Эта статья объясняет, как использовать функцию микросегментации Cato для реализации политики нулевого доверия для диапазонов сети ЛВС за сайтом.
Примечание
Примечание: Пожалуйста, свяжитесь с cato-releases@catonetworks.com для получения дополнительной информации о включении и использовании этой функции.
Микросегментация (сегментация на уровне хоста) защищает трафик внутри одного широковещательного домена (например, VLAN) путем добавления контроля доступа для латерального перемещения между хостами. Традиционные сетевые межсетевые экраны часто работают на уровне 3, где они не всегда инспектируют или блокируют внутривлановый (уровень 2) трафик.
Когда вы включаете микросегментацию для площадки Socket в Cato, маска подсети диапазона разбивается на несколько адресов /32. Весь трафик от хоста к хосту в этом VLAN принудительно отправляется на шлюз по умолчанию (Socket), где соответствующий фаервол Cato оценивает трафик перед достижением целевого хоста. Это принуждает "восток‐запад" трафик между хостами, которые разделяют VLAN, проходить через фаервол для инспекции и внедрения политики.
Мы рекомендуем использовать Socket Next Gen LAN Firewall для микросегментации, чтобы обеспечить оптимальную безопасность на месте для устройств.
-
Снижайте риск, предотвращая несанкционированный трафик между хостами в одной и той же LAN
-
Получите видимость трафика уровня 2, чтобы вся связь от хоста к хосту была подчинена вашим политикам Zero-Trust
-
Упростите сегментацию - вместо создания множества VLAN, вы можете применять правила политик на уровне хоста
-
Физические сокеты с Socket v22.x или выше
-
Поддерживается для Native и VLAN сетевых диапазонов
-
Каждый диапазон сети должен быть настроен с использованием Cato как DHCP сервера
-
На основе ваших требований к безопасности, настройте политику LAN или WAN фаервола, чтобы разрешить соответствующий трафик для устройств, которые охватывает микросегментация
Следующие операционные системы проверены Cato на поддержку микросегментации. Перед применением микросегментации для устройств с другой ОС, мы рекомендуем проверить, что ОС функционирует корректно в вашей среде.
-
Android Samsung Galaxy A24 SM-A245F/DSN
-
BusyBox DHCP Client (на базе Linux 18.04.6 LTS Ubuntu Debian OS)
-
iOS 18.3.1
-
Linux 18.04.6 LTS Ubuntu Debian (Bionic Beaver)
-
macOS Apple M4 Pro 15.3.2 (24D81)
-
Принтер HP LaserJet Pro MFP M428fdn
-
Принтер Brother Model MFC-L2700DW
- WIndows 11
-
Windows 10 ESX VM: Windows 10 Enterprise, 22H2 19045.5608 (64-bit операционная система, x64-битный процессор)
-
Windows Server 2022 ESX VM Datacenter, процессор AMD EPYC 7413 24-Core 2.65 GHz (64-разрядная операционная система, процессор x64)
-
Windows Server 2019 ESX VM стандартный, процессор AMD EPYC 7413 24-Core 2.65 GHz (64-разрядная операционная система, процессор x64)
-
IP-телефон Yealink SIP-T23G & SIP-T40G
Развертывание микросегментации может потенциально нарушить легитимный трафик, пока вы обеспечиваете точное внедрение политик безопасности, ограничивающих латеральное перемещение внутри сети. Следуйте этим рекомендациям для успешного развертывания микросегментации в вашей сети.
-
Постепенно включайте микросегментацию в вашем аккаунте, начиная с одного диапазона.
-
Поскольку микросегментация вступает в силу только после окончания текущего времени аренды DHCP и устройства запрашивают новый DHCP IP, вам следует:
-
Переопределите настройки учетной записи для времени аренды DHCPа> и уменьшите время аренды DHCP для диапазона сети, минимальное значение - 1 минута.
-
При включении микросегментации для всей учетной записи временно уменьшите время аренды DHCP на уровне учетной записи. После подтверждения, что микросегментация работает корректно, вы можете изменить время аренды DHCP обратно на прежнюю настройку.
Примечание: Стандартное время аренды DHCP составляет 72 часа (3 дня).
-
-
Контролируйте влияние на устройства в сетевом диапазоне:
-
Убедитесь, что устройства могут общаться с разрешенными сущностями в вашем аккаунте, основываясь на политике фаервола.
-
Убедитесь, что устройства имеют полное соединение с интернет-ресурсами.
Микросегментация предназначена для восток-западного внутривланового трафика и не должна влиять на интернет-трафик
-
-
Избегайте асимметричной маршрутизации, чтобы обеспечить симметричное прохождение внутривланового трафика через Socket. Мы рекомендуем использовать Cato в качестве сервера DHCP для устройств, защищенных микросегментацией.
Например, принтер с статическим IP, настроенным на устройстве, если случайно не настроен с назначенной Cato /32 маской подсети, не сможет взаимодействовать с другими устройствами за сайтом.
Настройте новые или существующие сетевые диапазоны для микросегментации. Эта конфигурация навязывает автоматическое назначение маски подсети /32 для каждого хоста на сайте. Затем проверьте политику фаервола Socket LAN или WAN, чтобы подтвердить, что сегментированный трафик разрешен.
Чтобы включить микросегментацию для сетевого диапазона за сайтом:
-
В панели навигации нажмите Навигация > Сайты и выберите сайт.
-
В меню навигации нажмите Настройки Сайта > Сети.
-
Нажмите Новый или в колонке Настройки DHCP нажмите на диапазон сети.
Откроется панель Диапазон IP.
-
Установите Тип сети на поддерживаемый диапазон.
-
Введите другие настройки диапазона сети, такие как: VLAN, Подсеть и т.д...
-
Установите Тип DHCP в Диапазон DHCP и введите диапазон IP-адресов для хостов в этом Диапазоне DHCP.
-
Выберите Микросегментацию на основе DHCP.
-
Нажмите Применить, а затем нажмите Сохранить.
Если вам нужно вернуть и отменить микросегментацию, которая была развернута в вашей сети, следуйте этим рекомендациям, чтобы минимизировать влияние на вашу сеть.
-
Постепенно отключайте микросегментацию в вашем аккаунте, начиная с одного диапазона.
-
Поскольку отключение микросегментации вступает в силу только после окончания текущего времени аренды DHCP и устройства запрашивают новый DHCP IP, вам следует:
-
Переопределите настройки учетной записи для времени аренды DHCPа> и уменьшите время аренды DHCP для диапазона сети, минимальное значение - 1 минута.
-
При отключении микросегментации для всей учетной записи временно уменьшите время аренды DHCP на уровне учетной записи. После подтверждения, что микросегментация работает корректно, вы можете изменить время аренды DHCP обратно на прежнюю настройку.
Примечание: Стандартное время аренды DHCP составляет 72 часа (3 дня).
-
Известные ограничения
- Для систем на базе Linux включение микросегментации не создает запись маршрута для шлюза по умолчанию, когда уже подключены два маршрута по умолчанию к двум маршрутизаторам.
Для получения дополнительной информации о обходном пути см. Не удается достичь сокета, когда на Linux-хостах с несколькими интерфейсами включена микросегментация.
0 комментариев
Войдите в службу, чтобы оставить комментарий.