在本文中,我们将讨论网络分段,包括它是什么、为什么重要以及实施稳健的网络分段策略的好处。此外,我们将通过查看以下网络分段最佳实践来帮助您提高整个网络的安全性:
- 遵循最小特权
- 限制第三方访问
- 审核和监控您的网络
- 使合法路径比非法路径更容易访问
- 合并相似的网络资源
- 不要过度细分
- 可视化您的网络
什么是网络分段?
那么网络分段是什么意思呢?网络分段(也称为网络分区或网络隔离)是将计算机网络划分为多个子网以提高性能和安全性的做法。通过将网络隔离(或分割)成独立的包含部分,网络分割有效地防止了单点故障,并使未经授权的用户难以破坏整个网络。
例如,如果不良行为者获得了对您网络的访问权限,他们将尝试在网络中移动以访问和利用敏感数据。如果您有一个扁平网络(一种所有系统都连接而无需通过诸如网桥或路由器之类的中间设备的架构),那么不良行为者通过一个接入点获得对整个系统的访问权相对容易。虽然扁平网络提供快速可靠的连接,但系统之间的这种横向访问使它们在当今复杂的现代互连组织中尤其容易受到攻击。
但是,当网络被分段时,恶意流量将无法立即访问整个生态系统。攻击者将只能访问他们破坏的初始部分,从而让 IT 有时间定位漏洞并将入侵的影响降至最低。
网络分段的好处
根据IBM 的一份报告,数据泄露成本从 386 万美元上升到 424 万美元——这是 17 年来最高的平均总成本。这些不断上涨的成本——以及远程工作的扩展——已将网络安全作为组织在 2021 年的首要任务。对于希望保护复杂网络的组织而言,网络分段已成为一项关键策略。并且有充分的理由。
那么网络分段有什么好处呢?一些包括:
- 加强安全。网络分段通过创建防止横向网络攻击的多层攻击面来最大限度地降低安全风险。因此,即使攻击者突破了您的第一道防线,他们也会被包含在他们访问的网段内。
- 改进的网络监控。将您的网络划分为有组织的部分可以更轻松地隔离事件并快速识别威胁。
- 提高运营绩效。根据需要将流量限制在特定区域。这减少了任何给定子网中的主机和用户数量,从而减少了拥塞并全面提高了性能。
- 缩小合规范围。分段允许您将受监管的数据与其他系统分开,从而更轻松地管理合规性并通过有针对性的方法应用策略。
网段示例
有几种方法可以分割您的网络。通常,分段是通过防火墙、虚拟局域网 (VLAN) 和软件定义网络 (SDN)的组合来完成的。
- VLAN 分段:网络通常使用 VLAN 或子网进行分段。VLAN 创建了虚拟连接主机的较小网段。子网使用 IP 地址对网络进行分段,由网络设备连接。尽管这些方法有效地分割了网络,但它们通常需要全面的重新架构,并且维护起来可能很复杂。
- 防火墙分段:防火墙是强制分段的另一种方法。防火墙部署在网络内部以创建将功能区域彼此分隔的内部区域。
- SDN 分段:更现代的分段方法应用 SDN 自动网络覆盖。这种方法的一个挑战是成功的微分段所需的复杂程度。
7个网络分段和隔离的最佳实践
1、遵循最低权限
在对网络进行分段时,重要的是根据实际需要尽量减少在系统内和跨系统访问的人员和内容。换句话说,并不是每个人都需要访问网络的每个部分。
通过遵循最小特权和基于角色的访问原则,您可以限制主机、服务、用户和网络访问超出其直接责任范围的数据和功能。这加强了您的整体网络安全状况,同时也使监控和跟踪整个网络的流量变得更加容易。
2、限制第三方访问
同样,限制第三方访问您的网络以尽量减少可利用的入口点也很重要。第三方远程访问风险仍然是组织的一个关键漏洞。事实上,最近的一份报告发现,44% 的组织在过去 12 个月内经历了违规行为,其中 74% 的人表示这是由于向第三方提供了过多特权访问的结果。
Ponemon Institute 主席兼创始人 Larry Ponemon 博士说:“在没有实施适当的安全保护措施的情况下向第三方提供远程访问几乎可以保证安全事件和涉及敏感和机密信息的数据泄露。” “组织必须评估有权访问其网络的第三方的安全和隐私实践,并确保他们有足够的访问权限来履行其指定的职责,仅此而已。”一种方法是为需要访问您的网络以提供服务的第三方创建隔离门户。这使他们的访问权限仅限于您网络中必要的那些区域。
3、审核和监控您的网络
分割您的网络只是强大的分割策略的第一步。下一步是持续监控和审核您的网络,以确保架构安全并识别子网中可能被利用的漏洞。监控您的网络,以便您可以快速识别和隔离流量或安全问题。然后进行定期审计以发现架构弱点。
随着您的业务不断发展壮大,这一点尤为重要;随着您的业务发生变化,您的网络架构可能不再满足您的需求。定期审核可以帮助您评估何时何地需要调整网络分段设计以获得最佳性能和安全性。
4、使合法路径比非法路径更容易访问
在评估和规划您的架构设计时,请注意您如何绘制访问权限以及用户将采用哪些路径连接到您的网络。虽然为您的用户创建安全访问点很重要,但请注意不良行为者可能会如何尝试非法访问这些相同的子网。
例如,假设您在供应商和他们需要访问的数据之间设置了防火墙,但其中只有一些防火墙能够阻止不良行为者。如果是这种情况,您将需要重新考虑您的架构。设计您的网络,使合法路径比非法路径更容易导航,以增强您的安全性。
5、合并相似的网络资源
通过将类似的网络资源组合到单独的数据库中来节省时间并减少安全开销。当您查看您的网络时,请按类型和敏感程度对数据进行分类。通过这种方式对网络进行分段,您可以快速应用安全策略,同时更有效地保护数据。
6、不要过度细分
Gartner 指出,组织在对其网络进行分段时最常犯的错误之一是过度分段或创建太多区域。分段过多会增加不必要的复杂性,并使整个网络更难管理。
请记住,您必须创建策略来定义每对区域之间的访问权限。因此,您创建的区域越多,您需要管理的策略就越多。过度分段可以迅速扩大您的安全管理范围,使其成本高昂且效率低下。可以这样想:当你想对类似的网络资源进行分组时,请注意“在停车场周围建立围栏,而不是在每辆车周围设置围栏和大门”。
7、可视化您的网络
为了设计有效且安全的网络架构,您首先需要了解您的用户是谁、哪些组件构成了您的网络,以及所有系统如何相互关联。换句话说,如果没有清楚地了解你当前的状态,就很难计划和实现你想要的状态。使用网络图可视化您的网络,以鸟瞰所有移动部件并确定谁需要访问哪些数据,以便您可以成功地映射您的网络。