网络分段是经过检验而可靠的网络安全原则之一,在IT开始出现时,网络分段就已经存在。
回 顾20世纪70年代James Martin和Saltzer及Schroeder的作品,其中的最小特权和职责分离的概念让企业限制用户只能访问有业务需求的系统。然而,在这种概念出 现几十年后,仍然有不计其数的事故涉及对系统的未经授权访问,而这些系统根本就不应该被访问。
举个例子,最近某国攻击者入侵欧洲网络,攻击者使用了高权限访问来窃取数据。如果通过网络分段部署了正确的访问限制,这些攻击原本可以被阻止。
在本文中,我们将讨论企业网络分段的优点和缺点,并提供部署网络分段的最佳做法来减少各种网络安全威胁带来的风险。
网络分段的好处网络分段是指网络的分离或隔离(通常使用一个或多个防火墙),但在政府或军方,它可能意味着出于安全原因,物理隔离网络,断开网络与其他网络或互联网的连接。适当的网络分段可以带来以下好处:
• 为关键服务器和应用提供强有力的保护
• 限制远程工作人员到他们所需的网络区域
• 简化网络管理,包括事件监控和事件响应
• 面对永无止境的安全审计和来自业务伙伴及客户的问卷调查,网络分段可以最大限度地减小这方面的工作
虽然在理论上来说,这些优点都很好,但网络分段不只是“分段就完事了”,还有很多工作需要做。同时,企业还必须考虑网络分段带来的以下缺点和挑战:
• 对于跨职能部门、外部供应商以及需要大量内部网络访问的业务流程,按照他们的访问水平进行分段几乎是不可能的。
• 使用虚拟局域网(VLAN)进行分段(这是最常见的类型)似乎是一个好主意,但本地网络的任何人只要知道IP寻址方案,他们都可以简单地跳到新的网段,并且可以绕过网络分段的访问限制。
• 在执行安全漏洞扫描时,网络分段真的是非常麻烦。你将需要根据访问控制列表或防火墙规则物理地或逻辑地将你的扫描仪在网段间移动,你可能还需要部署远程扫描传感器。
• 如果企业没有使用端点安全控制(例如反恶意软件、入侵防御和数据丢失防护)来应对每个网段内的恶意活动(例如恶意软件感染或内部威胁),他们仍然将会面临很大的风险。
• 现在企业使用的很多面向互联网的网络基础设施设备、服务器、web应用和云服务都必须在全球范围内提供可用性,企业可能会试图拒绝坏流量进入网络,但这正变得越来越难以实现。
• 高管不希望其计算体验受到阻碍。
然而,网络分段并不总是解决问题的办法。并且,特定业务流程、合作伙伴网络连接或缺乏网络管理资源(金钱或技能)可能是更为优先的考虑因素。在追求安全与便利性的平衡中,后者往往更加重要。不过,这些并不意味着你不应该部署网络分段。
让笔者深感有趣的是,很多企业(大型企业在内)部署了各种水平的网络分段,而没有完全了解其中的真正风险。要知道,你不能保护你不认识的东西。如果你没有清楚认识这是什么以及风险何在,你将无法部署长期可行的有效的网络分段。
当今的“全连接”网络无疑有利于安全攻击的执行,而我们可以使用经过验证可靠的安全原则来预防这些攻击。对于一切与安全有关的事物,并没有放之四海而皆准的解决办法;每个网络都是不同的,每个企业都有独特的需求,同时,每个部门的业务主管都有不同的信息风险容忍度。
|