網絡分片是自IT興起以來就有的一種經過檢驗且可靠的網絡安全原則。

早在上世紀70年代，James Martin、Saltzer和Schroeder研究提出的最小權限 和職責分離等概念讓企業懂得了只能給用戶提供業務所需要的系統訪問權限，而不提供在此范圍之外的權限。但是，在幾十年的時間里，有無數的安全事件都是因為一些人獲得了本不應該獲得的未授權系統訪問權限。

顯然這里出現了問題。例如，最近出現了來自中國的攻擊入侵歐洲網絡的事件，黑客攻破了網絡，并使用高訪問權限盜取數據。這些可能受到制止的攻擊獲取了正常訪問該網絡分片的權限。

在本文中，我們將介紹企業網絡分片的優點及缺點，重點介紹一些應用網絡分片的最佳實踐方法，它們可以降低現代無數網絡安全威脅所造成的風險。

網絡分片的優點

網絡分片的定義是指對網絡進行分割或隔離——通常采用一個或多個防火墻，但是在政府或軍事網絡中，出于安全原因的考慮，這可能意味著要在物理上隔離不同的網絡，使它們無法連接其他網絡或互聯網。正確的網絡分片有以下作用：

• 以需知的方式給關鍵服務器和應用程序提供強有力的保護

• 將遠程工作者隔離在他們有必要訪問的網絡區域

• 簡化網絡管理，其中包括事件監控和意外響應

• 減少由業務合作伙伴和客戶不斷發起的安全突擊審計與調查所付出的人力

雖然這些優點在理論上是非常好的，但是這個任務遠遠不僅僅是“分片和執行”這么簡單。各個組織都必須考慮下面這些網絡分片的缺點與挑戰：

• 對于跨職能部署而言，對于需要各種內部網絡訪問的外部供應商和業務流程而言，這些層次的分片訪問可能是無法實現的。

• 使用虛擬局域網(VLAN)來執行分片的方式(最常見的方式)咋一看很不錯，但是只要知道IP尋址方式，局域網中的任何人都可以繞過某個網絡分片預先確定的訪問權限限制，直接跳到一個新網段。

• 網絡分片是安全漏洞掃描的一個真實痛點。我們需要通過訪問控制列表/防火墻規則在物理或邏輯上將掃描程序從一個分片移到另一個分片。此外，我們可能還需要同時部署遠程掃描傳感器。

• 如果企業不使用終端安全控制程序(如反病毒軟件、入侵防御和防止數據丟失)來處理每一個網絡分片中的惡意行為(如病毒感染或內部威脅)，那么他們仍然會面臨巨大的風險。

• 現代企業所使用的無數面對互聯網的網絡基礎架構設備、服務器、Web應用程序和云服務必須面向公眾開放——組織可以嘗試隔離惡意流量，但是這是很難實現的。

• 執行主管不希望自己的計算體驗受到周期性影響。

然而，網絡分片可能并不總是最佳解決方法。特定的業務流程、合作伙伴網絡連接或缺少網絡管理資源(例如，資金或技術)等都可能造成更嚴重的問題。甚至，在追求安全性與方便性的平衡過程中，后者往往占據優先地位。但是，這些都不意味著我們應該放棄給網絡劃分正確的分片。

讓我感興趣的是許多組織(包括一些大型企業)在還沒有完全理解網絡分片的真實風險之前，就已經實現了各種級別的網絡分片。如果不懂一項技術，那么我們就不可能保證它的安全性。如果還沒有清晰理解它所處的狀態及其風險，那么從長遠角度看，我們是不可能實現一種一直保持有效的網絡分片。

毫無疑問，現代的“全面互聯”網絡肯定會加劇安全漏洞的暴露，但是它們可以通過一些行之有效的安全原則來避免。雖然所有方面都要考慮安全性，但是并沒有一種方法能夠解決所有問題;每一個網絡都存在差異，每一個業務都有其特殊需求，而且每一個業務執行團隊的信息風險容忍力也各不相同。

那么，什么才是最適合自身企業的?答案只有我們自己知道。混合使用防火墻規則、ACL和VLAN技術，才能規定什么人和系統需要訪問特定區域的網絡。此外， 執行一個強有力的滲透測試并持續評估安全性，將幫助組織發現所需要的額外措施。我們很可能最終會發現需要額外的IPS傳感器、更嚴格的文件訪問控制或者必須重要關注于DLP控制。

當組織混合使用這些工具和技術之后，馬上會遇到一個更困難的工作：真正去實現“理想的”網絡分片。當然，決定是否應用網絡分片的業務動因也會開始起作用。這可能包括一些已知風險、合規性(例如：PCI DSS)或合同需求及需要這個功能的特定業務流程。雖然一些公司可能從未達到他們的“理想狀態”，但是最重要的是我們必須盡可能地減少任意用戶能接觸到的網絡攻擊區域。

由于現代企業網絡非常復雜，減少網絡漏洞影響重要性及合理性絲毫不亞于在第一線防止漏洞出現。最后，政治與文化也決定了應該部署何種網絡分片技術，企業必須能夠適應這個問題。