Embracing Zero Trust (Phần 3/7): Phân đoạn logic và vật lý

Là một phần của loạt bài đang diễn ra thảo luận về bảy nguyên tắc trong mô hình Zero Trust của chúng tôi, blog này tập trung vào nguyên tắc thứ ba, phân khúc hợp lý và vật lý cũng như cách chúng tôi áp dụng nguyên tắc đó trong công ty của mình.

Trong thế giới CNTT và OT, các mối đe dọa an ninh mạng, kỹ thuật và chiến thuật của các tác nhân đe dọa đang phát triển theo cấp số nhân mỗi ngày. Sự hội tụ của môi trường máy tính CNTT và OT, vốn có thể khó bảo mật, đang làm gia tăng rủi ro an ninh mạng ở nhiều công ty, đặc biệt là các công ty công nghiệp.

Phân đoạn logic và vật lý của các mạng có thể giúp giảm thiểu những rủi ro này vì nó thể hiện triết lý không tin tưởng “không bao giờ tin tưởng, luôn xác minh” bằng cách giả định rằng lưu lượng truy cập trên bất kỳ loại mạng nào cũng có thể gây ra mối đe dọa.

Phân đoạn mạng là gì?

Dưới đây là tổng quan ngắn gọn về phân đoạn mạng, bao gồm sự khác biệt giữa phân đoạn logic và vật lý, cũng như phân đoạn vi mô.

Trong một môi trường điển hình, phân đoạn mạng liên quan đến việc chia mạng thành một số mạng con dựa trên các tiêu chí như vị trí địa lý, chức năng, mức độ quan trọng, rủi ro và mức độ bảo mật. Các công ty sử dụng phân đoạn mạng để kiểm soát và giám sát lưu lượng tốt hơn bằng cách sử dụng các chính sách được bật không chỉ vì mục đích bảo mật mà còn để cải thiện hiệu suất mạng. Từ góc độ bảo mật, phân đoạn có thể giúp kiểm soát quyền truy cập vào các hệ thống nhạy cảm và với các mạng con, nó giúp giảm bề mặt tấn công, cô lập các vi phạm và giảm thiểu bán kính vụ nổ trong một cuộc tấn công.

Đi sâu hơn một chút, phân đoạn logic dựa trên phần mềm và thường sử dụng mạng cục bộ ảo (VLAN), trong khi phân đoạn vật lý sử dụng phần cứng để tạo các mạng vật lý nhỏ hơn được phân tách bằng tường lửa vật lý. Phân đoạn vi mô là một kỹ thuật dựa trên phần mềm cụ thể được sử dụng cho an ninh mạng cho phép phân tách quyền truy cập vào mạng một cách chi tiết hơn. Chẳng hạn, nó có thể phân chia mọi người theo vai trò cũng như các ứng dụng và thiết bị họ sử dụng.

Cách Schneider Electric áp dụng nguyên tắc này

Như đã đề cập trước đó, phân đoạn mạng đặc biệt quan trọng trong thế giới công nghiệp. Theo truyền thống, các mạng CNTT hỗ trợ các ứng dụng và máy tính tách biệt với các mạng OT giúp các công ty kết nối, giám sát, quản lý và bảo mật các hoạt động công nghiệp. Tuy nhiên, ngày nay, các mạng CNTT và OT đang hội tụ, đặc biệt là thông qua các công nghệ như Internet vạn vật (IoT), vốn rất cần thiết cho môi trường OT.

Chúng tôi tin rằng nên tách biệt các mạng CNTT và OT quan trọng với nhau, vì thường có những rủi ro cố hữu ở mỗi khu vực cần các loại kiểm soát và bảo mật khác nhau. Ví dụ: rủi ro mạng trên thiết bị của ai đó được kết nối với một trong các mạng CNTT của chúng tôi rất khác so với sự cố mạng trên camera an ninh có thể dẫn đến phá hoại tài sản được kết nối OT trong khu vực công nghiệp. Việc phân đoạn cũng hữu ích ở những khu vực có vấn đề địa chính trị, nơi có nguy cơ bị tấn công an ninh mạng cao hơn.

Tại Schneider Electric, chúng tôi sử dụng VLAN để giúp hạn chế luồng lưu lượng truy cập bất chính và ngăn chặn hoạt động thu thập dữ liệu có thể xảy ra do mối đe dọa trên mạng. Chúng tôi sử dụng tường lửa để bảo vệ tài sản “viên ngọc quý” có giá trị và cũng để bảo vệ các trang web cụ thể. Chúng tôi có các công cụ trí tuệ nhân tạo và máy học thế hệ tiếp theo giúp chúng tôi theo dõi và phân tích lưu lượng truy cập mạng để liên tục xác thực các quy tắc phân đoạn của mình. Điều này giúp chúng tôi xác định lưu lượng truy cập nào là cần thiết, lưu lượng nào được liên kết với một cổng hoặc giao thức nguy hiểm hoặc không an toàn và những cổng bắt buộc nào phải luôn được bảo mật.

Chúng tôi cũng sử dụng phân đoạn vi mô, cho phép chúng tôi nâng cao khả năng không tin cậy của mình bằng cách quản lý mạng bằng các chính sách bảo mật chi tiết hơn so với các loại phân đoạn khác. Tương tự như các quy trình đặc quyền truy cập ít nhất của chúng tôi, phân đoạn vi mô có thể giúp giảm nguy cơ tấn công mạng bằng cách cải thiện tính bảo mật của ứng dụng, người dùng, thiết bị và các khu vực khác cần quản trị bảo mật chi tiết hơn.

Chúng tôi tin rằng việc phân đoạn là rất quan trọng trong việc giúp ngăn chặn chuyển động ngang và lây lan phần mềm độc hại từ các tác nhân đe dọa có thể xâm nhập vào mạng của chúng tôi, cũng như giúp chúng tôi tránh bị rò rỉ dữ liệu quan trọng. Chúng tôi cũng tin rằng đối với những tài sản quan trọng nhất của một công ty, an ninh vật lý thực tế, với camera và hạn chế ở một số khu vực nhất định, cũng rất cần thiết.

Bất kể loại nào, phân khúc là rất quan trọng ngày nay

Cả phân đoạn logic và vật lý đều có những lợi ích riêng. Phân đoạn logic có thể được tự động hóa và thường không liên quan đến phần cứng mới, làm cho nó linh hoạt hơn và ít tốn kém hơn. Phân đoạn vật lý có thể được thực hiện và quản lý dễ dàng hơn.

Mặc dù trước đây, phân đoạn mạng có thể được sử dụng chủ yếu để giám sát các mạng, nhưng ngày nay, nó là một điều cần thiết quan trọng đối với các công ty coi trọng vấn đề an ninh mạng.

_{Đọc phần một và hai của bộ truyện.}