北京看白癜风医院哪个比较好 https://wapjbk.39.net/yiyuanzaixian/bjzkbdfyy/bdf/每个运行内部系统,无论是物理的还是虚拟的,以支持企业网络安全需求的人都必须意识到自己的责任。在保护数据方面,网络分段是无可替代的。
随着设计变得越来越复杂,分段也变得越来越重要。仅依赖软件即服务(SaaS)或不使用IT服务的企业是唯一不需要网络隔离的企业。在详细了解如何分段计算机网络之前,首先得定义网络分段是什么。
网络分段是什么,以及如何工作?
网络分段是一种网络安全方法,其将网络划分为更小的、独立的子网。其允许网络团队为每个子网划分安全控制和服务。在网络分段中,一个物理网络被细分为多个逻辑网络。然后,一旦每个网络组件被分解为更小、更易于管理的单元,就会向其添加控件。
网络分段是如何工作的?
如果想在更大的网络中构建各种不同的网络,那么网络分段非常好。相同级别的信任可以保护这些分段中特定类别的应用或端点。网络分段可以通过多种方式实现:1.基于边界的分段基于边界的分段根据网络边界的可信度将网络划分为可信部分和不可信部分。其结果是一个内部网络分段程度较低的扁平网络,对内部资源几乎没有限制。固定网络点用于过滤和分段。网络性能最初旨在通过虚拟局域网(VLAN)来提高,随着时间的推移,虚拟局域网逐渐发展成为安全工具,但从未打算使用。由于VLAN缺乏VLAN内过滤,因此可以提供更广泛的网络访问。防火墙是保护网络边界的标准方法。如果想要管理南北移动的网络流量,但仍允许网段之间进行通信,那么这是正确的工具。2.网络虚拟化现在有许多企业拥有一系列网络区域,需要在不同的网络点进行分段。此外,网络必须处理的端点类型和信任级别的数量也有所增加。因此,基于边界的分段不再足够。由于这些技术,云、自带设备(BYOD)和移动之间没有明确的边界点。如果能进一步深入到具有更大分段的网络中,安全性和性能将会得到提高。由于当今东西向的流量模式,甚至需要更多的网络分段。通过网络虚拟化,可以将分段使用到下一个级别。网络虚拟化以其最简单的形式,提供独立于物理基础设施的网络和安全服务。网络虚拟化是促进有效网络分段的重要因素,因为其使整个网络的分段成为可能,而不仅仅是在边界。
网络分段示例:
子网或子网分段是一种通过将大型网络划分为较小的子网或网络来预防安全漏洞的措施。网络分段旨在限制子网之间的通信,以减少对设备、数据和应用的非法访问。因此,实施网络分段对于零信任至关重要,因为其减少了网络内横向移动的机会。分段网络上的每个子网都充当虚拟局域网(VLAN)。子网可以通过安全策略互连,安全策略指定允许哪些用户、服务和设备互连。最无价的资产将受到最严格的安全措施的保护。
网络分段示例:
使用内部防火墙作为网络分段示例是实现此目的的一种方法。网络专家可以将防火墙两侧的两个网络划分为子网。例如,在数据通过防火墙到达网络的另一端之前,可以在第一子网环境中检查数据是否存在有害代码。当涉及到路由数据时,网络分段也是一个非常宝贵的工具。工程师可以限制通过特定网段发送的数据类型,以提高安全性,或减少对网络硬件造成压力或消耗额外资源的流量。其他网络分段示例包括,已获得网络访问权限的人员尝试在网络中移动以访问和利用敏感数据。如果网络是平坦的(没有网桥或路由器等中间设备),攻击者可以通过单个入口点轻松访问整个系统。对于当今复杂的现代互联企业而言,扁平网络由于系统之间的横向访问而特别容易受到攻击。另一方面,如果网络被分段,恶意流量将无法快速访问整个生态系统。因此,攻击者将被限制在其最初渗透的区域,从而给IT部门时间来检测漏洞并减轻其影响。
网络分段策略
网络分段有助于企业在采用零信任安全策略的同时,最大限度地降低网络安全风险。此外,网络分段造成了零信任网络障碍。长期以来,只有网络边界可以得到保护。使用这些步骤,可以成功地对企业的网络进行分段。1.确定有价值的信息和资产组织的数据和资产的价值并不完全相同。为了保持系统的平稳运行,一些系统,如客户数据库,是必要的。打印机是一种有用的工具,但对企业的运营并不重要。2.对每个资产的分类应用标签在为这些资产分配标签时,应考虑敏感性(即公众受到严格限制)和资产所包含的数据类型。此外,遵守支付卡行业数据安全标准(PCIDSS)等要求有助于制定划分策略。.绘制网络数据流图通过将网络划分为离散的部分,网络分段有助于增强网络安全性。一旦攻击者建立了立足点,将很难在网络中横向移动。4.识别和分类资产子组在网络环境中,某些资产具有相似的功能并且经常进行通信。因此,如果这些系统彼此隔离,就不可能维持正常运行,因为必须有一些例外情况。5.为分段部署网关确定划分边界至关重要,但如果不坚持这些边界,组织将不会获得什么优势。因此,需要安装网段网关,对每个网段实施访问控制。6.创建访问控制策略根据分段,可能允许资产之间的无限流量。另一方面,网段间的通信必须受到网段网关的监控,并遵守访问控制策略。如果考虑最小特权原则,应用分段应该只拥有履行其职责所需的权限。7.确保定期审计和审查在定义微分段、部署分段网关以及制定和实施访问控制策略后,网络分段已接近完成。然而,网络分段策略的定义并不是一次性的工作。8.自动化对于大型网络来说,定义网络分段策略可能是一项重大任务。手动执行所有这些任务可能是完全不可能的。
网络分段的类型
1.网络分段通过VLAN或子网对网络进行分段早已成为标准做法。可以通过创建虚拟局域网(VLAN)来创建更小的网段,虚拟局域网将所有主机虚拟地相互连接。子网使用IP地址将网络划分为更小的部分,这些部分可以在网络设备的帮助下互连。因此,这些方法可以提高网络性能,并防止攻击传播到单个VLAN或子网之外。这类方法面临两大障碍。网络经常被重新架构以满足分段要求。第二个问题是难以编写和管理驻留在网络设备上的成千上万条ACL规则来建立子网。2.防火墙分段
可以使用防火墙代替网络来确保分段。例如,可以通过部署防火墙将内部网络或数据中心划分为不同的功能区,使其相互隔离。这可以防止攻击传播到其他功能区域。这方面的一个例子是将工程应用与金融应用分开。例如,PCI数据就是需要保护的敏感区域的典型示例。.使用SDN进行分段SDN依靠与网络物理硬件隔离的集中控制器来提供更高的网络自动化和可编程性。例如,SDN网络覆盖实现可用于构建策略,通过一组分布式防火墙过滤数据包以实现分段。当应用不适合网络边界时,成功的微分段所需的高复杂性就成为一个问题。因此,SDN侧重于网络策略,而不是其他技术所解决的工作负载和应用程序流的安全可见性。4.微分段
可以在不使用子网或防火墙的情况下在计算机网络中实现分段,但这不是唯一的选择。每个数据中心或云工作负载操作系统都有一个本机状态防火墙,例如Linux的IP表或Windows的Windows过滤平台。所有流量,除了被允许的,都会被此策略阻止。安全分段是微分段的别称,也称为基于主机的分段。通过使用主机遥测数据,云和本地环境和应用可以被隔离。此外,地图可用于创建自动分段方法。策略使用标签,而不是IP地址或防火墙规则。在流程级别控制分段的能力是一个额外的优势。此外,借助微分段安全性,数据中心可以在逻辑上划分为各个工作负载级别,然后针对每个分段进行定义和提供安全控制和服务。
网络分段的好处
1.更好的网络性能当进行更多检查时,可以更轻松地监控网络分段并检测可疑活动。此外,高级监控可以揭示问题的根源和范围。管理人员可以通过密切
