Что такое микросегментация в сетях Ethernet

Обновлено: 21.11.2024

Полнодуплексная передача позволяет передавать данные между двумя системами одновременно в обоих направлениях. Обе системы могут отправлять и получать одновременно. Телефонная система использует полнодуплексную передачу, при которой обе стороны говорят и слышат одновременно. Полнодуплексная передача через Ethernet возможна с использованием витой пары и оптоволоконных кабелей, где для передачи в каждом направлении используются отдельные пары и стеклянные проводники, что удваивает пропускную способность.

Настройка параметров дуплекса на коммутаторе Cisco

Команда конфигурации дуплексного интерфейса используется для указания дуплексного режима работы порта. Есть три дуплексных режима Auto, Full и Half. По умолчанию порты Fast и Gigabit Ethernet находятся в автоматическом режиме, в котором происходит автоматическое согласование дуплекса и скорости.

Чтобы изменить настройку двусторонней печати, используйте следующую команду

Микросегментация — это сегментация домена коллизий на несколько сегментов. Основная цель этого процесса — сегментировать сеть таким образом, чтобы можно было создать как можно больше доменов коллизий. Домен коллизий — это общий сегмент между двумя или, возможно, более устройствами, которые совместно используют сегмент Ethernet и должны соблюдать правила CSMA/CD, поэтому при совместном использовании сегмента несколькими устройствами возникают серьезные проблемы с производительностью. Это было основной причиной, по которой первоначальный стандарт Ethernet, в котором использовался общий коаксиальный кабель, нуждался в улучшении.

Мосты — это устройства, которые работают на канальном уровне модели OSI и используются для сегментации сети Ethernet. Благодаря сегментации мосты могут решить две ключевые проблемы в сети Ethernet: коллизия кадров и общая пропускная способность. Коллизии являются частью работы сети Ethernet, поскольку многие устройства используют один и тот же физический сегмент. Коллизия возникает, когда два или более хоста пытаются установить связь одновременно, поэтому говорят, что они находятся в одном домене коллизий. Это также означает, что хосты будут получать только часть доступной пропускной способности из-за общего подключения.

Мосты позволяют сегментировать сеть Ethernet на несколько доменов коллизий, тем самым уменьшая количество коллизий и увеличивая доступную полосу пропускания.

Рисунок 1

Как показано на рисунке выше, мост делит сеть Ethernet на два домена коллизий. При этом каждый хост будет делить полосу пропускания только с хостами в том же сегменте (домен конфликтов).

Как и мосты, коммутаторы выполняют ту же функцию сегментации сети на несколько доменов коллизий, но у них много портов, каждый из которых обычно подключается к одному хосту, что приводит к микросегментации сети Ethernet, где каждый порт находится в разных доменах. область коллизий. Коммутируемая сеть Ethernet заменяет общую сеть Ethernet, увеличивая пропускную способность сети, поскольку каждый порт коммутатора имеет доступ к полной пропускной способности.

На рис. 2 показана коммутируемая сеть Ethernet. Каждый хост находится в другом домене коллизий, что увеличивает пропускную способность каждого порта до полной пропускной способности.

Рисунок 2

На этом мы подошли к концу этого урока, на котором мы обсудили дуплекс и микросегментацию, которые являются одной из фундаментальных тем сетевых технологий. Микросегментация — это одна из основных концепций локальных сетей Ethernet, и она поможет нам понять работу протокола связующего дерева (STP) на следующих уроках.

Инструменты

Микросегментация – это метод создания безопасных зон в центрах обработки данных и облачных развертываниях, который позволяет компаниям изолировать рабочие нагрузки друг от друга и защищать их по отдельности. Он направлен на то, чтобы сделать сетевую безопасность более детализированной.

Микросегментация и VLAN, брандмауэры и списки контроля доступа

Сетевая сегментация не нова. Компании годами полагаются на межсетевые экраны, виртуальные локальные сети (VLAN) и списки контроля доступа (ACL) для сегментации сети. При микросегментации политики применяются к отдельным рабочим нагрузкам для повышения устойчивости к атакам.

«В то время как виртуальные локальные сети позволяют выполнять очень грубую сегментацию, микросегментация позволяет выполнять более точную сегментацию. Так что везде, где вам нужно приступить к гранулированному разделению трафика, вы найдете его там, – говорит аналитик Зевс Керравала, основатель ZK Research и участник Network World.

НЕ ПРОПУСТИТЕ:

Появление программно-определяемых сетей и виртуализации сетей проложило путь к микросегментации. «Мы можем работать с программным обеспечением на уровне, который не связан с базовым оборудованием, — говорит Керравала. — Это значительно упрощает развертывание сегментации».

Как микросегментация управляет трафиком центра обработки данных

Традиционные брандмауэры, системы предотвращения вторжений (IPS) и другие системы безопасности предназначены для проверки и защиты трафика, поступающего в центр обработки данных в направлении север-юг. Микросегментация дает компаниям больший контроль над растущим объемом восточно-западной или боковой связи, которая происходит между серверами, минуя инструменты безопасности, ориентированные на периметр. В случае взлома микросегментация ограничивает потенциальное боковое исследование сетей хакерами.

«Большинство компаний размещают все свои ценные инструменты безопасности в центре обработки данных: брандмауэры, IPS. И поэтому трафик, движущийся с севера на юг, должен проходить через эти брандмауэры. Если он движется с востока на запад, он обходит эти инструменты безопасности», — говорит Керравала. «Можно установить брандмауэры в каждой точке соединения, но это будет слишком дорого. Это также не очень гибко."

Сетевые специалисты или специалисты по безопасности занимаются микросегментацией?

Микросегментация набирает обороты, но все еще остаются вопросы о том, кому она принадлежит. На крупном предприятии эту работу может возглавить инженер по сетевой безопасности. В небольших компаниях команда, занимающаяся безопасностью и сетевыми операциями, может возглавить развертывание микросегментации.

"Я не знаю, есть ли на самом деле одна группа, которая отвечает за это. Я думаю, это зависит от того, для чего вы его используете", — говорит Керравала. Он видит интерес со стороны специалистов по безопасности и работе с сетями.

"Я думаю, поскольку он работает как сетевой оверлей, в большинстве случаев службам безопасности легко развернуть его, а затем запустить его поверх сети. например, защищенные устройства Интернета вещей. На самом деле это две основные аудитории».

Преимущества микросегментации и проблемы безопасности

С помощью микросегментации ИТ-специалисты могут адаптировать параметры безопасности к различным типам трафика, создавая политики, ограничивающие потоки сети и приложений между рабочими нагрузками до тех, которые явно разрешены. В этой модели безопасности с нулевым доверием компания может, например, настроить политику, согласно которой медицинские устройства могут взаимодействовать только с другими медицинскими устройствами. И если устройство или рабочая нагрузка перемещаются, политики безопасности и атрибуты перемещаются вместе с ними.

Цель состоит в том, чтобы уменьшить поверхность сетевой атаки. Применяя правила сегментации к рабочей нагрузке или приложению, ИТ-отдел может снизить риск перехода злоумышленника от одной скомпрометированной рабочей нагрузки или приложения к другому.

Еще одним фактором является операционная эффективность. Списки управления доступом, правила маршрутизации и политики брандмауэра могут стать громоздкими и привести к большим затратам на управление, что затрудняет масштабирование политик в быстро меняющихся средах.

Микросегментация обычно выполняется в программном обеспечении, что упрощает определение сегментов с высокой степенью детализации. А благодаря микросегментации ИТ-специалисты могут централизовать политику сегментации сети и сократить количество необходимых правил брандмауэра.

Конечно, это непростая задача — будет непросто консолидировать многолетние правила брандмауэра и списки контроля доступа и преобразовать их в политики, которые можно применять в современных сложных распределенных корпоративных средах.

Для начала сопоставление связей между рабочими нагрузками, приложениями и средами требует прозрачности, которой не хватает многим предприятиям.

"Одна из самых больших проблем с сегментацией заключается в том, что вы должны знать, что сегментировать. Мое исследование показывает, что 50% компаний практически не уверены в том, что они знают, какие ИТ-устройства находятся в сети. Если вы даже не знаете, какие устройства находятся в сети, как вы узнаете, какие сегменты создавать? Недостаточно информации о потоках в центрах обработки данных», — говорит Керравала.

Присоединяйтесь к сообществам Network World на Facebook и LinkedIn, чтобы комментировать самые важные темы.

Энн Беднарз пишет, назначает и редактирует тематические статьи, предназначенные для корпоративных ИТ-специалистов.

В наши дни вводится много новых терминов, и становится необходимым знать об этих терминах и хорошо их понимать. В этом блоге мы представляем термины микросегментации и нулевого доверия. Мы обсудим их функциональность и чем они отличаются друг от друга.

Сначала начнем с микросегментации.

Микросегментация — это метод сетевой безопасности, который помогает архитекторам безопасности разумно разделить центр обработки данных на различные сегменты безопасности вплоть до индивидуального уровня рабочей нагрузки, а затем мы определяем элементы управления безопасностью со ссылкой на каждую рабочую нагрузку.

Именно микросегментация позволяет ИТ-отрасли развертывать различные политики безопасности внутри центра обработки данных с помощью технологии виртуализации сети.

В этом методе нет необходимости устанавливать несколько брандмауэров. Микросегментация также используется для защиты виртуальной машины (ВМ) в корпоративной сети, управляемой политикой.

Поскольку политики безопасности при микросегментации применяются к отдельным сетям, они действуют как защита от атак.

Микросегментация использует технологию виртуализации сети для создания отдельных защищенных зон во всех центрах обработки данных и облачных средах, а также изолирует отдельные рабочие нагрузки и обеспечивает их безопасность.

Как микросегментация помогает в работе с сетью? (сетевая микросегментация)

Архитектура микросегментации помогает сетям, создавая «демилитаризованные зоны» в целях безопасности в пределах одного или нескольких центров обработки данных.

При этом подробные политики безопасности привязаны к отдельным рабочим нагрузкам и ограничивают возможности злоумышленника выйти из центра обработки данных, даже если он проникнет через защиту периметра.

Это просто означает, что он может легко устранить межсерверные угрозы в центре обработки данных, надежно изолировать сети друг от друга и снизить вероятность общей поверхности атаки сети.

Когда вы сравниваете различных поставщиков микросегментации, всегда помните об одном: ищите поставщика, который использует передовую технологию микросегментации и предлагает достойные решения.

Он также должен иметь функцию гибкого создания политик и такие возможности, как обнаружение нарушений. Это упростит процесс внедрения и поможет вам быстро выиграть с самого начала.

В процессе внедрения важно выбрать перспективный подход, чтобы его можно было легко объединить с текущими моделями, такими как контейнеры, в дополнение к виртуальным машинам, серверам без операционной системы и облачным экземплярам.

Теперь мы перейдем к другой терминологии — нулевому доверию?

Что такое НУЛЕВОЕ ДОВЕРИЕ?

Нулевой уровень доверия – это стратегическая инициатива, которая помогает предотвратить успешную утечку данных путем исключения концепции доверия из сетевой архитектуры организации. Он основан на принципе «никогда не доверяй, всегда проверяй».

Он предназначен для защиты современной цифровой среды от использования сегментации сети, предотвращения угроз уровня 7, предотвращения горизонтального перемещения и упрощения контроля доступа пользователей к деталям.

Концепция нулевого доверия была введена Джоном Киндервагом, когда он был вице-президентом и главным аналитиком Forrester Research, и основана на понимании того, что традиционные методы моделей безопасности работают на устаревших предположениях, которые говорят внутри сети каждой организации. есть доверие.

В рамках модели Zero Trust считается, что личность пользователя никоим образом не скомпрометирована, и все пользователи действуют ответственно и им можно доверять. Эта модель говорит, что доверие уязвимо.

После того, как пользователи в сети, в том числе злоумышленники и внутренние злоумышленники, смогут свободно перемещаться и получать доступ к любым данным. Нет предела. Имейте в виду, что проникновение атаки не часто является целевым местом.

Всегда помните одну вещь: эта модель основана не на создании надежной системы, а на устранении доверия. Большая часть утечки данных вызвана неправильным использованием привилегированных учетных данных.

Микросегментация против нулевого доверия

Теперь, когда мы ознакомились с основами микросегментации и нулевого доверия, приведенная ниже таблица поможет нам понять, чем они отличаются друг от друга.

Микросегментация – это метод обеспечения безопасности сети, который позволяет архитекторам безопасности логически разделить центр обработки данных на отдельные сегменты безопасности вплоть до уровня отдельных рабочих нагрузок, а затем определить элементы управления безопасностью и предоставлять услуги для каждого уникального сегмента. Микросегментация позволяет ИТ-отделам развертывать гибкие политики безопасности глубоко внутри центра обработки данных, используя технологию виртуализации сети, вместо установки нескольких физических брандмауэров. Кроме того, микросегментацию можно использовать для защиты каждой виртуальной машины (ВМ) в корпоративной сети с помощью средств управления безопасностью на уровне приложений на основе политик. Поскольку политики безопасности применяются к отдельным рабочим нагрузкам, программное обеспечение для микросегментации может значительно повысить устойчивость компании к атакам.

Обзор безопасности и микросегментации VMware NSX

Защитите трафик с востока на запад с помощью специального распределенного брандмауэра

Определение микросегментации

Программное обеспечение для микросегментации использует технологию виртуализации сети для создания все более детализированных зон безопасности в центрах обработки данных и облачных развертываниях, которые изолируют каждую отдельную рабочую нагрузку и защищают ее по отдельности.

Как микросегментация помогает в работе с сетью?

Микросегментация помогает в организации сети, создавая «демилитаризованные зоны» для обеспечения безопасности в пределах одного центра обработки данных и в нескольких центрах обработки данных. Связывая детализированные политики безопасности с отдельными рабочими нагрузками, программное обеспечение для микросегментации ограничивает возможности злоумышленника перемещаться по центру обработки данных даже после проникновения в систему защиты периметра. Это означает, что он может устранять межсерверные угрозы в центре обработки данных, надежно изолировать сети друг от друга и сокращать общую поверхность атаки инцидента сетевой безопасности.

Читайте также: