میکوسگمنتیشن(Microsegmentation) در شبکه چیست + چگونگی عملکرد و استفاده

از آنجایی که حملات سایبری به ‌طور مداوم در حال افزایش است، امنیت شبکه به یکی از دغدغه‌های اصلی سازمان‌ها تبدیل شده است. یکی از راهکارهای نوین و موثر برای حفاظت از شبکه‌های سازمانی، استفاده از میکروسگمنتیشن است. این تکنیک امنیتی پیشرفته با تقسیم‌ بندی دقیق و جدا کردن بخش‌های مختلف شبکه، کنترل بیشتری بر جریان داده‌ها فراهم می‌کند و از نفوذ تهدیدات به شبکه جلوگیری می کند.

تعریف میکروسگمنتیشن

میکروسگمنتیشن (Microsegmentation) یک روش امنیتی است که با جداسازی مناطق امن در یک مرکز داده یا محیط ابری، امکان کنترل دقیق ‌تر به برنامه‌ها و بارهای کاری را فراهم می ‌کند. این روش به مدیران فناوری اطلاعات اجازه می ‌دهد نظارت بیشتری بر عملکرد شبکه داشته باشند.

چرا باید از میکروسگمنتیشن استفاده کرد؟

با بهره ‌گیری از معماری میکروسگمنتیشن، هر منطقه امنیتی خدمات سفارشی‌شده‌ای دریافت می‌ کند که متناسب با نیازهای آن بخش از شبکه طراحی شده است. در زمان پیاده ‌سازی معماری شبکه اعتماد صفر (ZTNA)، این روش بسیار کارآمد است.

مدیران شبکه از میکرو سگمنتیشن برای جداسازی بخش‌های مختلف شبکه، حتی دستگاه‌های منفرد، استفاده می ‌کنند. سپس از طریق یک دروازه تقسیم‌ بندی، معماری امنیتی مبتنی بر اعتماد صفر را برای هر بخش پیاده‌سازی کرده و نظارت دقیقی بر افراد و داده‌هایی که وارد شبکه می‌شوند، اعمال می‌کنند. جالب است بدانید این دروازه افراد و داده‌ها را هنگام ورود تحت نظارت قرار می‌دهد و با اعمال تدابیر امنیتی، اطمینان حاصل می‌کند که آن‌ها شرایط لازم برای ورود را دارند.

میکروسگمنتیشن چگونه کار می‌کند؟

میکروسگمنتیشن امکان تقسیم‌بندی دقیق ‌تر برنامه‌ها و جلوگیری از حرکت جانبی تهدیدها در شبکه را فراهم می‌کند. این راهکار تهدیدات را در بخش‌های ایزوله شبکه به دام می اندازد و اجازه نمی‌دهد به سایر بخش‌ها نفوذ کنند. با استفاده از این روش، اگر یک تهدید وارد شبکه شود، می‌توانید از گسترش آن به بخش‌های دیگر جلوگیری کنید و آن را در همان بخشی که به آن حمله کرده است، متوقف کنید.

یکی دیگر از مزایای میکرو سگمنتیشن، دید بهتر به فعالیت‌های شبکه است. چون هر بخش به ‌صورت جداگانه نظارت می‌شود و به این صورت شما می‌توانید برای هر بخش به ‌طور اختصاصی تنظیمات هشدار و مدیریت خاصی را طراحی کنید. برای مثال شما می‌توانید یک دستگاه یا گروهی از دستگاه‌ها را بر اساس نوع کاربرانی که از آن‌ها استفاده می‌کنند، میکروسگمنت کنید و نظارت دقیق‌ تری بر فعالیت‌های هر بخش داشته باشید.

جالب است بدانید هر بخش از شبکه دارای یک دیوار امنیتی مخصوص به خود است؛ یعنی اگر تهدیدی بخواهد از بخش A به بخش B برود، هم در هنگام خروج از بخش A و هم در هنگام ورود به بخش B توسط این دیوارهای امنیتی شناسایی می‌شود.

مزایای میکروسگمنتیشن

کاهش تأثیر حمله
میکروسگمنتیشن می‌تواند تأثیر حملات را کاهش دهد، زیرا می‌تواند سطح آسیب‌ پذیری را با محدود کردن حمله به ناحیه اولیه نفوذ، کاهش دهد. به گونه ای که اگر یک مهاجم بتواند به یک بخش نفوذ کند، سایر بخش‌های شبکه که توسط معماری میکروسگمنتیشن جدا و محافظت شده‌اند، از آسیب مصون می‌مانند؛ حتی اگر مهاجم تلاش کند تا به بخش‌های دیگر نفوذ کند، با سیاست‌های امنیتی اطراف آن بخش مواجه خواهد شد. بهتر است بدانید این سیستم تضمین می‌کند که سایر فرآیندها و سیستم‌ها تحت تأثیر قرار نمی‌گیرند. همچنین، این موضوع به ساده‌ تر شدن استقرار سیستم‌های جدید، بدون داشتن نگرانی در مورد تهدیدات از بخش‌های دیگر کمک می‌کند،.
بهبود محدودیت نفوذ
میکرو سگمنتیشن می ‌تواند دامنه تاثیر یک نفوذ را محدود کند؛ زیرا تمام ترافیک ها قبل از خروج از یک بخش، مورد بررسی و فیلتر قرار می‌گیرند، حرکت جانبی در شبکه مسدود می‌شود و نفوذ در همان بخش محدود می‌ماند. این موضوع مانع گسترش حمله به سایر برنامه‌ها یا بخش‌های شبکه می‌شود.
تقویت انطباق با مقررات
رعایت الزامات قانونی می‌تواند چالشی بزرگ باشد، به‌خصوص زمانی که انواع خاصی از داده‌ها، مانند اطلاعات شخصی مشتریان، تحت قوانین انطباق متفاوتی قرار می‌گیرند. با استفاده از میکروسگمنتیشن، می‌توانید محیط‌هایی را که داده‌های خاص و محافظت ‌شده را نگه‌ داری می‌کنند، جدا کرده و سپس تدابیر امنیتی دقیقی را که برای حفظ انطباق لازم است، به آن ناحیه اعمال کنید.

تفاوت میکروسگمنتیشن با تقسیم‌ بندی سنتی شبکه

در تقسیم ‌بندی سنتی، شبکه به بخش‌های کوچک ‌تر مانند زیرشبکه‌ها تقسیم می‌شود و سیاست‌های امنیتی برای هر بخش تعیین می‌شود. این روش بیشتر برای ترافیک “شمال به جنوب” (از مشتری به سرور) کارایی دارد، اما در مقابل، میکرو سگمنتیشن بر ترافیک داخلی (شرق به غرب) نیز نظارت دارد و امنیت بیشتری را فراهم می‌کند.

استفاده از محصولات Fortinet

برای پیاده‌سازی میکروسگمنتیشن، می‌توانید از فایروال‌های نسل جدید FortiGate استفاده کنید که با ایجاد یک سیاست امنیتی اعتماد صفر، از گسترش بدافزارها جلوگیری می‌ کنند.

تفاوت میکروسگمنتیشن با تقسیم‌ بندی شبکه

در تقسیم‌ بندی سنتی شبکه، یک شبکه به بخش‌های کوچک ‌تر، که معمولاً زیرشبکه نامیده می‌شوند، تقسیم می‌شود و هر کدام به‌عنوان یک شبکه مجزا عمل می‌کنند. این روش به مدیران اجازه می‌دهد تا جریان ترافیک بین زیرشبکه‌ها را مدیریت کنند. بهتر است بدانید تقسیم‌ بندی سنتی از طریق تنظیم سیاست‌های امنیتی خاص برای هر زیرشبکه، حفاظت از شبکه را امکان ‌پذیر می‌کند. هرچه این سیاست‌ها دقیق ‌تر و متناسب ‌تر با نیازهای هر بخش باشند، توانایی آن‌ها برای شناسایی و مقابله با تهدیداتی که آن بخش را به‌عنوان سطح حمله هدف قرار می ‌دهند، بیشتر خواهد بود.

در تقسیم‌ بندی سنتی شبکه، از فایروال‌ها، شبکه‌های محلی مجازی (VLAN) و سیستم‌های پیشگیری از نفوذ (IPS) برای جداسازی هر بخش استفاده می‌شود. داده‌هایی که از یک زیرشبکه به زیرشبکه دیگر منتقل می‌شوند، ممکن است از طریق فایروال‌ها فیلتر شوند. این فایروال‌ها قبل از اجازه دادن به عبور داده‌ها، تهدیدات احتمالی را شناسایی و از نفوذ آن‌ها جلوگیری می‌کنند. با استفاده از VLAN، یک شبکه محلی (LAN) به بخش‌های کوچکتر تقسیم شده و امکان حفاظت اختصاصی برای هر بخش فراهم می‌شود. در سیستم‌های پیشگیری از نفوذ (IPS)، هر بخش از شبکه به‌ طور مداوم تحت نظارت قرار می‌گیرد و سیستم به ‌صورت فعال به ‌دنبال فعالیت‌های مخرب است.

با این حال، تقسیم‌ بندی سنتی شبکه محدودیت‌هایی دارد؛ زیرا تنها بر ترافیک شمال-جنوب تمرکز می‌کند، یعنی ترافیکی که از سمت کاربر به سرور می‌رود. این روش قادر است داده‌های ورودی به شبکه را بررسی و فیلتر کند. اما اگر فعالیت‌های مخرب در داخل شبکه رخ دهد، تقسیم ‌بندی سنتی ممکن است آن‌ها را شناسایی نکند.

یکی از مزایای اصلی میکروسگمنتیشن این است که می‌تواند پروتکل‌های امنیتی را برای ترافیکی که در داخل شبکه جریان دارد و بین سرورهای داخلی (ترافیک شرق-غرب) حرکت می‌کند، اعمال کند.

روش‌های میکروسگمنتیشن

سه رویکرد اصلی برای امنیت میکروسگمنتیشن وجود دارد که بر اساس محل پیاده‌سازی دسته ‌بندی می‌شوند: مبتنی بر شبکه، مبتنی بر هایپر وایزر و مبتنی بر میزبان.

مبتنی بر شبکه
میکرو سگمنتیشن مبتنی بر شبکه شامل این است که چه کسانی یا چه مواردی می‌توانند وارد بخش‌های مختلف شبکه شوند. یکی از مزایای این روش، سادگی در مدیریت آن است که باعث می‌شود کار کمتری برای مدیران نیاز باشد. با این حال، میکروسگمنتیشن مبتنی بر شبکه در واقع بسیار شبیه به تقسیم ‌بندی سنتی است و اگر با بخش‌های بسیار بزرگی روبه‌ رو شوید، مدیریت کنترل‌های امنیتی می‌تواند دشوار و پرهزینه باشد.
مبتنی بر هایپر وایزر
با استفاده از هایپر وایزر، شما دارای نرم‌افزار یا سخت‌افزاری هستید که ماشین‌های مجازی را ایجاد و اجرا می‌کند. میکروسگمنتیشن مبتنی بر هایپر وایزر تمام ترافیک شما را از طریق هایپر وایزر هدایت می‌کند و به شما این امکان را می‌دهد که آن را نظارت و مدیریت کنید. در بسیاری از موارد، این مورد گزینه‌ای راحت است، زیرا می‌توانید این کار را با فایروال‌های موجود خود انجام دهید و سیاست‌های امنیتی را از یک هایپر وایزر به هایپر وایزر دیگر منتقل کنید. با این حال، یکی از معایب این رویکرد این است که در پیاده‌ سازی‌های ابری یا با بارهای کاری فیزیکی، کانتینری یا بدون سیستم‌عامل به خوبی عمل نمی‌کند.
مبتنی بر میزبان
میکروسگمنتیشن مبتنی بر میزبان به قرار دادن عوامل (ایجنت‌ها) در هر نقطه پایانی وابسته است. با این نوع معماری، یک مدیر قادر به مشاهده تمام داده‌ها، فرآیندها، نرم‌افزارها، ارتباطات در شبکه و آسیب ‌پذیری‌های احتمالی است. با این حال، برای دستیابی به این دید، مدیر باید یک عامل را بر روی هر میزبان نصب کند. اما توجه داشته باشید که این ممکن است برای هر دو گروه مدیران و کاربران نهایی زمان ‌بر باشد.

“هایپر وایزر (Hypervisor) نرم‌افزاری است که به ایجاد و مدیریت ماشین‌های مجازی (Virtual Machines) کمک می‌کند.“

سخن پایانی

میکروسگمنتیشن انتخاب مناسبی برای سازمان‌هایی است که به دنبال بهبود نظارت و مدیریت اطلاعات و داده‌های خود هستند. این روش امنیت شبکه را افزایش داده و عملکرد آن را بهبود می‌بخشد.