無邊界網路的劃分建立

隨著雲平臺和移動網際網路的發展，傳統的網路邊界逐漸被打破，企業與外部合作伙伴建立可信連線變得愈來愈重要，需要遠端訪問公司網路的供應商越來越多，於是對這些外部特權訪問會話的管理、監視和保護工作就成為了熱點問題。

那麼，如何打造任何人都可隨時隨地通過任意裝置安全、可靠、無縫地連線到任意資源的無邊界網路環境呢？

多年來，企業一直在討論如何有效改善整體安全狀況的策略——劃分無邊界網路。雖然這被廣泛認為是一種最有效的方法，但在當今不斷髮展的動態環境網路邊界之中，細化實施、擴充套件和管理十分具有挑戰性。新連線裝置的組合、不斷變化的業務模式、滿足訪客的需要、監管的要求以及不斷變化的威脅可能使其成為一項複雜的任務。此外，使用者需要一種能夠覆蓋學校、資料中心和雲環境的一套整體管控方法以完成任何端到端的“網路-端點”連線。否則，使用者終將面臨多種導致使用複雜性增加的劃分策略，它們還可能對系統安全和使用者體驗造成負面影響。

但是，不應讓這個問題阻礙網路的發展與進步。正如汽車大王亨利福特所說：如果你能把做的事情化整為零，就沒有什麼事會特別困難。亨利福特不僅改造了工業生產力，還推動工業革命的發展，他本人的方法論也被沿用至今。

秉承著化整為零的精神，本文將如何成功劃分網路邊界的步驟分為六步。無論是企業內運維員工，或是即將制定無邊界網路劃分計劃的專案組，亦或是正在考慮使用第三方諮詢服務的組織機構，以下內容對成功劃分無邊界網路均具有至關重要的作用。

設定目標並制定明確的計劃是成功實現細分的最佳途徑。為完成計劃，需要考慮以下關鍵問題：

劃分計劃需考慮哪些業務流程和安全驅動因素？
通過哪些標準對已有資產進行分類？
哪些資產對企業業務流程至關重要？
企業業務流程進行中常見的威脅有哪些？
如何利用技術和流程來應對這些威脅？
技術實施計劃中是否包含安全要素？
企業首要業務優先事項是什麼？它們如何與當前的企業安全計劃保持一致？
企業的痛點是什麼？

上述資訊有助於通過了解業務目標和驅動因素、關鍵業務資產、已知風險以及對當前企業安全狀況來全面地明晰並制定高階策略。這反過來也可以幫助確定如何降低安全風險和制定技術規劃的後續步驟及優先順序。

通過與關鍵利益相關方的密切合作，企業現在可以定義資產集並根據業務的影響、風險、功能和監管要求對其進行分類。此分類用於定義安全控制功能，並通過明確定義的標準幫助設定優先順序。例如，如果醫院將放射學裝置視為關鍵資產，則應識別這些裝置並將其與同類裝置分組。保險行業可能會認為所有業務服務都具有同等重要性並將它們組合在一起，但公司服務的重要性可能會因實際創收情況或合規性的影響而有所不同。

本步驟需在第二步驗證工作內容：為確保沒有遺漏，需要了解實際流量和裝置情況。此過程包括：流量型別（南北流量和東西流量，即server-client流量和server-server流量）；收集流量的所有物理和虛擬裝置；收集資料的位置（WAN邊界、接入層、雲）；用於監控、分析和報告資訊的最佳資料來源和分析平臺。企業使用正確的工具和流程可幫助識別要劃分的實際裝置，或使用其他劃分策略。這使企業可以發現未知的裝置和流量模式，它對於瞭解實際環境中發生情況並及時調整計劃的實施時間、方式和來源都至關重要。

功能劃分解決方案主要分為兩個方面：詳細的技術設計和深思熟慮的細分策略。

技術設計應由組織的優先順序、技術能力和運營影響驅動。目標是開發部署劃分策略所需的一組特定裝置、設計並配置，使其按預期執行。這些設計用作部署藍圖，通常包括有關路由器/交換機的基礎架構、網路架構、IP地址範圍/子網、策略實施解決方案、具有動態訪問控制列表的交換機以及其他分段技術的詳細資訊。

劃分策略應與組織的業務目標相統一，並在整個組織內保持一致。優秀的劃分策略平衡了簡單性和粒度，將裝置按通常理解的、不可能變化的功能特徵分段放置，這對組織具有重要意義。

例如，醫院可以從一般系統組開始，比如醫院管理、實驗室、藥房和生物醫學的系統組。這種更高階別的方法提高了安全性，同時最小化了複雜性和操作影響。後期階段可以提供更細粒度的劃分策略，且對整體業務影響較小。按功能對類似裝置進行分組也有幫助。無需為每個品牌的MRI（核磁共振）裝置建立單獨的片段，與之相反的是將所有MRI裝置與其他成像裝置一起放在相同區段中。

通過詳細的技術設計和細分策略，可以根據第一步中開發的原始業務目標來稽核最終部署模型。所有關鍵利益相關者都應納入稽核和籤核，因為這是無邊界網路劃分過程中的最後一點，在部署開始之前進行重大調整。彙集所有關鍵業務、IT資源和安全領導，確認設計滿足功能和技術業務目標，以便實施能夠順利發展。

正確的執法方法可以確保組織的政策具有動態性，並維持劃分計劃的可持續性。一種提供企業範圍內跨校園、資料中心和雲的網路流量資料視覺化的解決方案，它可通過多種方式向企業提供幫助。首先，網路流量資料可以與使用者和實體行為分析（UEBA）以及機器學習結合使用，以便為網路和連線的裝置建立基線。通過比較從流資料派生的觀察到的網路行為來定義策略，解決方案可以確認部署的策略是否按預期強制執行。該步驟加速了審計過程，並保證劃分策略可有效減少攻擊面積和企業安全風險。

網路劃分是每個組織都必將歷經的旅程。無論企業內部是否存在員工能夠推動劃分專案的程式，或企業正在考慮啟用第三方諮詢服務，本文中討論的六個步驟都能為企業提供成功的道路。

更重要的是，通過實施劃分無邊界網路的計劃可以很快獲得額外效益，除了通過限制網路入侵者進入時的橫向移動來保護關鍵資產。可見性和劃分技術都可以幫助加強組織整體的安全運營。與安全運營中心整合後，企業安全團隊將能夠使用這些工具生成的資料來更快地檢測和響應漏洞，並最終縮短停頓時間。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31559985/viewspace-2637078/，如需轉載，請註明出處，否則將追究法律責任。