إضافة تجزئة أمان الثقة الصفرية للمواقع

يشرح هذا المقال كيفية استخدام ميزة التجزئة الدقيقة لـ Cato لتطبيق موقف الثقة الصفرية على نطاقات شبكة LAN وراء الموقع.

ملاحظة

ملاحظة: يرجى الاتصال cato-releases@catonetworks.com لمزيد من المعلومات حول تمكين واستخدام هذه الميزة.

نظرة عامة

يؤمن التقسيم الجزئي (تقسيم على مستوى المضيف) حركة المرور ضمن نفس نطاق البث (مثل VLAN) من خلال إضافة تحكم بالوصول للحركة الجانبية بين المضيفين. غالبًا ما تعمل جدران الحماية التقليدية للشبكات في الطبقة 3، حيث لا تقوم دائمًا بفحص أو حظر حركة المرور ضمن VLAN (الطبقة 2).

عند تمكين التقسيم الجزئي لموقع Socket في Cato، يتم تقسيم قناع الشبكة الفرعية للنطاق إلى عدة عناوين /32. يتم إجبار كل حركة المرور بين المضيفين في ذلك VLAN على إرسالها إلى البوابة الافتراضية (Socket)، حيث يقوم محرك جدار الحماية في Cato بتقييم الحركة قبل وصولها إلى المضيف الوجهة. هذا يجبر الحركة "الشرقية‐الغربية" بين المضيفين الذين يشاركون VLAN للمرور عبر جدار الحماية للفحص وإنفاذ السياسات.

نوصي باستخدام Socket Next Gen LAN Firewall للتجزئة الدقيقة لتوفير أفضل الأمن المحلي للأجهزة.

لماذا تحتاج إليها

  • تقليل المخاطر عن طريق منع الحركة غير المصرح بها بين المضيفين في نفس LAN

  • اكتسب الرؤية في حركة الطبقة 2 بحيث تخضع جميع الاتصالات بين المضيفين إلى سياسات الثقة الصفرية الخاصة بك

  • تبسيط التجزئة - بدلاً من إنشاء عدد كبير من VLANs، يمكنك تطبيق قواعد السياسات على مستوى المضيف

المتطلبات الأساسية

  • Sockets المادية مع Socket v22.x أو أعلى

  • مدعوم لكل من النطاقات الأصلية ونطاقات شبكة VLAN

  • يجب تكوين كل نطاق شبكة Cato كخادم DHCP

  • بناءً على متطلبات الأمان الخاصة بك، قم بتكوين سياسة جدار الحماية للـ LAN أو الـ WAN للسماح بالحركة ذات الصلة للأجهزة التي يغطيها التقسيم الجزئي.

أنظمة التشغيل التي تم التحقق منها للتجزئة الدقيقة

أنظمة التشغيل التالية تم التحقق منها من قبل Cato لدعم التجزئة الدقيقة. قبل تطبيق التقسيم الجزئي للأجهزة باستخدام نظام تشغيل مختلف، نوصي بالتحقق من أن نظام التشغيل يعمل بشكل صحيح في بيئتك.

  • أندرويد سامسونج جالاكسي A24 SM-A245F/DSN

  • عميل DHCP BusyBox (بناءً على نظام Linux 18.04.6 LTS Ubuntu Debian)

  • iOS 18.3.1

  • Linux 18.04.6 LTS Ubuntu Debian (Bionic Beaver)

  • macOS Apple M4 Pro 15.3.2 (24D81)

  • طابعة HP LaserJet Pro MFP M428fdn

  • طابعة Brother موديل MFC-L2700DW

  • ويندوز 11

  • ويندوز 10 ESX VM: Windows 10 Enterprise, 22H2 19045.5608 (نظام تشغيل 64-بت، معالج مبني على x64)

  • Windows Server 2022 ESX VM Datacenter, معالج AMD EPYC 7413 24-Core بسرعة 2.65 GHz (نظام تشغيل 64-بت, معالج مبني على x64)

  • Windows Server 2019 ESX VM standard، معالج AMD EPYC 7413 24-Core بسرعة 2.65 GHz (نظام تشغيل 64-بت, معالج مبني على x64)

  • هاتف Yealink IP SIP-T23G & SIP-T40G

توصيات لنشر التجزئة الدقيقة

يمكن أن يتسبب نشر التقسيم الجزئي في تعطيل حركة المرور المشروعة أثناء ضمان تطبيق السياسات الأمنية التي تحد من الحركة الجانبية داخل الشبكة. اتبع هذه التوصيات لنشر التقسيم الجزئي بنجاح في شبكتك.

  1. قم بتمكين التقسيم الجزئي تدريجياً في حسابك، بدءًا من نطاق واحد.

  2. نظرًا لأن التقسيم الجزئي لا يسري إلا بعد انتهاء فترة تأجير DHCP الحالية، وطلب الأجهزة عنوان IP جديد من DHCP، يجب عليك:

    1. تجاوز إعدادات الحساب لوقت تأجير DHCP وقلل وقت تأجير DHCP لنطاق الشبكة، الحد الأدنى للقيمة هو دقيقة واحدة.

    2. عند تفعيل التقسيم الدقيق لكامل الحساب، قم مؤقتًا بتقليل وقت تأجير DHCP على مستوى الحساب. بعد التأكيد بأن التقسيم الجزئي يعمل بشكل صحيح، يمكنك تغيير فترة تأجير DHCP إلى الإعداد السابق.

      ملاحظة: فترة تأجير DHCP الافتراضية هي 72 ساعة (3 أيام).

  3. مراقبة التأثير على الأجهزة في النطاق الشبكي:

    1. تحقق من أن الأجهزة يمكنها التواصل مع الكيانات المسموح بها في حسابك بناءً على سياسة جدار الحماية.

    2. تحقق من أن الأجهزة لديها اتصال كامل بموارد الإنترنت.

      التقسيم الجزئي هو لحركة المرور الغربية الشرقية ضمن VLAN، ولا يجب أن يكون هناك تأثير على حركة المرور عبر الإنترنت.

  4. تجنب التوجيه غير المتناظر لضمان توجيه حركة المرور ضمن VLAN من خلال Socket بطريقة متناظرة. نوصي بأن تستخدم الأجهزة المحمية بالتقسيم الجزئي كاتو كخادم DHCP.

    على سبيل المثال، لن يتمكن الطابعة التي لديها عنوان IP ثابت تم تكوينه على الجهاز من التواصل مع الأجهزة الأخرى خلف الموقع إذا لم يتم تكوينها بطريق الخطأ باستخدام قناع الشبكة الفرعية المعين لـ Cato /32.

تمكين التجزئة الدقيقة لنطاق الشبكة

قم بتكوين نطاقات الشبكة الجديدة أو الحالية للتقسيم الجزئي. يفرض هذا التكوين تعيين قناع شبكة فرعية /32 تلقائيًا لكل مضيف في الموقع. ثم مراجعة سياسة جدار الحماية لـ Socket LAN أو WAN للتأكد من السماح بالحركة المجزأة.

DHCP_Microsegmentation.png

لتمكين التقسيم الجزئي لنطاق شبكي خلف موقع:

  1. من لوحة التنقل، انقر فوق التنقل > المواقع واختر الموقع.

  2. من قائمة التنقل، انقر فوق تهيئة الموقع > الشبكات.

  3. انقر فوق جديد، أو في عمود إعدادات DHCP، انقر على نطاق الشبكة.

    لوحة نطاق عناوين IP تفتح.

  4. ضبط نوع الشبكة إلى النطاق المدعوم.

  5. ادخل إعدادات النطاق الأخرى، مثل: VLAN، Subnet، إلخ...

  6. ضبط نوع DHCP إلى نطاق DHCP وادخل نطاق عنوان IP للمضيفين في هذا نطاق DHCP.

  7. اختر التقسيم الجزئي بناءً على DHCP.

  8. انقر فوق تطبيق، ثم انقر فوق حفظ.

توصيات لاسترجاع التجزئة الدقيقة

إذا كنت بحاجة إلى الرجوع وإلغاء التقسيم الجزئي الذي تم نشره في شبكتك، فاتبع هذه التوصيات لتقليل التأثير على شبكتك.

  1. قم بإلغاء تمكين التقسيم الجزئي تدريجياً في حسابك، بدءًا من نطاق واحد.

  2. نظرًا لأن تعطيل التقسيم الجزئي لا يسري إلا بعد انتهاء فترة تأجير DHCP الحالية، وطلب الأجهزة عنوان IP جديد من DHCP، يجب عليك:

    1. تجاوز إعدادات الحساب لوقت تأجير DHCP وقلل وقت تأجير DHCP لنطاق الشبكة، الحد الأدنى للقيمة هو دقيقة واحدة.

    2. عند تعطيل التقسيم الدقيق لكامل الحساب، قم مؤقتًا بتقليل وقت تأجير DHCP على مستوى الحساب. بعد التأكيد بأن التقسيم الجزئي يعمل بشكل صحيح، يمكنك تغيير فترة تأجير DHCP إلى الإعداد السابق.

      ملاحظة: فترة تأجير DHCP الافتراضية هي 72 ساعة (3 أيام).

القيود المعروفة

هل كان هذا المقال مفيداً؟

2 من 2 وجدوا هذا مفيداً

لا توجد تعليقات