إضافة تجزئة أمان الثقة الصفرية للمواقع

نظرة عامة

يؤمن التقسيم الجزئي (تقسيم على مستوى المضيف) حركة المرور ضمن نفس نطاق البث (مثل VLAN) من خلال إضافة تحكم بالوصول للحركة الجانبية بين المضيفين. غالبًا ما تعمل جدران الحماية التقليدية للشبكات في الطبقة 3، حيث لا تقوم دائمًا بفحص أو حظر حركة المرور ضمن VLAN (الطبقة 2).

عند تمكين التقسيم الجزئي لموقع Socket في Cato، يتم تقسيم قناع الشبكة الفرعية للنطاق إلى عدة عناوين /32. يتم إجبار كل حركة المرور بين المضيفين في ذلك VLAN على إرسالها إلى البوابة الافتراضية (Socket)، حيث يقوم محرك جدار الحماية في Cato بتقييم الحركة قبل وصولها إلى المضيف الوجهة. هذا يجبر الحركة "الشرقية‐الغربية" بين المضيفين الذين يشاركون VLAN للمرور عبر جدار الحماية للفحص وإنفاذ السياسات.

نوصي باستخدام جدار الحماية Socket Next Gen LAN للتجزئة الدقيقة لتوفير الأمن الأمثل على الأجهزة في الموقع.

لماذا تحتاج إليه

  • قلل المخاطر عن طريق منع المرور غير المصرح به بين المضيفين في نفس شبكة LAN

  • احصل على رؤية لطبقة المرور 2 بحيث تخضع جميع الاتصالات بين المضيفين لسياسات الثقة الصفرية الخاصة بك.

  • تبسيط التقسيم - بدلاً من إنشاء شبكات VLAN عديدة، يمكنك تطبيق سياسات القواعد على مستوى المضيف.

التقسيم الجزئي وتكوين DHCP

يعتمد التقسيم الجزئي على DHCP لتطبيق العزل على مستوى المضيف عن طريق تخصيص عنوان /32 لكل جهاز وإجبار كل حركة المرور الأفقية عبر الحماية لتقييم السياسات. يمكنك تمكين التقسيم الجزئي باستخدام Cato كخادم DHCP أو خادم DHCP جهة ثالثة متكامل من خلال ترحيل DHCP الخاص بـ Cato.

هذه هي وصف الخيارات تكوين DHCP للتقسيم الجزئي:

  • Cato كخادم DHCP - يقوم Cato بتخصيص عناوين IP مباشرة للمضيفين في نطاق الشبكة. عند تمكين التقسيم الجزئي، يطبق Cato تلقائيًا عنوانًا /32 لكل تخصيص DHCP ويفرض التفتيش الأفقى من خلال الحماية.

  • خادم DHCP الخاص بجهة خارجية باستخدام ترحيل DHCP - تمكين التقسيم الجزئي لمجموعات الشبكة التي تستخدم خادم DHCP خارجي، مع كون Cato مكونًا كترحيل DHCP. في هذا التكوين، يقوم الخادم الخارجي بتعيين عنوان IP ويتولى Cato بشكل تلقائي نفس توجيه المضيف /32 وتفتيش حركة المرور الأفقية كما هو في DHCP المدارة من خلال Cato. هذا يمكنك من تطبيق تقسيم الثقة الصفرية بدون تغيير بنية DHCP الحالية.

ملاحظة

ملاحظة: يتطلب دعم التقسيم الجزئي لترحيل DHCP موقع مادي للحماية يعمل بإصدار الحماية 24.0.21570 أو أعلى.

المتطلبات المسبقة

  • مآخذ فيزيائية مع الإصدار المقبس 22.x أو أعلى

  • مدعومة للنطاق الأصلي ونطاقات الشبكة VLAN

  • استنادًا إلى متطلبات الأمان لديك، قم بتكوين سياسة الجدار الناري للشبكة LAN أو WAN للسماح بالمرور ذي الصلة للأجهزة التي يغطيها التقسيم الدقيق.

نظام التشغيل المعتمد لتجزئة الشبكة

أنظمة التشغيل التالية تم التحقق منها من قبل Cato لدعم التجزئة الدقيقة. قبل تطبيق التقسيم الجزئي للأجهزة باستخدام نظام تشغيل مختلف، نوصي بالتحقق من أن نظام التشغيل يعمل بشكل صحيح في بيئتك.

  • أندرويد Samsung Galaxy A24 SM-A245F/DSN

  • عميل DHCP BusyBox (استنادًا إلى Linux 18.04.6 LTS Ubuntu Debian OS)

  • iOS 18.3.1

  • لينكس 18.04.6 LTS أوبونتو ديبيان (بيونيك بيفر)

  • macOS Apple M4 Pro 15.3.2 (24D81)

  • طابعة HP LaserJet Pro MFP M428fdn

  • طابعة Brother Model MFC-L2700DW

  • ويندوز 11

  • ويندوز 10 ESX VM: ويندوز 10 للتجارة، 22H2 19045.5608 (نظام تشغيلي 64 بت، معالج مبني على x64)

  • ويندوز سيرفر 2022 ESX VM داتا سنتر، معالج AMD EPYC 7413 ذو 24 نواة بسرعة 2.65 غيغاهرتز (نظام تشغيلي 64 بت، معالج مبني على x64)

  • ويندوز سيرفر 2019 ESX VM الأساسي معالج AMD EPYC 7413 ذو 24 نواة بسرعة 2.65 غيغاهرتز (نظام تشغيلي 64 بت، معالج مبني على x64)

  • Yealink IP Phone SIP-T23G & SIP-T40G

توصيات لنشر التقسيم الدقيق للشبكة

يمكن أن يتسبب نشر التقسيم الجزئي في تعطيل حركة المرور المشروعة أثناء ضمان تطبيق السياسات الأمنية التي تحد من الحركة الجانبية داخل الشبكة. اتبع هذه التوصيات لنشر التقسيم الجزئي بنجاح في شبكتك.

  1. قم بتمكين التقسيم الدقيق بشكل تدريجي في حسابك، بدءًا من نطاق واحد.

  2. نظرًا لأن التقسيم الجزئي لا يسري إلا بعد انتهاء فترة تأجير DHCP الحالية، وطلب الأجهزة عنوان IP جديد من DHCP، يجب عليك:

    1. تجاوز إعدادات الحساب لوقت تأجير DHCP وقلل وقت تأجير DHCP لنطاق الشبكة، قيمة الحد الأدنى هي دقيقة واحدة.

    2. عند تفعيل التقسيم الدقيق لكامل الحساب، قم مؤقتًا بتقليل وقت تأجير DHCP على مستوى الحساب. بعد التأكيد بأن التقسيم الجزئي يعمل بشكل صحيح، يمكنك تغيير فترة تأجير DHCP إلى الإعداد السابق.

      ملاحظة: فترة تأجير DHCP الافتراضية هي 72 ساعة (3 أيام).

  3. مراقبة التأثير على الأجهزة في النطاق الشبكي:

    1. تحقق من أن الأجهزة يمكنها التواصل مع الكيانات المسموح بها في حسابك بناءً على سياسة الجدار الناري.

    2. تحقق من أن الأجهزة لديها اتصال كامل بموارد الإنترنت.

      التقسيم الجزئي هو لحركة المرور الغربية الشرقية ضمن VLAN، ولا يجب أن يكون هناك تأثير على حركة المرور عبر الإنترنت.

  4. تجنب التوجيه غير المتناظر لضمان توجيه حركة المرور ضمن VLAN من خلال Socket بطريقة متناظرة. نوصي بأن تستخدم الأجهزة المحمية بالتقسيم الجزئي كاتو كخادم DHCP.

    على سبيل المثال، الطابعة التي تحتوي على IP ثابت والتي لم يتم تكوينها بشكل غير مقصود مع القناع الفرعي /32 المخصص من Cato لن تكون قادرة على التواصل مع الأجهزة الأخرى خلف هذا الموقع.

تمكين التقسيم الدقيق لنطاق الشبكة

قم بتكوين نطاقات الشبكة الجديدة أو الحالية للتقسيم الجزئي. يفرض هذا التكوين تعيين قناع شبكة فرعية /32 تلقائيًا لكل مضيف في الموقع. ثم مراجعة سياسة جدار الحماية لـ Socket LAN أو WAN للتأكد من السماح بالحركة المجزأة.

DHCP_Microsegmentation.png

لتمكين التقسيم الدقيق لنطاق الشبكة خلف الموقع:

  1. من قائمة التنقل، انقر فوق الشبكة > المواقع وحدد الموقع.

  2. من قائمة التنقل، انقر فوق تكوين الموقع > الشبكات.

  3. انقر فوق جديد، أو في عمود إعدادات DHCP، انقر على نطاق الشبكة.

    لوحة نطاق عناوين IP تفتح.

  4. قم بتعيين نوع الشبكة إلى النطاق المدعوم.

  5. أدخل إعدادات نطاق الشبكة الأخرى، مثل: VLAN، Subnet، إلخ...

  6. تعريف تكوين DHCP:

    • لاستخدام Cato كخادم DHCP:

      • قم بتعيين نوع DHCP إلى نطاق DHCP وأدخل نطاق عناوين IP للمضيفين في هذا نطاق DHCP.

    • لتكوين خادم DHCP خارجي باستخدام ترحيل DHCP:

      1. قم بتعيين نوع DHCP إلى ترحيل DHCP.

      2. في مجموعة ترحيل DHCP، اختر مجموعة ترحيل DHCP لهذه الشبكة.

        لمزيد من المعلومات حول مجموعات ترحيل DHCP وكيفية تكوين Cato كترحيل DHCP، راجع تكوين Cato كترحيل DHCP.

  7. حدد التجزئة الدقيقة القائمة على DHCP.

  8. انقر على تطبيق، ثم انقر على حفظ.

توصيات لاستعادة التقسيم الدقيق للشبكة

إذا كنت بحاجة إلى الرجوع وإلغاء التقسيم الجزئي الذي تم نشره في شبكتك، فاتبع هذه التوصيات لتقليل التأثير على شبكتك.

  1. قم بتعطيل التقسيم الدقيق بشكل تدريجي في حسابك، بدءًا من نطاق واحد.

  2. نظرًا لأن تعطيل التقسيم الجزئي لا يسري إلا بعد انتهاء فترة تأجير DHCP الحالية، وطلب الأجهزة عنوان IP جديد من DHCP، يجب عليك:

    1. تجاوز إعدادات الحساب لوقت تأجير DHCP وقلل وقت تأجير DHCP لنطاق الشبكة، قيمة الحد الأدنى هي دقيقة واحدة.

    2. عند تعطيل التقسيم الدقيق لكامل الحساب، قم مؤقتًا بتقليل وقت تأجير DHCP على مستوى الحساب. بعد التأكيد بأن التقسيم الجزئي يعمل بشكل صحيح، يمكنك تغيير فترة تأجير DHCP إلى الإعداد السابق.

      ملاحظة: فترة تأجير DHCP الافتراضية هي 72 ساعة (3 أيام).

القيود المعروفة

  • لأنظمة التشغيل التي تعتمد على Linux، لا يؤدي تمكين التقسيم الدقيق إلى إنشاء إدخال للمسار الافتراضي للبوابة الافتراضية عندما تكون هناك مسارات افتراضية متصلة بالفعل بموجهين.

    للحصول على مزيد من المعلومات حول حل المشكلة، راجع هذه المقالة.

هل كان هذا المقال مفيداً؟

2 من 2 وجدوا هذا مفيداً

لا توجد تعليقات