為什么給網(wǎng)絡分段？網(wǎng)絡分段后的優(yōu)缺點是什么？網(wǎng)絡分段一般將ip地址按節(jié)點計算機所在網(wǎng)絡的規(guī)模的大小分為A類、B類、C類、D類和E類五類。網(wǎng)絡分段是經(jīng)過檢驗而可靠的網(wǎng)絡安全原則之一，在IT開始出現(xiàn)時，網(wǎng)絡分段就已經(jīng)存在。回顧20世紀70年代James Martin和Saltzer及Schroeder的作品，其中的最小特權(quán)和職責分離的概念讓企業(yè)限制用戶只能訪問有業(yè)務需求的系統(tǒng)。然而，在這種概念出現(xiàn)幾十年后，仍然有不計其數(shù)的事故涉及對系統(tǒng)的未經(jīng)授權(quán)訪問，而這些系統(tǒng)根本就不應該被訪問。

　　舉個例子，最近某國攻擊者入侵歐洲網(wǎng)絡，攻擊者使用了高權(quán)限訪問來竊取數(shù)據(jù)。如果通過網(wǎng)絡分段部署了正確的訪問限制，這些攻擊原本可以被阻止。

　　在本文中，我們將討論企業(yè)網(wǎng)絡分段的優(yōu)點和缺點，并提供部署網(wǎng)絡分段的最佳做法來減少各種網(wǎng)絡安全威脅帶來的風險。

　　網(wǎng)絡分段的好處

　　網(wǎng)絡分段是指網(wǎng)絡的分離或隔離(通常使用一個或多個防火墻)，適當?shù)木W(wǎng)絡分段可以帶來以下好處：

　　為關(guān)鍵服務器和應用提供強有力的保護

　　限制遠程工作人員到他們所需的網(wǎng)絡區(qū)域

　　簡化網(wǎng)絡管理，包括事件監(jiān)控和事件響應

　　面對永無止境的安全審計和來自業(yè)務伙伴及客戶的問卷調(diào)查，網(wǎng)絡分段可以最大限度地減小這方面的工作

　　雖然在理論上來說，這些優(yōu)點都很好，但網(wǎng)絡分段不只是“分段就完事了”，還有很多工作需要做。同時，企業(yè)還必須考慮網(wǎng)絡分段帶來的以下缺點和挑戰(zhàn)：

　　對于跨職能部門、外部供應商以及需要大量內(nèi)部網(wǎng)絡訪問的業(yè)務流程，按照他們的訪問水平進行分段幾乎是不可能的。

　　使用虛擬局域網(wǎng)(VLAN)進行分段(這是最常見的類型)似乎是一個好主意，但本地網(wǎng)絡的任何人只要知道IP尋址方案，他們都可以簡單地跳到新的網(wǎng)段，并且可以繞過網(wǎng)絡分段的訪問限制。

　　在執(zhí)行安全漏洞掃描時，網(wǎng)絡分段真的是非常麻煩。你將需要根據(jù)訪問控制列表或防火墻規(guī)則物理地或邏輯地將你的掃描儀在網(wǎng)段間移動，你可能還需要部署遠程掃描傳感器。

　　如果企業(yè)沒有使用端點安全控制(例如反惡意軟件、入侵防御和數(shù)據(jù)丟失防護)來應對每個網(wǎng)段內(nèi)的惡意活動(例如惡意軟件感染或內(nèi)部威脅)，他們?nèi)匀粚媾R很大的風險。

　　現(xiàn)在企業(yè)使用的很多面向互聯(lián)網(wǎng)的網(wǎng)絡基礎設施設備、服務器、web應用和云服務都必須在全球范圍內(nèi)提供可用性，企業(yè)可能會試圖拒絕壞流量進入網(wǎng)絡，但這正變得越來越難以實現(xiàn)。

　　高管不希望其計算體驗受到阻礙。

　　然而，網(wǎng)絡分段并不總是解決問題的辦法。并且，特定業(yè)務流程、合作伙伴網(wǎng)絡連接或缺乏網(wǎng)絡管理資源(金錢或技能)可能是更為優(yōu)先的考慮因素。在追求安全與便利性的平衡中，后者往往更加重要。不過，這些并不意味著你不應該部署網(wǎng)絡分段。

　　讓筆者深感有趣的是，很多企業(yè)(大型企業(yè)在內(nèi))部署了各種水平的網(wǎng)絡分段，而沒有完全了解其中的真正風險。要知道，你不能保護你不認識的東西。如果你沒有清楚認識這是什么以及風險何在，你將無法部署長期可行的有效的網(wǎng)絡分段。

　　當今的“全連接”網(wǎng)絡無疑有利于安全攻擊的執(zhí)行，而我們可以使用經(jīng)過驗證可靠的安全原則來預防這些攻擊。對于一切與安全有關(guān)的事物，并沒有放之四海而皆準的解決辦法;每個網(wǎng)絡都是不同的，每個企業(yè)都有獨特的需求，同時，每個部門的業(yè)務主管都有不同的信息風險容忍度。

　　那么，最適合你企業(yè)的是什么?這恐怕只有你自己知道。首先，防火墻規(guī)則、ACL和VLAN組合將能夠明確誰和哪些系統(tǒng)需要訪問你網(wǎng)絡的特定區(qū)域。其次，強大的滲透測試和持續(xù)的安全評估將幫助企業(yè)明確需要哪些額外的安全措施。你可能會發(fā)現(xiàn)，你需要額外的IPS傳感器、更強的文件訪問控制，或者甚至更專注于DLP控制。

　　在企業(yè)選擇了正確的工具和技術(shù)組合后，困難的工作開始了：真正開始執(zhí)行“理想的”網(wǎng)絡分段。當然，決定你是否需要部署網(wǎng)絡分段的業(yè)務驅(qū)動因素也將發(fā)揮一定作用。這可能包括已知風險、合規(guī)性(例如PCI DSS)或者合同要求，或者需要這個功能的特定業(yè)務流程。雖然企業(yè)可能永遠也達不到“理想狀態(tài)”，但重要的是你盡了一切努力來最大限度地減少網(wǎng)絡攻擊區(qū)域。

　　以上就是什么企業(yè)要對網(wǎng)絡進行分段的原因，面對企業(yè)現(xiàn)在要應對的網(wǎng)絡復雜性，盡量減小安全事故的影響與防止安全事故同樣重要。希望能幫到大家，謝謝閱讀。

最新評論