網絡分段優缺點及最佳做法
網絡分段是經過檢驗而可靠的網絡安全原則之一,在IT開始出現時,網絡分段就已經存在。
回顧20世紀70年代James Martin和Saltzer及Schroeder的作品,其中的最小特權和職責分離的概念讓企業限制用戶只能訪問有業務需求的系統。然而,在這種概念出現幾十年后,仍然有不計其數的事故涉及對系統的未經授權訪問,而這些系統根本就不應該被訪問。
舉個例子,最近某國攻擊者入侵歐洲網絡,攻擊者使用了高權限訪問來竊取數據。如果通過網絡分段部署了正確的訪問限制,這些攻擊原本可以被阻止。
在本文中,我們將討論企業網絡分段的優點和缺點,并提供部署網絡分段的最佳做法來減少各種網絡安全威脅帶來的風險。
網絡分段的好處
網絡分段是指網絡的分離或隔離(通常使用一個或多個防火墻),但在政府或軍方,它可能意味著出于安全原因,物理隔離網絡,斷開網絡與其他網絡或互聯網的連接。適當的網絡分段可以帶來以下好處:
• 為關鍵服務器和應用提供強有力的保護
• 限制遠程工作人員到他們所需的網絡區域
• 簡化網絡管理,包括事件監控和事件響應
• 面對永無止境的安全審計和來自業務伙伴及客戶的問卷調查,網絡分段可以最大限度地減小這方面的工作
雖然在理論上來說,這些優點都很好,但網絡分段不只是“分段就完事了”,還有很多工作需要做。同時,企業還必須考慮網絡分段帶來的以下缺點和挑戰:
• 對于跨職能部門、外部供應商以及需要大量內部網絡訪問的業務流程,按照他們的訪問水平進行分段幾乎是不可能的。
• 使用虛擬局域網(VLAN)進行分段(這是最常見的類型)似乎是一個好主意,但本地網絡的任何人只要知道IP尋址方案,他們都可以簡單地跳到新的網段,并且可以繞過網絡分段的訪問限制。
• 在執行安全漏洞掃描時,網絡分段真的是非常麻煩。你將需要根據訪問控制列表或防火墻規則物理地或邏輯地將你的掃描儀在網段間移動,你可能還需要部署遠程掃描傳感器。
• 如果企業沒有使用端點安全控制(例如反惡意軟件、入侵防御和數據丟失防護)來應對每個網段內的惡意活動(例如惡意軟件感染或內部威脅),他們仍然將會面臨很大的風險。
• 現在企業使用的很多面向互聯網的網絡基礎設施設備、服務器、web應用和云服務都必須在全球范圍內提供可用性,企業可能會試圖拒絕壞流量進入網絡,但這正變得越來越難以實現。
• 高管不希望其計算體驗受到阻礙。
然而,網絡分段并不總是解決問題的辦法。并且,特定業務流程、合作伙伴網絡連接或缺乏網絡管理資源(金錢或技能)可能是更為優先的考慮因素。在追求安全與便利性的平衡中,后者往往更加重要。不過,這些并不意味著你不應該部署網絡分段。
讓筆者深感有趣的是,很多企業(大型企業在內)部署了各種水平的網絡分段,而沒有完全了解其中的真正風險。要知道,你不能保護你不認識的東西。如果你沒有清楚認識這是什么以及風險何在,你將無法部署長期可行的有效的網絡分段。
當今的“全連接”網絡無疑有利于安全攻擊的執行,而我們可以使用經過驗證可靠的安全原則來預防這些攻擊。對于一切與安全有關的事物,并沒有放之四海而皆準的解決辦法;每個網絡都是不同的,每個企業都有獨特的需求,同時,每個部門的業務主管都有不同的信息風險容忍度。
那么,最適合你企業的是什么?這恐怕只有你自己知道。首先,防火墻規則、ACL和VLAN組合將能夠明確誰和哪些系統需要訪問你網絡的特定區域。其次,強大的滲透測試和持續的安全評估將幫助企業明確需要哪些額外的安全措施。你可能會發現,你需要額外的IPS傳感器、更強的文件訪問控制,或者甚至更專注于DLP控制。
在企業選擇了正確的工具和技術組合后,困難的工作開始了:真正開始執行“理想的”網絡分段。當然,決定你是否需要部署網絡分段的業務驅動因素也將發揮一定作用。這可能包括已知風險、合規性(例如PCI DSS)或者合同要求,或者需要這個功能的特定業務流程。雖然企業可能永遠也達不到“理想狀態”,但重要的是你盡了一切努力來最大限度地減少網絡攻擊區域。
面對企業現在要應對的網絡復雜性,盡量減小安全事故的影響與防止安全事故同樣重要。歸根結底,政策和文化將決定企業應該采用怎樣的網絡分段,你的企業只要接受就行了。
