Segmentácia sietí zvyšuje kybernetickú bezpečnosť

Podľa portálu SK-CERT špecifickosť práce jednotlivých oddelení v podniku (ekonomické, obchodné, správa databázových serverov, ...) definuje potrebu rozdelenia kritických systémov od bežných pracovných zariadení, respektíve určenie práv prístupu ku špecifickým aplikáciám a službám. Dôvod takejto segmentácie je, že útok ransomvéru obvykle začína v ľahšie zdolateľnej časti siete (napríklad zariadenie bežného užívateľa) a má tendenciu rozširovať sa ďalej, v čom mú segmentácia môže zabrániť, alebo aspoň sťažiť progres.

Hlavnou výhodou segmentácie sietí, okrem zlepšenia kybernetickej bezpečnosti, je väčšia kontrola nad prevádzkou siete. Na stránkach spoločnosti Fortinet sa dočítate, že segmentácia znižuje preťaženie sietí a možný pokles výkonu pri streamovaní médií a videokonferenciách. 

Že klasická segmentácia sietí, založená na perimetroch (out-in obvody) a nulovej dôvere, už dávno nestačí, potvrdzujú čoraz častejšie prieniky z cloudových a hybridných prostredí do interných sieti. 

Medzi najčastejšie metódy modernej segmentácie sietí patria VLAN-y (virtuálne siete), ktoré umožňujú oddeliť zariadenia na fyzicky rovnakom hardvéri do virtuálnych skupín. Táto metóda je pomerne jednoducho implementovateľná.  Ďalšou možnosťou logickej segmentácie sietí sú rozdeľovanie IP adries do logických podsietí (Subnet-ov), čo ale vyžaduje podrobnejšie pochopenie teórie nastavení sietí. 

Firewallové zóny s definovanými pravidlami pre komunikáciu medzi segmentmi je fyzická, ale menej flexibilná možnosť segmentácie sietí. V tomto prípade automatizované poskytovanie prístupov môže výrazne zjednodušiť konfiguráciu podsietí, ale je to cenovo náročnejšie riešenie.

Spoločnosť CDP realizuje projekty segmentácie sietí postavené na princípoch virtuálnych sietí, VLAN. Táto metóda má nesporné výhody, hlavné z pohľadu bezpečnosti a jednoduchosti nasadenia. 

Pri rozhodovaní treba rátať s implementačnými nákladmi a trochu náročnejšou správou.