網(wǎng)絡(luò)分段的優(yōu)缺點及最佳做法

申請免費試用、咨詢電話：400-8352-114

回顧20世紀70年代James Martin和Saltzer及Schroeder的作品，其中的最小特權(quán)和職責(zé)分離的概念讓企業(yè)限制用戶只能訪問有業(yè)務(wù)需求的系統(tǒng)。然而，在這種概念出現(xiàn)幾十年后，仍然有不計其數(shù)的事故涉及對系統(tǒng)的未經(jīng)授權(quán)訪問，而這些系統(tǒng)根本就不應(yīng)該被訪問。舉個例子，最近某國攻擊者入侵歐洲網(wǎng)絡(luò)，攻擊者使用了高權(quán)限訪問來竊取數(shù)據(jù)。如果通過網(wǎng)絡(luò)分段部署了正確的訪問限制，這些攻擊原本可以被阻止。

在本文中，我們將討論企業(yè)網(wǎng)絡(luò)分段的優(yōu)點和缺點，并提供部署網(wǎng)絡(luò)分段的最佳做法來減少各種網(wǎng)絡(luò)安全威脅帶來的風(fēng)險。

網(wǎng)絡(luò)分段的好處

網(wǎng)絡(luò)分段是指網(wǎng)絡(luò)的分離或隔離(通常使用一個或多個防火墻)，但在政府或軍方，它可能意味著出于安全原因，物理隔離網(wǎng)絡(luò)，斷開網(wǎng)絡(luò)與其他網(wǎng)絡(luò)或互聯(lián)網(wǎng)的連接。適當?shù)木W(wǎng)絡(luò)分段可以帶來以下好處：

• 為關(guān)鍵服務(wù)器和應(yīng)用提供強有力的保護

• 限制遠程工作人員到他們所需的網(wǎng)絡(luò)區(qū)域

• 簡化網(wǎng)絡(luò)管理，包括事件監(jiān)控和事件響應(yīng)

• 面對永無止境的安全審計和來自業(yè)務(wù)伙伴及客戶的問卷調(diào)查，網(wǎng)絡(luò)分段可以最大限度地減小這方面的工作

雖然在理論上來說，這些優(yōu)點都很好，但網(wǎng)絡(luò)分段不只是“分段就完事了”，還有很多工作需要做。同時，企業(yè)還必須考慮網(wǎng)絡(luò)分段帶來的以下缺點和挑戰(zhàn)：

• 對于跨職能部門、外部供應(yīng)商以及需要大量內(nèi)部網(wǎng)絡(luò)訪問的業(yè)務(wù)流程，按照他們的訪問水平進行分段幾乎是不可能的。

• 使用虛擬局域網(wǎng)(VLAN)進行分段(這是最常見的類型)似乎是一個好主意，但本地網(wǎng)絡(luò)的任何人只要知道IP尋址方案，他們都可以簡單地跳到新的網(wǎng)段，并且可以繞過網(wǎng)絡(luò)分段的訪問限制。

• 在執(zhí)行安全漏洞掃描時，網(wǎng)絡(luò)分段真的是非常麻煩。你將需要根據(jù)訪問控制列表或防火墻規(guī)則物理地或邏輯地將你的掃描儀在網(wǎng)段間移動，你可能還需要部署遠程掃描傳感器。

• 如果企業(yè)沒有使用端點安全控制(例如反惡意軟件、入侵防御和數(shù)據(jù)丟失防護)來應(yīng)對每個網(wǎng)段內(nèi)的惡意活動(例如惡意軟件感染或內(nèi)部威脅)，他們?nèi)匀粚媾R很大的風(fēng)險。

• 現(xiàn)在企業(yè)使用的很多面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備、服務(wù)器、web應(yīng)用和云服務(wù)都必須在全球范圍內(nèi)提供可用性，企業(yè)可能會試圖拒絕壞流量進入網(wǎng)絡(luò)，但這正變得越來越難以實現(xiàn)。

• 高管不希望其計算體驗受到阻礙。

然而，網(wǎng)絡(luò)分段并不總是解決問題的辦法。并且，特定業(yè)務(wù)流程、合作伙伴網(wǎng)絡(luò)連接或缺乏網(wǎng)絡(luò)管理資源(金錢或技能)可能是更為優(yōu)先的考慮因素。在追求安全與便利性的平衡中，后者往往更加重要。不過，這些并不意味著你不應(yīng)該部署網(wǎng)絡(luò)分段。

讓筆者深感有趣的是，很多企業(yè)(大型企業(yè)在內(nèi))部署了各種水平的網(wǎng)絡(luò)分段，而沒有完全了解其中的真正風(fēng)險。要知道，你不能保護你不認識的東西。如果你沒有清楚認識這是什么以及風(fēng)險何在，你將無法部署長期可行的有效的網(wǎng)絡(luò)分段。

當今的“全連接”網(wǎng)絡(luò)無疑有利于安全攻擊的執(zhí)行，而我們可以使用經(jīng)過驗證可靠的安全原則來預(yù)防這些攻擊。對于一切與安全有關(guān)的事物，并沒有放之四海而皆準的解決辦法;每個網(wǎng)絡(luò)都是不同的，每個企業(yè)都有獨特的需求，同時，每個部門的業(yè)務(wù)主管都有不同的信息風(fēng)險容忍度。

那么，最適合你企業(yè)的是什么?這恐怕只有你自己知道。首先，防火墻規(guī)則、ACL和VLAN組合將能夠明確誰和哪些系統(tǒng)需要訪問你網(wǎng)絡(luò)的特定區(qū)域。其次，強大的滲透測試和持續(xù)的安全評估將幫助企業(yè)明確需要哪些額外的安全措施。你可能會發(fā)現(xiàn)，你需要額外的IPS傳感器、更強的文件訪問控制，或者甚至更專注于DLP控制。

在企業(yè)選擇了正確的工具和技術(shù)組合后，困難的工作開始了：真正開始執(zhí)行“理想的”網(wǎng)絡(luò)分段。當然，決定你是否需要部署網(wǎng)絡(luò)分段的業(yè)務(wù)驅(qū)動因素也將發(fā)揮一定作用。這可能包括已知風(fēng)險、合規(guī)性(例如PCI DSS)或者合同要求，或者需要這個功能的特定業(yè)務(wù)流程。雖然企業(yè)可能永遠也達不到“理想狀態(tài)”，但重要的是你盡了一切努力來最大限度地減少網(wǎng)絡(luò)攻擊區(qū)域。

面對企業(yè)現(xiàn)在要應(yīng)對的網(wǎng)絡(luò)復(fù)雜性，盡量減小安全事故的影響與防止安全事故同樣重要。歸根結(jié)底，政策和文化將決定企業(yè)應(yīng)該采用怎樣的網(wǎng)絡(luò)分段，你的企業(yè)只要接受就行了。