Микросегментация (сегментация на уровне хоста) защищает трафик внутри одного широковещательного домена (например, VLAN) путем добавления контроля доступа для латерального перемещения между хостами. Традиционные сетевые межсетевые экраны часто работают на уровне 3, где они не всегда инспектируют или блокируют внутривлановый (уровень 2) трафик.
Когда вы включаете микросегментацию для площадки Socket в Cato, маска подсети диапазона разбивается на несколько адресов /32. Весь трафик от хоста к хосту в этом VLAN принудительно отправляется на шлюз по умолчанию (Socket), где соответствующий фаервол Cato оценивает трафик перед достижением целевого хоста. Это принуждает "восток‐запад" трафик между хостами, которые разделяют VLAN, проходить через фаервол для инспекции и внедрения политики.
Мы рекомендуем использовать Socket Next Gen LAN Firewall для микросегментации, чтобы обеспечить оптимальную безопасность на месте для устройств.
-
Снижение риска путем предотвращения несанкционированного трафика между хостами в одной ЛВС
-
Получите видимость трафика уровня 2, чтобы вся коммуникация между хостами подчинялась политике нулевого доверия
-
Упростите сегментацию - вместо создания множества VLAN, вы можете применять правила политики на уровне хостов
Микросегментация полагается на DHCP для обеспечения изоляции на уровне хоста, назначая каждому устройству адрес /32 и направляя весь внутрисетьевой трафик через Socket для оценки политики. Вы можете включить микросегментацию, используя либо Cato в качестве сервера DHCP, либо сторонний сервер DHCP, интегрированный через ретрансляцию DHCP Cato.
Это описания вариантов конфигурации DHCP для микросегментации:
-
Cato как сервер DHCP - Cato напрямую назначает IP-адреса хостам в диапазоне сети. Когда микросегментация включена, Cato автоматически применяет адресацию /32 к каждому распределению DHCP и обеспечивает инспекцию восток-запад через Socket.
-
Сторонний сервер DHCP с использованием ретрансляции DHCP - Позволяет микросегментацию для диапазонов сети, использующих внешний сервер DHCP, с Cato, настроенным как ретрансляция DHCP. В этой конфигурации внешний сервер назначает IP-адрес, а Cato прозрачно обеспечивает ту же маршрутизацию хоста /32 и инспекцию восток-запад, как и при использовании управляемого DHCP Cato. Это позволяет вам применять сегментацию zero-trust, не изменяя вашу существующую инфраструктуру DHCP.
Примечание
Примечание: Поддержка микросегментации для ретрансляции DHCP требует наличия физического узла Socket с версией Socket 24.0.21570 или выше.
-
Физические сокеты с Socket v22.x или выше
-
Поддерживается для диапазона Native и диапазонов сети VLAN
-
Основываясь на ваших требованиях безопасности, настройте политику межсетевого экрана ЛВС или WAN для разрешения соответствующего трафика для устройств, охватываемых микросегментацией
Следующие операционные системы проверены Cato на поддержку микросегментации. Перед применением микросегментации для устройств с другой ОС, мы рекомендуем проверить, что ОС функционирует корректно в вашей среде.
-
Android Samsung Galaxy A24 SM-A245F/DSN
-
Клиент DHCP BusyBox (на основе Linux 18.04.6 LTS Ubuntu Debian ОС)
-
iOS 18.3.1
-
Linux 18.04.6 LTS Ubuntu Debian (Bionic Beaver)
-
macOS Apple M4 Pro 15.3.2 (24D81)
-
Printer HP LaserJet Pro MFP M428fdn
-
Принтер Брат Модель MFC-L2700DW
-
Windows 11
-
Windows 10 ESX VM: Windows 10 Enterprise, 22H2 19045.5608 (64-битная операционная система, процессор на основе x64)
-
Windows Server 2022 ESX VM Datacenter, AMD EPYC 7413 24-ядерный процессор 2.65 GHz (64-битная операционная система, процессор на основе x64)
-
Windows Server 2019 ESX VM Standard AMD EPYC 7413 24-ядерный процессор 2.65 GHz (64-битная операционная система, процессор на основе x64)
-
Yealink IP телефон SIP-T23G & SIP-T40G
Развертывание микросегментации может потенциально нарушить легитимный трафик, пока вы обеспечиваете точное внедрение политик безопасности, ограничивающих латеральное перемещение внутри сети. Следуйте этим рекомендациям для успешного развертывания микросегментации в вашей сети.
-
Постепенно включайте микросегментацию в вашу учетную запись, начиная с одного диапазона.
-
Поскольку микросегментация вступает в силу только после окончания текущего времени аренды DHCP и устройства запрашивают новый DHCP IP, вам следует:
-
Перезапишите настройки учетной записи для времени аренды DHCP и уменьшите время аренды DHCP для диапазона сети, минимальное значение - 1 минута.
-
При включении микросегментации для всей учетной записи временно уменьшите время аренды DHCP на уровне учетной записи. После подтверждения, что микросегментация работает корректно, вы можете изменить время аренды DHCP обратно на прежнюю настройку.
Примечание: Стандартное время аренды DHCP составляет 72 часа (3 дня).
-
-
Контролируйте влияние на устройства в сетевом диапазоне:
-
Убедитесь, что устройства могут общаться с разрешенными сущностями в вашей учетной записи на основе политики межсетевого экрана.
-
Убедитесь, что устройства имеют полное соединение с интернет-ресурсами.
Микросегментация предназначена для восток-западного внутривланового трафика и не должна влиять на интернет-трафик
-
-
Избегайте асимметричной маршрутизации, чтобы обеспечить симметричное прохождение внутривланового трафика через Socket. Мы рекомендуем использовать Cato в качестве сервера DHCP для устройств, защищенных микросегментацией.
Например, принтер со статическим IP, который случайно не настроен с Cato /32 присвоенной маской подсети, не сможет общаться с другими устройствами за узлом.
Настройте новые или существующие сетевые диапазоны для микросегментации. Эта конфигурация навязывает автоматическое назначение маски подсети /32 для каждого хоста на сайте. Затем проверьте политику фаервола Socket LAN или WAN, чтобы подтвердить, что сегментированный трафик разрешен.
Чтобы включить микросегментацию для диапазона сети за узлом:
-
В меню навигации нажмите Сеть > Узлы и выберите узел.
-
В меню навигации нажмите Настройки узла > Сети.
-
Нажмите Новый или в колонке Настройки DHCP нажмите на диапазон сети.
Откроется панель Диапазон IP.
-
Установите Тип сети на поддерживаемый диапазон.
-
Введите другие параметры диапазона сети, такие как: VLAN, Подсеть, и т.д.
-
Определите конфигурацию DHCP:
-
Чтобы использовать Cato как сервер DHCP:
-
Установите Тип DHCP на Диапазон DHCP и введите диапазон IP-адресов для хостов в этом Диапазоне DHCP.
-
-
Чтобы настроить сторонний сервер DHCP с использованием ретрансляции DHCP:
-
Установите Тип DHCP на Ретрансляция DHCP.
-
В Группе ретрансляции DHCP выберите группу ретрансляции DHCP для этой сети.
Для получения дополнительной информации о группах ретрансляции DHCP и настройке Cato в качестве ретранслятора DHCP, смотрите Настройка Cato в качестве ретранслятора DHCP.
-
-
-
Выберите Микросегментация на основе DHCP.
-
Нажмите Применить, а затем нажмите Сохранить.
Если вам нужно вернуть и отменить микросегментацию, которая была развернута в вашей сети, следуйте этим рекомендациям, чтобы минимизировать влияние на вашу сеть.
-
Постепенно отключайте микросегментацию в вашей учетной записи, начиная с одного диапазона.
-
Поскольку отключение микросегментации вступает в силу только после окончания текущего времени аренды DHCP и устройства запрашивают новый DHCP IP, вам следует:
-
Перезапишите настройки учетной записи для времени аренды DHCP и уменьшите время аренды DHCP для диапазона сети, минимальное значение - 1 минута.
-
При отключении микросегментации для всей учетной записи временно уменьшите время аренды DHCP на уровне учетной записи. После подтверждения, что микросегментация работает корректно, вы можете изменить время аренды DHCP обратно на прежнюю настройку.
Примечание: Стандартное время аренды DHCP составляет 72 часа (3 дня).
-
-
Для систем на базе Linux включение микросегментации не создает запись маршрута для шлюза по умолчанию, когда уже существуют два маршрута по умолчанию, соединенные с двумя маршрутизаторами.
Для получения дополнительной информации о решении смотрите эту статью.
0 комментариев
Войдите в службу, чтобы оставить комментарий.