Bạn đang tìm một bài viết để giải đáp câu hỏi Segment là gì? TinoHost sẽ giải đáp giúp bạn thông qua bài viết này.
Segment là gì?
Giải thích một cách đơn giản, Segment – Phân đoạn là một kĩ thuật bảo mật mạng. Kỹ thuật này giúp chia một mạng lớn thành nhiều mạng nhỏ riêng biệt. Việc chia nhỏ thành nhiều Segment khác nhau sẽ giúp việc quản lý, điều khiển và bảo mật trở nên dễ dàng thực hiện hơn.
Quá trình Segment mạng bao gồm việc chia một mạng vật lý thành nhiều mạng con logic khác nhau.
Segment hoạt động như thế nào?
Segment hoạt động bằng cách kiểm soát các dòng truy cập, một cách dễ hiểu hơn có thể mô tả là: phân quyền.
Khi phân Segment, bạn có thể toàn quyền:
- Ngăn chặn việc Segment này truy cập vào Segment khác.
- Hạn chế lượng truy cập thông qua loại truy cập, tài nguyên, đích đến và rất nhiều cách khác nữa.
Việc bạn thực hiện phân chia các Segment sẽ được gọi là chính sách phân đoạn – Segmentation policy.
Những ví dụ thực tiễn về Segment
TinoHost sẽ đưa ra một ví dụ cụ thể về ngân hàng giúp bạn hiểu hơn về Segment nhé!
Hiện tại, bạn đang là chủ của một ngân hàng khổng lồ đa quốc gia với vô số văn phòng chi nhánh tại mỗi quốc gia.
Lúc này, bạn sẽ cần phải hạn chế việc các nhân viên tài chính có thể truy cập được vào báo cáo tài chính của toàn bộ ngân hàng.
Và bạn cũng sẽ phải phân đoạn Segment nhỏ hơn nữa từ chi nhánh văn phòng => Tỉnh/ thành phố => Quốc gia => Châu lục. Từng nhân viên cũng sẽ phải được cấp tài khoản với mức độ hạn chế truy cập nhất định.
Việc thực hiện Segment này sẽ giúp hệ thống của bạn hoạt động nhanh hơn, trơn tru hơn và các nhà phân tích tài chính sử dụng hệ thống được tốt hơn; trên hết là giảm thiểu thiệt hại nếu xảy ra các cuộc tấn công với chủ đích xấu.
Lợi ích của Segment
Hiệu suất mạng tối ưu hơn
Khi mạng được phân thành nhiều Segment nhỏ khác nhau, hiệu suất của mạng sẽ được tăng lên rất nhiều. Vì những hoạt động nhất định chỉ thực hiện trong một phạm vi mạng nhất định với lưu lượng cho phép.
Giảm thiểu thiệt hại khi bị tấn công
Ví dụ, khi bạn thực hiện phân thành nhiều Segment khác nhau, một cuộc tấn công lây lan virus sẽ được gây hại ít hơn. Bởi vì, mỗi một Segment khác nhau sẽ có các cơ chế bảo mật khác nhau, giúp giảm thiểu tối đa việc bị tấn công trên toàn bộ hệ thống.
Gia tăng bảo vệ
Việc phân đoạn sẽ giúp ngăn ngừa việc những thành viên xấu trong mạng gây ảnh hưởng đến một công việc khác. Ví dụ, một nhân viên ở bộ phận A thực hiện truy cập trái phép vào bộ phận B và xóa dữ liệu. Khi phân Segment, nhân viên ở bộ phận A đó sẽ bị chặn vì không có quyền truy cập vào cơ sở dữ liệu của bộ phận B.
Segment gồm những loại nào?
Network Segmentation
Network Segmentation từ lâu đã được thực hiện bởi các hình thức như VLAN và subnet (mạng con).
VLAN – Virtual Local Area Network: hay mạng ảo cục bộ LAN là hình thức tạo ra các Segment nhỏ với tất cả các máy chủ được kết nối (hầu hết) với nhau trong cùng một mạng LAN.
Subnet: là hình thức chia nhỏ Segment dựa trên IP để tạo thành các mạng con nhỏ hơn được kết nối bởi các thiết bị mạng.
Cả 2 hình thức kết nối này đều giúp cho hiệu suất của mạng tăng cao hơn và giúp hạn chế hiệu quả, tối đa các mối đe dọa đến từ một VLAN hay một subnet cụ thể khác.
Dù mang lại hiệu quả rất đáng ngạc nhiên, tuy nhiên có 2 điểm trừ khá lớn đối với cách phân đoạn này:
- Phải tái cấu để đáp ứng được các nhu cầu của việc phân đoạn mạng.
- Mức độ phức tạp của các quy tắc để đảm bảo kiểm soát được sự truy cập của các thiết bị mạng con. Đôi khi, bộ quy tắc của bạn có thể lên đến hàng ngàn quy tắc khác nhau.
Firewall Segmentation
Thay vì sử dụng mạng để thực hiện Segment, Tường lửa – Firewall là một lựa chọn khác tối ưu hơn.
Tường lửa sẽ được triển khai bên trong một mạng hoặc bên trong một cơ sở dữ liệu nhằm tạo ra các khu vực nội bộ riêng biệt. Ở từng khu vực nội bộ sẽ có các chức năng nhiệm vụ khác nhau và hạn chế việc tấn công hàng loạt.
Một ví dụ điển hình chính là việc đảm bảo các dữ liệu các thông tin về thanh toán của khách hàng khỏi cơ sở dữ liệu chính chẳng hạn.
Thông thường, các quản trị viên mạng và bảo mật sẽ rất dễ dàng triển khai được hệ thống tường lửa. Tuy nhiên, việc này sẽ trở nên vô cùng phức tạp khi một tường lửa được sử dụng để phân chia nhiều nhóm nội bộ khác nhau.
Một tường lửa được dựng nên từ hàng ngàn quy tắc. Vì thế, một cấu hình sai tường lửa duy nhất cũng có thể gây ra những thiệt hại khôn lường đối với doanh nghiệp.
Có một nhược điểm khác không hề dễ chịu là chi phí để mua tường lửa cho nhiều trang web khác nhau cùng lúc, giá của chúng có thể lên đến hàng triệu đô la.
Segmentation with SDN
Software-defined networking (SDN) là một phần mềm giúp các nhà quản trị mạng có thể điều khiển các thiết bị mạng thông qua một phần mềm thay vì phải tự mình cấu hình các thiết bị vật lý của mình.
Với phần mềm này, các quản trị viên có thể kiểm soát các luồng, các gói dữ liệu đi qua mạng được kiểm soát dựa trên việc lập trình.
Một điểm đáng lưu ý: để triển khai mô hình này, bạn sẽ phải cần triển khai thành công và ổn định mô hình Micro-Segmentation trước. SDN tập trung vào việc xây dựng các quy tắc hơn việc bảo mật các dòng dữ liệu, công việc.
Micro-Segmentation
Micro-Segmentation – Phân đoạn vi mô là một kĩ thuật mạng giúp các kỹ sư bảo mật chia trung tâm dữ liệu thành những Segment nhỏ tách biệt với nhau. Sau đó, các kỹ sư có thể tạo lập các biện pháp kiểm soát bảo mật riêng biệt và cung cấp dịch vụ riêng biệt cho từng Segment một.
Một số ví dụ điển hình bạn có thể biết như: Windows Filtering Platform trong hệ điều hành Windows hoặc Iptables trong hệ điều hành Linux.
Giải pháp này tiếp cận vấn đề theo cách chặn tất cả trừ những gì được cho phép. Với cách thức tiếp cận này, bạn cũng có thể biết đến Micro-Segmentation với cái tên host-based segmentation – phân đoạn trên máy chủ hay security segmentation – phân đoạn bảo mật.
Điểm mạnh của giải pháp này chính là sự chi tiết với các quy trình cụ thể. Để làm quen được, người dùng sẽ cần phải được đào tạo bài bản về các quy tắc và cách thực hiện Segment tại máy chủ.
Loại tổ chức nào nên sử dụng Segment?
Các tổ chức có sử dụng hình thức thanh toán trực tuyến
Đối với các doanh nghiệp sử dụng hình thức thanh toán online, họ cần phải đảm bảo được chính sách PCI DSS – Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán.
Điều này đồng nghĩa với việc doanh nghiệp, tổ chức phải tiến hành xử lý các thông tin về thẻ tín dụng của khách hàng sao cho an toàn nhất.
Các tổ chức chăm sóc sức khỏe
Ở các tổ chức chăm sóc sức khỏe cần phải tuân thủ theo các khuôn khổ an ninh một cách chặt chẽ! Điều này giúp cho quy trình chăm sóc sức khỏe bảo mật hợp lý và nhất quán. Nếu không sẽ có thể gây ảnh hưởng rất lớn đối với các bệnh nhân.
Qua bài viết, TinoHost đã giúp bạn hiểu hơn về Segment là gì. TinoHost chúc bạn thành công với việc bảo vệ được hệ thống cơ sở dữ liệu của mình một cách trọn vẹn nhất!
Bài viết có tham khảo nội dung tại illumio.com.
Những câu hỏi thường gặp
IP Segmentment là gì?
Mỗi một địa chỉ IP sẽ được gắng với một thiết bị duy nhất. Và IP Segmentment sẽ chia sẻ thông tin dựa trên từng IP được xác định rõ ràng nhằm tăng tính bảo mật hơn.
Những công ty chuyên cung cấp dịch vụ Segment?
Bạn có thể tham khảo những đơn vị như: Cisco, Illumio, VMware,…
Backbone là gì?
Backbone được sử dụng nhằm kết nối các mạng cục bộ (LAN) với nhau nhằm tạo thành một mạng diện rộng WAN.
Không phân chia mạng được hay không?
Nếu không phân chia thành các Segment nhỏ và bạn chỉ có một Segment lớn duy nhất cho cả hệ thống, một khi hacker xâm nhập được, toàn bộ hệ thống và các thiết bị của bạn đều sẽ trở thành mục tiêu tấn công. Khi phân thành các Segment nhỏ, việc ảnh hưởng sẽ bị giảm xuống tối thiểu.
