بخش بندی یا تقسیم‌ بندی شبکه (Network Segmentation) چیست؟

تقسیم‌ بندی شبکه به زیرشبکه‌های متعدد اشاره دارد که هر کدام با پروتکل‌های امنیتی خاص زیرشبکه برای جلوگیری از حرکت جانبی طراحی شده اند. این یکی از پرکاربردترین ابزارها برای کاهش سطح حمله شبکه جهت مقابله با حملات سایبری است.

چرا باید از تقسیم‌ بندی شبکه استفاده کنید؟

تقسیم بندی یک حالت دفاعی فعال است که مزایای کلیدی را نسبت به امنیت واکنشی ارائه می دهد.

با امنیت واکنشی، تیم ها ابتدا یک مصالحه را بررسی می کنند و سپس کنترل آسیب را انجام می دهند. این کار دست و پا گیر و گران است و همچنین می تواند شما را با از دست دادن داده ها، مسائل مربوط به انطباق و … مواجه کند.

امروزه تقسیم بندی شبکه یکی از رایج ترین راه های انجام این کار است.

انواع تقسیم‌ بندی شبکه

به طور سنتی، 2 نوع اصلی تقسیم بندی شبکه وجود دارد:

1. بخش‌بندی فیزیکی: از فایروال‌های مجزا، سیم‌کشی، سوئیچ‌ها و اتصالات اینترنتی برای جداسازی بخش‌های شبکه استفاده می‌کند. این نوع گران تر و مقیاس پذیرتر است.
2. بخش‌بندی مجازی: که به آن تقسیم‌بندی منطقی نیز گفته می‌شود، معمولاً جریان‌های ترافیک شبکه را با استفاده از شبکه‌های محلی مجازی (VLAN) تقسیم می‌کند، که می‌تواند توسط همان فایروال محافظت شود.

نمونه های تقسیم‌ بندی شبکه

• حرکت جانبی تهدیدات خارجی را متوقف کنید: بخش‌بندی بخش‌هایی از شبکه شما در داخل محیط به این معنی است که حتی اگر محیط شما هک شود، تمام داده‌های شما بلافاصله در معرض تهدید قرار نمی‌گیرند.
• حرکت جانبی تهدیدات داخلی را متوقف کنید: تقسیم‌بندی داده‌های داخلی بر اساس نیاز به دسترسی (مانند بخش) با غیرقابل دسترس کردن داده‌های مالی برای منابع انسانی، خطر تهدیدات داخلی را کاهش می‌دهد.
• شبکه‌های داخلی و مهمان جدا: با نگه داشتن مهمان‌ها در یک بخش مهمان، جدا از بقیه شبکه‌تان، می‌توانید بدون اینکه دستگاه‌ها و داده‌های داخلی خود را در معرض خطر قرار دهید، به ارائه اتصال راحت به آنها ادامه دهید.
• محافظت از داده‌های تنظیم‌شده و سازگاری: ذخیره داده‌های حساس، مانند اطلاعات کارت پرداخت، در یک بخش کاملاً با محدودیت دسترسی، بهتر از آن در برابر خطر محافظت می‌کند و شما را قادر می‌سازد تا از مقررات داده پیروی کنید.

مزایا تقسیم‌ بندی شبکه

از هر طرحی که یک سازمان استفاده می کند، یک شبکه تقسیم شده دارای مزایای واضحی نسبت به یک شبکه مسطح بدون سلسله مراتب یا شبکه های فرعی است. این مزایا عبارتند از:

• امنیت سایبری قوی‌تر برای داده‌های حساس: این مزیت شامل جلوگیری از هک، کنترل دسترسی دقیق‌تر و کنترل‌های امنیتی خاص برای هر بخش می‌شود.
• دشواری کمتر در برآوردن الزامات انطباق مقرراتی: محدود کردن افرادی که می‌توانند به داده‌های خاص دسترسی داشته باشند، تأیید انطباق و ممیزی برای مقررات صنعتی و دولتی مانند PCI DSS و GDPR را ساده می‌کند.
• تجزیه و تحلیل ریسک و کنترل آسیب ساده تر: وقتی مجرمان سایبری نمی توانند آزادانه در کل شبکه شما حرکت کنند، شناسایی تکنیک های آنها و شناسایی نقاط ضعف در وضعیت امنیتی شما آسان تر است.
• کاهش ازدحام شبکه: فعالیت در یک بخش آن را در قسمت دیگری از شبکه کاهش نمی دهد. به عنوان مثال، در یک فروشگاه خرده فروشی، مشتریانی که از Wi-Fi مهمان استفاده می کنند، تراکنش های کارت اعتباری را کاهش نمی دهند.

بهترین روش های تقسیم‌ بندی شبکه

برای کمک به شما در یادگیری راه درست جهت پیاده سازی و حفظ یک مدل تقسیم بندی شبکه موثر، در ادامه پنج تا از بهترین روش تقسیم بندی شبکه آورده شده که می توانید از آنها استفاده کنید.

1) بیش از حد بخش بندی نکنید!

بسیاری از سازمان ها در ابتدای راه اندازی شبکه های خود را بیش از حد بخش بندی می کنند. انجام این کار می تواند دید کلی شبکه شما را کاهش دهد و مدیریت را حتی از قبل از شروع تقسیم بندی دشوارتر کند. 

2) انجام ممیزی های منظم

تقسیم بندی شبکه یک راه عالی برای بهبود امنیت شبکه شما است، اما تنها زمانی موثر است که به طور مداوم بررسی کنید تا ببینید که آسیب پذیری ها بسته شده اند، مجوزها محدود هستند و به روز رسانی ها نصب شده اند. مهم‌تر از همه، ممیزی بخش‌های شما تضمین می‌کند که هیچ شکاف قابل بهره‌برداری وجود ندارد و خطرات شبکه کاهش می‌یابد.

3) از اصل کمترین امتیاز پیروی کنید

دسترسی با کمترین امتیاز می تواند مدیریت دسترسی را به طور کلی ایجاد کند یا از بین ببرد و در مورد تقسیم بندی شبکه نیز اهمیت چندانی ندارد. با اعمال اصل کمترین امتیاز در تمام بخش‌های شبکه خود، به کاربران، مدیران شبکه و تیم امنیتی خود تضمین می‌کنید که فقط در صورت لزوم دسترسی داده می‌شود.

4) دسترسی شخص ثالث را محدود کنید

اعطای دسترسی به کاربران شخص ثالث در حال حاضر با ریسک بالایی همراه است، بنابراین مهم است که چنین دسترسی را تنها در جایی که لازم است اعطا کنید، به خصوص اگر آن را به بخش های مختلف شبکه بدهید. تقسیم بندی خطر کلی برای شبکه شما را کاهش می دهد، اما این بدان معنا نیست که شما باید بدون در نظر گرفتن اینکه چگونه می تواند بر وضعیت امنیت شبکه شما تأثیر بگذارد، مجوزها را به اشخاص ثالث بدهید.

5) خودکارسازی

تقسیم بندی شبکه به سازمان شما مجموعه ای از فرصت های ارزشمند برای خودکارسازی می دهد. علاوه بر مزایای داده شده اتوماسیون به طور کلی – مانند افزایش دید، کاهش MTTR و بهبود امنیت، تقسیم خودکار شبکه به شما امکان می دهد تا به سرعت دارایی ها و داده های جدید را شناسایی و طبقه بندی کنید، که این بهترین روش تقسیم بندی است.

معایب تقسیم‌ بندی سنتی شبکه

چیزی که نمی‌توانیم نادیده بگیرید این است که در معماری‌های شبکه پیچیده امروزی که در چندین ابر و مراکز داده توزیع شده‌اند، فایروال قدیمی و مدل‌های تقسیم‌بندی VLAN دارای کاستی‌های عمده‌ای هستند.

فایروال های سنتی یک نقص کلیدی دارند که مستقیماً با تقسیم بندی مخالفت می کند: آنها شبکه های مسطحی ایجاد می کنند که امکان حرکت جانبی آسان را فراهم می کند. تلاش برای جبران این امر به قدری از نظر عملیاتی سنگین و پیچیده است که تقریباً غیرممکن به نظر می رسد. حتی فایروال های نسل بعدی، با تمام قابلیت های اضافه شده، همچنان کاربران را در شبکه شما برای دسترسی به برنامه ها قرار می دهند. VLANها نیز همین ضعف را دارند.

یک تقسیم بندی سنتی شما را با موارد زیر مواجه می کند:

• اعتماد بیش از حد:  از آنجایی که تقسیم بندی سنتی مبتنی بر فایروال برای جلوگیری از حملات از خارج طراحی شده است، می تواند شما را در برابر تهدیدات داخلی آسیب پذیر کند.
• پیکربندی‌های نادرست:  VLAN‌ها در معماری‌های امروزی دارای پیکربندی اشتباه هستند، به خصوص اگر از ارائه‌دهندگان ابری شخص ثالث استفاده می‌کنید و خودتان نمی‌توانید زیرساخت را تغییر دهید.
• مدیریت فشرده کار:  هر برنامه، دستگاه یا تغییر جدید به معنای به‌روزرسانی قوانین فایروال است و حتی فعالیت‌های پیش پا افتاده مانند اسکن آسیب‌پذیری به منابع بیشتری نیاز دارد.
• کنترل‌های پیچیده: روش‌های سنتی فاقد کنترل‌های دقیق هستند، که تعریف خط‌مشی تقسیم‌بندی برای کارگران از راه دور، شرکا، مشتریان و … را پیچیده می‌کند.
• مسائل مقیاس‌پذیری: برای مدیریت رشد شبکه، باید بخش‌های کوچک‌تری ایجاد کنید یا بخش‌های موجود را ارتقا دهید، که در نتیجه هزینه‌های بیشتری برای مقیاس‌بندی و نگهداری به همراه خواهد داشت.
• عملکرد ضعیف: افزودن دستگاه‌های شبکه بیشتر (مثلاً فایروال‌ها، روترها) تأثیر منفی بر عملکرد کلی شبکه شما دارد.