Una cosa come troppa segregazione di rete?

5

Uno dei maggiori punti di attrito che vedo tra i team di networking, i team di sicurezza e gli utenti è intorno all'idea della segregazione di rete. Ad esempio, il team di rete vuole isolare tutti dietro le VLAN, così che, ad esempio, gli utenti non sarebbero nemmeno in grado di sfogliare l'indirizzo IP di uno strumento di sicurezza. Il ragionamento è che se tutto è separato, ciò limita la potenziale esposizione di quel dispositivo sensibile all'attacco. Viceversa, gli utenti del team di sicurezza lo trovano ingombrante, perché se hanno bisogno di entrare in VPN e visualizzare gli eventi di notte, devono utilizzare una casella di scorrimento perché non possono accedere all'interfaccia dalla VLAN di cui fanno parte.

Quello che voglio sapere è come le persone di solito si avvicinano a questo scontro tra "sicurezza" e usabilità. Per me, preferisco che l'applicazione esegua l'autenticazione, piuttosto che fare affidamento su quale VLAN si trova qualcuno.

    
posta appsecguy 24.02.2015 - 03:27
fonte

3 risposte

2

Hai assolutamente ragione su dove dovrebbero esistere i meccanismi di controllo degli accessi: in-app.

Alcuni OWASP Top Ten verbale qui per te:

Do not rely upon spoofable credentials as the sole form of authentication, such as IP addresses or address range masks, DNS or reverse DNS lookups, referrer headers or similar

Tuttavia, in alcune reti legacy in cui la sicurezza, per impostazione predefinita, non è la norma, la segregazione può consentire il continuo miglioramento dei controlli DMZ e iSMS nel tempo. Sono dell'opinione che questo tipo di reti dovrebbe essere spento, spento e dimenticato, ma i costi di sostituzione e le esigenze aziendali spesso richiedono diversamente. Questo è spesso un chiaro indicatore del fatto che business, IT e servizi / gestione delle modifiche non sono allineati e che l'organizzazione dovrebbe assumere un nuovo CIO o sostituire quello attuale.

    
risposta data 24.02.2015 - 03:49
fonte
2

Per il tuo primo punto, ovviamente c'è una cosa come troppa segregazione. Non sono d'accordo con le risposte già qui che la segregazione della rete è obsoleta o inutile, comunque. È importante separare le reti disparate, e forse pezzi specifici del tutto più ampio.

Considera che un firewall di rete è un host di bastion. In genere esegue un sistema operativo molto ridotto e viene utilizzato per una singola funzione. In genere, a pochi utenti viene affidato l'accesso e in genere le modifiche vengono automaticamente sottoposte a backup utilizzando qualcosa come rancid.

Questo offre due cose. Uno è un cartellone di eventuali modifiche apportate a questi dispositivi, in genere eseguiti in condizioni controllate. Secondo, può rendere molto più difficile per un utente malintenzionato accedere ai dati che sta cercando. Se una macchina è in grado di contattare solo i sistemi nella sua VLAN, potrebbe non avere alcun accesso diretto ai dati importanti. Se tutto è in un unico bucket, un singolo host compromesso diventa immediatamente un perno da utilizzare contro tutte le infrastrutture critiche. Se hai una segmentazione, questo può diventare molto più difficile.

Per quanto riguarda come affrontarlo, devi bilanciare usabilità e costi di implementazione della segmentazione della rete con il valore dei dati coinvolti. Se sei un'organizzazione di grandi dimensioni che può essere causa di danni finanziari significativi a causa di una violazione, è possibile che la segregazione di rete abbia senso. In genere consiglio un host di salto con autenticazione a 2 fattori per accedere a qualsiasi accesso in un ambiente di produzione e un piccolo elenco di ruoli con questo accesso.

    
risposta data 24.02.2015 - 21:47
fonte
0

L'uso della segregazione VLAN impedisce solo l'hacking casuale. Gli hacker professionisti non saranno significativamente ostacolati dalla segregazione VLAN. Pertanto, l'inconverenza dei dipendenti è probabilmente molto maggiore di qualsiasi sicurezza fornita dalle VLAN.

Sfortunatamente, hai a che fare con la psicologia della "illusione della sicurezza" qui, quindi non c'è molto da fare.

    
risposta data 24.02.2015 - 04:19
fonte

Leggi altre domande sui tag