Manažer bezpečnosti: Segmentace jako priorita

Když se chce náš IT ředitel zaměřit na segmentaci sítě, je asi nejlepší se k němu přidat. Má totiž pravdu. Jedním z mých strategických cílů na tento rok je něco, jsem vždy rád dělal: Přijít s komplexním plánem zabezpečení. Když jsem se tím zabýval v minulosti, bylo to zábavné. Mám rád, když jsou v místnosti lidé, objednává se pizza a začíná brainstorming...



Jedním z mých strategických cílů na tento rok je něco, jsem vždy rád dělal: Přijít s komplexním plánem zabezpečení. Když jsem se tím zabýval v minulosti, bylo to zábavné. Mám rád, když jsou v místnosti lidé, objednává se pizza a začíná brainstorming...

Když nic jiného, tak je toto cvičení dobrým způsobem, jak vytvořit seznam přání a ke každé položce odhadnout náklady. Někdy pomáhá vidět, kde se kříží požadované a proveditelné. Abych tyto „křižovatky“ lépe rozeznal, začal jsem používat software od společnosti Mindjet, který usnadňuje záznam nápadů, které se objevují na poradách a umožňuje jejich organizaci do strukturálních stromů s možností snadného přeskupování položek. Je to šikovný nástroj pro stanovení priorit a zviditelnění veškerých nákladů.

Jak se však ukázalo, žádná větší potřeba určovat priority obsahu naší úvodní porady neexistovala. Ředitel IT totiž jasně řekl, že je požadováno, abychom se zaměřili na segmentaci sítě. Tuto naši první poradu jsem naplánoval jako malou a pozval jsem pouze zmíněného ředitele, dále zástupce ředitele IT a několik manažerů a architektů IT. Chtěl jsem poradu řídit a pokusil jsem se o to rčením, že segmentace sítě je samozřejmě jedním z prvků komplexního plánu zabezpečení. Ředitel IT byl však neústupný. Než tedy strávit celou hodinu dohadováním, postupoval jsem podle jeho požadavku.

Naštěstí následovala užitečná diskuse o tom, co zoufale potřebujeme. Nejprve jsem ještě více zúžil diskusi na pravidlo minimálních privilegií. Již jsem o tom psal dříve a jsem přesvědčen, že je to nejdůležitější koncept zabezpečení informací: Nikdy byste neměli dát nikomu a žádnému prostředku ve své síti přístup k čemukoli, co není potřebné pro jejich práci. Slovo „nikomu“ se týká jednotlivců i skupin lidí a pojem „žádnému prostředku“ se týká například serverů nebo aplikací – jinak řečeno, hardware a software také musejí dělat svou práci, ale není důvod jim přidělovat přístup do těch částí sítě, které se k této práci nevztahují. Nebylo těžké zajistit souhlas s touto základní filosofií celé naší skupiny.

Způsoby ověřování
Další položkou do diskuse bylo: Co by se mělo stát, když zaměstnanec připojí svůj počítač do sítě? Rozhodli jsme se zajistit, že každý počítač musí být ověřeným prostředkem naší společnosti. Také chceme zajistit, že každý počítač splňuje naše standardy antivirové ochrany, nainstalovaných oprav a aplikací. A samozřejmě také vyžadujeme, aby zaměstnanci mohli svou práci vykonávat bez problémů.

Pro účely ověřování jsme zvolili řešení postavené na NAC (Network Admission Control), protokolu DHCP (Dynamic Host Configuration Protocol) a adresách MAC (Media Access Control), které nám umožní použít stávající infrastrukturu k segmentaci sítě stolních počítačů. DHCP je mechanismus, pomocí kterého je IP adresa dynamicky přiřazena počítači při jeho připojení do sítě. To vyžaduje nejprve identifikovat ověřené počítače pomocí registrace adres MAC každého z nich na serveru DHCP.

Když je počítač připojen k síti, vysílá adresu MAC serveru DHCP, který by měl být schopen rozpoznat všechny platné adresy MAC a přiřadit jim IP adresu z rozsahu pro stolní počítače v síti. NAC pracuje trochu jinak, ale výsledkem je totéž.

Na naší příští poradě se budeme zabývat dalšími prvky projektu komplexní segmentace sítě a zaměříme svou pozornost na datové centrum, laboratoře inženýrů a na produkční zařízení. A jakmile bude vše hotovo, budu to všechno moci začlenit do svého komplexního plánu celkového zabezpečení a vrátit se ke své práci.










Komentáře