامه ها و محاسبه حجم کاری بسیار مهم است. در غیر این صورت، ممکن است مشکلات اتصال و در دسترسی رخ دهد.
• پشتیبانی حیاتی است، یک استراتژی Micro segmentation موفق به پشتیبانی از چندین گروه IT، از جمله تیم های محاسباتی، شبکه، ابر و امنیت نیاز دارد. درک واضح، ارتباط و تعامل ضروری است.
در سال ۲۰۱۳ شرکت VMware با انتشار VMware NSX، پیشگام میکروسگمنتیشن شد، که VMware را به دنیای مجازی سازی شبکه های نرم افزاری و امنیتی سوق داد. این نسخه اولیه به مشتریان امکان داد تا یک پشته کامل لایه ۲-لایه ۴ را در نرم افزار اجرا کنند. فلسفه این بود که بهترین حالت امنیت را برای عملیاتی کردن در دسترس قرار دهد. برخی از مشتریان از NSX برای تقسیم بندی شبکه استفاده کردند، آن ها به جای استفاده از سخت افزار، مناطق امنیتی مجازی را در نرم افزار ایجاد کردند. سایر مشتریان NSX را برای Micro Segmentation پذیرفتند، آن ها اکنون قادر به ارائه حفاظت granular برای برنامه ها در مرکز داده هستند. یک الگوی استفاده معمولی، شامل ایمن سازی زیرساخت دسکتاپ مجازی یا VDI با متمرکز کردن تمام ترافیک در مرکز داده است. مشتریان VMware می خواستند Micro-Segmentation را گسترش دهند تا شامل لایه ۷ اپلیکیشن شناسه و سیاست های مبتنی بر شناسه کاربر شود. این مشتریان هم چنین می خواستند برنامه های مرکز داده خود را بخش بندی کنند. فایروال service-defined VMware یک فایروال داخلی توزیع شده است که از تمام ترافیک east to west با امنیت ذاتی زیرساخت محافظت می کند و مدل استقرار امنیتی را به طور اساسی ساده می کند. NSX از آغاز ساده خود که تنها با خط مشی های لایه ۲-۴ Micro-Segmentation را ارائه می کرد، به یک فایروال لایه ۲-۷ کامل و stateful با سیستم تشخیص و جلوگیری از نفوذ یا IDS/IPS و تجزیه و تحلیل عمیق از طریق VMware NSX Intelligence تبدیل شده است.
فایروال ها محصولی از مدل معماری شبکه client-server هستند و با بازرسی هر بسته ای که به شبکه وارد و از آن خارج می شود، از کاربران محافظت می کنند. آنها برای تعیین مخاطره آمیز یا نبودن بسته ها از مجموعه ای از قوانین از پیش تعریف شده استفاده می کنند. اگر بسته مخربی پیدا شود، فایروال از ورود آن به شبکه جلوگیری می کند. فایروال ها برای پاسخگویی به نیازهای شبکه های مدرن پیچیده تر شده اند. علاوه بر بررسی بسته ها، امروزه فایروال های مدرن می توانند ترافیک را در طول زمان ردیابی کنند، فیلتر لایه برنامه را ارائه دهند و بازرسی دقیق بسته ها به همراه قابلیت های دیگر را نیز انجام دهند. NGFW ها دارای سیستم های پیشرفته حفاظت از نفوذ هستند و می توانند از منابع اطلاعاتی خارجی برای شناسایی دقیق تر ترافیک احتمالی مخرب استفاده کنند. فایروال ها شبکه ها یا کاربران مجزا را شامل می شوند و نمی توانند به مراکز داده یا ابرهای خارجی گسترش یابند. میکروسگمنتیشن با استفاده از یک رویکرد کاملا متفاوت، شبکه را به مناطق قابل تعریف تقسیم می کند و سپس برای تعیین اینکه چه کسی می تواند به منابع موجود در هر منطقه دسترسی داشته باشد، از سیاست های خاصی استفاده می کند. تمرکز Micro segmentation بر ترافیک سرور به سرور است تا کلاینت-سرور و همچنین می تواند در تنظیمات داخلی و خارجی استفاده شود.