Сегментация ЛВС в парадигме результативной кибербезопасности

Сегментация сети — это практика разделения сети на более мелкие изолированные секции. Они могут быть созданы и защищены с помощью аппаратного оборудования или программного обеспечения.

Организациям, которые реализуют эту практику, легче контролировать сетевой трафик, предотвращать перемещение злоумышленников внутри периметра, а также повышать производительность сети.

В этой статье мы рассмотрим принципы сегментации локальной вычислительной сети (ЛВС) в парадигме кибербезопасности, а также преимущества и методы реализации этой концепции.

Преимущества сегментации

У сегментации ЛВС много преимуществ. Ключевые среди них:

Повышенная безопасность: сегментация помогает изолировать части сети друг от друга, создавая защиту от несанкционированного доступа, распространения вредоносных программ и перемещения внутри периметра. Это снижает риск компрометации всей сети в случае нарушения безопасности в одном сегменте.
Улучшенное управление доступом: сегментация позволяет организациям применять политики управления доступом к каждой зоне на основе ролей. Это гарантирует, что пользователи имеют доступ только к тем ресурсам, которые им необходимы, и уменьшает поверхность потенциальных атак, повышая безопасность.
Улучшенная производительность: сегментация делит сеть на подсети, что уменьшает передачу BUM-трафика (broadcast, unknown-unicast and multicast traffic).
Повышенное соответствие требованиям: сегментация помогает организациям соответствовать различным отраслевым требованиям регуляторов (в том числе приказу ФСТЭК России от 11.02.2013 № 17, приказу ФСТЭК России от 18.02.2013 № 21, приказу ФСТЭК России от 25.12.2017 № 239, ГОСТ Р 57580, ISO/IEC 27001, PCI DSS и т. д.), которые требуют изоляции чувствительных данных и ограничения доступа к ним.

Основные сегменты сетевой инфраструктуры

DMZ

Один из ключевых сегментов в сетевой инфраструктуре организации — демилитаризованная зона (DMZ). Это часть сети, которая находится на границе между внутренней сетью организации и внешней сетью Интернет. DMZ — это буферная зона, которая защищает локальную сеть от несанкционированного доступа извне, обеспечивая при этом доступ к определенным внешним ресурсам.

Функции сегмента DMZ:

изолирует внутреннюю сеть от потенциально небезопасного трафика из интернета, снижая риск компрометации конфиденциальных данных и ресурсов;
позволяет внешним пользователям получать доступ к различным общедоступным ресурсам (веб-серверам, почтовым серверам, прокси-серверам и т. д.) без входа во внутреннюю сеть;
помогает контролировать трафик между внутренней сетью и интернетом;
повышает общую безопасность в сети, в частности при дополнительном использовании NGFW и IPS.

В демилитаризованной зоне могут располагаться разные сервисы, в том числе веб-серверы, почтовые серверы, DNS-серверы и прокси-серверы.

Посмотрим на архитектуру сегмента DMZ в корпоративной сети (см. рис. 1). Внешние сервисы организации находятся между двумя межсетевыми экранами. Сервисы внутри DMZ желательно изолировать друг от друга, если нет необходимости в их взаимодействии с отдельными сегментами сети. Пограничный МСЭ фильтрует запросы из интернета до DMZ (исключительно по разрешенным протоколам). Внутренний МСЭ фильтрует трафик между внутренним сегментом и DMZ, контролируя поступающие запросы и запрещая отправлять те, которые не соответствуют установленным правилам. Взаимодействие DMZ с внутренней сетью должно быть максимально ограничено минимально необходимым набором протоколов от отдельных сервисов.

Рисунок 1. Сегмент DMZ

Правильное проектирование и построение демилитаризованной зоны прямо влияет на защищенность внутренней сети от внешних угроз.

Пользовательские сегменты

С помощью сегментов такого типа организации могут группировать пользователей на основе общих атрибутов: отделов, ролей, местоположения или типов рабочих устройств. Это позволяет задавать более гранулированные политики безопасности. Матрица доступа при разделении сети может быть установлена с помощью различных механизмов, каждый из которых имеет свои преимущества. Мы подробнее рассмотрим технологии VLAN (virtual local area network), VRF (virtual routing and forwarding), ACL (access-control list), IEEE 802.1X и некоторые другие.

Преимущества внедрения пользовательских сегментов:

позволяют организациям реализовывать различные политики безопасности для разных групп пользователей. Например, критически важные учетные записи могут быть помещены в отдельный сегмент с более строгими ограничениями доступа;
облегчают управление доступом на основе ролей, позволяя организациям давать привилегии на основе принадлежности к сегментам, например с помощью протокола RADIUS и стандарта IEEE 802.1X. При подключении к сети по стандарту IEEE 802.1X выполняется запрос на аутентификацию к серверу RADIUS, который проверяет данные пользователя и определяет его роль, предавая эту информацию коммутатору. Затем согласно предоставленным правам доступа пользовательское устройство добавляется в нужный VLAN;
могут использоваться для оптимизации доставки приложений разным группам пользователей. Например, устройства пользователей в удаленных офисах могут быть помещены в отдельный сегмент с настроенными параметрами производительности;
может улучшить пользовательский опыт за счет предоставления персонализированных услуг и контента. Например, мобильные устройства пользователей могут быть помещены в зону, облегчающую им доступ к необходимым приложениям и данным.

Принципы формирования пользовательских сегментов:

по отделам: финансы, маркетинг, администрирование или продажи;
ролям: администраторы, пользователи или менеджеры;
географическому местоположению: страны, регионы или города;
типам устройств: стационарные компьютеры, ноутбуки, планшеты или смартфоны.

Эффективное использование пользовательских сегментов позволяет организациям повысить безопасность, улучшить контроль доступа, оптимизировать доставку приложений и улучшить пользовательский опыт. Примеры сегментации внутренних сетей отображены ниже (см. рис. 2).

Гостевые сегменты

Этот тип сегментов предназначен для изоляции трафика и устройств гостей и подрядчиков от корпоративной сети. Они обеспечивают безопасный и контролируемый доступ к ограниченным ресурсам и услугам.

Преимущества внедрения гостевых сегментов:

изолируют устройства гостей от корпоративной сети, снижая возможность компрометации конфиденциальных данных и систем;
позволяют организациям реализовывать политики контроля доступа, ограничивая доступ к определенным ресурсам и услугам для гостей и подрядчиков;
позволяют организациям контролировать гостевые устройства, применяя политики безопасности и различные ограничения: по времени, квоты трафика и фильтрацию вредоносных программ;
обеспечивают бесшовный и безопасный доступ к необходимым ресурсам для гостей и подрядчиков, улучшая их пользовательский опыт. В гостевой сети может быть установлен ограниченный доступ в интернет и к корпоративным веб-страницам.

Ниже представлена схема гостевого сегмента с доступом в интернет и изоляцией внутренних ресурсов (см. рис. 2).

Инфраструктурные сегменты и сегменты сети обеспечивающих систем

Инфраструктурные сегменты сети предназначены для изоляции систем администрирования инфраструктуры и предполагают контролируемый доступ к серверам для управления эксплуатационным персоналом.

Цели использования инфраструктурных сегментов сети:

изолировать инфраструктуру от пользовательских сегментов;
снизить возможности распространения вредоносного ПО на сегменты обеспечивающих систем;
уменьшить непреднамеренные негативные воздействия пользователей.

В зависимости от размеров организации и применяемой ролевой модели можно выделить несколько основных инфраструктурных сегментов:

сегмент управления сетевым оборудованием (маршрутизаторами, коммутаторами, точками доступа и т. д.);
сегмент управления инфраструктурой (система виртуализации, механизм iLO и т. д.);
сегмент управления средствами ИБ (системы антивирусной защиты, средства защиты от НСД и т. д.);
сегмент бизнес-приложений.

Доступ пользователей к серверам бизнес-приложений (например, к серверам бухгалтерии, почтовым серверам или иным сервисам, обслуживающим работу бизнеса) обеспечивается гранулярной, минимально необходимой настройкой коммутатора L3. Ниже представлена простая модель межсегментного взаимодействия пользователей и серверов (см. рис. 2).

Административный доступ должен предоставляться с помощью PAM-решений (privileged access management) или терминальных серверов конкретным пользователям на уровне ОС и подсетей.

Рисунок 2. Сегментация внутренних сетей

Инструменты сегментации

VLAN

VLAN (виртуальная локальная сеть) — это технология, которая позволяет разделить сеть на несколько логических сегментов — виртуальных локальных сетей. VLAN используются для разделения пользователей и устройств по ролям, функциям или требованиям безопасности.

Как работает VLAN:

Сеть логически делится на несколько сегментов.
Коммутаторы настраиваются с использованием идентификаторов VLAN (VID).
Устройства в сети назначаются определенным VLAN на основе их VID.
Коммутаторы пересылают трафик только между устройствами, принадлежащими к одной и той же VLAN.

VRF

VRF (виртуальная таблица маршрутизации) — это функция маршрутизации, которая позволяет сегментировать сеть на несколько логически определяемых доменов. VRF используются для разделения трафика и направления данных в сети в соответствии с требованиями безопасности, производительности или другими нормативными требованиями.

Как работают VRF:

Сеть логически делится на несколько маршрутизаторов или сегментов.
Маршрутизаторы настраиваются с использованием идентификаторов VRF.
Маршрутные таблицы создаются для каждого VRF.
Трафик в сети помечается идентификатором VRF.
Маршрутизаторы пересылают трафик только между устройствами, принадлежащими к одному и тому же VRF.

VLAN и VRF решают аналогичные задачи — мы можем сопоставить их преимущества и недостатки.

Преимущества использования VLAN и VRF:

изолируют трафик между разными сегментами сети, что затрудняет несанкционированный доступ и распространение вредоносных программ;
VLAN повышают производительность сети, уменьшая объем широковещательного и многоадресного трафика, а VRF — сокращая объем маршрутизируемого трафика и соответствующих таблиц;
помогают организациям соответствовать нормативным требованиям к повышению уровня безопасности и защиты данных.

Недостатки использования VLAN и VRF:

настройка и управление VLAN и VRF — сложный процесс, зависящий от множества факторов: распределенность сети, требования бизнеса, количество и разнообразие парка устройств;
при некорректной настройке VLAN и VRF могут повлиять на производительность сети, особенно с интенсивным трафиком.

В основном VLAN реализуется на коммутаторах, маршрутизаторах и межсетевых экранах, так как ему достаточно работать на канальном уровне L2, а VRF — на маршрутизаторах и межсетевых экранах на сетевом уровне L3. Для взаимодействия между VLAN также может требоваться устройство L3, например коммутатор агрегации. Для взаимодействия между VRF в некоторых случаях используются отдельные маршрутизаторы, которые не являются частью ни одного из VRF, но имеют подключение к обоим.

VNF

VNF (виртуальная сетевая функция) — это программное обеспечение, которое выполняет функции традиционного сетевого оборудования, например межсетевых экранов, маршрутизаторов и балансировщиков нагрузки. VNF развертываются на виртуальных машинах или в контейнерах и могут быть динамически масштабированы для удовлетворения меняющихся сетевых требований.

Как работает VNF:

Развертывается на виртуальной машине или в контейнере.
Настраивается с необходимыми параметрами и политиками.
Запускается и начинает выполнять свою сетевую функцию.
Трафик сети направляется через VNF для обработки и защиты.

Преимущества использования VNF:

легко развертывать, перемещать и масштабировать по мере необходимости, что обеспечивает большую адаптивность сети;
динамически масштабируется для соответствия меняющимся сетевым требованиям, что позволяет сетям быстро реагировать на повышение или снижение скорости трафика;
способствуют снижению затрат организации за счет консолидации нескольких сетевых функций на одной виртуальной машине или в контейнере;
способствует развитию технологий, позволяя поставщикам сетевых услуг быстро разрабатывать и внедрять новые функции и сервисы.

Недостатки использования VNF:

управление VNF зависит от множества факторов: распределенности сети, требований бизнеса, количества и разнообразия парка устройств;
используют виртуализацию, и любые проблемы с виртуальной инфраструктурой могут повлиять на производительность и надежность VNF.

Межсетевые экраны и маршрутизаторы

Сегментация с помощью межсетевого экрана и сегментация с помощью маршрутизатора — это стратегии разделения сети, нацеленные на разные результаты.

Сегментация с межсетевым экраном необходима для контроля и фильтрации сетевого трафика на границах сети или между различными подсетями. На МСЭ создаются правила, которые разрешают или запрещают прохождение сетевого трафика на основе исходного и конечного IP-адреса, порта и протокола.

Преимущества использования МСЭ:

централизованный контроль сетевого трафика;
возможность реализации сложных правил безопасности;
возможность блокирования вредоносного трафика и атак извне;
возможность проверки разрешенного трафика средствами обнаружения вторжений;
возможность описания правил на основе идентификаторов (identity);
возможность расшифровки трафика.

Недостаток — неэффективное использование ресурсов: они будут задействованы для решения дополнительных задач по обработке трафика. В некоторых простых сетях межсетевой экран может выполнять функции маршрутизатора, особенно если требования к производительности невысоки.

С помощью маршрутизаторов и коммутаторов L3 создаются виртуальные локальные сети, таблицы маршрутизации или другие механизмы сегментации, которые предотвращают передачу трафика между зонами, если это не разрешено.

Преимущество — производительность выше, чем на МСЭ.

Недостатки использования маршрутизаторов:

сегментация может быть более сложной в реализации, чем на межсетевом экране;
этот метод менее гибкий при реализации сложных правил безопасности;
нет поточной антивирусной проверки и анализа трафика средствами обнаружения вторжений.

Сегментация с использованием межсетевого экрана лучше подходит для контроля трафика на границах сети и между зонами безопасности, а сегментация с помощью маршрутизатора — для создания четко изолированных подсетей внутри организации за счет скорости обработки пакетов. Выбор оптимального подхода к сегментации зависит от конкретных требований и архитектуры сети. Во многих случаях организации используют комбинацию сегментации на МСЭ и маршрутизаторе для достижения всесторонней защиты.

Дополнительно отметим программные межсетевые экраны на конечных устройствах: встроенные средства межсетевого экранирования на Windows (Windows Defender) и Linux (iptables) ограничивают доступ к отдельным конечным устройствам, избегая увеличения количества правил на аппаратных межсетевых экранах и маршрутизаторах.

Протоколы ограничения и получения доступа к сети

MAC ACL

MAC ACL (access-control list) — метод контроля доступа к сети на основе MAC-адресов различных устройств. MAC-адрес — уникальный идентификатор, присвоенный каждому сетевому интерфейсу.

MAC ACL сопоставляет MAC-адреса устройств со списком разрешенных или заблокированных адресов. Устройствам с разрешенными адресами предоставляется доступ к сети, а устройствам с заблокированными — запрещается.

Технология обычно реализуется на сетевых устройствах — коммутаторах и маршрутизаторах с функциями контроля доступа. Администраторы сети могут настраивать MAC ACL для управления доступом к определенным портам, VLAN или всей сети.

Преимущества использования MAC ACL:

ограничивает доступ к сети только неавторизованным устройствам, что затрудняет несанкционированное проникновение;
относительно прост в настройке и управлении, поэтому подходит для сетей небольших масштабов;
внедрение MAC ACL не требует дополнительного оборудования или программного обеспечения, это экономически эффективное решение.

Недостатки использования MAC ACL:

не защищают от подделки MAC-адресов, из-за чего злоумышленники могут получить доступ к сети;
предлагают только базовый контроль доступа и не обеспечивают дополнительных функций — аутентификации пользователей или контроля на основе ролей.

MAC ACL подходит для сетей с небольшим количеством устройств. Кроме того, может использоваться в сочетании с другими мерами контроля: списками управления доступом на основе портов (PACL) и списками управления доступом на основе IP-адресов (IP ACL) для создания более надежной системы безопасности сети.

Port Security

Port Security — это функция обеспечения безопасности сети, ограничивающая количество MAC-адресов, которые могут быть связаны с портом коммутатора. Это помогает предотвратить несанкционированный доступ к сети и частично защититься от атаки типа «человек посередине».

Port Security ограничивает доступные к подключению MAC-адреса для каждого порта коммутатора с возможностью присвоения порту первого MAC-адреса. Администраторы сети могут указать список разрешенных MAC-адресов для каждого порта. Если неразрешенный MAC-адрес пытается получить доступ, порт переходит в состояние «Нарушение безопасности» и блокирует весь трафик или формирует событие безопасности о нарушении политики.

Преимущества использования Port Security:

Port Security ограничивает доступ к сети только неидентифицированным устройствам по MAC-адресу, что затрудняет несанкционированное проникновение и атаки;
Port Security затрудняет атаки типа «человек посередине», когда злоумышленник перехватывает трафик между двумя устройствами и выдает себя за одно из них, ограничивая список доступных к подключению MAC-адресов;
Port Security помогает администраторам сети выявлять и устранять проблемы безопасности, связанные с неавторизованными устройствами.

Недостатки использования Port Security:

управление длинными списками MAC-адресов может быть трудоемким, особенно в крупных сетях;
злоумышленники могут подделывать MAC-адреса, чтобы обходить Port Security и получать доступ к сети;
если порт переходит в состояние «Нарушение безопасности», это может привести к потере доступа к сети для авторизованных устройств.

Port Security лучше всего подходит для сетей с небольшим количеством портов. Его также можно использовать в сочетании с другими мерами контроля доступа для создания более надежной системы защиты.

Помимо ограничения количества MAC-адресов, Port Security также имеет и другие функции, например может динамически присваивать порту MAC-адреса устройств, подключенных к нему.

ARP inspection

ARP inspection (инспекция ARP) — это функция обеспечения безопасности сети, которая проверяет пакеты ARP (протокол определения адресов) и блокирует вредоносные.

Протокол ARP используется устройствами в сети для сопоставления IP-адресов с MAC-адресами. Атаки типа «человек посередине» могут использовать поддельные пакеты ARP для перенаправления трафика на устройства атакующего, что позволяет злоумышленникам перехватывать или изменять данные.

Как работает ARP inspection:

Коммутатор получает пакет ARP.
Коммутатор или маршрутизатор проверяет, соответствует ли MAC-адрес отправителя его IP-адресу (при помощи статических записей или с применением технологии DHCP snooping, что позволит динамически получать информацию от DHCP-сервера).
Если MAC-адрес и IP-адрес не совпадают, пакет отбрасывается.

Преимущества использования ARP inspection:

ARP inspection предотвращает атаки типа «человек посередине», которые могут использоваться для перенаправления трафика и перехвата данных;
ARP inspection может помочь организациям соответствовать нормативным требованиям к защите от атак типа «отравление ARP».

Недостатки использования ARP inspection: ARP inspection может быть несовместима с некоторыми старыми или нестандартными устройствами из-за их небезопасности.

ARP inspection можно использовать в сочетании с другими мерами — с Port Security и списками управления доступом (ACL) для создания более надежной системы защиты.

IEEE 802.1X

IEEE 802.1X — стандарт, используемый для контроля доступа к сети на основе идентификации и аутентификации устройств, который работает на канальном уровне L2 модели OSI и обычно реализуется на коммутаторах и точках доступа.

Для внедрения необходимы супликант, аутентификатор и сервер аутентификации.

Аутентификатор — устройство (коммутатор или точка доступа), контролирующее физический доступ к сети в зависимости от статуса аутентификации клиента. Выполняет роль посредника между клиентом и сервером аутентификации.

Супликант — устройство, которое запрашивает доступ к сети у аутентификатора и отвечает на его запросы. На клиенте должно быть установлено программное обеспечение, работающее по протоколу IEEE 802.1X.

Сервер аутентификации аутентифицирует клиента, проверяет его идентификаторы и сообщает аутентификатору, разрешен ли доступ к сети.

Как работает IEEE 802.1X:

Устройство (например, компьютер или смартфон) подключается к корпоративной сети, защищенной IEEE 802.1X.
Порт переходит в состояние «Неавторизованный» и отправляет устройству запрос на аутентификацию.
Устройство отвечает (при настроенном супликанте), отправляя свои учетные данные (например, имя пользователя и пароль) аутентификатору, который перенаправляет их на соответствующий сервер.
Сервер аутентификации проверяет учетные данные и отправляет ответ обратно на порт.
Если аутентификация прошла успешно, порт переходит в состояние «Авторизованный» и разрешает доступ к сети.
Если аутентификация не удалась, порт остается в состоянии «Неавторизованный» и запрещает доступ к сети.

Дополнительно сервер аутентификации может проводить аудит подключаемых устройств на соответствие безопасной политике доступа, например проверять версию ОС, наличие последних обновлений, версию антивирусного ПО.

Преимущества использования IEEE 802.1X:

обеспечивает более высокий уровень безопасности сети, поскольку требует аутентификации пользователей устройств перед предоставлением доступа к ней;
позволяет централизованно управлять аутентификацией пользователей и устройств, что упрощает контроль и повышает безопасность;
поддерживает различные методы аутентификации, в том числе EAP (протокол расширяемой аутентификации), что позволяет организациям выбирать наиболее подходящий метод для своих потребностей.

Недостатки использования IEEE 802.1X:

реализация стандарта может быть сложной и потребовать дополнительных аппаратных и программных компонентов;
протокол IEEE 802.1X может быть несовместим со старыми или нестандартными устройствами из-за их небезопасности.

VPN

VPN — это виртуальная частная сеть, которая используется для обеспечения безопасного доступа к ресурсам внутри корпоративной сети и позволяет сотрудникам безопасно подключаться к чувствительным сегментам инфраструктуры, а также получать доступ к приложениям, файлам и другим ресурсам, используя дополнительный шаг при аутентификации.

Как работает VPN:

Пользователь во внутренней сети устанавливает VPN-клиент на свое устройство.
VPN-клиент подключается к VPN-серверу внутри сегмента сети с чувствительной и критичной информацией.
VPN-сервер аутентифицирует пользователя по логину, паролю и второму фактору аутентификации и устанавливает зашифрованный туннель между устройством в пользовательском сегменте и чувствительным сегментом.
Пользователь может безопасно получать доступ к ресурсам внутренней сети (приложениям, файлам и другой инфраструктуре) через зашифрованный туннель.

Преимущества использования VPN:

обеспечивает безопасный канал связи между пользовательскими сегментами и сегментами с чувствительной информацией, защищая данные от перехвата и несанкционированного доступа;
администраторы могут централизованно управлять доступом к сегментам с чувствительной информацией, применяя политики VPN и правила доступа;
дополнительный этап аутентификации для доступа к критически важным сегментам сети.

Недостатки использования VPN:

настройка и управление VPN могут быть сложными, особенно в крупных сетях;
может влиять на производительность при туннелировании в корпоративных сетях, особенно для приложений, требующих высокой пропускной способности или низкой задержки.

DHCP snooping

DHCP snooping — это функция безопасности сети, которая предотвращает несанкционированное использование серверов DHCP и реализацию атак типа «человек посередине». Работает на основе мониторинга и проверки трафика DHCP в сети.

Как работает DHCP snooping:

Коммутатор или маршрутизатор с включенным DHCP snooping прослушивает трафик DHCP в сети.
Коммутатор или маршрутизатор проверяет, что все DHCP offer и acknowledgement поступают с доверенных портов.
Коммутатор или маршрутизатор отслеживает связь между IP-адресами и MAC-адресами устройств в сети.
Коммутатор или маршрутизатор блокирует DHCP offer и acknowledgement, которые не соответствует авторизованному серверу DHCP.

Преимущества использования DHCP snooping:

DHCP snooping предотвращает атаки типа «человек посередине», в которых злоумышленник выдает себя за сервер DHCP и перехватывает сетевой трафик;
DHCP snooping повышает общую безопасность сети за счет предотвращения несанкционированного использования серверов DHCP и реализацию атак типа DHCP starvation;
Оказывает помощь при динамической настройке ARP inspection.

Недостаток — DHCP snooping может быть несовместим с некоторыми устройствами в сети.

Сегментация микросервисной архитектуры

Тенденции развития приложений и их масштабы требуют усовершенствования архитектуры их построения и разработки. Контейнеризация в разработке приложений позволяет выполнять гибкую настройку отдельных компонентов и эффективнее использовать вычислительные ресурсы. Между тем технологии контейнеризации подвержены аналогичным угрозам перемещения внутри периметра и свободного распространения вирусного ПО, но, учитывая возможность размещения большого количества сервисов на одном хосте, они не поддаются стандартным методам сетевой изоляции на уровне оборудования.

На примере Kubernetes увидим, как изолировать отдельные контейнеры с помощью сущности namespace (пространство имен).

По умолчанию активное пространство имен носит название default. Оно будет автоматически использовано, если не уточнить его в YAML ресурса. На помощь в изоляции и сегментации приходят сетевые политики.

Сегментация сети в контейнеризированных кластерах реализуется сетевыми политиками и минимизирует негативные последствия при компрометации контейнера, блокирует перемещения, позволяя при этом легитимному трафику маршрутизироваться как ожидалось.

Сетевые политики действуют как межсетевой экран и контролируют взаимодействие сервисов. Определять их следует таким образом, чтобы поды могли взаимодействовать только с определенными активами, а все остальное было запрещено.

Такие свободно распространяемые решения, как Project Calico и Cilium, помогают расширить возможности и повысить удобство применения встроенных сетевых политик в Kubernetes.

Подробнее о безопасности Kubernetes можно ознакомиться в статье .

Заключение

Сегментация сети — это не только полезный инструмент, но и необходимый шаг для кибертрансформации организации, для повышения ее киберустойчивости. Разделение сети на изолированные сегменты с ограниченным доступом между ними уменьшает распространение вредоносных программ, предотвращает несанкционированный доступ к критически важным данным и снижает вероятность успешных кибератак. Сегментирование сети на логически изолированные зоны делает атаку более сложной, повышает вероятность раннего обнаружения действий злоумышленника и ограничивает ущерб в случае успешного проникновения.

Лучшие практики по сегментации сети подробнее можно рассмотреть в открытом проекте.