Netværkssegmentering

Netværkssegmentering opdeler et netværk i isolerede zoner, så en angriber, der kompromitterer ét segment, ikke automatisk kan bevæge sig frit til andre dele af netværket. Det er en central defence-in-depth-foranstaltning, der reducerer eksplosionsradiusen ved et angreb markant.

Tilbage til ordbog

Hvorfor netværkssegmentering?

Et fladt, usegmenteret netværk giver en angriber, der har kompromitteret ét system, fri bevægelighed til alle andre systemer på netværket (lateral movement). Ransomware udnytter netop dette til at sprede sig hurtigt og kryptere alle tilgængelige ressourcer.

Netværkssegmentering begrænser denne bevægelighed ved at etablere kontrollerede grænser, hvor trafik skal passere og verificeres. Det reducerer angrebsfladen og minimerer skadesomfanget ved et brud.

VLAN og fysisk segmentering

VLAN (Virtual Local Area Network) er den mest udbredte segmenteringsteknik. Det opdeler et fysisk netværk i logiske netværkssegmenter, hvor trafik mellem segmenter styres af routere og firewalls. Typiske segmenter inkluderer: brugernetværk, servernetværk, gæstenetværk, IoT/OT-netværk og management-netværk.

DMZ

En DMZ (Demilitarized Zone) er et netværkssegment, der huser internetvendte tjenester (webservere, e-mailservere, VPN-koncentratorer). DMZ'en er isoleret fra det interne netværk, så et kompromitteret internetvendt system ikke direkte kan angribe interne ressourcer.

Segmentér efter risiko og kritikalitet: Den mest effektive segmenteringsstrategi baseres på dataklassificering og systemkritikalitet. Systemer med følsomme data eller kritiske funktioner isoleres i separate segmenter med strammere adgangsregler.

Mikrosegmentering

Mikrosegmentering er en mere granulær tilgang, der typisk implementeres i cloud- og virtualiseringsmiljøer. I stedet for at stole på netværksgrænser styres trafik på enkelt-applikations- eller enkelt-arbejdsbyrde-niveau. Det er en central komponent i Zero Trust-arkitektur og fungerer sammen med logning og adgangskontrol for at give omfattende beskyttelse.

Ofte stillede spørgsmål om netværkssegmentering

Hvad er netværkssegmentering?

Netværkssegmentering er praksis med at opdele et netværk i isolerede zoner eller segmenter for at begrænse en angribers mulighed for at bevæge sig lateralt og reducere eksplosionsradiusen ved et sikkerhedsbrud.

Hvad er et VLAN?

Et VLAN (Virtual Local Area Network) opdeler et fysisk netværk i logiske segmenter. Trafik mellem VLAN'er styres af routere og firewalls, hvilket muliggør segmentering uden separat fysisk infrastruktur.

Hvad er en DMZ?

En DMZ (Demilitarized Zone) er et netværkssegment, der huser internetvendte tjenester, isoleret fra det interne netværk, så et kompromitteret offentligt system ikke direkte kan nå interne ressourcer.

Hvad er mikrosegmentering?

Mikrosegmentering er en granulær segmenteringstilgang, der styrer trafik på enkelt-applikations- eller arbejdsbyrde-niveau, typisk i cloud- og virtualiseringsmiljøer. Det er en central komponent i Zero Trust-arkitektur.

Hvorfor er netværkssegmentering vigtig for compliance?

Netværkssegmentering refereres i ISO 27001, NIS2 og CIS Controls som en central sikkerhedsforanstaltning. Den begrænser spredningen af angreb, beskytter følsomme data og understøtter princippet om mindste privilegium på netværksniveau.