网络分段的工作原理、功能和好处

顾名思义,网络分段是一种将网络划分为多个段或子网的方法。这使网络管理员能够控制网段之间的流量,提高性能并提高监控能力。因此,网络管理员可以通过防止未经授权的访问和本地化技术问题来创建安全的企业网络。

网络分段的工作原理、功能和好处-南华中天

网络分段的定义

传统网络的特点是:

  • 它们通常有一个坚不可摧的外壳,将外部世界与内部企业网络隔开。
  • 他们假设网络中的个人是可以信任的。
  • 他们对内部网络几乎没有部署限制,因此如果攻击者可以从外壳侵入,他们就可以访问内部企业网络中的所有内容。

然而,由于最近备受瞩目的内部泄密事件经常浮出水面,因此有必要加强内部网络。这就产生了网络分段的架构概念。

网络分段的工作原理

在更广泛的网络中,网络分段建立了不同的、分离的部分,每个部分都有自己的一套安全标准和策略。具有相同信任级别的段或端点类别存储在这些段中。

基于边界的网络分段

内部和外部网段是通过基于信任的基于边界的分段创建的:网段内部的内容可以信任,而外部的任何内容都不是。因此,内部资源几乎没有限制,因为它们通常在具有最小内部网络分段的平面网络中运行。分段和过滤发生在预定的网络节点。

网络分段的工作原理、功能和好处-南华中天

网络虚拟化

许多企业现在有许多网络区域,这些网络区域具有需要在多个网络点进行分段的特定任务。此外,网络的端点已经扩展到包括各种端点类型,每种类型都有不同的信任级别。

结果,基于周长的分割不再足够好。随着云技术、BYOD 和移动设备的引入,边界变得越来越模糊,没有明确的分界线。为了获得更高的安全性和网络性能,我们现在需要额外的分段,进一步进入网络。此外,当今的东西向流量模式需要更大的网络分段。网络虚拟化在这里发挥作用,因为它将分段提升到了另一个层次。

VLAN 最初设计用于分隔广播域和提高网络性能。随着时间的推移,VLAN 演变成一种安全机制,尽管这从来都不是本意。VLAN 的问题是没有 VLAN 内过滤,因此具有非常广泛的访问权限。

网络分段功能

网络分段具有以下特点和特点:

  • 网络分段部署零信任策略。零信任策略假定默认情况下没有人值得信任,即使他们在内部企业网络中也是如此。
  • 网络分段策略创建第二道防线并加强安全性。
  • 默认情况下,只有授权用户可以访问该网段,而其他人则被禁止访问。
  • 网段可以是应用一组通用安全策略的网络安全区域的一部分。

网络分段是通过限制攻击者绕过外围访问内部数据的可能性来创建安全企业网络的重要工具。

网络分段的工作原理、功能和好处-南华中天

网络分段的用例

网络分段在业务和安全领域具有以下重要用例:

  • 合规性:组织在开展业务时需要遵守监管法律和标准,例如健康保险流通与责任法案 (HIPAA) 和支付卡行业数据安全标准 (PCI DSS)。网络分段通过证明敏感数据得到安全处理以及对敏感数据的充分监控到位,有助于轻松实现这一目标。
  • 劳动力流动性:您可以创建启用虚拟专用网络 (VPN) 客户端的网段,以允许员工在家工作。这有助于创建安全的移动员工队伍并提高员工的工作效率。
  • 物联网设备的隔离:物联网 (IoT) 设备的安全与其他组织数据一样重要。因此,您可以使用网络分段来允许闭路电视 (CCTV) 摄像机等物联网设备仅在其自己的网络内共享信息。
  • 访客网络:您可以使用网络分段来创建受保护的访客网络并实时管理访客活动。
  • 员工:您可以为您的员工创建网段,使用他们自己的一套规则策略、过滤器和限制。

网络分段的好处

网络分段有很多好处。网络分段的一个不可否认的好处是提高了安全性。网络分段将系统和应用程序彼此隔离。它创建一个网络过滤器,限制网段之间的访问并增强安全性。

网络分段意味着更好的网络遏制,可以减慢攻击者的速度。当攻击者攻破一个网段时,他们也无法访问所有其他网段。他们需要一些时间来突破每个网段之前的策略、过滤器、防火墙和障碍,从而减慢攻击者的速度。可以肯定地说,成功攻击造成的损害会减少,因为将攻击传播到其他部分需要时间。

攻击不仅破坏性较小,而且您可以通过网络分段提供的改进监控更轻松地检测到它们。网络分段允许您增强日志记录、监视事件和连接并检测可疑行为。有了这个,您可以注意到恶意活动的模式并进行适当的调整以防止可能的违规行为。

网络分段的工作原理、功能和好处-南华中天

网络分段提高了性能。您为每个网段创建更少的主机,从而最大限度地减少本地流量。您可以将广播流量隔离到本地子网,从而节省查找恶意事件所花费的时间和金钱。

管理员可以提高访问控制能力并轻松实施最小权限策略 (PoLP) 原则。这是指何时为用户提供执行工作职能所需的最低级别的访问权限。网络分段允许用户仅访问特定的网络资源并防止意外访问,从而更好地控制您的网络。随着组织迅速采用最小权限策略,网络分段正步入正轨。分段网络限制对关键信息的访问,加强最小特权策略。