Una cosa come troppa segregazione di rete?

Hai assolutamente ragione su dove dovrebbero esistere i meccanismi di controllo degli accessi: in-app.

Alcuni OWASP Top Ten verbale qui per te:

Do not rely upon spoofable credentials as the sole form of authentication, such as IP addresses or address range masks, DNS or reverse DNS lookups, referrer headers or similar

Tuttavia, in alcune reti legacy in cui la sicurezza, per impostazione predefinita, non è la norma, la segregazione può consentire il continuo miglioramento dei controlli DMZ e iSMS nel tempo. Sono dell'opinione che questo tipo di reti dovrebbe essere spento, spento e dimenticato, ma i costi di sostituzione e le esigenze aziendali spesso richiedono diversamente. Questo è spesso un chiaro indicatore del fatto che business, IT e servizi / gestione delle modifiche non sono allineati e che l'organizzazione dovrebbe assumere un nuovo CIO o sostituire quello attuale.

Per il tuo primo punto, ovviamente c'è una cosa come troppa segregazione. Non sono d'accordo con le risposte già qui che la segregazione della rete è obsoleta o inutile, comunque. È importante separare le reti disparate, e forse pezzi specifici del tutto più ampio.

Considera che un firewall di rete è un host di bastion. In genere esegue un sistema operativo molto ridotto e viene utilizzato per una singola funzione. In genere, a pochi utenti viene affidato l'accesso e in genere le modifiche vengono automaticamente sottoposte a backup utilizzando qualcosa come rancid.

Questo offre due cose. Uno è un cartellone di eventuali modifiche apportate a questi dispositivi, in genere eseguiti in condizioni controllate. Secondo, può rendere molto più difficile per un utente malintenzionato accedere ai dati che sta cercando. Se una macchina è in grado di contattare solo i sistemi nella sua VLAN, potrebbe non avere alcun accesso diretto ai dati importanti. Se tutto è in un unico bucket, un singolo host compromesso diventa immediatamente un perno da utilizzare contro tutte le infrastrutture critiche. Se hai una segmentazione, questo può diventare molto più difficile.

Per quanto riguarda come affrontarlo, devi bilanciare usabilità e costi di implementazione della segmentazione della rete con il valore dei dati coinvolti. Se sei un'organizzazione di grandi dimensioni che può essere causa di danni finanziari significativi a causa di una violazione, è possibile che la segregazione di rete abbia senso. In genere consiglio un host di salto con autenticazione a 2 fattori per accedere a qualsiasi accesso in un ambiente di produzione e un piccolo elenco di ruoli con questo accesso.

L'uso della segregazione VLAN impedisce solo l'hacking casuale. Gli hacker professionisti non saranno significativamente ostacolati dalla segregazione VLAN. Pertanto, l'inconverenza dei dipendenti è probabilmente molto maggiore di qualsiasi sicurezza fornita dalle VLAN.

Sfortunatamente, hai a che fare con la psicologia della "illusione della sicurezza" qui, quindi non c'è molto da fare.