সাইটসমূহে মাইক্রোসেগমেন্টেশন জিরো-ট্রাস্ট নিরাপত্তা যোগ করা হচ্ছে

সারসংক্ষেপ

মাইক্রোসেগমেন্টেশন (হোস্ট-লেভেল সেগমেন্টেশন) একই ব্রডকাস্ট ডোমেইন (যেমন একটি VLAN) এর মধ্যে ট্রাফিককে নিরাপদ করে হোস্টের মধ্যে ল্যাটারাল মুভমেন্টের জন্য অ্যাক্সেস কন্ট্রোল যোগ করার মাধ্যমে। পारंपरिक नेटवर्क ফায়ারওয়ালগুলি প্রায়শই লেয়ার ৩ এ কাজ করে, যেখানে তারা ইনট্রা-VLAN (লেয়ার ২) ট্রাফিক সব সময় পরীক্ষা বা ব্লক করে না।

जब आप Cato में सॉकेट साइट के लिए माइक्रोसॅगमेंटेशन सक्षम करते हैं, तो रेंज का सबनेट मास्क कई /32 पतों में विभाजित होता है। ই ওই VLAN এর সমস্ত হোস্টের ট্রাফিককে ডিফল্ট গেটওয়ে (সকেট) এ পাঠাতে বাধ্য করা হয়, যেখানে প্রাসঙ্গিক কাটো ফায়ারওয়াল ইঞ্জিন গন্তব্য হোস্টে পৌঁছানোর আগে ট্রাফিকের মূল্যায়ন করে। এটি "পূর্ব-পশ্চিম" ট্রাফিককে VLAN ভাগ করা হোস্টগুলির মধ্যে ফায়ারওয়ালের মাধ্যমে পরিদর্শন এবং নীতি প্রয়োগের জন্য বাধ্য করে।

আমরা সুপারিশ করছি যে আপনি Socket Next Gen LAN ফায়ারওয়াল ব্যবহার করুন মাইক্রোসেগমেন্টেশনের জন্য ডিভাইসগুলির জন্য সর্বোত্তম অন-প্রিম নিরাপত্তা প্রদান করতে।

আপনার কেন দরকার

একই ল্যানের হোস্টগুলির মধ্যে অননুমোদিত ট্রাফিক প্রতিরোধ করে ঝুঁকি কমান
আপনার জিরো-ট্রাস্ট নীতির সাপেক্ষে সমস্ত হোস্ট-টু-হোস্ট যোগাযোগ যাতে থাকে সেই লক্ষ্যে লেয়ার ২ ট্রাফিকের দৃশ্যমানতা অর্জন করুন
বিভাজনের সরলতা করুন - অসংখ্য VLAN তৈরি করার পরিবর্তে আপনি হোস্ট স্তরে নীতি নিয়ম প্রয়োগ করতে পারেন

মাইক্রোসেগমেন্টেশন এবং DHCP কনফিগারেশন

মাইক্রোসেগমেন্টেশন DHCP-এ নির্ভর করে হোস্ট-স্তরের বিচ্ছিন্নতা বলবৎ করার জন্য, প্রতিটি ডিভাইসকে /32 ঠিকানা নির্ধারণ করে এবং সব ইস্ট-ওয়েস্ট ট্রাফিককে নীতিমালা মূল্যায়নের জন্য সকেট দিয়ে পরিচালনা করে। আপনি Cato এর DHCP সার্ভার অথবা একটি তৃতীয়-পক্ষ DHCP সার্ভার যা Cato-এর DHCP রিলেতে একীভূত করে মাইক্রোসেগমেন্টেশন সক্রিয় করতে পারেন।

এগুলো হল মাইক্রোসেগমেন্টেশনের DHCP কনফিগারেশন বিকল্পের বিবরণ:

DHCP সার্ভার হিসাবে Cato - Cato নেটওয়ার্ক পরিসীমার মধ্যে সরাসরি IP ঠিকানা হোস্টদের বরাদ্দ করে। যখন মাইক্রোসেগমেন্টেশন সক্রিয় হয়, তখন Cato স্বয়ংক্রিয়ভাবে প্রতিটি DHCP বরাদ্দতে /32 ঠিকানা প্রয়োগ করে এবং ইস্ট-ওয়েস্ট নিরীক্ষণকে সকেট দ্বারা নিশ্চিত করে।
DHCP রিলে ব্যবহারকারী তৃতীয়-পক্ষ DHCP সার্ভার - বাহ্যিক DHCP সার্ভার ব্যবহৃত নেটওয়ার্ক পরিসীমার জন্য মাইক্রোসেগমেন্টেশন সক্রিয় করে, এবং Cato DHCP রিলে হিসাবে কনফিগার করা হয়। এই কনফিগারেশন অনুযায়ী, বাহ্যিক সার্ভার IP ঠিকানা নির্ধারণ করে এবং Cato স্বচ্ছভাবে একই /32 হোস্ট রাউটিং এবং ইস্ট-ওয়েস্ট ট্রাফিক নিরীক্ষণ DHCP পরিচালিত করে। এটি আপনাকে আপনার বিদ্যমান DHCP অবকাঠামো পরিবর্তন না করে জিরো-ট্রাস্ট সেগমেন্টেশন প্রয়োগ করতে দেয়।

নোট

নোট: DHCP রিলের জন্য মাইক্রোসেগমেন্টেশন সমর্থন একটি শারীরিক সকেট সাইট চালানোর সকেট সংস্করণ 24.0.21570 বা উচ্চতর প্রয়োজন।

প্রয়োজনীয়তা

ফিজিক্যাল সকেটস, v22.x অথবা তার উপর
নেটিভ রেঞ্জ এবং ভিএলএএন নেটওয়ার্ক পরিসীমার জন্য সমর্থিত
আপনার নিরাপত্তা প্রয়োজনীয়তার উপর ভিত্তি করে, মাইক্রোসেগমেন্টেশন দ্বারা আচ্ছাদিত ডিভাইসগুলির জন্য প্রাসঙ্গিক ট্রাফিক অনুমোদনের জন্য ল্যান অথবা ওয়ান ফায়ারওয়াল নীতি কনফিগার করুন

মাইক্রোসেগমেন্টেশনের জন্য যাচাইকৃত OS

নিম্নলিখিত অপারেটিং সিস্টেমসমূহ মাইক্রোসেগমেন্টেশন সাপোর্ট করার জন্য কাটো দ্বারা যাচাই করা হয়েছে। বিভিন্ন OS ব্যবহারকারী ডিভাইসগুলির জন্য মাইক্রোসেগমেন্টেশন প্রয়োগ করার আগে আমরা সুপারিশ করি যে আপনি আপনার পরিবেশে OS সঠিকভাবে কাজ করছে কিনা তা পরীক্ষা করুন।

অ্যান্ড্রয়েড স্যামসাং গ্যালাক্সি A24 SM-A245F/DSN
BusyBox DHCP ক্লায়েন্ট (লিনাক্স 18.04.6 LTS উবুন্টু ডেবিয়ান OS ভিত্তিক)
iOS 18.3.1
লিনাক্স 18.04.6 LTS উবুন্টু ডেবিয়ান (বায়োনিক বিভার)
macOS অ্যাপল M4 প্রো 15.3.2 (24D81)
প্রিন্টার HP LaserJet Pro MFP M428fdn
প্রিন্টার ব্রাদার মডেল MFC-L2700DW
উইন্ডোজ 11
উইন্ডোজ 10 ESX VM: উইন্ডোজ 10 এন্টারপ্রাইজ, 22H2 19045.5608 (64-বিট অপারেটিং সিস্টেম, x64-ভিত্তিক প্রসেসর)
উইন্ডোজ সার্ভার 2022 ESX VM ডাটacenter, AMD EPYC 7413 24-Core প্রসেসর 2.65 GHz (64-বিট অপারেটিং সিস্টেম, x64-ভিত্তিক প্রসেসর)
উইন্ডোজ সার্ভার 2019 ESX VM স্ট্যান্ডার্ড AMD EPYC 7413 24-Core প্রসেসর 2.65 GHz (64-বিট অপারেটিং সিস্টেম, x64-ভিত্তিক প্রসেসর)
Yealink IP ফোন SIP-T23G & SIP-T40G

মাইক্রোসেগমেন্টেশন প্রয়োগের জন্য সুপারিশসমূহ

মাইক্রোসেগমেন্টেশন স্থাপন করে, আপনি যখন নেটওয়ার্কের মধ্যে ল্যাটারাল মুভমেন্টের সীমাবদ্ধতা দিয়ে নিরাপত্তা নীতি যথাযথভাবে প্রয়োগ করছেন তখন বৈধ ট্রাফিকের ব্যাঘাত ঘটতে পারে। আপনার নেটওয়ার্কে মাইক্রোস(segmentation ক��ভাবে সফলভাবে স্থাপন করবেন তার জন্য এই সুপারিশগুলি অনুসরণ করুন।

একক পরিসীমা দিয়ে শুরু করে ক্রমশ আপনার অ্যাকাউন্টে মাইক্রোসেগমেন্টেশন সক্রিয় করুন
এখনকার DHCP লিজ সময় শেষ হওয়ার পরে এবং ডিভাইসগুলি একটি নতুন DHCP IP অনুরোধ করার পরে শুধুমাত্র মাইক্রোস(segmentation কার্যকর হয়, আপনাকে উচিত:
1. নেটওয়ার্ক পরিসীমার জন্য DHCP লিজ সময় হ্রাস করুন এবং সামঞ্জস্য করুন, ন্যূনতম মান হল ১ মিনিট।
2. যখন আপনি পুরো অ্যাকাউন্টের জন্য মাইক্রোসেগমেন্টেশন সক্রিয় করছেন, তখন অ্যাকাউন্ট স্তরের DHCP লিজ সময় সাময়িকভাবে কমিয়ে দিন। আপনি নিশ্চিত করার পরে যে মাইক্রোস(segmentation সঠিকভাবে কাজ করছে, আপনি DHCP লিজ সময় ফের পূর্ববর্তী সেটিংয়ে পরিবর্তন করতে পারেন।
  
  নোট: ডিফল্ট DHCP লিজ সময় ৭২ ঘন্টা (৩ দিন)।
নেটওয়ার্ক রেঞ্জের ডিভাইসগুলিতে প্রভাব পর্যবেক্ষণ করুন:
1. ফায়ারওয়াল নীতিমালার ভিত্তিতে আপনার অ্যাকাউন্টে অনুমোদিত সত্তাগুলির সাথে ডিভাইসগুলি যোগাযোগ করতে পারে কিনা তা যাচাই করুন।
2. যাচাই করুন যে ডিভাইসগুলির ��িনترنت সম্পদের সাথে পূর্ণ সংযোগের সক্ষমতা আছে।
  
  মাইক্রোস(segmentation পূর্ব-পশ্চিম ইনট্রা-VLAN ট্রাফিকের জন্য এবং ইন্টারনেট ট্রাফিকের কোনো প্রভাব হওয়া উচিত নয়।
অ্যাসিমেট্রিক রাউটিং এড়ান নিশ্চিত করতে যে ইনট্রা-VLAN ট্রাফিক সকেটের মাধ্যমে একটি সিমেট্রিকভাবে রাউট করা হয়েছে। আমরা সুপারিশ করছি যে মাইক্রোস(segmentation দ্বারা সুরক্ষিত ডিভাইসগুলি কাটোকে DHCP সার্ভার হিসাবে ব্যবহার করে।

উদাহরণস্বরূপ, একটি স্থিতিশীল আইপি সহ প্রিন্টার যা কাটো /32 পতাকা সাবনেট মাস্ক দিয়ে কনফিগার করা না হলে সাইটের পিছনে অন্য ডিভাইসগুলোর সাথে যোগাযোগ করতে পারবে না।

একটি নেটওয়ার্ক পরিসীমার জন্য মাইক্রোসেগমেন্টেশন সক্ষম করা হচ্ছে

মাইক্রোস(segmentation এর জন্য নতুন বা বিদ্যমান নেটওয়ার্ক রেঞ্জগুলি কনফিগার করুন। এই কনফিগারেশনটি সাইটের প্রতিটি হোস্টের জন্য একটি স্বয়ংক্রিয় /32 সাবনেট মাস্ক নিয়োগ চাপিয়ে দেয়। তারপর নিশ্চিত করুন যে LAN বা WAN ফায়ারওয়াল নীতি segmented ট্রাফিক অনুমোদিত করে এমন Socket LAN বা WAN Firewall নীতি পর্যালোচনা করুন।

একটি সাইটের পিছনে নেটওয়ার্ক পরিসীমার জন্য মাইক্রোসেগমেন্টেশন সক্রিয় করতে:

নেভিগেশন মেনু থেকে, Network > Sites এ ক্লিক করুন এবং সাইট নির্বাচন করুন।
নেভিগেশন মেনু থেকে, Site Configuration > Networks এ ক্লিক করুন।
নতুন ক্লিক করুন, অথবা DHCP সেটিংস কলামে, ক্লিক করুন নেটওয়ার্ক রেঞ্জ।

আইপি রেঞ্জ প্যানেলটি খোলবে।
নেটওয়ার্ক Type টিকে সমর্থিত রেঞ্জে সেট করুন।
অন্যান্য নেটওয়ার্ক পরিসীমার সেটিংস প্রদান করুন, যেমন: VLAN, Subnet, ইত্যাদি...
DHCP কনফিগারেশন নির্ধারণ করুন:
- DHCP সার্ভার হিসেবে Cato ব্যবহারের জন্য:
  - DHCP কাউন্ট কে DHCP রেঞ্জ এ সেট করুন, এবং এই DHCP রেঞ্জ এর জন্য হোস্টগুলির জন্য IP ঠিকানা রেঞ্জ প্রদান করুন।
- ধৃতীয়-পক্ষ DHCP সার্ভারকে DHCP রিলে ব্যবহার করে কনফিগার করার জন্য:
  1. DHCP টাইপ DHCP রিলে হিসেবে সেট করুন।
  2. DHCP রিলে গ্রুপ এ, এই নেটওয়ার্কের জন্য DHCP রিলে গ্রুপ নির্বাচন করুন।
    
    DHCP রিলে গ্রুপ এবং DHCP রিলে হিসেবে Cato কনফিগার করার বিষয়ে আরও জানতে DHCP রিলে হিসাবে Cato কনফিগার করা দেখুন।
DHCP ভিত্তিক মাইক্রোসেগমেন্টেশন নির্বাচন করুন।
Apply ক্লিক করুন, এবং তারপর Save ক্লিক করুন।

মাইক্রোসেগমেন্টেশন রোল ব্যাক করার সুপারিশসমূহ

যদি আপনি আপনার নেটওয়ার্কে স্থাপন করা মাইক্রোস(segmentation ফিরিয়ে নিতে এবং উল্টাতে চান তবে আপনার নেটওয়ার্কে প্রভাবকে কমিয়ে আনার জন্য এই সুপারিশগুলি অনুসরণ করুন।

একক পরিসীমা দিয়ে শুরু করে ক্রমশ আপনার অ্যাকাউন্টে মাইক্রোসেগমেন্টেশন নিষ্ক্রিয় করুন
মাইক্রোস(segmentation এখনকার DHCP লিজ সময় শেষ হওয়ার পরে এবং ডিভাইসগুলি একটি নতুন DHCP IP অনুরোধ করার পরে শুধুমাত্র বিমুক্ত প্রভাব কার্যকর হয়, আপনাকে উচিত:
1. নেটওয়ার্ক পরিসীমার জন্য DHCP লিজ সময় কে 'ওভাররাইড করুন' এবং ধারাবাহিকভাবে কমান, ন্যূনতম মান হল ১ মিনিট।
2. যখন আপনি পুরো অ্যাকাউন্টের জন্য মাইক্রোসেগমেন্টেশন নিষ্ক্রিয় করছেন, তখন অ্যাকাউন্ট স্তরের DHCP লিজ সময় সাময়িকভাবে কমিয়ে দিন। আপনি নিশ্চিত করার পরে যে মাইক্রোস(segmentation সঠিকভাবে কাজ করছে, আপনি DHCP লিজ সময় ফের পূর্ববর্তী সেটিংয়ে পরিবর্তন করতে পারেন।
  
  নোট: ডিফল্ট DHCP লিজ সময় ৭২ ঘন্টা (৩ দিন)।

পরিচিত সীমাবদ্ধতা

লিনাক্স ভিত্তিক সিস্টেমগুলির জন্য, মাইক্রোসেগমেন্টেশন সক্রিয় করার পর দুইটি ডিফল্ট রাউটের জন্য রাউট এন্ট্রি তৈরি হয় না যখন ইতিমধ্যে দুইটি রাউট সংযুক্ত থাকে।

সমাধানের জন্য আরও তথ্যের জন্য, এই লেখা দেখুন।