Strategies for network segmentation : a systematic literature review

Abstract

Organisaatioiden tietovarantoja säilötään yhä enenevissä määrin digitaalisesti ja tietoverkkovälitteisesti. Näin ollen organisaatioiden tulisi yhtä lailla kiinnittää huomiota tietoverkkojensa rakenteeseen ja turvallisuuteen muiden turvallisuusjärjestelyjen lisäksi. Tietoverkkojen tietoturvaa edistäviä turvallisuusmekanismeja on olemassa useita. Eräs mekanismeista on tietoverkon segmentointi, jolla tarkoitetaan tietoverkon jakamista arkkitehtuurillisesti pienempiin ja toisistaan eristettyihin aliverkkoihin eli segmentteihin, joiden välistä liikennettä kontrolloidaan. Samaan periaatteeseen pohjautuva ja hieman uudempi lähestymistapa on mikrosegmentointi, joka vie segmentoinnin hienojakoisemmalle tasolle. Mikrosegmentoinnissa segmenttikohtaisia turvallisuusperiaatteita sovelletaan segmenttitasolla lähempänä suojeltavaa resurssia. Segmentoinnin yleisenä tavoitteena on minimoida hyökkääjän lateraalisen liikkumisen mahdollisuuksia eristämällä suojeltavat kohteet toisistaan erillään oleviin segmentteihin. Tässä tutkimuksessa syvennytään systemaattisen kirjallisuuskatsauksen kautta tietoverkkojen segmentointiin tarkastelemalla, miten aihetta on käsitelty tutkimuskirjallisuudessa. Kaiken kaikkiaan tutkimuksen tarkasteluun päätyi 29 julkaisua, joita analysoitiin teemapainotteisesti. Tarkasteluun on sisällytetty tämänhetkisiä segmentoinnin lähestymistapoja, teknisiä ratkaisuja sekä turvallisuusnäkökohtia mukaan lukien segmentoinnin hyötyjä ja haittoja. Tutkimuksen tuloksena tunnistettiin tietoverkon segmentointiprosessiin liittyviä, asiaankuuluvia organisatorisia attribuutteja, kuten toteutuksen kustannukset, suorituskyky, ylläpidettävyys, suojattavuus, hienojakoisuus, koko ja dynaamisuus. Toinen havaittu trendi liittyy automaatiotyökalujen soveltamiseen segmentointiprosessissa. Lopuksi systemaattisen kirjallisuuskatsauksen tulosten pohjalta esitetään käytännön suosituksia, jotka pohjautuvat kolmivaiheiseen tietoverkon segmentointiprosessiin.

Organizational information assets are increasingly being stored digitally over information networks. Therefore, organizations should pay equal attention to the design and security of their networks in addition to other security arrangements. There are several security mechanisms that contribute to the computer network security. One of which is network segmentation that involves breaking up the network into architecturally smaller subnetworks called segments, between which traffic is controlled. Another and more recent mechanism based on the same principle is micro-segmentation, which takes segmentation into fine-grained level where granular segments have their own segment-level security policies closer to the protectable resources. General objective of network segmentation is to minimize adversary’s potential for lateral movement by isolating protectable resources into segments separated from each other. This study delves deeper into network segmentation by examining through systematic literature review how the topic has been dealt in the research literature. Overall 29 publications were reviewed and analyzed on a thematic-driven basis. Current segmentation approaches and technical solutions including their benefits and drawbacks are included in the review. As a result, relevant organizational attributes related to segmentation process were identified such as costs, performance, manageability, protectability, granularity, size and dynamism. Another observed trend was related to utilization of automation tools in network segmentation. Finally, based on the results of the systematic literature review, the study concludes with practical recommendations based on a three-phased network segmentation process.