После того как параметры систем оценены в соответствии с выбранными критериями, настало время разработать механизмы, обеспечивающие группировку этих систем в зоны безопасности. В случае с публичными системами все достаточно просто: создаются администраторские учетные записи и ограничивается Internet-доступ к служебным сервисам. Крайне важно следить за тем, чтобы из Internet нельзя было установить соединение с дополнительными или не нужными в работе портами.
Основываясь на выбранных характеристиках, необходимо выяснить, какие системы будут защищаться (в первую очередь) внешним межсетевым экраном, какие — зависеть от локальных механизмов разграничения доступа, а для каких систем требуется установить дополнительные средства защиты. Начните с составления примерной схемы, отображающей службы (и использующиеся порты) и сетевые соединения (взаимосвязи) этих служб с прочими системами и пользователями. Учитывайте особенности установки сеанса соединения (о чем говорилось ранее). В результате вы получите схему, на основе которой можно начать разработку правил экранирования и конкретных настроек для систем IDS и механизмов протоколирования. Все это необходимо для контроля над риском, определения и прогнозирования уровня потенциальной угрозы. После того как у вас появился набросок логических соединений, можно приступить к группировке систем для последующего размещения в разных сегментах сети. С этой целью достаточно выявить группы систем с похожими характеристиками. Поместив систему в сегмент, не забудьте скорректировать схему соединений.
Часто случается так, что системы, схожие по требованиям к безопасности, не могут быть помещены в один сегмент. В этом случае, как дополнительную защиту, рекомендуется применять технологии локальных IDS и специальные настройки ОС. Если же видно, что решить проблему так просто не удастся, лучше создать для этих проблемных систем отдельный сегмент со своими требованиями к обеспечению безопасности. В любом случае затраты на создание такого сегмента вряд ли превысят потери в случае удачной атаки хакера.
