顧名思義,網(wǎng)絡(luò)分段是一種將網(wǎng)絡(luò)劃分為多個段或子網(wǎng)的方法。這使網(wǎng)絡(luò)管理員能夠控制網(wǎng)段之間的流量,提高性能并提高監(jiān)控能力。因此,網(wǎng)絡(luò)管理員可以通過防止未經(jīng)授權(quán)的訪問和本地化技術(shù)問題來創(chuàng)建安全的企業(yè)網(wǎng)絡(luò)。
網(wǎng)絡(luò)分段的定義
傳統(tǒng)網(wǎng)絡(luò)的特點是:
- 它們通常有一個堅不可摧的外殼,將外部世界與內(nèi)部企業(yè)網(wǎng)絡(luò)隔開。
- 他們假設(shè)網(wǎng)絡(luò)中的個人是可以信任的。
- 他們對內(nèi)部網(wǎng)絡(luò)幾乎沒有部署限制,因此如果攻擊者可以從外殼侵入,他們就可以訪問內(nèi)部企業(yè)網(wǎng)絡(luò)中的所有內(nèi)容。
然而,由于最近備受矚目的內(nèi)部泄密事件經(jīng)常浮出水面,因此有必要加強內(nèi)部網(wǎng)絡(luò)。這就產(chǎn)生了網(wǎng)絡(luò)分段的架構(gòu)概念。
網(wǎng)絡(luò)分段的工作原理
在更廣泛的網(wǎng)絡(luò)中,網(wǎng)絡(luò)分段建立了不同的、分離的部分,每個部分都有自己的一套安全標(biāo)準(zhǔn)和策略。具有相同信任級別的段或端點類別存儲在這些段中。
基于邊界的網(wǎng)絡(luò)分段
內(nèi)部和外部網(wǎng)段是通過基于信任的基于邊界的分段創(chuàng)建的:網(wǎng)段內(nèi)部的內(nèi)容可以信任,而外部的任何內(nèi)容都不是。因此,內(nèi)部資源幾乎沒有限制,因為它們通常在具有最小內(nèi)部網(wǎng)絡(luò)分段的平面網(wǎng)絡(luò)中運行。分段和過濾發(fā)生在預(yù)定的網(wǎng)絡(luò)節(jié)點。
網(wǎng)絡(luò)虛擬化
許多企業(yè)現(xiàn)在有許多網(wǎng)絡(luò)區(qū)域,這些網(wǎng)絡(luò)區(qū)域具有需要在多個網(wǎng)絡(luò)點進行分段的特定任務(wù)。此外,網(wǎng)絡(luò)的端點已經(jīng)擴展到包括各種端點類型,每種類型都有不同的信任級別。
結(jié)果,基于周長的分割不再足夠好。隨著云技術(shù)、BYOD 和移動設(shè)備的引入,邊界變得越來越模糊,沒有明確的分界線。為了獲得更高的安全性和網(wǎng)絡(luò)性能,我們現(xiàn)在需要額外的分段,進一步進入網(wǎng)絡(luò)。此外,當(dāng)今的東西向流量模式需要更大的網(wǎng)絡(luò)分段。網(wǎng)絡(luò)虛擬化在這里發(fā)揮作用,因為它將分段提升到了另一個層次。
VLAN 最初設(shè)計用于分隔廣播域和提高網(wǎng)絡(luò)性能。隨著時間的推移,VLAN 演變成一種安全機制,盡管這從來都不是本意。VLAN 的問題是沒有 VLAN 內(nèi)過濾,因此具有非常廣泛的訪問權(quán)限。
網(wǎng)絡(luò)分段功能
網(wǎng)絡(luò)分段具有以下特點和特點:
- 網(wǎng)絡(luò)分段部署零信任策略。零信任策略假定默認情況下沒有人值得信任,即使他們在內(nèi)部企業(yè)網(wǎng)絡(luò)中也是如此。
- 網(wǎng)絡(luò)分段策略創(chuàng)建第二道防線并加強安全性。
- 默認情況下,只有授權(quán)用戶可以訪問該網(wǎng)段,而其他人則被禁止訪問。
- 網(wǎng)段可以是應(yīng)用一組通用安全策略的網(wǎng)絡(luò)安全區(qū)域的一部分。
網(wǎng)絡(luò)分段是通過限制攻擊者繞過外圍訪問內(nèi)部數(shù)據(jù)的可能性來創(chuàng)建安全企業(yè)網(wǎng)絡(luò)的重要工具。
網(wǎng)絡(luò)分段的用例
網(wǎng)絡(luò)分段在業(yè)務(wù)和安全領(lǐng)域具有以下重要用例:
- 合規(guī)性:組織在開展業(yè)務(wù)時需要遵守監(jiān)管法律和標(biāo)準(zhǔn),例如健康保險流通與責(zé)任法案 (HIPAA) 和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)。網(wǎng)絡(luò)分段通過證明敏感數(shù)據(jù)得到安全處理以及對敏感數(shù)據(jù)的充分監(jiān)控到位,有助于輕松實現(xiàn)這一目標(biāo)。
- 勞動力流動性:您可以創(chuàng)建啟用虛擬專用網(wǎng)絡(luò) (VPN) 客戶端的網(wǎng)段,以允許員工在家工作。這有助于創(chuàng)建安全的移動員工隊伍并提高員工的工作效率。
- 物聯(lián)網(wǎng)設(shè)備的隔離:物聯(lián)網(wǎng) (IoT) 設(shè)備的安全與其他組織數(shù)據(jù)一樣重要。因此,您可以使用網(wǎng)絡(luò)分段來允許閉路電視 (CCTV) 攝像機等物聯(lián)網(wǎng)設(shè)備僅在其自己的網(wǎng)絡(luò)內(nèi)共享信息。
- 訪客網(wǎng)絡(luò):您可以使用網(wǎng)絡(luò)分段來創(chuàng)建受保護的訪客網(wǎng)絡(luò)并實時管理訪客活動。
- 員工:您可以為您的員工創(chuàng)建網(wǎng)段,使用他們自己的一套規(guī)則策略、過濾器和限制。
網(wǎng)絡(luò)分段的好處
網(wǎng)絡(luò)分段有很多好處。網(wǎng)絡(luò)分段的一個不可否認的好處是提高了安全性。網(wǎng)絡(luò)分段將系統(tǒng)和應(yīng)用程序彼此隔離。它創(chuàng)建一個網(wǎng)絡(luò)過濾器,限制網(wǎng)段之間的訪問并增強安全性。
網(wǎng)絡(luò)分段意味著更好的網(wǎng)絡(luò)遏制,可以減慢攻擊者的速度。當(dāng)攻擊者攻破一個網(wǎng)段時,他們也無法訪問所有其他網(wǎng)段。他們需要一些時間來突破每個網(wǎng)段之前的策略、過濾器、防火墻和障礙,從而減慢攻擊者的速度。可以肯定地說,成功攻擊造成的損害會減少,因為將攻擊傳播到其他部分需要時間。
攻擊不僅破壞性較小,而且您可以通過網(wǎng)絡(luò)分段提供的改進監(jiān)控更輕松地檢測到它們。網(wǎng)絡(luò)分段允許您增強日志記錄、監(jiān)視事件和連接并檢測可疑行為。有了這個,您可以注意到惡意活動的模式并進行適當(dāng)?shù)恼{(diào)整以防止可能的違規(guī)行為。
網(wǎng)絡(luò)分段提高了性能。您為每個網(wǎng)段創(chuàng)建更少的主機,從而最大限度地減少本地流量。您可以將廣播流量隔離到本地子網(wǎng),從而節(jié)省查找惡意事件所花費的時間和金錢。
管理員可以提高訪問控制能力并輕松實施最小權(quán)限策略 (PoLP) 原則。這是指何時為用戶提供執(zhí)行工作職能所需的最低級別的訪問權(quán)限。網(wǎng)絡(luò)分段允許用戶僅訪問特定的網(wǎng)絡(luò)資源并防止意外訪問,從而更好地控制您的網(wǎng)絡(luò)。隨著組織迅速采用最小權(quán)限策略,網(wǎng)絡(luò)分段正步入正軌。分段網(wǎng)絡(luò)限制對關(guān)鍵信息的訪問,加強最小特權(quán)策略。
