隨著越來越多的業務流程走向數字化，擁有一個強大可靠的網絡能夠處理日益增長的日常流量對于維持生產力和服務至關重要。同時，網絡攻擊者永遠不會停滯不前，每家組織都是潛在的目標。

技術領導者及其團隊比以往任何時候更知道設計一種網絡架構的重要性，以便提供可靠的服務，并防御未經授權的訪問?！陡２妓埂冯s志技術委員會的17位專家成員在本文中分享并解釋了組建和維護安全高效網絡的一些關鍵策略，這是當今數字化工作場所的必備知識。

1. 清點盤查所有網絡資產

技術人員在設計網絡時很少擁有一個全新的環境。相反，他們面對的是必須更新改造的現有基礎設施。首先為所有網絡資產列一份最新的清單，并繪圖以勾勒網絡當前的狀態和未來的預期狀態。完成這項工作后，在進行任何更改之前備份所有當前配置。

2. 尋求決策者的意見

一種安全高效的網絡架構需要聽取業務決策者的意見，包括需要完成的內容以及在任何特定的網段中必須使用的資源。一旦為整個組織確立了目標，應采用軟件定義的網絡分割。使用硬件和代理實施整個架構成本太高、難度太大，而且無法輕易擴展。

3. 實施最小權限

實施最小權限原則對于設計安全高效的網絡架構至關重要。這包括將用戶和系統的訪問權限限制在執行其任務所需的最低級別，從而減小安全漏洞和跨網段未經授權訪問的潛在影響。

4. 采用零信任模式

在設計安全的網絡架構時，應采用零信任模式。這意味著在授予網段訪問權限之前，要對每個用戶和設備進行驗證，無論其位置在哪里。基于需要知道的標準采用嚴格的訪問控制機制進行分段，確保了嚴格的安全性和高效的流量管理，最大限度地降低了風險，并優化了性能。

5. 遵循“縱深防御”原則

一個關鍵原則名為“縱深防御”。這意味著不依賴單一的技術、政策或流程來保護網絡的任何部分。使用這種方法，你假定保護網絡一部分的任何一層（防火墻、密碼或IP白名單）都可能被攻陷。然后，你設計結合多種毫不相關的方法以減輕威脅的防護措施。

6. 分割網絡

設計安全高效的網絡架構的一個關鍵原則是實施可靠的網絡分段。這將網絡劃分為單獨的區域，每個區域都有獨特的訪問控制機制，縮小攻擊面，并遏制潛在漏洞。

7. 融入BFT原則

將拜占庭容錯（BFT）原則融入到網絡設計中。BFT是指在存在故障或惡意組件/部件的情況下，確保系統的可靠性和安全性。比如說，如果你引入冗余機制，并將網絡劃分為不同的節點，每個節點都有獨立的驗證機制，網絡就可以抵御并隔離攻擊或故障事件。

8. 自動加密數據

盡可能對敏感數據和內容采取加密保護，無論數據和內容在什么環境中。為此可以自動加密所有的敏感數據、內容和文檔，并以數字方式將它們分配給適當的組、角色及/或個人，從創建或攝取這類內容開始入手，并在整個生命周期中持續進行。

9. 創建VLAN

創建虛擬局域網（VLAN）是設計安全高效的網絡基礎設施的最佳實踐。比如說，安全攝像頭、VoIP耳機、測試環境、公共會議室和Wi-Fi都應該在VLAN上隔離開來。如果操作得當，這讓你可以隔離和修復特定內部網絡上的惡意嘗試和攻擊。

10. 限制人為錯誤的影響

軟件很脆弱，人類難免犯錯，所以個人系統和用戶受攻擊不可避免。安全網絡設計旨在設計的系統確保惡意軟件和人為錯誤的影響在時間和空間上受限制。試想：如果節點X受到了威脅，節點Y和你的網絡部件該如何配置以防止攻擊不會擴散開來？

11. 建立訪客網絡

建立一個與主網絡隔離的訪客網絡。任何不屬于貴公司的設備（比如公司已制定自帶設備策略）只能連接到訪客網絡。你無法控制不屬于貴公司的設備訪問的網站或網站上的內容，你永遠不知道這些設備上存在什么威脅。擁有訪客網絡可以隔離BYOD策略帶來的任何威脅。

12. 竭力隔離流量

網絡設計者需要全面了解預期的流量、業務目的和威脅。他們應該設計隔離流量的網絡，便于監測點和控制點發現和管理異常流量。盡管微分割和入侵檢測等技術模糊了隔離線，但堅持采用控制點仍然是安全網絡設計的關鍵原則。

13. 盡量減少“跳數”

盡量減少數據包需要經過的“跳數”（hop）很重要，因為每一跳都會加大數據丟失的可能性。除了防御方法（比如外部密鑰管理）和主動方法（比如加密靈活性）外，防止風險的最佳方法是部署多個安全層，以防止攻擊者在網絡中橫向移動時訪問和提取關鍵數據。

14. 了解聯網資產的行為

你需要了解聯網資產的行為以及它們所處的環境。它們連接到什么設備？什么時候連接？實現所需功能的基本通信是什么？自動化和人工智能有助于為設備活動確立一個基準，這對于定義只允許獲得批準的通信、阻止其他一切通信的分段策略至關重要。

15. 隔離生產網絡與非生產網絡

要實現適當的網絡隔離，最關鍵的設計原則之一是將生產網絡與非生產（即辦公）網絡完全隔離開來。這是防止勒索軟件攻擊從非生產網絡擴散到關鍵生產網絡的重要防御措施，這些類型的攻擊通常針對非生產網絡（通過電子郵件）。

16. 采取多步驟的方法設置防火墻

設計一個防火墻規則，并部署規則，只有日志功能（沒有阻塞）。在進入完全阻塞之前，根據需要調整規則。確保考慮到在月末、季度末或年末運行的非典型流程，在每周的正常工作時間內通常不會發現這些流程。

17. 隔離各個IIoT流程

在生產制造環境中，建議將生產流程及其相關的工業物聯網（IIoT）設備托管在隱蔽的網絡上，這些網絡被嚴密地屏蔽和保護起來。確保在不同的網絡上隔離每個流程及其相關的IIoT設備。當需要訪問流程或其IIoT設備時，部署安全的單一入口點平臺。

本文翻譯自：https://www.forbes.com/sites/forbestechcouncil/2023/11/28/17-key-strategies-for-designing-a-secure-efficient-network/?sh=22f3b1db2096如若轉載，請注明原文地址