Non c'è niente di sbagliato nell'esecuzione di server all'interno della rete aziendale - tranne che la rete aziendale non dovrebbe essere una rete ampia e piatta. È necessario considerare la separazione delle risorse e degli utenti in "zone" diverse e quindi scrivere regole che consentano l'accesso corretto (e previsto) tra tali zone. nel tuo modello, includi "zona internet" e anche tutti i link diretti a terze parti che la tua azienda potrebbe avere (ad esempio vpn ai fornitori)
Userei sempre i firewall invece di dividere semplicemente la rete in VLAN. I firewall offrono una migliore funzionalità per la creazione di regole (o gruppi di regole) in modo da poter autorizzare il traffico che si prevede di fluire tra le zone.
Puoi posizionare i controlli di sicurezza sui bordi all'interno della zona, ad esempio:
- IPS / IDS che riportano al tuo Soc / SIEM
- Funzionalità di elenco di controllo degli accessi (supportato da alcuni produttori di firewall) che ti consentirà di garantire che solo gli utenti autorizzati possano accedere a una zona, dove risiedono i server / app. Naturalmente, il tuo registro DENY sarà utile per il SoC
Organizzare le zone sarà diverso per ogni organizzazione, ma gli esempi di commoin sono:
- segregazione dello sviluppo / test dalla produzione
- segregazione degli utenti dai server di produzione
- segregazione di server di applicazioni ad alto rischio o altamente sensibili da server di applicazioni non sensibili
Ci sono alcuni rischi. Fare attenzione a non superare il numero di zone e renderlo troppo complesso. Altrimenti l'onere di mantenere le regole diventerà un grosso costo. Valuta di investire in un prodotto firewall con una buona gestione delle regole o persino un'applicazione di gestione delle regole separata (ad esempio, Tuffin SecureTrack + ce ne sono anche altri).
Tieni presente che alcuni fornitori di firewall hanno modalità proprietarie per aggiungere ACL alle regole; questi possono avere un strong impatto sulle prestazioni del firewall e potrebbe essere necessario un kit più grande del previsto.