Yazımıza ilk olarak “Ağ segmentasyonu nedir?” sorusu ile başlamak daha efektif olacaktır. Ağ segmentasyonu sayesinde; büyük bir ağı, daha küçük ve yönetilebilir alt ağlara bölerek, güvenliği ve performansı iyileştirme amaçlanır. Bir çok şekilde network segmentasyonu yapılabilmektedir. En çok kullanılanlar;
- VLAN (Virtual Local Area Networks): VLAN’lar sayesinde, bünyemizde bulunan tek bir fiziksel ağın, birden fazla mantıksal ağlara bölünmesine denir. Bu sayede her VLAN, kendi trafik akış ve güvenlik ayarlarına sahip olacaktır.
- Subnet (Alt Ağlar): Aynı VLAN’larda olduğu gibi, kurumsal ağınızı alt ağlara bölerek, yönetimi ve güvenliği iyileştirir. Burada VLAN’lara göre hem avantajı, hem dezavantajı olduğu durumlar bulunmaktadır. Burada en büyük fark Subnetler Layer 3’te, yani Ağ katmanında çalışırken, VLAN’lar ise Layer 2’de yani Veri bağlantı katmanında çalışmaktadır.
- Güvenlik Duvarı: Segmente edilen networkler arasında ki bağlantıların nasıl olacağına güvenlik duvarında segmente ederek trafiğin güvenliği düzenlenir.
Network Segmentasyonu Neden Önemli?
Birbirine bağlanan ve daha çok veri alış-verişi olan günümüz dünyasında, Güvenlik duvarlarının üzerinde ki yükler oldukça had safhaya ulaşmış durumda. Artık güvenlik duvarlarımız gerçek zamanlı kullanıcı davranışlarını analiz edip, cookileri denetlerken kullanıcı deneyimini de en üste çıkarmayı hedefliyor. Peki gerçekten ağımızın korunması için sadece güvenlik duvarları yeterli olabiliyor mu?
Güvenlik duvarları hala ağımızın güvenliğini sağlayan en büyük etmenlerinden biri olsa da, iç networkte bir düzen, bir ayrıştırma veya bir segmentasyon yoksa tam korumadan hiçbir zaman bahsedemeyiz.
Güvenlik duvarınızı aşan bir saldırgan olduğunu varsayalım. Bu; güvenlik duvarında yanlış bir yapılandırma veya sosyal mühendislik ile de olabilir, önemi yok. Saldırgan, içerisi sızdığında video/kamera kayıtlarına mı erişmesini tercih edersiniz yoksa müşteri, finansal veya satış verilerinize mi erişmesini tercih edersiniz? Ticari varlıklarınızın yetkisiz kişilerce erişilmesi ve bunların kullanılması eminim ki kimsenin istemeyeceği seçenektir.
Bu örnek üzerinden gidecek olursak; sisteminize sızan saldırgan eğer bir network segmantasyonu ile karşılaşırsa, yani video kayıtlarınıza eriştikten sonra yatay enlemde diğer sunuculara erişmek istediğinde bir engelle karşılaşması; saldırganın işini zorlaştıracak, hatta yeterince iyi önlemler alındıysa yatayda bulaşılıcığını engelleyecektir.
Network Segmentasyonuna Kimlerin İhtiyacı Vardır?
Kurum içerisinde veya dışarısında, kurum kaynakları ile çalışan tüm networklerin aslında segmentasyona muhakkak ihtiyacı vardır. Ayrıca networkünüz ne kadar büyük ise bu ihtiyaç o kadar elzem hale gelecektir. Sadece %100 uzaktan ve SaaS olarak çalışan işletmelerin network segmentasyonuna ihtiyacı yoktur diyebiliriz.
Network Segmentasyonunun Faydaları
Ağ segmentasyonunun aslında bir çok faydası bulunmaktadır. Ama konu özellikle güvenlik olduğunda aşağıda ki konularda ki faydası, IT ekiplerinin yeri geldiğinde hayatını kurtarabilmektedir.
- Saldırı alanını azaltarak olası hasar alanını azaltmak ve kontrol edilebilir şartlara indirgenmesi,
- Erişim kontrollerinin düzenlenerek gerek içeriden, gerek dışarıdan VLAN’lar arası erişimin düzenlenerek “Kimin? Hangi veriye? Hangi şartlarda?” erişimin sağlanması.
- Network daha küçük parçacıklara ayrılarak trafiklerinin bir birinden ayrılması ve bunun sonucunda verimliliğin artırılması.
- Networkünüzün daha iyi analiz edilerek görünürlüğün artırılması, olası performans sorunlarının ön görülmesi, sorun anında çözümün daha hızlı bulunması,
- Son kullanıcı cihazlarının korunması/sistemin son kullanıcı cihazlarından korunması,
- Internet of Things dediğimiz, bir çoğu tam kontrolümüzde olmayan IoT cihazlarının segmente edilerek güvenlik risklerinin azaltılması.
