網絡分段使組織能夠降低網絡安全風險，并作為定義零信任安全策略的重要第一步。網絡分段創建了零信任安全策略可以強制執行訪問控制的網絡邊界。過去，許多組織僅在網絡外圍定義安全邊界。以下步驟概述了如何在公司網絡中實施有效的分段。以下是來自CheckPoint的有關網絡分段的最佳實踐，供大家參考!

1. 識別有價值的數據和資產

并非組織內的所有數據和資產都具有同等價值。某些系統，例如客戶數據庫，對于維持正常操作可能是必不可少的。其他的，如打印機，對企業的運作很有用，但并不重要。

為資產分配重要性和價值級別是網絡分割的重要第一步。這些標簽稍后將用于定義網絡內的各種信任區域。

2. 為每個資產分配分類標簽

除了資產的價值，考慮它們所包含的數據的敏感性也很重要。持有非常敏感數據的資產，例如客戶信息、研發數據等，可能需要額外的保護以符合數據保護法規或公司安全政策。

這些標簽應考慮數據的敏感性(即公開到高度受限)和資產包含的數據類型。這有助于定義符合適用法規的分段策略，例如支付卡行業數據安全標準 (PCI DSS)。

3. 跨網絡映射數據流

網絡分段通過將網絡分成獨立的段來幫助提高網絡安全性。這使得攻擊者在獲得初始立足點后更難在網絡中橫向移動。

但是，有許多合法的數據流需要被允許。應映射網絡上所有系統的所有數據流，包括：

• 北向流量：北向流量正在離開公司網絡，例如員工從連接到公司網絡的托管設備訪問 saleforce.com。
• 東西流量：東西流量在網絡外圍內的系統之間移動，例如數據中心網絡中的前端網絡服務器和后端數據庫服務器。
• 南向流量：南向流量包括進入網段或區域的數據，例如客戶或員工訪問位于DMZ 網絡或公司內部網中的本地 Web 服務器。

4. 定義資產組

組織網絡中的某些資產用于類似目的并定期通信。將這些系統彼此分開是沒有意義的，因為需要許多例外來維持正常的功能。

在定義資產組時，重要的是要考慮這種相似的功能和企業網絡上各種資產的敏感性。任何用于類似目的和類似敏感度級別的資產都應歸為一個部分，與具有不同信任級別或功能的其他資產分開。

5. 部署分段網關

定義段邊界很重要，但如果不強制執行這些邊界，則對組織沒有任何好處。對每個網段實施訪問控制需要部署網段網關。

要強制分段邊界，所有進出該分段的網絡流量都必須通過網關。因此，一個組織可能需要多個網關來實現有效的分段。這些要求有助于決定是選擇硬件防火墻還是虛擬防火墻。

6. 創建訪問控制策略

可以允許特定段內的資產之間的流量不受限制地流動。但是，段間通信需要由段網關監控并遵守訪問控制策略。

這些策略應基于最小權限原則定義，該原則規定應用程序、設備或用戶應具有完成其工作所需的最低權限級別。這些權限應基于#3 中確定的合法數據流。

7. 執行定期審計和審查

在定義微分段、部署分段網關、創建和執行訪問控制策略之后，實現網絡分段的過程基本完成。但是，定義網絡分段策略并不是一次性的練習。

由于公司網絡的發展或初始設計過程中的疏忽和錯誤，網絡分段策略可能會發生變化。解決這些潛在問題需要定期審核以確定是否進行了更改，系統中是否存在任何不必要的風險，以及如何更新網段和訪問控制以減輕這些風險。

8. 盡可能自動化

定義網絡分段策略可能是一項艱巨的任務，尤其是對于企業級網絡。嘗試手動執行所有這些步驟可能很困難或不可能。

因此，盡可能利用自動化功能非常重要。尤其是在發現和分類階段，自動化對于識別添加到網絡上的新資產、它們的通信流(如果它們包含任何漏洞)和應用網絡分段策略是非常寶貴的。