جداسازی شبکه

Bloger ژوئن 20, 2021 ثبت دیدگاه لایک

جداسازی شبکه اساس بسیاری از موارد امنیتی در شبکه است، چه برای انطباق، مهار یا جدا کردن محیط‌های توسعه‌ای و چه آزمایش و تولید. به طور سنتی، ACL‌ها، قوانین فایروال و سیاست‌های مسیریابی را برای ایجاد و اجرای انزوا و چند کارایی استفاده می‌کنند. با مجازی‌سازی شبکه، پشتیبانی از آن ویژگی‌ها ذاتاً فراهم می‌شود. با استفاده از فناوری VXLAN، شبکه‌های مجازی به طور پیش‌فرض از سایر شبکه‌های مجازی و از زیرساخت‌های فیزیکی زیرین جدا می‌شوند و اصول امنیتی حداقل امتیاز را ارائه می‌دهند. شبکه‌های مجازی به صورت جداگانه ایجاد می‌شوند و جدا می‌مانند، مگر اینکه صریحاً به هم متصل شوند. برای ایجاد انزوا، هیچ زیرشبکۀ فیزیکی، VLAN، ACL یا فایروال نیاز نیست.

تقسیم‌بندی شبکه

تقسیم‌بندی شبکه به انزوا مربوط می‌شود، اما در یک شبکۀ مجازی چند لایه اعمال می‌شود. به طور سنتی، تقسیم شبکه تابعی از فایروال فیزیکی یا روتر است که برای اجازه یا رد ترافیک بین بخش‌های شبکه یا ردیف‌ها طراحی شده است. هنگام تقسیم‌بندی ترافیک بین سطوح وب، برنامه‌ها و پایگاه داده، فرایندهای پیکربندی سنتی زمان‌بر و بسیار مستعد خطاهای انسانی هستند، در نتیجه درصد زیادی از نقض امنیتی را شامل می‌شود. پیاده‌سازی به مهارت در نحوۀ پیکربندی دستگاه، آدرس‌دهی شبکه و پورت‌ها و پروتکل‌های برنامه نیاز دارد.

مجازی‌سازی شبکه ساخت و آزمایش پیکربندی سرویس‌های شبکه را ساده می‌کند تا پیکربندی‌های اثبات‌شده‌ای را تولید کند که می‌توانند به صورت برنامه‌ریزی‌شده در سراسر شبکه مستقر شوند و برای اعمال تقسیم‌بندی کپی آن را مورد استفاده قرار ‌دهند. تقسیم‌بندی شبکه، مانند انزوا، قابلیت اصلی مجازی‌سازی شبکه NSX است.

ریز تقسیم‌بندی

ریز تقسیم‌بندی با استفاده از روترهای توزیع شده و فایروال‌های متناسب با آن، ترافیک را در سطح vNIC جدا می‌کند. کنترل‌های دسترسی اعمال‌شده در vNIC کارایی را نسبت به قوانین اعمال شده در شبکۀ فیزیکی افزایش می‌دهد. برای پیاده‌سازی ریز تقسیم‌بندی یک برنامۀ سه لایه، به عنوان مثال وب سرور، سرور برنامه و پایگاه داده، که در آن چندین سازمان ممکن است از نظر توپولوژی شبکۀ منطقی مشترک باشند، می‌توانید از ریز تقسیم‌بندی با فایروال توزیع شده NSX و اجرای فایروال مورد استفاده بهره ببرید.

مدل اعتماد صفر برای پیکربندی امنیتی در شبکه

برای دستیابی به دقیق‌ترین تنظیمات امنیتی، هنگام پیکربندی سیاست‌های امنیتی، از یک مدل اعتماد صفر استفاده کنید. یک مدل با اعتماد صفر دسترسی به منابع و بارهای کاری را منع می‌کند؛ مگر اینکه به طور خاص یک سیاست مجاز وجود داشته باشد. مطمئن باشید که اجازۀ ترافیک زیرساخت‌های اساسی را می‌دهید. به طور پیش‌فرض، NSX Manager، NSX Controllers و NSX Edge gateways سرویس از فایروال توزیع نمی‌شوند. سیستم‌های سرور vCenter استثنا نیستند و باید قبل از اعمال خط مشی صریحاً اجازۀ جلوگیری از قفل شدن را داشته باشند.