Popis segmentace sítě v Azure

  • 2 min

Segmentace spočívá v rozdělení něčeho na menší části. Organizace se například obvykle skládá z menších obchodních skupin, jako jsou lidské zdroje, prodej, zákaznická služba a další. V kancelářském prostředí je běžné, že každá obchodní skupina má svůj vlastní vyhrazený kancelářský prostor, zatímco členové stejné skupiny sdílejí kancelář. To umožňuje členům stejné obchodní skupiny spolupracovat a současně udržovat oddělení od ostatních skupin, aby vyřešili požadavky na důvěrnost jednotlivých firem.

Stejný koncept platí pro podnikové IT sítě. Hlavními důvody segmentace sítě jsou:

  • Možnost seskupit související prostředky, které jsou součástí (nebo podpory) operací úloh.
  • Izolace prostředků
  • Zásady správného řízení nastavené organizací.

Segmentace sítě také podporuje model nulová důvěra (Zero Trust) a vícevrstvý přístup k zabezpečení, který je součástí hloubkové strategie ochrany.

Předpokládejme, že porušení zabezpečení je principem modelu nulová důvěra (Zero Trust), takže schopnost obsahovat útočníka je důležitá pro ochranu informačních systémů. Když jsou úlohy (nebo části dané úlohy) umístěny do samostatných segmentů, můžete řídit provoz z/do těchto segmentů a zabezpečit komunikační cesty. Pokud dojde k ohrožení zabezpečení jednoho segmentu, budete schopni lépe obsahovat dopad a zabránit jeho pozdějšímu šíření ve zbytku sítě.

Segmentace sítě může zabezpečit interakce mezi hraničními sítěmi. Tento přístup může posílit stav zabezpečení organizace, obsahovat rizika v narušení zabezpečení a zabránit útočníkům v získání přístupu k celé úloze.

Azure Virtual Network

Azure Virtual Network (VNet) je základním stavebním blokem privátní sítě vaší organizace v Azure. Virtuální síť se podobá tradiční síti, kterou provozujete ve vlastním datacentru, ale přináší další výhody infrastruktury Azure, jako je škálování, dostupnost a izolace.

Virtuální síť Azure umožňuje organizacím segmentovat svoji síť. Organizace můžou vytvořit více virtuálních sítí pro každou oblast na předplatné a v rámci každé virtuální sítě je možné vytvořit několik menších sítí (podsítí).

Virtuální sítě poskytují omezení na úrovni sítě prostředků bez povoleného provozu mezi virtuálními sítěmi nebo příchozími přenosy do virtuální sítě ve výchozím nastavení. Komunikace musí být explicitně zřízena. To umožňuje větší kontrolu nad tím, jak prostředky Azure ve virtuální síti komunikují s dalšími prostředky Azure, internetem a místními sítěmi.

Diagram depicting network segmentation using Azure Virtual Networks.