Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомЗонирование сети в 2023 году: как искусственный интеллект и автоматизация меняют ситуацию
Клаус Халлер | 07 июня 2023 г.
Зонирование сети — это фундаментальный превентивный контроль безопасности, который уменьшает поверхность атаки компании и препятствует горизонтальному перемещению. Это усложняет жизнь злоумышленникам, поскольку они не могут напрямую получить доступ ко всем виртуальным машинам (ВМ) из Интернета. И даже если они попадут в сеть компании, они не смогут быстро переключаться с одной виртуальной машины на другую, если межсетевые экраны и зоны ограничивают внутренние сетевые подключения и трафик. Однако рост автоматизации ИИ и ИТ бросает вызов одному фундаментальному принципу зонирования: этапам. Адекватна ли дифференциация между зонами производства, подготовки к производству и интеграции, тестирования и разработки? Какие адаптации принесут 2020-е годы?
Зона разработки, зона тестирования, зона подготовки к производству и производственная зона — гибкие методологии проектирования заменили старую добрую каскадную модель, но этапы сохранились (рис. 1). Некоторые ИТ-отделы имеют три (или только два) этапа, некоторые говорят об этапах интеграционного или модульного тестирования. Цели те же:
Связанный: Самая большая проблема в искусственном интеллекте? Лживые чат-боты
Организации, имеющие сертификаты ISO 27001, в любом случае должны разделять системы разработки, тестирования и производства на предмет соответствия ISO (ISO 27001:2022, Приложение A 8.31).
Рисунок 1. Сложная классическая концепция зонирования сети.
Связанный: Бывший технический советник Байдена о том, чего Вашингтону не хватает в области искусственного интеллекта
На практике в более крупных сетевых проектах различают внутренние и внешние (т. е. доступные из Интернета) зоны и размещают брандмауэры веб-приложений и решения для управления интерфейсом приложений (API) между Интернетом и внешними зонами. Другими широко распространенными параметрами зонирования являются страны или бизнес-единицы. Те же или более простые концепции зонирования могут применяться и на непроизводственных стадиях.
Это была традиционная установка. За последние несколько лет искусственный интеллект и автоматизация ИТ оказались в центре внимания и принесли изменения.
Высокая доступность и быстрый цикл разработки и развертывания требуют автоматизации в центрах обработки данных. Кроме того, автоматизация делает администраторов намного более эффективными. Установка и настройка программного обеспечения сегодня — это задача, выполняемая одним щелчком мыши, по сравнению с работой с полной занятостью в прошлые годы, когда администраторы манипулировали двадцатью дискетами. Сегодняшние серверы мониторинга имеют автоматическое оповещение. Они заранее информируют администраторов о необходимости ручного вмешательства. Кроме того, конвейеры CI/CD являются стандартными. Однако такое повышение эффективности требует изменения концепции зонирования сети (рис. 2).
Влияние компонентов мониторинга и развертывания, а также конвейеров CI/CD на зонирование сети
Решения для мониторинга проверяют доступность виртуальных машин и сетевых компонентов, а также ищут события, потенциально указывающие на инциденты безопасности. В Великобритании существует одно решение для мониторинга всего центра обработки данных, но нет решения для производственной зоны. В Испании есть один для разработки, а в Индии — один для тестирования. Приложения мониторинга подразумевают необходимость межэтапного доступа. Вы можете разместить компоненты мониторинга в выделенной зоне внутри производственной зоны или полностью отдельно. Очевидно, что операционные ошибки менее вероятны, если эти приложения разделены по зонам. Кроме того, брандмауэры следует открывать выборочно, а не просто открывать все брандмауэры.
Решения для мониторинга являются одним из примеров; другие решения (например, для управления исправлениями или сканирования уязвимостей) попадают в ту же категорию. Однако, хотя для таких решений можно (но не всегда разумно) обойти межэтапный доступ, конвейеры CI/CD по определению являются межэтапными. Сначала вы развертываете код на своем локальном ноутбуке, затем на тестовом сервере, в среде интеграции и, наконец, в рабочей среде. Таким образом, чистая природа конвейеров CI/CD требует межэтапного доступа. Опять же, если один инструмент должен развертывать и изменять виртуальные машины на всех этапах, межсетевые экраны между зонами не следует сносить полностью, а только выборочно открывать для этого инструмента.