قانون تنظیم مقررات عمومی محافظت از داده ها (GDPR) اتحادیه اروپا به روش های مختلفی روی کسب و کارها و سازمانها تأثیر گذاشته است ، و ما تعدادی از این موارد را در این مجموعه داستان در اینجا در سایت TechGenix ما پوشش داده ایم. در حالی که بخش اعظم پوشش ما بر تأثیر احتمالی GDPR بر شرکتهای آمریکای شمالی متمرکز شده است ، حتی همسایگان ما در سراسر آب در قاره اروپا شاهد تأثیرات این قانون از طرق مختلف هستند.
یکی از نمونه های جالب توجه. من اخیراً با آن روبرو شده ام که همکارم مارتین ارووالک است که در وین ، اتریش ساکن می شود و IT را برای یک شرکت دولتی در آنجا مدیریت می کند. مارتین تقریباً دو دهه در IT کار کرده است و پیش از این رئیس دسک تاپ و فعالیتهای فروشگاه برای یک شرکت در هامبورگ آلمان بود. هنگامی که مارتین به موقعیت جدید خود رسید ، با تعدادی از کارها روبرو شد که یکی از آنها اطمینان از تطابق شبکه رایانه ای آنها با الزامات GDPR و دیگری اطمینان از عملکرد صحیح شبکه آنها بود. مشکلی که وی در نگاه اول با آن روبرو بود جالب بود: شبکه این شرکت از دو شبکه جداگانه مستقر در مکانهای مختلف متصل از طریق اتصال سایت به سایت تشکیل شده بود ، اما آدرسهای IP هر دو شبکه از همان کلاس B اختصاص داده شده است. مجموعه آدرس. همانطور که در یک لحظه خواهیم دید ، این مسئله مشکلی را در مورد انطباق GDPR ایجاد کرده است. مارتین وظیفه یافتن راه حل را بر عهده داشت ، و این معلوم شد که یک فناوری شبکه قدیمی ، اما سعی شده و واقعی به نام VLAN را پیاده سازی می کند ، که مخفف شبکه LAN مجازی یا شبکه محلی مجازی و استفاده از این فناوری برای تقسیم شبکه شرکت است. [19659002مناخیراًبامارتینمبادلهنامهالکترونیکیداشتمتادرموردچالشهاییکهویدرجریانپروژهمهاجرتشبکهایباویروبروبودونحوهاستفادهویازVLANبرایساختنراهحلمناسبکهویاکنوندرحالاجرایاستاستفادهکندمنداستاناورادراینجابهاشتراکمیگذارمتاخوانندگانیکهباچالشهایمشابهیروبروهستندبتوانندازراهنماییهایلازمبرخوردارشوندازآنجاکهشرکتهاهموارهیکدیگررابایکدیگرادغاممیکنندوبهدستمیآورند،بنابراینشماهرگزنمیدانیدچهزمانیممکناستبهعنوانیکمتخصصITباچالشیازاینماهیتروبروشویدلطفاًتوجهداشتهباشیدکهازآنجاکهانگلیسیزباناولمارتیننیست،منمجبورشدمتاپاسخهایاوراتاحدودیویرایشکنمتاروشنشوم
Shutterstock
MITCH: سلام مارتین ، من می دانم که شما در حال کار در انتقال شبکه هستید پروژه ای از نوعی که سعی در جدا کردن یک شبکه کلاس B واحد دارد. انگیزه انجام این چالش چیست؟
MARTIN: دلیل آن دو برابر است. ابتدا اجرای 50 سرور و 150 مشتری در یک شبکه به معنای سر و صدای اساسی زیادی به دلیل ماهیت TCP / IP است زیرا تمام پخش های Layer 2 به کل شبکه پخش می شود. همچنین ، از دیدگاه امنیتی ، کلیه کلاینت ها و سرورهای موجود در همان منطقه امنیتی کاملاً سهل انگار هستند. روندهای جدید در شبکه در راستای "اعتماد به هیچ کس" نیست و حتی در شرکت های دولتی که من کار می کنم ، که یک شرکت بسیار محافظه کار است ، اولین برنامه های ابری در جایی ظاهر می شوند که ما دقیقاً نمی دانیم آنها چه کاری انجام می دهند. مشتری. این یک افزایش ریسک امنیتی است که ما باید آن را کنترل کنیم!
MITCH: بنابراین شرکت شما دو سایت دارد (بیایید آنها را A و B بنامیم) اما آدرس دهی در هر دو شبکه از همان شبکه کلاس B اختصاص داده شده است؟
مارتین: دقیقاً ، از آنجا که ترافیک بین سایت ها در حال عبور از فیبر تیره است که در مناطق عمومی رمزگذاری نشده است ، مسئله بزرگی است. و GDPR نیاز به رمزگذاری در کلیه ترافیکها دارد که خصوصیات خود را رها می کند.
MITCH: بنابراین شما برای انجام این مهاجرت از چه نوع استراتژی یا فرایندی استفاده می کنید؟
MARTIN: رویکرد ما بسیار ساده است . ما در هر دو سایت یک جفت فایروال در دسترس داریم که در داخل شبکه کلاس B موجود ما وجود دارد. با در دسترس بودن بالا ، منظور من این است که در هر دو سایت دو فایروال وجود دارد که به طور جداگانه در سوئیچ های هسته اصلی کار می کنند (به معنی 4 NIC در هر فایروال) در یک پیکربندی فعال و غیرفعال. فایروال زائد هر زمان که ضربان قلب بین آنها از بین نرود ، لگد می زند.
سپس یک دسته از VLAN ها را از دو طرف اضافه می کنیم و مشتری های موجود را از شبکه فعلی خود در این VLAN های جدید منتقل می کنیم. در آن مقطع زمانی ، ما هیچ محدودیتی در فایروال بین این VLAN های جدید اضافه نمی کنیم ، ما فقط خانه را تمیز می کنیم و همه چیز را در مقصد مناسب VLAN قرار می دهیم.
به محض اتمام آن مرحله ، ما گزینه را تغییر می دهیم. ارتباطات سایت به سایت ، که در حال حاضر شفاف است ، به یک اتصال IPsec برای ایمن سازی آن خط.
سخت ترین قسمت بعدی خواهد بود: شروع تنظیمات فایروال برای بستن ارتباطات مجاز فقط به آنچه که کاملاً ضروری است. من انتظار دارم که آخرین قسمت طولانی ترین باشد ، شاید ماه ها طول بکشد.
MITCH: چرا در انتهای لینک سایت شما به سایت از فایروال ها استفاده می کنید. ؟
مارتین: خوب ، ایده اصلی این است که من دو سایت از طریق یک تونل IPsec متصل خواهم کرد و می خواهم شبکه خود را از دو طرف تقسیم کنم. ارزش افزوده استفاده از فایروال در مقایسه با روتر این است که من می توانم به راحتی ترافیک بین بخشی را مدیریت کنم ، به عنوان مثال با اجازه دادن به تمام رایانه های شخصی از همه چاپگرها در همه بخش ها ، اما هیچ اتصال PC-PC با کامپیوتر ندارم. یا مسدود کردن ترافیک مستقیم مشتری به یک بانک اطلاعاتی ، زیرا کاربران از برنامه های در حال اجرا روی سرور استفاده می کنند. به عبارت دیگر ، ایده محدود کردن ترافیک خاص به یک بخش شبکه است. به عنوان مثال ، اگر ransomware بازدید کرد ، به عنوان مثال فقط یک بخش تحت تأثیر مسدود شدن ترافیک سگمنت به بخش قرار می گیرد.
MITCH: بنابراین پس از انتقال همه میزبان ها به VLAN ، شما می توانید سایت ها را از طریق IPsec وصل کنید. اتصال؟
MARTIN: خیر ، پیوند IPsec حتی قبل از شروع تقسیم بندی پیوند برقرار شده است. به عنوان مثال ، اخیراً اولین بخش خود را با یک دفتر جدید تأسیس کردیم و اکنون در حال یادگیری آنچه برای بخشهای بعدی باید در نظر بگیریم هستیم. من امیدوارم که تا پایان سال به 50 درصد رسیده باشد.
MITCH: آیا مشکلات دیگری وجود دارد که انتظار دارید در طول مسیر با آن روبرو شوید؟
MARTIN: انتظار جالب زیادی دارم اکتشافات به دلیل اینکه مستندات ما بسته به اینکه چه کسی آن را حفظ کرده است ، از نظر کیفیت متفاوت است. موارد زیادی مانند کنترلرهای A / C ، دستگاه های امنیتی ، سیستم های قفل و غیره وجود دارند که توسط IT حفظ نمی شوند. ما فقط یک آدرس IP ارائه داده ایم و یک قانون فایروال خارجی را اضافه می کنیم. اما من انتظار ندارم چیزی بتواند جلوی پروژه ما را بگیرد. این فقط ممکن است تأخیرها و تلاشهای اضافی را اضافه کند.
MITCH: چه توصیه ای به مدیرانی که شبکه را با یک نوع مشابه از چالش مهاجرت شبکه روبرو می کنند ، پیشنهاد می کنید؟ این نوع طراحی شبکه دیگر است ، آن هم در دهه 1980! توصیه من این است که با شخصی که در زمینه طراحی شبکه تجربه ای دارد تماس برقرار کرده و به آنها اجازه دهید تا طرح جدید را بسازند. به محض اینکه طرح مورد نظر خود را تهیه کردید ، برنامه ریزی برای مهاجرت آسان است. در حقیقت ، اگر نیازی به افزایش امنیت ما به عنوان بخشی از پروژه خود نداشتم ، احتمالاً می توانستم تنها با استفاده از سخت افزار فعلی خود ، همه کارها را انجام دهم ، بنابراین اغلب نیازی به سرمایه گذاری در سخت افزار جدید برای چیزی شبیه به این نیست. بنابراین ، تأثیر مالی فقط استخدام یک طراح شبکه خوب است.
MITCH: با تشکر ، مارتین ، که وقت خود را برای پاسخ به تمام سوالات من سپاس گذارید! و موفق باشید با اتمام مهاجرت!
MARTIN: شما به شما خوش آمدگویی و سپاسگزاریم.
تصویر برجسته: Pixabay
بازدید بازدید کنندگان:
34
بعدی را بخوانید
