網路分段優缺點及最佳做法

網路分段是經過檢驗而可靠的網路安全原則之一，在IT開始出現時，網路分段就已經存在。


網路分段優缺點及最佳做法


回顧20世紀70年代James Martin和Saltzer及Schroeder的作品，其中的最小特權和職責分離的概念讓企業限制使用者只能訪問有業務需求的系統。然而，在這種概念出現幾十年後，仍然有不計其數的事故涉及對系統的未經授權訪問，而這些系統根本就不應該被訪問。


舉個例子，最近某國攻擊者入侵歐洲網路，攻擊者使用了高許可權訪問來竊取資料。如果透過網路分段部署了正確的訪問限制，這些攻擊原本可以被阻止。


在本文中，我們將討論企業網路分段的優點和缺點，並提供部署網路分段的最佳做法來減少各種網路安全威脅帶來的風險。


網路分段的好處


網路分段是指網路的分離或隔離(通常使用一個或多個防火牆)，但在政府或軍方，它可能意味著出於安全原因，物理隔離網路，斷開網路與其他網路或網際網路的連線。適當的網路分段可以帶來以下好處：


? 為關鍵伺服器和應用提供強有力的保護


? 限制遠端工作人員到他們所需的網路區域


? 簡化網路管理，包括事件監控和事件響應


? 面對永無止境的安全審計和來自業務夥伴及客戶的問卷調查，網路分段可以最大限度地減小這方面的工作


雖然在理論上來說，這些優點都很好，但網路分段不只是“分段就完事了”，，還有很多工作需要做。同時，企業還必須考慮網路分段帶來的以下缺點和挑戰：


? 對於跨職能部門、外部供應商以及需要大量內部網路訪問的業務流程，按照他們的訪問水平進行分段幾乎是不可能的。


? 使用虛擬區域網(VLAN)進行分段(這是最常見的型別)似乎是一個好主意，但本地網路的任何人只要知道IP定址方案，他們都可以簡單地跳到新的網段，並且可以繞過網路分段的訪問限制。


? 在執行安全漏洞掃描時，網路分段真的是非常麻煩。你將需要根據訪問控制列表或防火牆規則物理地或邏輯地將你的掃描器在網段間移動，你可能還需要部署遠端掃描感測器。


? 如果企業沒有使用端點安全控制(例如反惡意軟體、入侵防禦和資料丟失防護)來應對每個網段內的惡意活動(例如惡意軟體感染或內部威脅)，他們仍然將會面臨很大的風險。


? 現在企業使用的很多面向網際網路的網路基礎設施裝置、伺服器、web應用和雲服務都必須在全球範圍內提供可用性，企業可能會試圖拒絕壞流量進入網路，但這正變得越來越難以實現。


? 高管不希望其計算體驗受到阻礙。


然而，網路分段並不總是解決問題的辦法。並且，特定業務流程、合作伙伴網路連線或缺乏網路管理資源(金錢或技能)可能是更為優先的考慮因素。在追求安全與便利性的平衡中，後者往往更加重要。不過，這些並不意味著你不應該部署網路分段。


讓筆者深感有趣的是，很多企業(大型企業在內)部署了各種水平的網路分段，而沒有完全瞭解其中的真正風險。要知道，你不能保護你不認識的東西。如果你沒有清楚認識這是什麼以及風險何在，你將無法部署長期可行的有效的網路分段。


當今的“全連線”網路無疑有利於安全攻擊的執行，而我們可以使用經過驗證可靠的安全原則來預防這些攻擊。對於一切與安全有關的事物，並沒有放之四海而皆準的解決辦法;每個網路都是不同的，每個企業都有獨特的需求，同時，每個部門的業務主管都有不同的資訊風險容忍度。


那麼，最適合你企業的是什麼?這恐怕只有你自己知道。首先，防火牆規則、ACL和VLAN組合將能夠明確誰和哪些系統需要訪問你網路的特定區域。其次，強大的滲透測試和持續的安全評估將幫助企業明確需要哪些額外的安全措施。你可能會發現，你需要額外的IPS感測器、更強的檔案訪問控制，或者甚至更專注於DLP控制。


在企業選擇了正確的工具和技術組合後，困難的工作開始了：真正開始執行“理想的”網路分段。當然，決定你是否需要部署網路分段的業務驅動因素也將發揮一定作用。這可能包括已知風險、合規性(例如PCI DSS)或者合同要求，或者需要這個功能的特定業務流程。雖然企業可能永遠也達不到“理想狀態”，但重要的是你盡了一切努力來最大限度地減少網路攻擊區域。


面對企業現在要應對的網路複雜性，儘量減小安全事故的影響與防止安全事故同樣重要。歸根結底，政策和文化將決定企業應該採用怎樣的網路分段，你的企業只要接受就行了。