En viktig del i att förbättra din cybersäkerhet är att arbeta med nätverkssegmentering. Nätverkssegmentering i datornätverk innebär att dela upp ett nätverk i mindre nätverk (även kallade zoner eller domäner) och sedan införa strikta kontroller av nätverkstrafiken mellan zonerna. Fördelarna med sådan uppdelning är främst att förbättra säkerheten men också prestanda. I detta blogginlägg går vi igenom några olika sätt att göra denna nätverkssegmentering på!
Varför behövs nätverkssegmentering?
Nätverkssegmentering i datanätverk innebär att dela upp ett datanätverk i delnätverk, där var och en är ett nätverkssegment. Fördelarna med sådan splittring är främst för att förbättra prestanda och förbättra säkerheten. Utan segmentering finns det risk att känslig information kan läckas eller manipuleras samt att malware och ransomware sprider sig okontrollerat och snabbt. Attackerare behöver inte gå direkt mot målet, till exempel eldistributionen. I stället nästlar de sig in via svaga punkter långt ute i arkitekturen, via mejl eller kundtjänst, som ett sätt att nå målet. Statsunderstödda attackerare har dessutom tålamod, är beredda att jobba långsiktigt, gör allt i små steg och ligger tyvärr ofta steget före. Den krassa verkligheten är att verksamhetens styr- och kontrollsystem kan vara angripna utan att det märkts, än.
Olika sorters nätverkssegmentering
1. Fysisk separation (fristående datorer)
En fristående dator är en dator som inte är ansluten till något nätverk eller motsvarande. Den fristående datorn ska aldrig anslutas till någon kommunikation mot nätverk eller dylikt. Den fristående datorns förmåga att kommunicera mot annan aktiv eller passiv utrustning ska alltid vara avstängd (till exempel wifi, bluetooth och airdrop). Undantag gäller för lokalt anslutna enheter så som till exempel skrivare via USB-kabel.
Den fristående datorn kan i grunden utgöras av en valfri dator med både standardoperativsystem och programvara, men som konfigurerats (härdats) utifrån de krav och behov som identifierats för att uppnå det säkerhetsskydd som informationen kräver.
Var är fysisk separation viktig?
Den absolut mest skyddsvärda informationen kräver fysisk separation. I enkla ordalag handlar det om att skapa en isolerad ö utan koppling till omvärlden. Detta minimerar riskytan – angriparen måste sitta vid själva datorn som innehåller den skyddsvärda informationen. Fysisk separation är ytterst effektiv, men för att den ska fungera praktiskt i dagens värld, måste ett kontrollerat informationsutbyte möjliggöras utan att ge avkall på isoleringen. Med certifierade lösningar som uppfyller militär standard kan man uppnå både funktion och säkerhet.
2. Airgap (isolerade nätverk)
Vissa mycket strikta miljöer kräver att zonerna är helt separerade med air gap, vilket innebär att det inte finns någon fysisk koppling mellan zonerna.
Airgap, airwall, airgapping eller isolerat nätverk är en nätverkssäkerhetsåtgärd som används på en eller flera datorer för att säkerställa att ett säkert datornätverk är fysiskt isolerat från andra nätverk, såsom det offentliga Internet eller ett osäkert lokalt nätverk. Det betyder att ett nätverk inte har några nätverksgränssnitt anslutna till andra nätverk. Det är alltså isolerat från andra system som är anslutna till osäkra nätverk.
Det enda sättet att överföra data till och från ett airgappat system är via ett bärbart media – ibland kallas detta för ”walknet”. Praktiskt görs detta av människor, vilket gör att du blir beroende av välutbildad personal som troligen hellre hade arbetat med andra mer kvalificerade och stimulerande arbetsuppgifter. Men även välutbildad personal med högt säkerhetsmedvetande kan tyvärr även de göra misstag eller ta genvägar, vilket trots alla säkerhetsåtgärder utsätter systemen för risker, t.ex. att du får in skadlig programvara i ditt system.
Datadioder som alternativ till fysisk separation och airgap
En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsflöde. Denna hårdvaruprodukt, med sin höga assurans, bibehåller både nätverkets integritet genom att förhindra intrång eller nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen. En datadiod skyddar tack vare sin höga assurans tillgångar hos aktörer verksamma t.ex. inom kritisk infrastruktur, ICS/SCADA och försvarsindustrin. Digitaliseringen och ökningen av sofistikerade cyberattacker gör att varje organisation som arbetar med känslig information har användning av en datadiod för att kunna skydda sin värdefulla information och för att kunna utbyta data på ett säkert sätt.
En datadiod placeras mellan två nätverk och fungerar som en backventil vars funktion endast tillåter att data skickas i ena riktningen medan den blockerar all data i motsatt riktning. Eftersom säkerheten inte bygger på mjukvara finns det inga sårbarheter i form av mjukvarubuggar och den kan heller inte attackeras av skadlig kod. Hårdvarubaserad säkerhet innebär att man kan vara trygg med att rätt konstruerade datadioder uppfyller sina säkerhetskrav med hög assurans.
En hårdvarubaserad datadiod är att likställa med airgap i backriktningen, vilket innebär att om du har krav på airgap-separation kan det faktiskt uppfyllas (i backriktningen) av en datadiod, men samtidigt möjliggöra en nätverkskoppling i framriktningen.
3. Logisk separation
Logisk separation är ett sätt att dela upp ditt nätverk i olika zoner, men att tillåta olika zoner att samallokeras på samma hårdvara eller nätverk. Separationen består i mjukvarulogik som bestämmer när, var och hur maskiner och applikationer får kommunicera med varandra – mindre uppenbart och med lägre assurans till separationsmekanismens styrka än fysisk separation eller air gap
Var är logisk separation lämpligt?
Överallt! Logisk separation kompletterar fysisk eller airgap-separation väl. I slutändan handlar det om balans mellan kommunikationsbehov, administration och säkerhet.
Ett annat viktigt område där logisk separation (eller till och med fysisk separation) vanligtvis används är för att separera administrativa uppgifter och funktioner från vanliga användarrelaterade uppgifter och funktioner, det vill säga att man bygger på ett eller annat sätt isolerade administrationsnätverk. Logisk separation fungerar som innerväggarna i ett fort och gör det svårt för angripare att fortsätta inom systemen och komma åt hela IT-miljön. Säkring av logiska enheter uppnås med produkter som minskar den exponerade riskytan och därigenom begränsar effekten av cyberattacker.
Fördelar med att använda logisk separation
Med logisk separation kan du återanvända samma hårdvaruinfrastruktur (d.v.s. kablar, switchar, routrar, etc.) för olika zoner. Information som lagras i de olika zonerna är fortfarande bara tillgänglig i den zonen, vilket innebär att endast de personer som behöver informationen kan komma åt den. Förutsatt att logiken är utan sårbarheter och rätt konfigurerad.
Men när hög assurans krävs bör du inte blanda trafik från olika säkerhetszoner i samma hårdvara eller kablar. För att uppnå riktigt hög säkerhet måste du använda olika hårdvara för de olika zonerna. Du kan dock vanligtvis ansluta dessa zoner med dedikerade säkerhetsprodukter över flera domäner, såsom datadioder och guards. På detta sätt kan informationsutbyte ske med hög kontroll över zongränserna. Det finns flera olika lösningar man kan använda för antingen envägskommunikation eller dubbelriktad kommunikation – eller båda.
Hur implementerar jag nätverkssegmentering?
Att segmentera en IT-miljö kan vara en mycket komplex uppgift som omfattar många olika kompetenser och som kan få stor påverkan på pågående verksamhet. Komplexiteten beror på saker som hur stor miljön är, hur nuläget ser ut, budget, vilken personal som står till förfogande och viljan hos ledningen.
Nedan följer fem steg som man kan ha som utgångspunkt när man börjar planera sitt segmenteringsprojekt:
- Skapa en zonmodell
- Definiera vad som ska segmenteras
- Gör en säkerhetsanalys av ingående system
- Partitionera systemen enligt zonmodellen
- Implementera, testa och driftsätt
Tänk på att det är lättast att göra den här typen av förändringar när man bygger nytt eller kompletterar befintligt nät!
Läs mer i vår guide – 5 steg för nätverkssegmentering!
Behöver du mer hjälp med ditt arbete med nätverkssegmentering är du välkommen att kontakta oss!
