Internal Segmentation Firewall đặt an ninh nơi bạn muốn, phân tách mạng thường lửa nội bộ trong doanh nghiệp của bạn. Phân khúc không phải là mới nhưng phân đoạn hiệu quả chưa thực tế. Trong quá khứ, hiệu suất, giá cả và nỗ lực là những yếu tố đóng vai trò để thực hiện một chiến lược phân khúc thị trường tốt. Tuy nhiên, điều này không làm thay đổi mong muốn có sự phân khúc sâu rộng và sâu rộng hơn trong doanh nghiệp. Một cạnh hoặc tường lửa biên ở chu vi của mạng là một thực tiễn tốt nhất về an ninh.
Giải pháp phân tách mạng tường lửa của nội bộ doanh nghiệp
Các thiết bị này trước đây đã được bảo vệ chống lại các mối đe dọa bên ngoài đã biết. Ngày càng có nhiều bức tường lửa đang nhìn sâu hơn vào một loạt các mối đe dọa tương đối mới đang cố gắng vào (hoặc thoát) mạng ở cạnh. Mặc dù vẫn đảm bảo tối ưu an ninh ở cạnh (và Fortinet cung cấp những sản phẩm tốt nhất để thực hiện chính xác điều đó), an ninh ở chu vi chỉ có thể nhận ra những điều vượt qua ngưỡng đó. Ngoài ra, tường lửa cạnh thường không kết nối trực tiếp với phân đoạn mạng người dùng cuối. Thông thường cần có sự tách biệt vật lý và hợp lý giữa các cộng đồng người sử dụng và cơ sở hạ tầng lõi (nơi mà tường lửa cạnh thường cư trú).
Điều này đặt ra một thách thức lớn trong việc cố gắng để có được khả năng hiển thị nhiều hơn vào những gì đang xảy ra bên trong một mạng. Mặc dù người ta có thể cho rằng đường đi duy nhất vào mạng là thông qua tường lửa cạnh, nhưng thực tế là có rất nhiều điểm vào và ra trên mạng - và không phải tất cả chúng đều được điều chỉnh bởi tường lửa cạnh. Một giả định khác là tất cả các cuộc tấn công đến từ bên ngoài. Nhưng trong môi trường ngày nay, một cuộc tấn công từ bên trong (cố ý hoặc vô tình) gần như có khả năng xảy ra từ bên ngoài.
Không có biện pháp bảo vệ nào khác ngoài việc bảo vệ chu vi tại chỗ, một khi điều độc hại có khả năng truy cập nội bộ vào mạng, sẽ không có gì ngăn cản nó từ việc đưa nó đến các hệ thống quan trọng. Cho đến gần đây, rất ít suy nghĩ đã được đưa vào tường lửa mạng nội bộ do những thách thức kỹ thuật nói trên.
Nhiều mạng có một cơ sở hạ tầng phẳng 2 lớp (L2) lớn phía sau tường lửa, nơi mọi người đều có trên một mạng lớn với ít phân khúc hoặc không có phân khúc. Loại topo này thường không thích hợp cho việc giới thiệu các tường lửa lớp 3 truyền thống vì không có điểm phân chia rõ ràng.
Trong các mạng doanh nghiệp lớn hơn, thường có một vài cấp độ của phân đoạn mạng lớp 3 (L3), nhưng vẫn có các mạng lưới L2 rộng lớn phân đoạn dưới đây. Hầu hết các doanh nghiệp xử lý các phân đoạn khác nhau như nhau, thường không có bảo mật giữa chúng, tùy thuộc duy nhất vào tường lửa cạnh để thực hiện việc bảo vệ cho toàn bộ mạng. Các phần L3 của mạng có thể có một số bảo mật hiện tại, nhưng thông thường tường lửa là nơi mà đầu tư lớn nhất vào an ninh sẽ xảy ra.
Các cổng L3 cung cấp một điểm duy nhất trong đó một mạng nội bộ có thể truy cập vào mạng nội bộ khác. Đây là những gì được gọi là phân khúc Bắc / Nam. Các điểm này khá dễ nhận biết trong mạng doanh nghiệp và cung cấp một vị trí tự nhiên cho phân đoạn Các phần L2 của mạng hầu như không bao giờ có bất kỳ sự bảo mật nào liên quan đến chúng. Không giống như các phần L3 của mạng, không có điểm duy nhất rõ ràng trong đó một phần của mạng L2 nói chuyện với một phần khác của mạng L2. Những phần này thường là thiết bị chuyển mạch tập trung lớn được thiết kế cho tốc độ. Các thiết bị chuyển mạch không bao gồm bất kỳ vị trí nào cho phân đoạn nội bộ dễ dàng, nhưng một số phân đoạn có thể được thực hiện giữa các bộ chuyển mạch L2 khác nhau trên mạng. Các vị trí để đặt một số điều khiển trong mạng L2 được gọi là các phân đoạn Đông / Tây. Một khi kẻ đột nhập đưa nó vào một trong những khu vực này, thì mọi thứ trong phạm vi đó đều mở để thăm dò và tấn công. Đây là những nơi mà những kẻ tấn công có nhiều khả năng hiển thị các hành vi nguy hiểm ở nơi công cộng vì theo truyền thống không ai theo dõi ở đó.
Một bức tường lửa phân khúc nội bộ được thiết kế để ngồi giữa hai hoặc nhiều điểm trên mạng nội bộ để cho phép tầm nhìn, kiểm soát và giảm thiểu lưu lượng truy cập giữa các phân đoạn đó. ISFW có thể xử lý sự phân chia Bắc-Nam truyền thống cũng như sự phân chia Đông-Tây. Bởi vì nó được đặt trong mạng, ISFW có thể tập trung vào việc xem xét và phát hiện những thứ đang đi qua các phần nội bộ của mạng doanh nghiệp. Mức độ hiển thị, kiểm soát và giảm nhẹ khác nhau có thể được sử dụng ở nhiều nơi trong mạng. Tương tự như tường lửa cạnh, không phải tất cả các chính sách của ISFW đều yêu cầu cùng một mức độ kiểm tra. Khả năng đặt an ninh nơi bạn muốn, khi bạn muốn nó là một trong những lợi ích lớn nhất của một Internal Segmentation Firewall.
Các thiết bị này trước đây đã được bảo vệ chống lại các mối đe dọa bên ngoài đã biết. Ngày càng có nhiều bức tường lửa đang nhìn sâu hơn vào một loạt các mối đe dọa tương đối mới đang cố gắng vào (hoặc thoát) mạng ở cạnh. Mặc dù vẫn đảm bảo tối ưu an ninh ở cạnh (và Fortinet cung cấp những sản phẩm tốt nhất để thực hiện chính xác điều đó), an ninh ở chu vi chỉ có thể nhận ra những điều vượt qua ngưỡng đó. Ngoài ra, tường lửa cạnh thường không kết nối trực tiếp với phân đoạn mạng người dùng cuối. Thông thường cần có sự tách biệt vật lý và hợp lý giữa các cộng đồng người sử dụng và cơ sở hạ tầng lõi (nơi mà tường lửa cạnh thường cư trú).
Điều này đặt ra một thách thức lớn trong việc cố gắng để có được khả năng hiển thị nhiều hơn vào những gì đang xảy ra bên trong một mạng. Mặc dù người ta có thể cho rằng đường đi duy nhất vào mạng là thông qua tường lửa cạnh, nhưng thực tế là có rất nhiều điểm vào và ra trên mạng - và không phải tất cả chúng đều được điều chỉnh bởi tường lửa cạnh. Một giả định khác là tất cả các cuộc tấn công đến từ bên ngoài. Nhưng trong môi trường ngày nay, một cuộc tấn công từ bên trong (cố ý hoặc vô tình) gần như có khả năng xảy ra từ bên ngoài.
Không có biện pháp bảo vệ nào khác ngoài việc bảo vệ chu vi tại chỗ, một khi điều độc hại có khả năng truy cập nội bộ vào mạng, sẽ không có gì ngăn cản nó từ việc đưa nó đến các hệ thống quan trọng. Cho đến gần đây, rất ít suy nghĩ đã được đưa vào tường lửa mạng nội bộ do những thách thức kỹ thuật nói trên.
Nhiều mạng có một cơ sở hạ tầng phẳng 2 lớp (L2) lớn phía sau tường lửa, nơi mọi người đều có trên một mạng lớn với ít phân khúc hoặc không có phân khúc. Loại topo này thường không thích hợp cho việc giới thiệu các tường lửa lớp 3 truyền thống vì không có điểm phân chia rõ ràng.
Trong các mạng doanh nghiệp lớn hơn, thường có một vài cấp độ của phân đoạn mạng lớp 3 (L3), nhưng vẫn có các mạng lưới L2 rộng lớn phân đoạn dưới đây. Hầu hết các doanh nghiệp xử lý các phân đoạn khác nhau như nhau, thường không có bảo mật giữa chúng, tùy thuộc duy nhất vào tường lửa cạnh để thực hiện việc bảo vệ cho toàn bộ mạng. Các phần L3 của mạng có thể có một số bảo mật hiện tại, nhưng thông thường tường lửa là nơi mà đầu tư lớn nhất vào an ninh sẽ xảy ra.
Các cổng L3 cung cấp một điểm duy nhất trong đó một mạng nội bộ có thể truy cập vào mạng nội bộ khác. Đây là những gì được gọi là phân khúc Bắc / Nam. Các điểm này khá dễ nhận biết trong mạng doanh nghiệp và cung cấp một vị trí tự nhiên cho phân đoạn Các phần L2 của mạng hầu như không bao giờ có bất kỳ sự bảo mật nào liên quan đến chúng. Không giống như các phần L3 của mạng, không có điểm duy nhất rõ ràng trong đó một phần của mạng L2 nói chuyện với một phần khác của mạng L2. Những phần này thường là thiết bị chuyển mạch tập trung lớn được thiết kế cho tốc độ. Các thiết bị chuyển mạch không bao gồm bất kỳ vị trí nào cho phân đoạn nội bộ dễ dàng, nhưng một số phân đoạn có thể được thực hiện giữa các bộ chuyển mạch L2 khác nhau trên mạng. Các vị trí để đặt một số điều khiển trong mạng L2 được gọi là các phân đoạn Đông / Tây. Một khi kẻ đột nhập đưa nó vào một trong những khu vực này, thì mọi thứ trong phạm vi đó đều mở để thăm dò và tấn công. Đây là những nơi mà những kẻ tấn công có nhiều khả năng hiển thị các hành vi nguy hiểm ở nơi công cộng vì theo truyền thống không ai theo dõi ở đó.
Một bức tường lửa phân khúc nội bộ được thiết kế để ngồi giữa hai hoặc nhiều điểm trên mạng nội bộ để cho phép tầm nhìn, kiểm soát và giảm thiểu lưu lượng truy cập giữa các phân đoạn đó. ISFW có thể xử lý sự phân chia Bắc-Nam truyền thống cũng như sự phân chia Đông-Tây. Bởi vì nó được đặt trong mạng, ISFW có thể tập trung vào việc xem xét và phát hiện những thứ đang đi qua các phần nội bộ của mạng doanh nghiệp. Mức độ hiển thị, kiểm soát và giảm nhẹ khác nhau có thể được sử dụng ở nhiều nơi trong mạng. Tương tự như tường lửa cạnh, không phải tất cả các chính sách của ISFW đều yêu cầu cùng một mức độ kiểm tra. Khả năng đặt an ninh nơi bạn muốn, khi bạn muốn nó là một trong những lợi ích lớn nhất của một Internal Segmentation Firewall.
Một bức tường lửa phân khúc nội bộ có thể được lên kế hoạch vào mạng ngay từ đầu. Vị trí là cửa ngõ phía Bắc / Nam giữa các khối IP L3 khác nhau là nơi hoàn hảo để có bảo mật vì đây là nơi mà một số phân đoạn đã được thực hiện trong các mạng doanh nghiệp. Phân khúc Bắc / Nam theo các ranh giới mạng hợp lý này. Trường hợp mạng được chia thường phản ánh sự phân chia tổ chức trong doanh nghiệp, nơi cung cấp vị trí lý tưởng để tăng khả năng hiển thị, kiểm soát và giảm nhẹ.
Thông thường các phòng ban khác nhau trong doanh nghiệp được đặt trên các phân đoạn L3 khác nhau - ví dụ có thể là CFO của công ty hoặc khách trên mạng. Mặc dù cả hai người dùng này yêu cầu mức bảo mật cao hơn, nhưng không được đối xử như nhau. Giám đốc tài chính có thể sẽ cần đến những hệ thống quan trọng để đối phó với tài chính của công ty - vì vậy việc cung cấp và bảo đảm việc tiếp cận đó là một công việc lớn. Mặt khác, khách mời là một nguồn không đáng tin cậy và do đó không được truy cập vào hệ thống quan trọng. Trong thực tế, thậm chí bảo mật hơn nên được áp dụng cho loại lưu lượng truy cập này bởi vì nó không đáng tin cậy. Cả hai người dùng này đều có thể được bảo vệ bằng ISFW ở phân khúc Bắc / Nam cho mạng khách L3 và mạng điều hành L3.
Công ty Cổ phần Phân phối Việt Nét là nhà phân phối uy tín và chuyện nghiệp về các sản phẩm giải pháp của Fortinet tại Việt Nam và Campuchia. Liên hệ với Công ty Việt Nét qua website: www.vietnetco.vn hoặc 1900 6736.
Thông thường các phòng ban khác nhau trong doanh nghiệp được đặt trên các phân đoạn L3 khác nhau - ví dụ có thể là CFO của công ty hoặc khách trên mạng. Mặc dù cả hai người dùng này yêu cầu mức bảo mật cao hơn, nhưng không được đối xử như nhau. Giám đốc tài chính có thể sẽ cần đến những hệ thống quan trọng để đối phó với tài chính của công ty - vì vậy việc cung cấp và bảo đảm việc tiếp cận đó là một công việc lớn. Mặt khác, khách mời là một nguồn không đáng tin cậy và do đó không được truy cập vào hệ thống quan trọng. Trong thực tế, thậm chí bảo mật hơn nên được áp dụng cho loại lưu lượng truy cập này bởi vì nó không đáng tin cậy. Cả hai người dùng này đều có thể được bảo vệ bằng ISFW ở phân khúc Bắc / Nam cho mạng khách L3 và mạng điều hành L3.
Công ty Cổ phần Phân phối Việt Nét là nhà phân phối uy tín và chuyện nghiệp về các sản phẩm giải pháp của Fortinet tại Việt Nam và Campuchia. Liên hệ với Công ty Việt Nét qua website: www.vietnetco.vn hoặc 1900 6736.
Công ty Cổ phần Phân phối Việt NétRa đời vào tháng 9/2010 tại Tp.HCM. Việt Nét là nhà phân phối chuyên nghiệp với đội ngũ nhân sự được đào tạo bài bản và tổ chức công ty khoa học. Trong những năm qua, Việt Nét đã phát triển mạnh mẽ nhưng bền vững với yếu tố con người được trân trọng. Việt Nét đã xây dựng được cho riêng mình và được thị trường công nhận là Nhà phân phối Uy tín, được rất nhiều hãng công nghệ đánh giá cao. Việt Nét là nhà phân phối cho nhiều hãng công nghệ hàng đầu tại Việt Nam. Ngoài trụ sở chính ở Tp.HCM, công ty có văn phòng tại Hà Nội cùng với đại diện bán hàng ở một số nước trong khu vực ASEAN.
|