Каждый из нас когда-нибудь устраивал сегментирование локальной сети на зоны с разным уровнем безопасности. Менеджеров – в один сегмент, бухгалтерию – в другой, публичные сервера – в третий и так далее. Трафик между ними – только через межсетевой экран, а то и чего построже. Кстати, межсетевой экран иногда называют "брандмауэром", а брандмауэр – это сугубо внутренняяпротивопожарная стена.
Внутри же сегмента обычно получается довольно доверительная атмосфера общения между компьютерами. Ну, привязка к mac-адресу... ну, запрет спуфинга... учинять что-то более серьёзное – сил не хватит обслуживать .
Поделить на сегменты можно и локальную сеть с одинаковым уровнем безопасности, если эта сеть достаточно велика. Так делят на отсеки корабль, чтобы пробоина привела к затоплению только одного сегмента, но не судна в целом.
Чем обширнее один сегмент, тем меньше времени и сил мы тратим при его настройке и обслуживании. Но тем больше будет область поражения и последующего восстановления в случае инцидента. Очевидно, где-то имеется оптимум.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Умеешь в ИБ?
Делись! Ближайший CIRF* уже 20 мая. Мероприятие бесплатное, но надо зарегистрироваться*
