Düz ağ (flat network) modernin en büyük güvenlik risklerinden biri. Bir makine ele geçirildiğinde saldırganın ulaşabildiği her şey tehlikede. Ağ segmentasyonu bu yayılımı durduran en etkili tek önlemdir.
Segmentasyon yaklaşımları
- VLAN ile mantıksal ayırma — en yaygın, en düşük maliyetli
- Firewall zonları ile katmanlı güvenlik politikaları
- Micro-segmentasyon — uç nokta bazında dinamik politikalar
- Zero Trust modelinde her istek için ayrı kimlik doğrulama
- Yönetim, sunucu, kullanıcı ve IoT ağlarının fiziksel/mantıksal ayrımı
Başlangıç planı
Segmentasyon projesini üç aşamalı uygulamanızı öneriyoruz: önce envanter (hangi sistem nerede, kim kullanıyor), sonra mantıksal sınıflandırma (kritik/hassas/misafir), son olarak politika uygulama. Büyük patlama yapmayın — kritik sistemlerden başlayıp dalgalar halinde ilerleyin.
Saldırı durduramazsınız. Ama saldırıyı kontrol altında tutmak, segmentasyonla mümkündür.
Yaygın hatalar
En sık yapılan hata: VLAN'ları kurup ACL yazmadan bırakmak. VLAN tek başına ayırma sağlamaz, sadece yayın domain'i bölümlendirir. Gerçek güvenlik için inter-VLAN trafik firewall veya L3 switch ACL'leri ile denetlenmeli. İkinci yaygın hata: yönetim ağını kullanıcı ağıyla paylaşmak — bunu asla yapmayın.
Okumaya devam edin