माइक्रोसेगमेंटेशन क्या है?

माइक्रोसेगमेंटेशन अलगाव द्वारा सुरक्षा स्थिति को मजबूत करता है वर्कलोड और लागू करना कम से कम विशेषाधिकार नीतियों के अंदर गहराई data center or cloud. केवल परिधि सुरक्षा पर निर्भर रहने के बजाय, यह सूक्ष्म नियंत्रण प्रस्तुत करता है जो सीमित करता है पूर्व-पश्चिम यातायात केवल वही जो स्पष्ट रूप से अनुमति दी गई है, इसके लिए आधार तैयार करना शून्य विश्वास आर्किटेक्चर।

माइक्रो सेगमेंटेशन से आप क्या समझते हैं?

माइक्रोसेगमेंटेशन एक सुरक्षा आर्किटेक्चर है जो नेटवर्क or आवेदन पर्यावरण को बहुत छोटे नीति डोमेन में विभाजित कर दिया गया है - अक्सर व्यक्तिगत कार्यभार तक, कंटेनर, या प्रक्रिया स्तर पर - और उनके बीच अनुमत ट्रैफ़िक को नियंत्रित करने के लिए स्टेटफुल नियम लागू करता है।

नीतियाँ कार्यभार की परवाह किए बिना उसका अनुसरण करती हैं आईपी ​​पते, VLAN, या भौतिक स्थान, जिससे सभी जगह एक समान प्रवर्तन संभव हो सके ऑन-प्रेम, निजी cloud, तथा सार्वजनिक cloud संसाधन। विस्तृत दृश्यता, निरंतर ट्रैफ़िक निरीक्षण, और संदर्भ-जागरूक नियम सामूहिक रूप से रोकते हैं पार्श्व आंदोलन by साइबर अपराधी और अनुपालन ऑडिट के दायरे को कम करना।

माइक्रोसेगमेंटेशन के प्रकार

माइक्रोसेगमेंटेशन को कई पूरक मॉडलों के माध्यम से क्रियान्वित किया जाता है। नीचे प्रत्येक मॉडल का अवलोकन दिया गया है।

होस्ट-आधारित विभाजन

हर एक पर एक हल्का एजेंट VM, अरक्षित धातु server, या कंटेनर पैकेट हेडर और प्रक्रिया की जांच करता है मेटाडेटा, फिर यह निर्णय लेता है कि प्रवाह को स्वीकार करना है या छोड़ना है। क्योंकि प्रत्येक निर्णय OS में स्थानीय रूप से होता है गिरी या eBPF परत, नियम प्रवर्तन संख्या के साथ रैखिक रूप से बढ़ता है मेजबान भौतिक नेटवर्क को संतृप्त किये बिना।

अनुप्रयोग-जागरूक विभाजन

यहाँ, नीतियाँ तार्किक ऑब्जेक्ट्स का संदर्भ देती हैं - सेवा नाम, Kubernetes लेबल, या सर्विस मेश पहचान - आईपी पते के बजाय। जब प्लेटफ़ॉर्म एक और प्रतिकृति बनाता है, तो पॉलिसी इंजन एक के माध्यम से इसकी पहचान प्राप्त करता है API कॉल करता है और उन्हीं नियमों को स्वचालित रूप से लागू करता है, जिससे मैन्युअल नियमों का विस्तार समाप्त हो जाता है।

नेटवर्क-आधारित विभाजन

इनलाइन डिवाइस जैसे अगली पीढ़ी के फ़ायरवॉल (एनजीएफडब्लू) या SDN स्विच से प्राप्त संदर्भ सम्मिलित करें आर्केस्ट्रा सिस्टम और खुफिया जानकारी वे लेयर-7 निरीक्षण लागू करते हैं, टीएलएस समाप्ति, या अतिक्रमण संसूचन प्रणाली प्रोटोकॉल के दुरुपयोग या डेटा एक्सफ़िलट्रेशन के प्रयासों को ब्लॉक करने की कार्यक्षमता तब भी जब ट्रैफ़िक एन्क्रिप्टेड शुरू से अंत तक।

पहचान-आधारित विभाजन

एक्सेस के निर्णय मजबूत, प्रमाणित पहचानों पर निर्भर करते हैं - X.509 प्रमाणपत्र, TPM माप, या OAuth दावे - जो कार्यभार या उपयोगकर्ताओं को जारी किए जाते हैं। यह मॉडल नेटवर्क स्थान में निहित विश्वास को सत्यापित पहचान में स्पष्ट विश्वास के साथ बदलकर शून्य विश्वास सिद्धांतों के साथ जुड़ता है।

पर्यावरण विभाजन

नियम सेट में अनुकूलन वास्तविक समय परिनियोजन चरण, भौगोलिक अधिकार क्षेत्र या रखरखाव विंडो जैसे कारकों के लिए। उदाहरण के लिए, एक नीति इंजन प्री-प्रोडक्शन नेमस्पेस में ब्लू-ग्रीन परिनियोजन के दौरान प्रतिबंधों को शिथिल कर सकता है जबकि सख्त नियमों को बनाए रख सकता है उत्पादन.

माइक्रोसेगमेंटेशन कैसे काम करता है?

नीचे दिया गया अनुक्रम एक विहित माइक्रोसेगमेंटेशन कार्यप्रवाह को दर्शाता है। प्रत्येक चरण अगले चरण के लिए आधार तैयार करता है, जिसके परिणामस्वरूप नीतिगत निर्णय होते हैं जो निरंतर परिवर्तन के बावजूद सटीक रहते हैं।

1. परिसंपत्ति की खोज और टैगिंग। सेंसर इन्वेंटरी कार्यभार, बंदरगाहों, और अंतरनिर्भरताएं, फिर वर्णनात्मक लेबल (अनुप्रयोग स्तर, अनुपालन डोमेन, डेटा वर्गीकरण) असाइन करें।
2. नीति परिभाषा. सुरक्षा आर्किटेक्ट मानव-पठनीय निर्माणों के साथ इरादा व्यक्त करते हैं: "वेब टियर → ऐप टियर ऑन HTTPS, ""Backups → NFS पर संग्रहण।”
3. संकलन एवं वितरण. नियंत्रण तल इरादे को कर्नेल में परिवर्तित करता है फ़ायरवॉल नियम, सुरक्षा समूह प्रविष्टियाँ, या स्वामित्व एसीएल प्रारूपों को चुनता है और उन्हें वितरित प्रवर्तन बिंदुओं पर भेजता है।
4. रनटाइम टेलीमेट्री. एजेंट और इनलाइन डिवाइस प्रवाह लॉग और निर्णयों का निर्यात करते हैं जो डैशबोर्ड और SIEM पाइपलाइनों में भर जाते हैं, तथा यह प्रमाणित करते हैं कि प्रवर्तन इरादे को दर्शाता है।
5. स्वचालित उपचार. जब टेलीमेट्री से किसी अनधिकृत प्रवाह या नीतिगत विचलन का पता चलता है, तो प्लेटफॉर्म आपत्तिजनक कार्यभार को अलग कर देता है, अलर्ट जारी करता है, या नियमों को सख्त कर देता है।

माइक्रोसेगमेंटेशन का उपयोग किस लिए किया जाता है?

संगठन कई परस्पर जुड़े उद्देश्यों को पूरा करने के लिए माइक्रोसेगमेंटेशन का उपयोग करते हैं:

• पार्श्व गति को नियंत्रित करें। जब कोई खतरा पैदा करने वाला व्यक्ति किसी कार्यभार से समझौता कर लेता है, तो अनुमति-सूची नियम उसे अन्य प्रणालियों तक पहुंचने से रोक देते हैं, जब तक कि स्पष्ट रूप से अनुमति न दी जाए।
• अनुपालन का दायरा छोटा करें। सख्त सीमाएं विनियमित डेटा - कार्डधारक सूचना, संरक्षित स्वास्थ्य डेटा, नियंत्रित अवर्गीकृत सूचना - को संकीर्ण रूप से परिभाषित वातावरण तक सीमित कर देती हैं, जिससे ऑडिट सरल हो जाता है।
• किरायेदारों को अलग रखें बहु-cloud वातावरण। बारीक नियम यह गारंटी देते हैं कि एक ग्राहक के कंटेनर का दूसरे के कंटेनर तक कोई रास्ता नहीं है, भले ही वे एक ही अंतर्निहित साझा करते हों हार्डवेयर.
• अलग विकास और उत्पादन। अलग-अलग नीति डोमेन परीक्षण रोकें लिपियों उत्पादन को कॉल करने से डेटाबेस, डेटा अखंडता को संरक्षित करना और उपरिकाल.
• मुकुट रत्न सम्पत्तियों की सुरक्षा करें। डोमेन नियंत्रक, पीकेआई रूट्स, और औद्योगिक नियंत्रण प्रणालियां कई नेस्टेड माइक्रोसेगमेंट के पीछे स्थित होती हैं, जिनकी अनुमति-सूचियां प्रबंधन जंप होस्ट तक सीमित होती हैं।

माइक्रोसेगमेंटेशन उदाहरण

नीचे दिए गए उदाहरण सामान्य वास्तविक दुनिया के परिदृश्यों को दर्शाते हैं।

• पीसीआई-DSS कार्डधारक डेटा वातावरण (सीडीई)। केवल श्वेतसूचीबद्ध आवेदन servers निर्दिष्ट सेवा पोर्टों के माध्यम से भुगतान-प्रसंस्करण वी.एम. तक पहुंच; कोई अन्य पूर्व-पश्चिम यातायात सी.डी.ई. में प्रवेश नहीं करता।
• Ransomware विस्फोट-त्रिज्या नियंत्रण. से प्रत्येक पट्टिका server केवल इसके साथ संचार करता है backup प्रॉक्सी; सहकर्मी से सहकर्मी server संदेश ब्लॉक (एसएमबी) ट्रैफ़िक की अनुमति नहीं दी जाती है, जिससे वर्म-शैली प्रसार रुक जाता है।
• सेवा जाल MTLS प्रवर्तन. Kubernetes के अंदर पहचान-आधारित नीतियाँ के बीच ट्रैफ़िक की अनुमति देती हैं microservices विशेष रूप से पारस्परिक-टीएलएस-प्रमाणित साइडकार के माध्यम से।
• वर्चुअल डेस्कटॉप एकांत। प्रत्येक डेस्कटॉप VM इंटरनेट तक पहुँचता है प्रवेश द्वार और प्रोफ़ाइल संग्रहण के लिए कोई मार्ग नहीं है, जिससे क्लिपबोर्ड-हाइजैक और सत्र-चोरी के हमले बेअसर हो जाते हैं।
• औद्योगिक विसैन्यीकृत क्षेत्र (आईडीएमजेड)। SCADA servers केवल एक समर्पित ओटी गेटवे से आदेश स्वीकार करें, जो स्वयं एक-तरफ़ा डेटा डायोड के माध्यम से आईटी प्रणालियों के साथ संचार करता है।

माइक्रोसेगमेंटेशन को कैसे लागू करें?

चरणबद्ध दृष्टिकोण व्यवधान को कम करता है और मूल्य प्राप्ति के समय को तेज़ करता है। माइक्रोसेगमेंटेशन को लागू करने के लिए नीचे दिए गए चरण दिए गए हैं।

1. सटीक सूची बनाएं

प्रत्येक कार्यभार और प्रवाह की पहचान करने के लिए निष्क्रिय ट्रैफ़िक कैप्चर, एसेट डेटाबेस और एजेंट टेलीमेट्री को संयोजित करें। विश्वसनीय मानचित्र के बिना, नीति डिज़ाइन अनुमान लगाने में बदल जाता है।

2. परिसंपत्तियों का वर्गीकरण करें और जोखिम को प्राथमिकता दें

व्यावसायिक महत्ता, डेटा संवेदनशीलता और अनुपालन आवश्यकताओं के आधार पर कार्यभार को टैग करें। उच्च-मूल्य या विनियमित प्रणालियों को प्राथमिकता दी जाती है।

3. प्रवर्तन प्रौद्योगिकियों का चयन और एकीकरण

होस्ट एजेंट, स्मार्टएनआईसी, एसडीएन ओवरले, एनजीएफडब्ल्यू और का मूल्यांकन करें cloud-कवरेज के लिए मूल नियंत्रण, विलंब सहनशीलता, और स्वचालन हुक। उन समाधानों का पक्ष लें जो API को उजागर करते हैं सीआई / सीडी पाइपलाइन.

4. मॉनिटर मोड में रोल आउट करें

प्रस्तावित नियम बनाएं और उल्लंघनों की निगरानी करें ताकि यह सत्यापित किया जा सके कि वास्तविक दुनिया का ट्रैफ़िक डिज़ाइन मान्यताओं से मेल खाता है। नीतियों को तब तक समायोजित करें जब तक कि गलत सकारात्मकता शून्य के करीब न पहुँच जाए।

5. धीरे-धीरे लागू मोड सक्रिय करें

छोटे एप्लिकेशन समूह पर अनुमति-सूचियाँ लागू करें, स्थिरता मीट्रिक का निरीक्षण करें, फिर नियंत्रित तरंगों में कवरेज का विस्तार करें। एप्लिकेशन रिलीज़ के साथ मेल खाने के लिए नियम परिनियोजन को स्वचालित करें।

6. निरंतर सत्यापन और परिशोधन करें

फ़ीड क्रम नीति-सिफारिश इंजन में टेलीमेट्री। अप्रचलित नियमों को हटाएँ, दुष्ट प्रवाहों का पता लगाएँ, और कार्यभार बढ़ने पर टैग अपडेट करें।

माइक्रोसेगमेंटेशन के लाभ और चुनौतियाँ क्या हैं?

माइक्रोसेगमेंटेशन के लाभ इस प्रकार हैं:

• आक्रमण-सतह कमी। प्रत्येक कार्यभार केवल स्पष्ट रूप से अधिकृत प्रोटोकॉल और पोर्ट के माध्यम से ही संचार करता है, जिससे प्रतिद्वंद्वियों के पास बहुत कम विकल्प बचते हैं।
• बड़े पैमाने पर न्यूनतम-विशेषाधिकार प्रवर्तन। नीतियाँ अपरिवर्तनीय पहचानों से उत्पन्न होती हैं और कार्यभार का अनुसरण करती हैं hypervisors, क्लस्टर, या cloudयह कार्य बिना किसी मानवीय हस्तक्षेप के किया जा सकता है।
• अनुपालन लागत नियंत्रण. संकीर्ण, सुपरिभाषित सुरक्षा क्षेत्र, लेखा परीक्षक द्वारा जांची जाने वाली प्रणालियों की संख्या को कम कर देते हैं, जिससे साक्ष्य-संकलन प्रयास और सुधार कार्य का दायरा दोनों कम हो जाता है।
• दृश्यता निर्भरता. प्रवाह लॉग और निर्भरता मानचित्र अप्रत्याशित संचार पथ और अप्रचलित सेवाओं को प्रकट करते हैं।
• परिचालन स्थिरता. एकल नीति व्याकरण ऑन-प्रिमाइसेस, निजी को नियंत्रित करता है cloud, और सार्वजनिक cloud तैनाती, परिवर्तन प्रबंधन को सरल बनाना।

सूक्ष्म विभाजन की चुनौतियाँ इस प्रकार हैं:

• व्यापक खोज आवश्यकताएँ. जब प्रवर्तन शुरू होता है, तो अपूर्ण सूची या अलिखित निर्भरताएं अनजाने में व्यवधान का कारण बनती हैं।
• नीति का विस्तार. जब तक अमूर्त परतें या स्वचालन इस प्रक्रिया को नियंत्रित नहीं कर लेते, हजारों सूक्ष्म नियम मैन्युअल परिवर्तन-नियंत्रण प्रक्रियाओं पर शीघ्र ही हावी हो जाते हैं।
• प्रदर्शन ओवरहेड. होस्ट-स्तरीय पैकेट फ़िल्टरिंग या गहन-पैकेट निरीक्षण में खपत होती है सी पी यू चक्र; इनलाइन डिवाइस विलंबता उत्पन्न करते हैं जो चैटी माइक्रोसर्विसेज को प्रभावित करते हैं।
• कौशल अंतर. सुरक्षा और प्लेटफ़ॉर्म टीमों को नए टूल, टैगिंग रणनीतियों और समस्या निवारण प्रक्रियाओं में निपुणता हासिल करनी होगी।
• साथ एकता सीआई / सीडी पाइपलाइन. तीव्र सॉफ्टवेयर विज्ञप्ति में बहाव को रोकने के लिए स्वचालित नीति निर्माण और प्रतिगमन परीक्षण की मांग की गई है।

मैक्रो बनाम माइक्रो सेगमेंटेशन क्या है?

नीचे दी गई तालिका मैक्रो और माइक्रो विभाजन के बीच अंतर की तुलना करती है।

माइक्रोसेगमेंटेशन बनाम नेटवर्क सेगमेंटेशन

परंपरागत नेटवर्क विभाजन पहले का है cloud-नेटिव आर्किटेक्चर, फिर भी कई सिद्धांत प्रासंगिक बने हुए हैं। नीचे दी गई तुलना स्पष्ट करती है कि प्रतिमान कहाँ अलग होते हैं।