Hálózati szegmentálás leírása az Azure-ban

  • 2 perc

A szegmentálás arról szól, hogy kisebb darabokra osztunk valamit. Egy szervezet például általában kisebb üzleti csoportokból, például emberi erőforrásokból, értékesítésekből, ügyfélszolgálatból és egyebekből áll. Irodai környezetben gyakran előfordul, hogy minden üzleti csoport saját dedikált irodával rendelkezik, míg ugyanazon csoport tagjai egy irodában osztoznak. Ez lehetővé teszi ugyanannak az üzleti csoportnak a tagjait, hogy együttműködjenek, miközben fenntartják a más csoportoktól való elkülönítést az egyes vállalatok bizalmassági követelményeinek kezelése érdekében.

Ugyanez a fogalom vonatkozik a vállalati informatikai hálózatokra is. A hálózati szegmentálás fő okai a következők:

  • A számítási feladatok műveleteinek (vagy támogatásának) részét képező kapcsolódó objektumok csoportosításának lehetősége.
  • Erőforrások elkülönítése.
  • A szervezet által beállított irányítási szabályzatok.

A hálózati szegmentálás támogatja a Teljes felügyelet modellt és a biztonság rétegzett megközelítését is, amely egy mélységi védelmi stratégia része.

Tegyük fel, hogy a biztonsági rés a Teljes felügyelet modell egyik alapelve, így a támadók védelme létfontosságú az információs rendszerek védelmében. Ha a számítási feladatokat (vagy egy adott számítási feladat részeit) külön szegmensekbe helyezik, a kommunikációs útvonalak biztonságossá tételéhez szabályozhatja a szegmensek közötti forgalmat. Ha egy szegmens megsérül, jobban el tudja majd kerülni a hatást, és megakadályozhatja, hogy oldalirányban terjedjen a hálózat többi részén.

A hálózati szegmentálás biztonságossá teheti a szegélyek közötti interakciókat. Ez a megközelítés erősítheti a szervezet biztonsági állapotát, kockázatokat rejthet egy incidensben, és megakadályozhatja, hogy a támadók hozzáférjenek egy teljes számítási feladathoz.

Azure Virtual Network

Az Azure Virtual Network (VNet) a szervezet Azure-beli magánhálózatának alapvető építőeleme. A virtuális hálózatok hasonlóak a saját adatközpontban üzemeltetett hagyományos hálózatokhoz, de az Azure infrastruktúrájának további előnyeit, például a skálázást, a rendelkezésre állást és az elkülönítést is kihasználják.

Az Azure-beli virtuális hálózat lehetővé teszi a szervezetek számára a hálózat szegmentálását. A szervezetek régiónként több virtuális hálózatot hozhatnak létre előfizetésenként, és az egyes virtuális hálózatokon belül több kisebb hálózat (alhálózat) hozható létre.

A virtuális hálózatok alapértelmezés szerint olyan erőforrások hálózati szintű elszigetelését biztosítják, amelyeken nincs engedélyezett forgalom a virtuális hálózatok között vagy a virtuális hálózatra irányuló bejövő forgalom. A kommunikációt explicit módon kell kiépíteni. Így jobban szabályozható, hogy a virtuális hálózatokban lévő Azure-erőforrások hogyan kommunikáljanak más Azure-erőforrásokkal, az internettel és a helyszíni hálózatokkal.

Diagram depicting network segmentation using Azure Virtual Networks.