Opis segmentacji sieci na platformie Azure

  • 2 min

Segmentacja polega na podzieleniu czegoś na mniejsze elementy. Organizacja, na przykład, zazwyczaj składa się z mniejszych grup biznesowych, takich jak zasoby ludzkie, sprzedaż, obsługa klienta i nie tylko. W środowisku biurowym często każda grupa biznesowa ma własną dedykowaną przestrzeń biurową, a członkowie tej samej grupy współdzielą biuro. Umożliwia to członkom tej samej grupy biznesowej współpracę przy zachowaniu separacji od innych grup w celu spełnienia wymagań dotyczących poufności poszczególnych firm.

Ta sama koncepcja dotyczy firmowych sieci IT. Główne przyczyny segmentacji sieci to:

  • Możliwość grupowania powiązanych zasobów będących częścią (lub obsługi) operacji obciążeń.
  • Izolacja zasobów.
  • Zasady ładu ustawione przez organizację.

Segmentacja sieci obsługuje również model Zero Trust i warstwowe podejście do zabezpieczeń, które jest częścią strategii ochrony w głębi systemu.

Załóżmy, że naruszenie jest zasadą modelu Zero Trust, więc możliwość powstrzymania osoby atakującej jest niezbędna w ochronie systemów informacyjnych. Gdy obciążenia (lub części danego obciążenia) są umieszczane w osobnych segmentach, możesz kontrolować ruch z/do tych segmentów w celu zabezpieczenia ścieżek komunikacyjnych. W przypadku naruszenia zabezpieczeń jednego segmentu będzie można lepiej zawierać wpływ i zapobiec jego późniejszemu rozprzestrzenianiu się przez pozostałą część sieci.

Segmentacja sieci może zabezpieczyć interakcje między obwodami. Takie podejście może wzmocnić stan zabezpieczeń organizacji, zawierać zagrożenia w naruszeniu i uniemożliwić atakującym uzyskanie dostępu do całego obciążenia.

Azure Virtual Network

Azure Virtual Network (VNet) to podstawowy blok konstrukcyjny dla sieci prywatnej organizacji na platformie Azure. Sieć wirtualna jest podobna do tradycyjnej sieci, która będzie działać we własnym centrum danych, ale oferuje dodatkowe korzyści z infrastruktury platformy Azure, takie jak skalowanie, dostępność i izolacja.

Sieć wirtualna platformy Azure umożliwia organizacjom segmentowanie sieci. Organizacje mogą tworzyć wiele sieci wirtualnych na region na subskrypcję, a w każdej sieci wirtualnej można utworzyć wiele mniejszych sieci (podsieci).

Sieci wirtualne zapewniają domyślnie ograniczanie zasobów na poziomie sieci bez ruchu dozwolonego w sieciach wirtualnych ani ruchu przychodzącego do sieci wirtualnej. Komunikacja musi być jawnie aprowizowana. Umożliwia to większą kontrolę nad sposobem komunikowania się zasobów platformy Azure w sieci wirtualnej z innymi zasobami platformy Azure, Internetem i sieciami lokalnymi.

Diagram depicting network segmentation using Azure Virtual Networks.