تقسیمبندی یا بخشبندی (Segmentation)، شبکهی کامپیوتری را به بخشهای کوچکتر تقسیم میکند. هدف آن بهبود عملکرد و امنیت شبکه است. اصطلاحات دیگری که معمولاً به همین معناست عبارتند از:
تفکیک شبکه (network segregation)
قسمتبندی شبکه (network partitioning)
جداسازی شبکه (network isolation)
تقسیمبندی چطور کار میکند؟
تقسیمبندی از طریق کنترل این موضوع کار میکند که ترافیک (traffic) چطور در بین بخشها (partrs) جریان مییابد. شما میتوانید انتخاب کنید که رسیدن کل ترافیک یک بخش را به بخش دیگر متوقف کنید، یا میتوانید جریان را بر مبنای نوع ترافیک، مبدأ (source)، مقصد (destination) و بسیاری گزینههای دیگر محدود سازید. نحوهی تصمیمگیری شما برای بخشبندی شبکهتان، خطمشی تقسیمبندی (segmentation policy) نامیده میشود.
نمونهای از تقسیمبندی کدام است؟
یک بانک بزرگ دارای چندین شعبه را در نظر بگیرید. خطمشی امنیتی این بانک، کارکنان شعبه را از دسترسی به سیستم گزارشگیری مالی (financial reporting system) آن بانک محدود میکند. تقسیمبندی شبکه میتواند با ممانعت از رسیدن کل ترافیک شعبه به سیستم مالی، سیاست های امنیتی را اعمال کند. و با کاهش ترافیک کلی شبکه، سیستم مالی برای تحلیلگران مالیای که از آن استفاده میکنند بهتر عمل خواهد کرد.
چه چیز خطمشی تقسیمبندی را تقویت میکند؟
بعضی از تکنولوژیهای قدیمی برای تقسیمبندی شامل فایروالهای داخلی (internal firewalls)، پیکربندیهای فهرست کنترل دسترسی (Access Control List یا ACL) و شبکهی محلی مجازی (Virtual Local Area Network یا VLAN) در تجهیزات شبکه بودند. اما، این رویکردها گرانقیمت و سخت هستند.
امروزه تکنولوژی دسترسی نرمافزار-محور، تقسیمبندی را از طریق گروهبندی (grouping) و برچسبگذاری (tagging) ترافیک شبکه تسهیل میکند. سپس از برچسبهای ترافیک برای اعمال مستقیم سیاست های تقسیمبندی بر تجهیزات شبکه استفاده میکند، و پیچیدگی رویکردهای قدیمی را ندارد.
ریز تقسیمبندی (microsegmentation) چیست؟
ریزتقسیمبندی، از اطلاعات بسیار بیشتری در خطمشیهای تقسیمبندی استفاده میکند، مانند اطلاعات لایهی کاربرد (application-layer information). این امر سبب میشود تا خطمشیها دقیقتر و انعطافپذیرتر شوند و نیازهای بسیار خاص یک سازمان یا برنامهی تجاری را برآورده نمایند.
مزایای تقسیمبندی شبکه
بهبود بخشیدن کارآیی عملیاتی
تقسیمبندی سبب کاهش ازدحام شبکه (network congestion) میشود. به عنوان مثال، میتوانیم تجهیزات پزشکی یک بیمارستان را از شبکهی بازدیدکنندهی آن جدا کنیم تا تجهیزات پزشکی تحت تأثیر مرور وب قرار نگیرند.
محدود کردن آسیب حملات سایبری
تقسیمبندی، با محدود کردن میزان گسترش حمله سبب بهبود امنیت سایبری میشود. به عنوان مثال، تقسیمبندی، انتشار بدافزار را در یک بخش نگه میدارد تا از تحت تأثیر قرار گرفتن سیستمهای بخش دیگر ممانعت کند.
محافظت کردن از دستگاههای آسیبپذیر
تقسیمبندی میتواند مانع از رسیدن ترافیک مضر به تجهیزاتی شود که قادر نیستند از خودشان در برابر حملات حفاظت کنند. به عنوان مثال، ممکن است پمپهای تزریق متصل در یک بیمارستان با دفاع امنیتی پیشرفتهای طراحی نشده باشند. تقسیمبندی شبکه میتواند مانع از رسیدن ترافیک مضر اینترنت به آنها شود.
کاهش دادن محدودهی پایبندی (scope of compliance)
بخشبندی، با محدود کردن تعداد سیستمهای درون محدوده سبب کاهش هزینههای مرتبط با رعایت مقررات میشود. به عنوان مثال، تقسیمبندی، سیستمهایی که پرداختها را پردازش میکنند از سیستمهایی که این کار را انجام نمیدهند جدا میکند. از این طریق، الزامات پایبندی گرانقیمت و فرآیندهای حسابرسی فقط برای سیستمهای درون محدوده اعمال میشود، و برای کل شبکه اعمال نخواهد شد.
