नेटवर्क विभाजन
नेटवर्क विभाजन एक नेटवर्क को उनके बीच नियंत्रित ट्रैफ़िक के साथ छोटे क्षेत्रों में विभाजित करने की प्रथा है। इसके विपरीत - एक सपाट नेटवर्क जहां हर उपकरण एक दूसरे तक पहुंच सकता है - अनगिनत बड़े पैमाने पर उल्लंघनों का कारण रहा है। विभाजन पैटर्न को समझने से स्पष्ट होता है कि कॉर्पोरेट आईटी को इस तरह का आकार क्यों दिया गया है और घरेलू नेटवर्क को इसी तरह मजबूत करने के लिए क्या करना होगा।
संपूर्ण लेख का मुख्य भाग नीचे अंग्रेजी में दिया गया है।
नेटवर्क विभाजन एक नेटवर्क को उनके बीच नियंत्रित ट्रैफ़िक के साथ अलग-अलग क्षेत्रों में तोड़ने का वास्तुशिल्प अभ्यास है। प्रत्येक जोन की अपनी नीति है कि क्या प्रवेश कर सकता है और क्या छोड़ सकता है। लक्ष्य: किसी भी समझौते के विस्फोट त्रिज्या को सीमित करना। एक क्षेत्र में उल्लंघन से स्वचालित रूप से दूसरों तक पहुंच प्रदान नहीं की जानी चाहिए।
फ्लैट नेटवर्क खतरनाक क्यों हैं समस्याएँ:- एक समझौता किया गया डिवाइस हर दूसरे डिवाइस को स्कैन और हमला कर सकता है।
- प्रारंभिक समझौते के बाद पार्श्व आंदोलन अप्रतिबंधित है। फ्रेमवर्क (पीसीआई-डीएसएस, एचआईपीएए) को तेजी से विभाजन की आवश्यकता होती है। उद्यम):
- DMZ - सार्वजनिक-सामना वाले सर्वर (वेब, मेल), इंटरनेट से पहुंच योग्य, आंतरिक तक पहुंच प्रतिबंधित
- आंतरिक - कॉर्पोरेट कार्यस्थान, आंतरिक सेवाएं
- सुरक्षित क्षेत्र - संवेदनशील डेटाबेस, पहचान बुनियादी ढांचे, सामान्य से बंद एक्सेस
प्रति-फ़ंक्शन सेगमेंट (मध्य-उद्यम):
- वर्कस्टेशन VLAN
- सर्वर VLAN
- VoIP VLAN
- प्रिंटर VLAN
- अतिथि वाई-फाई VLAN
- IoT VLAN
- प्रबंधन VLAN (केवल व्यवस्थापक उपयोगकर्ताओं के लिए पहुंच योग्य)
माइक्रोसेगमेंटेशन (आधुनिक शून्य) ट्रस्ट: GCP फ़ायरवॉल नियम हमारा VLAN आलेख देखें। क्लासिकल बिल्डिंग ब्लॉक.
- Subnetting - परत-3 विभाजन; प्रति जोन अलग-अलग आईपी रेंज। राउटर उनके बीच नीति लागू करते हैं। भौतिक (पालो ऑल्टो, फोर्टिनेट उपकरण) या वर्चुअल (क्लाउड सुरक्षा समूह) हो सकते हैं। प्रति-सेवा एमटीएलएस माइक्रोसर्विसेज के लिए पहचान-आधारित विभाजन को लागू करता है। त्रिज्या लेकिन विशिष्ट खतरों को नहीं रोकता है: सेगमेंटेशन.
- सेगमेंट के बीच बहने वाला सर्विस ट्रैफिक (डेटाबेस एक्सेस की आवश्यकता वाले वेब सर्वर) वैध लेकिन शोषण योग्य पथ बनाता है। शुद्ध नेटवर्क विभाजन आवश्यक है लेकिन पर्याप्त नहीं है।
घरेलू नेटवर्क के लिएul>
- मुख्य LAN - लैपटॉप, फोन, डिवाइस जिन पर आप भरोसा करते हैं। इंटरनेट की अनुमति दें, मुख्य LAN से इनबाउंड को नियंत्रित करने की अनुमति न दें।
- गेस्ट वाई-फाई - आगंतुकों के लिए, बाकी सब चीजों से अलग। काम और व्यक्तिगत उपकरणों के बीच आकस्मिक डेटा मूवमेंट को कम करता है। प्रोज्यूमर गियर (यूबिक्विटी, मिक्रोटिक, ओपीएनसेंस पीसी) उचित वीएलएएन का समर्थन करता है। हार्डवेयर निवेश घटना-विस्फोट-त्रिज्या में कमी में वापस आता है।
जीरो ट्रस्ट एक्सटेंशन
जीरो ट्रस्ट मॉडल में नेटवर्क विभाजन एक व्यापक प्रणाली का एक हिस्सा है। जीरो ट्रस्ट मानता है कि नेटवर्क पर ही भरोसा नहीं किया जा सकता; प्रत्येक एक्सेस अनुरोध प्रमाणित और अधिकृत है, चाहे वह किसी भी खंड से उत्पन्न हुआ हो। हमारा Zero Trust आलेख देखें न तो अकेला आधुनिक उत्तर है; साथ में वे समकालीन सर्वोत्तम अभ्यास बनाते हैं।
- DMZ - सार्वजनिक-सामना वाले सर्वर (वेब, मेल), इंटरनेट से पहुंच योग्य, आंतरिक तक पहुंच प्रतिबंधित
- आंतरिक - कॉर्पोरेट कार्यस्थान, आंतरिक सेवाएं
- सुरक्षित क्षेत्र - संवेदनशील डेटाबेस, पहचान बुनियादी ढांचे, सामान्य से बंद एक्सेस
प्रति-फ़ंक्शन सेगमेंट (मध्य-उद्यम):
- वर्कस्टेशन VLAN
- सर्वर VLAN
- VoIP VLAN
- प्रिंटर VLAN
- अतिथि वाई-फाई VLAN
- IoT VLAN
- प्रबंधन VLAN (केवल व्यवस्थापक उपयोगकर्ताओं के लिए पहुंच योग्य)
माइक्रोसेगमेंटेशन (आधुनिक शून्य) ट्रस्ट: GCP फ़ायरवॉल नियम हमारा VLAN आलेख देखें। क्लासिकल बिल्डिंग ब्लॉक.
घरेलू नेटवर्क के लिएul>
जीरो ट्रस्ट एक्सटेंशन
जीरो ट्रस्ट मॉडल में नेटवर्क विभाजन एक व्यापक प्रणाली का एक हिस्सा है। जीरो ट्रस्ट मानता है कि नेटवर्क पर ही भरोसा नहीं किया जा सकता; प्रत्येक एक्सेस अनुरोध प्रमाणित और अधिकृत है, चाहे वह किसी भी खंड से उत्पन्न हुआ हो। हमारा Zero Trust आलेख देखें न तो अकेला आधुनिक उत्तर है; साथ में वे समकालीन सर्वोत्तम अभ्यास बनाते हैं।
अक्सर पूछे जाने वाले प्रश्नों
- क्या मुझे घर पर विभाजन की आवश्यकता है?
- यदि आपके पास IoT डिवाइस हैं जिन पर आप पूरी तरह भरोसा नहीं करते हैं (जो कि अधिकांश IoT है), हाँ। डिफ़ॉल्ट फ्लैट होम नेटवर्क आपके लैपटॉप को कैमरे, लाइट बल्ब और स्मार्ट स्पीकर के समान सेगमेंट में रखता है - जिनमें से किसी एक से समझौता किया जा सकता है और बाकी पर हमला करने के लिए इस्तेमाल किया जा सकता है। यहां तक कि IoT के लिए एक अतिथि नेटवर्क भी सार्थक है।
- सबसे सरल गृह विभाजन उन्नयन क्या है?
- IoT उपकरणों के लिए अपने राउटर के अतिथि नेटवर्क का उपयोग करें। अधिकांश राउटर्स के पास यह है। यह उचित वीएलएएन जितना अच्छा नहीं है लेकिन यह एक उचित प्रारंभिक बिंदु है। वास्तविक विभाजन के लिए, वीएलएएन समर्थन (एक छोटे पीसी पर यूबिक्विटी यूनिफाई, ओपीएनसेंस) के साथ प्रॉज्यूमर राउटर की कीमत लगभग 200 डॉलर है और नाटकीय रूप से अधिक सक्षम है।
- क्या माइक्रोसेगमेंटेशन वीएलएएन की जगह ले सकता है?
- क्लाउड/कुबेरनेट्स वातावरण में, हाँ - कार्यभार की पहचान नेटवर्क स्थान को बदल देती है। मिश्रित ट्रैफ़िक वाले भौतिक नेटवर्क के लिए, वीएलएएन व्यावहारिक बिल्डिंग ब्लॉक बना हुआ है। दोनों दृष्टिकोण आधुनिक संकर वातावरण में सह-अस्तित्व में हैं।
- विभाजन फ़ायरवॉल से किस प्रकार भिन्न है?
- फ़ायरवॉल खंडों के बीच नीति लागू करते हैं। विभाजन, खंडों को पहले स्थान पर रखने का वास्तुशिल्प निर्णय है। आपके पास सार्थक विभाजन के बिना फ़ायरवॉल (परिधि फ़ायरवॉल के साथ एक बड़ा नेटवर्क) और मजबूत फ़ायरवॉल के बिना सेगमेंट (उनके बीच अनुमेय रूटिंग के साथ वीएलएएन) हो सकते हैं। संयोजन ही काम करता है.
- क्या विभाजन से मेरा नेटवर्क धीमा हो जाएगा?
- न्यूनतम आधुनिक हार्डवेयर पर। स्टेटफुल फ़ायरवॉल निरीक्षण का सीपीयू ओवरहेड घर और छोटे-कार्यालय बैंडविड्थ स्तर पर छोटा है। लाभ (एक समझौते से कम विस्फोट त्रिज्या) नगण्य प्रदर्शन लागत से कहीं अधिक है।