Lähiverkon segmentointi on tietoturvan aihealue, josta puhutaan liian vähän. Mikrosegmentaatio saatetaan kokea teknisesti liian vaikeaksi toteuttaa. Toisaalta palveluiden siirtyessä pilveen, saatetaan kokea, että organisaatio ei enää tarvitse muuta kuin internet-yhteyden, joten miksi verkon mikrosegmentoinnista on tärkeää vielä puhua? Above IT Oy:n ’consigliere’ Matias Haapaniemi paneutui tämän kertaisessa blogissaan tähän liian vaiettuun aihealueeseen. Lue siis pidemmälle!
Kun palomuuri yksin ei enää riitä
Perinteisesti yritysverkot on suojattu verkon reunalla olevalla palomuurilla, joka toimii kuin vahva portti linnassa. Se päästää vain sallitun liikenteen sisään ja ulos. Mutta mitä tapahtuu, jos vihollinen pääsee jotenkin linnan muurien sisäpuolelle? Kuvitellaan tilanne, jossa työntekijä klikkaa huijausviestin linkkiä ja asentaa vahingossa haittaohjelman koneelleen. Hyökkääjä on nyt verkon sisäpuolella, palomuurin takana. Ilman mitään sisäisiä rajoituksia, tämä haittaohjelma voi levitä nopeasti läpi koko lähiverkon. Tilanne on kuin toimistorakennuksessa, jossa vain ulko-ovi on lukossa. Kun sisälle pääsee, kaikki huoneet ja tilat ovat vapaasti kuljettavissa ilman mitään rajoituksia.
Mikä mikrosegmentaatio?
Layer 2 -segmentointi VLANien avulla
Verkon segmentointia voidaan toteuttaa eri tasoilla. Layer 2 -tason segmentointi tarkoittaa segmentointia datalinkkikerroksella, eli käytännössä laitteiden eristämistä omiin lähiverkkoihinsa kytkin- ja MAC-osoitetasolla. VLANien (Virtual Local Area Network) avulla fyysisesti samaan kytkimeen liitetyt laitteet voidaan jakaa loogisesti eri verkkosegmentteihin, aivan kuin ne olisivat eri kytkimissä. Esimerkiksi kaikki toimiston tulostimet voidaan laittaa VLAN 10:een ja työntekijöiden tietokoneet VLAN 20:een. Vaikka ne fyysisesti kytkettäisiin samaan verkkolaitteeseen, ne eivät kuulu samaan ”lähiverkkoon” ja eivät voi suoraan keskustella keskenään ilman palomuuria.
Millaisia VLANeja yrityksellä tulisi olla?
Riippuu vahvasti organisaatioista, mutta näillä pääsee ainakin alkuun:
- Työasemaverkko
- Palvelinverkko
- Hallintaverkko IT-palveluille
- Vierasverkko
- IoT-laiteverkko
Cisco Meraki verkoissa VLAN pohjainen mikrosegmentaatio saavutetaan parhaiten adaptiivisilla politiikoilla, jotka dynaamisella toiminnallisuudellaan vievät arkkitehtuurin perinteisestä VLAN määrittelystä seuraavalle tasolle.
ZTNA-tuotteet mikrosegmentaation apuna
Layer 2 -segmentointi (VLANit) tekee hyvän ”huonejaon” sisäverkkoon, mutta käyttäjien ja laitteiden pääsyn rajaaminen henkilö- ja laitetunnisteeseen perustuen helpottuu Zero Trust Network Access (ZTNA) -ratkaisuilla. Ajattele ZTNA:ta identiteettipohjaisena, salattuna päällekkäisverkkona, jonka liikenne kulkee vain silloin ja sinne mihin pääsy on erikseen annettu. ”Älä luota, vahvista aina” kuvaa vahvasti ZTNA:ta.
ZTNA-tuotteilla voidaan abstraktoida lähiverkko pois kokonaisuudesta ja voidaan keskitettyä jaotteluun tarkemmin. ZTNA sääntö voi olla ”Salli Matiaksen yhdistää HyperV-palvelimelle RDP:lla”, kun taas lähiverkkosääntö on ”Salli 10.0.20.2 yhdistää 10.0.10.3 IP-osoitteeseen portilla 3389”. ZTNA-tuotteissa ei siis mietitä IP-osoitteita, vaan se perustuu täysin käyttäjän tai laitteen identiteettiin. ZTNA tarjoaa huomattavan avun mikrosegmentaatioon nykypäivänä, kun käyttäjän verkkosijainti voi olla saman päivän aikana: Starbucks, kotikonttori, lounasravintola, toimisto ja hotelli. Perinteisillä ratkaisulla on vaikeaa luoda tarkkoja rajoituksia laitteille, mutta ZTNA:lla tämä ei ole edes haaste.
Kaipaatko apuja tai sparrailua miten juuri sinun organisaatiosi kannattaisi lähestyä microsegmentaatioita tai Zero Trust -arkkitehtuuria ylipäätään? Cisco Meraki ympäristövastuullisuuteen erikoistuneena verkkojen asiantuntijakumppanina, sekä Microsoftin tietoturvan ratkaisuihin erikoistuneena kumppanina meillä on apu sinunkin tietohallintosi ratkaisutarpeisiin. Ota yhteyttä alta niin jutellaan lisää!