paint-brush
An ninh mạng: Những điều mà hầu hết mọi người không nghĩ đếntừ tác giả@thecloudarchitect
2,998 lượt đọc
2,998 lượt đọc

An ninh mạng: Những điều mà hầu hết mọi người không nghĩ đến

từ tác giả Michael Gibbs3m2022/07/08
Read on Terminal Reader
Read this story w/o Javascript

dài quá đọc không nổi

Hầu hết mọi người đều nghĩ đến an ninh mạng với tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập. Các thành phần và thực hành này rất hữu ích, nhưng chúng nên được coi là bảo mật cơ sở. Phân đoạn vi mô cho phép bạn cảnh sát và định hình những gì xảy ra trong mạng, ngăn chặn vi phạm hoặc cuộc tấn công diễn ra trong một hệ thống ảnh hưởng đến các hệ thống khác. Chất lượng dịch vụ (QoS) hoặc ưu tiên lưu lượng có thể được sử dụng để tăng cường bảo mật trên mạng. Nó có thể đảm bảo rằng tính khả dụng của mạng được ưu tiên cho lưu lượng thoại và một số lưu lượng ứng dụng quan trọng.

Companies Mentioned

Mention Thumbnail
Mention Thumbnail
featured image - An ninh mạng: Những điều mà hầu hết mọi người không nghĩ đến
Michael Gibbs HackerNoon profile picture

Khi nói đến an ninh mạng, hầu hết mọi người đều nghĩ đến điều hiển nhiên. Điển hình bao gồm tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập cũng như quản lý danh tính và quyền truy cập. Mặc dù các thành phần và thực hành này hữu ích, chúng nên được coi là bảo mật cơ sở. Ngoài những điều này, có rất nhiều điều mà hầu hết mọi người không nghĩ đến có thể làm tăng đáng kể mức độ bảo mật trên mạng.

Tăng cường bảo mật mạng thông qua phân đoạn vi mô

Thực hiện phân đoạn vi mô là một cách để đưa an ninh mạng lên cấp độ tiếp theo. Phân đoạn vi mô về cơ bản liên quan đến việc giữ các hệ thống tách biệt với nhau và lọc lưu lượng giữa chúng để đảm bảo rằng chúng được bảo mật và cách ly với từng hệ thống. Điều này cho phép bạn cảnh sát và định hình những gì xảy ra trong mạng, ngăn chặn vi phạm hoặc cuộc tấn công diễn ra trong một hệ thống không ảnh hưởng đến các hệ thống khác.

Kiểm soát nhập học là một trong những lợi ích của việc phân đoạn vi mô. Khi ai đó có quyền truy cập vật lý vào mạng, người đó có thể dễ dàng cắm vào hệ thống và gỡ nó xuống. Bằng cách sử dụng xác thực 802.1X để kiểm soát quyền truy cập vào địa chỉ điều khiển truy cập phương tiện (MAC) của hệ thống - là địa chỉ phần cứng của thẻ Ethernet - bạn có thể ngăn người dùng trái phép cắm vào hệ thống.

Phân khúc người dùng là một chiến lược khác để thêm một lớp bảo mật cho mạng. Với chuyển mạch mạng, bạn có thể tạo một thứ gọi là mạng LAN ảo, hoặc VLAN, về cơ bản là một công tắc ảo bên trong bộ chuyển mạch mạng. Bằng cách tạo VLAN, bạn có thể cách ly những người dùng không cần nói chuyện với nhau.

Ví dụ: VLAN cho phép bạn tạo một mạng dành riêng cho nhóm nhân sự, một mạng khác dành cho nhóm kế toán và một mạng khác dành cho quản trị viên hệ thống, tất cả đều trên cùng một hệ thống. Để đi ra ngoài VLAN chuyên dụng của họ, người dùng cần phải đi qua một bộ định tuyến. Sau khi có bộ định tuyến, bạn có thể sử dụng danh sách kiểm soát truy cập và lọc bảo mật khác. VLAN cho phép bạn phân đoạn vi mô hệ thống của mình với mục tiêu đảm bảo rằng một hệ thống không thể gắn vào hệ thống khác.

Để thực hiện nhiều quyền kiểm soát hơn nữa, các VLAN riêng có thể được thiết lập. Trong khi VLAN giữ các mạng riêng biệt, mỗi VLAN có thể có một số máy chủ trên đó. Nếu có 15 máy chủ được cắm vào một VLAN, tất cả các máy chủ đó có thể nói chuyện với nhau. Nếu một người bị nhiễm sâu hoặc vi rút, các máy chủ khác trên VLAN có thể bị nhiễm. Việc thiết lập một VLAN riêng sẽ ngăn không cho các máy chủ đó giao tiếp với nhau, do đó ngăn không cho cuộc tấn công lây lan.

Tăng cường bảo mật mạng ở cấp độ IP

Di chuyển ngăn xếp TCP IP lên cấp IP cung cấp các cơ hội khác để tăng cường bảo mật mạng. Ví dụ: bằng cách tạo danh sách kiểm soát truy cập giống như quy tắc tường lửa, sẽ xem xét địa chỉ nguồn, địa chỉ đích, giao thức và số cổng, bạn có thể tạo bộ lọc giới hạn lưu lượng có thể di chuyển giữa các mạng con. Việc thêm danh sách điều khiển đó vào bộ định tuyến sẽ hạn chế người dùng đang sử dụng các mạng con khác nhau có quyền truy cập không giới hạn vào mạng.

Giới hạn tỷ lệ là một công cụ bảo mật khác có thể được thực hiện ở cấp độ này. Ví dụ, hãy tưởng tượng rằng bạn có một hệ thống với mạng 100GB bị nhiễm sâu. Con sâu đó theo đúng nghĩa đen có thể phun ra 100GB lưu lượng mạng vào mạng, điều này có thể tàn phá và khiến hệ thống gặp sự cố. Giới hạn tỷ lệ giúp lưu lượng truy cập không vượt quá số lượng được xác định trước. Trong ví dụ về sâu, lưu lượng truy cập tăng sẽ vi phạm các tiêu chuẩn của mạng và bị loại bỏ, tránh khủng hoảng và sự cố tốn kém.

Cuối cùng, chất lượng dịch vụ (QoS) hoặc ưu tiên lưu lượng có thể được sử dụng để tăng cường bảo mật trên mạng. Nếu một hệ thống bị tấn công hoặc có sâu hoặc vi rút, về mặt lý thuyết, cuộc tấn công có thể áp đảo mạng với lưu lượng truy cập và vô hiệu hóa các chức năng mạng quan trọng. Điều này có thể được ngăn chặn về phía mạng bằng cách cho phép QoS, đôi khi được gọi là cơ chế xếp hàng, để ưu tiên một loại lưu lượng truy cập hơn một loại khác. Ví dụ: nó có thể đảm bảo rằng tính khả dụng của mạng được ưu tiên cho lưu lượng thoại và lưu lượng ứng dụng quan trọng nhất định trong khi tước bỏ mọi thứ khác. Về bản chất QoS đánh bại sâu bằng cách đảm bảo lưu lượng truy cập quan trọng tiếp tục đi qua.

Khi nói đến các cuộc tấn công mạng, các công ty phải hỏi, "Khi nào nó sẽ xảy ra?" chứ không phải là "Nó sẽ xảy ra chứ?" Thống kê cho năm 2021 cho thấy cứ 39 giây lại có một công ty trở thành nạn nhân của một cuộc tấn công mạng. Đẩy lùi các cuộc tấn công và hạn chế thiệt hại của chúng đòi hỏi nhiều hơn so với bảo mật cơ bản. Áp dụng các biện pháp bảo vệ mà hầu hết các công ty không nghĩ đến có thể là bước giữ cho công ty của bạn an toàn.