Segment là gì? Những kiến thức bạn cần biết về Segment

Vấn đề bảo mật dữ liệu là vấn đề được quan tâm hàng đầu trong lĩnh vực an ninh mạng hiện nay. Để bảo mật dữ liệu tốt hơn, một trong những cách sử dụng đó là phân quyền – segment. Cùng tìm hiểu Segment là gì, cách thức hoạt động của segment. Đồng thời kiến thức về 4 loại segment chính thông qua bài viết dưới đây. 

Segment là gì?

Giải thích một cách đơn giản, Segment – Phân đoạn là một kĩ thuật bảo mật mạng. Kỹ thuật này giúp chia mạng lớn thành nhiều mạng nhỏ riêng biệt. Việc chia nhỏ mạng thành nhiều Segment khác nhau giúp việc quản lý, điều khiển và bảo mật trở nên dễ dàng thực hiện hơn.

Quá trình Segment mạng bao gồm việc chia một mạng vật lý thành nhiều mạng con logic khác nhau.

>> Có thể bạn quan tâm: Cross Platform là gì ? Phân biệt Cross platform và Multi-platform

Segment hoạt động như thế nào?

Segment hoạt động bằng cách kiểm soát các dòng truy cập, một cách dễ hiểu hơn có thể mô tả là: phân quyền.

Khi Segment, bạn có thể:

• Ngăn chặn việc Segment này truy cập vào Segment khác.
• Hạn chế lượng truy cập thông qua loại truy cập, tài nguyên, đích đến và rất nhiều cách khác nữa.

Việc thực hiện phân chia các Segment sẽ được gọi là chính sách phân đoạn – Segmentation policy.

Những ví dụ thực tiễn về Segment

Giả sử bạn đang là chủ của một ngân hàng khổng lồ đa quốc gia với rất nhiều chi nhánh ở các nước. Lúc này bạn cần hạn chế việc nhân viên truy cập vào các báo cáo chung của toàn bộ ngân hàng, vì thế bạn cần hoạt động phân quyền. 

Bạn sẽ phải phân đoạn Segment nhỏ hơn từ chi nhánh văn phòng => Tỉnh/ thành phố => Quốc gia => Châu lục. Từng nhân viên cũng sẽ được cấp tài khoản với mức độ hạn chế truy cập nhất định.

Việc thực hiện Segment này sẽ giúp hệ thống của bạn hoạt động nhanh hơn, trơn tru hơn. Thuận tiện cho quá trình phân tích dữ liệu theo hệ thống và các nhà phân tích tài chính thực hiện hoạt động phân tích tốt hơn. 

Lợi ích của Segment

Hiệu suất mạng tối ưu hơn

Khi được phân nhỏ thành nhiều Segment khác nhau, hiệu suất của mạng sẽ được tăng lên rất nhiều. Vì những hoạt động nhất định chỉ thực hiện trong một phạm vi mạng nhất định với lưu lượng cho phép.

Giảm thiểu thiệt hại khi bị tấn công

Khi bị virus tấn công, thay vì ảnh hưởng lên toàn bộ hệ thống, việc phân chia thành các segment khiến cho virus chỉ ảnh hưởng một phần. Điều này giúp khắc phục và giảm thiểu thiệt hại so với việc không phân chia segment. 

Bảo mật tốt hơn

Việc phân chia Segment, đồng nghĩa với việc phân quyền chặt chẽ hơn theo các cấp khiến dữ liệu khó bị tấn công và đánh cắp hơn. 

Ví dụ các dữ liệu ở Segment A sẽ khó bị tấn công và đánh cắp bởi những ai chỉ được cấp quyền truy cập segment B. 

Segment gồm những loại nào?

Network Segmentation

Network Segmentation từ lâu đã được thực hiện bởi các hình thức như VLAN và subnet (mạng con).

VLAN – Virtual Local Area Network: hay mạng ảo cục bộ LAN là hình thức tạo ra các Segment nhỏ với tất cả các máy chủ được kết nối (hầu hết) với nhau trong cùng một mạng LAN.

Subnet: là hình thức chia nhỏ Segment dựa trên IP để tạo thành các mạng con nhỏ hơn được kết nối bởi các thiết bị mạng.

Cả 2 hình thức kết nối này đều giúp cho hiệu suất của mạng tăng cao hơn. Đồng thời giúp hạn chế tối đa và hiệu quả  các mối đe dọa đến từ một VLAN hay một subnet cụ thể khác.

Tuy nhiên cách phân đoạn này có nhược điểm: 

• Phải tái cấu để đáp ứng được các nhu cầu của việc phân đoạn mạng.
• Các quy tắc đảm bảo truy cập dành cho các segment con khá phức tạp. 

Firewall Segmentation

Thay vì sử dụng mạng để thực hiện Segment, Tường lửa – Firewall là một lựa chọn khác tối ưu hơn.

Tường lửa sẽ được triển khai bên trong một mạng hoặc bên trong một cơ sở dữ liệu nhằm tạo ra các khu vực nội bộ riêng biệt. Ở từng khu vực nội bộ sẽ có các chức năng nhiệm vụ khác nhau và hạn chế việc tấn công hàng loạt.

Một ví dụ điển hình chính là việc đảm bảo các dữ liệu các thông tin về thanh toán của khách hàng khỏi cơ sở dữ liệu chính. 

Thông thường, các quản trị viên mạng và bảo mật sẽ rất dễ dàng triển khai được hệ thống tường lửa. Tuy nhiên, việc này sẽ trở nên vô cùng phức tạp khi một tường lửa được sử dụng để phân chia nhiều nhóm nội bộ khác nhau.

Tuy nhiên phương pháp này có nhược điểm: 

• Khá nhiều quy tắc để dựng tường lửa. 
• Phí mua tường lửa khá đắt đỏ. 

Segmentation with SDN

Software-defined networking (SDN) là phần mềm giúp các nhà quản trị mạng điều khiển các thiết bị thông qua phần mềm. Thay vì phải tự mình cấu hình các thiết bị vật lý.

Với phần mềm này, các quản trị viên có thể kiểm soát các luồng, các gói dữ liệu đi qua mạng được kiểm soát dựa trên việc lập trình.

Tuy nhiên để triển khai mô hình này, cần phải triển khai thành công và ổn định mô hình Micro-Segmentation trước tiên. SDN tập trung vào việc xây dựng các quy tắc hơn việc bảo mật các dòng dữ liệu, công việc.

Micro-Segmentation

Micro-Segmentation – Phân đoạn vi mô là một kĩ thuật mạng giúp các kỹ sư bảo mật chia trung tâm dữ liệu thành những Segment nhỏ tách biệt với nhau. Sau đó, các kỹ sư có thể tạo lập các biện pháp kiểm soát bảo mật riêng biệt và cung cấp dịch vụ riêng biệt cho từng Segment một.

Một số ví dụ điển hình bạn có thể biết như: Windows Filtering Platform trong hệ điều hành Windows hoặc Iptables trong hệ điều hành Linux.

Giải pháp này tiếp cận vấn đề theo cách chặn tất cả trừ những gì được cho phép. Với cách thức tiếp cận này, có thể biết đến Micro-Segmentation với cái tên host-based segmentation – phân đoạn trên máy chủ. Hay security segmentation – phân đoạn bảo mật.

Điểm mạnh của giải pháp này chính là sự chi tiết với các quy trình cụ thể. Để làm quen được, người dùng sẽ cần phải được đào tạo bài bản về các quy tắc và cách thực hiện Segment tại máy chủ.

Loại tổ chức nào nên sử dụng Segment?

Các tổ chức có sử dụng hình thức thanh toán trực tuyến

Đối với các doanh nghiệp sử dụng hình thức thanh toán online, họ cần phải đảm bảo được chính sách PCI DSS – Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán.

Điều này đồng nghĩa với việc doanh nghiệp, tổ chức phải tiến hành xử lý các thông tin về thẻ tín dụng của khách hàng sao cho an toàn nhất.

Các tổ chức chăm sóc sức khỏe

Ở các tổ chức chăm sóc sức khỏe cần phải tuân thủ theo các khuôn khổ an ninh một cách chặt chẽ. Điều này giúp cho quy trình chăm sóc sức khỏe bảo mật hợp lý và nhất quán. Nếu không sẽ có thể gây ảnh hưởng rất lớn đối với các bệnh nhân.

Kết luận

Trên đây là những kiến thức về Segment mà BKNS muốn gửi tới bạn. Hy vọng đến đây bạn đã hiểu được Segment là gì, các lợi ích và các cách phân loại Segment. 

Đọc thêm các kiến thức hữu ích khác tại BKNS.

Tham khảo các bài viết khác: 

DNS Là Gì? Chức Năng Và Các Loại DNS Server Phổ Biến

PTR Là Gì? Những Điều Cần Biết Và Dễ Hiểu Về PTR