■甄國(guó)平

網(wǎng)絡(luò)分段優(yōu)缺點(diǎn)及最佳做法

■甄國(guó)平

網(wǎng)絡(luò)分段是經(jīng)過檢驗(yàn)而可靠的網(wǎng)絡(luò)安全原則之一，在IT開始出現(xiàn)時(shí)，網(wǎng)絡(luò)分段就已經(jīng)存在。

回顧20世紀(jì)70年代JamesMartin和Saltzer及Schroeder的作品，其中的最小特權(quán)和職責(zé)分離的概念讓企業(yè)限制用戶只能訪問有業(yè)務(wù)需求的系統(tǒng)。然而，在這種概念出現(xiàn)幾十年后，仍然有不計(jì)其數(shù)的事故涉及對(duì)系統(tǒng)的未經(jīng)授權(quán)訪問，而這些系統(tǒng)根本就不應(yīng)該被訪問。

舉個(gè)例子，最近某國(guó)攻擊者入侵歐洲網(wǎng)絡(luò)，攻擊者使用了高權(quán)限訪問來竊取數(shù)據(jù)。如果通過網(wǎng)絡(luò)分段部署了正確的訪問限制，這些攻擊原本可以被阻止。

我們將討論企業(yè)網(wǎng)絡(luò)分段的優(yōu)點(diǎn)和缺點(diǎn)，并提供部署網(wǎng)絡(luò)分段的最佳做法來減少各種網(wǎng)絡(luò)安全威脅帶來的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)分段的好處

網(wǎng)絡(luò)分段是指網(wǎng)絡(luò)的分離或隔離 (通常使用一個(gè)或多個(gè)防火墻)，但在政府或軍方，它可能意味著出于安全原因，物理隔離網(wǎng)絡(luò)，斷開網(wǎng)絡(luò)與其他網(wǎng)絡(luò)或互聯(lián)網(wǎng)的連接。適當(dāng)?shù)木W(wǎng)絡(luò)分段可以帶來以下好處：

為關(guān)鍵服務(wù)器和應(yīng)用提供強(qiáng)有力的保護(hù)

限制遠(yuǎn)程工作人員到他們所需的網(wǎng)絡(luò)區(qū)域

簡(jiǎn)化網(wǎng)絡(luò)管理，包括事件監(jiān)控和事件響應(yīng)

面對(duì)永無止境的安全審計(jì)和來自業(yè)務(wù)伙伴及客戶的問卷調(diào)查，網(wǎng)絡(luò)分段可以最大限度地減小這方面的工作

雖然在理論上來說，這些優(yōu)點(diǎn)都很好，但網(wǎng)絡(luò)分段不只是“分段就完事了”，還有很多工作需要做。同時(shí)，企業(yè)還必須考慮網(wǎng)絡(luò)分段帶來的以下缺點(diǎn)和挑戰(zhàn)：

對(duì)于跨職能部門、外部供應(yīng)商以及需要大量?jī)?nèi)部網(wǎng)絡(luò)訪問的業(yè)務(wù)流程，按照他們的訪問水平進(jìn)行分段幾乎不可能。

使用虛擬局域網(wǎng)(VLAN)進(jìn)行分段(這是最常見的類型)似乎是一個(gè)好主意，但本地網(wǎng)絡(luò)的任何人只要知道IP尋址方案，他們都可以簡(jiǎn)單地跳到新的網(wǎng)段，并且可以繞過網(wǎng)絡(luò)分段的訪問限制。

在執(zhí)行安全漏洞掃描時(shí)，網(wǎng)絡(luò)分段真的是非常麻煩。你將需要根據(jù)訪問控制列表或防火墻規(guī)則物理地或邏輯地將你的掃描儀在網(wǎng)段間移動(dòng)，你可能還需要部署遠(yuǎn)程掃描傳感器。

如果企業(yè)沒有使用端點(diǎn)安全控制(例如反惡意軟件、入侵防御和數(shù)據(jù)丟失防護(hù))來應(yīng)對(duì)每個(gè)網(wǎng)段內(nèi)的惡意活動(dòng)(例如惡意軟件感染或內(nèi)部威脅)，他們?nèi)匀粚?huì)面臨很大的風(fēng)險(xiǎn)。

現(xiàn)在企業(yè)使用的很多面向互聯(lián)網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備、服務(wù)器、web應(yīng)用和云服務(wù)都必須在全球范圍內(nèi)提供可用性，企業(yè)可能會(huì)試圖拒絕壞流量進(jìn)入網(wǎng)絡(luò)，但這正變得越來越難以實(shí)現(xiàn)。

高管不希望其計(jì)算體驗(yàn)受到阻礙。

然而，網(wǎng)絡(luò)分段并不總是解決問題的辦法。并且，特定業(yè)務(wù)流程、合作伙伴網(wǎng)絡(luò)連接或缺乏網(wǎng)絡(luò)管理資源(金錢或技能)可能是更為優(yōu)先的考慮因素。在追求安全與便利性的平衡中，后者往往更加重要。不過，這些并不意味著你不應(yīng)該部署網(wǎng)絡(luò)分段。

讓筆者深感有趣的是，很多企業(yè)(大型企業(yè)在內(nèi))部署了各種水平的網(wǎng)絡(luò)分段，而沒有完全了解其中的真正風(fēng)險(xiǎn)。要知道，你不能保護(hù)你不認(rèn)識(shí)的東西。如果你沒有清楚認(rèn)識(shí)這是什么以及風(fēng)險(xiǎn)何在，你將無法部署長(zhǎng)期可行的有效的網(wǎng)絡(luò)分段。

當(dāng)今的“全連接”網(wǎng)絡(luò)無疑有利于安全攻擊的執(zhí)行，而我們可以使用經(jīng)過驗(yàn)證可靠的安全原則來預(yù)防這些攻擊。對(duì)于一切與安全有關(guān)的事物，并沒有放之四海而皆準(zhǔn)的解決辦法;每個(gè)網(wǎng)絡(luò)都是不同的，每個(gè)企業(yè)都有獨(dú)特的需求，同時(shí)，每個(gè)部門的業(yè)務(wù)主管都有不同的信息風(fēng)險(xiǎn)容忍度。

那么，最適合你企業(yè)的是什么?這恐怕只有你自己知道。首先，防火墻規(guī)則、ACL和VLAN組合將能夠明確誰(shuí)和哪些系統(tǒng)需要訪問你網(wǎng)絡(luò)的特定區(qū)域。其次，強(qiáng)大的滲透測(cè)試和持續(xù)的安全評(píng)估將幫助企業(yè)明確需要哪些額外的安全措施。你可能會(huì)發(fā)現(xiàn)，你需要額外的IPS傳感器、更強(qiáng)的文件訪問控制，或者甚至更專注于DLP控制。

在企業(yè)選擇了正確的工具和技術(shù)組合后，困難的工作開始了：真正開始執(zhí)行“理想的”網(wǎng)絡(luò)分段。當(dāng)然，決定你是否需要部署網(wǎng)絡(luò)分段的業(yè)務(wù)驅(qū)動(dòng)因素也將發(fā)揮一定作用。這可能包括已知風(fēng)險(xiǎn)、合規(guī)性(例如PCIDSS)或者合同要求，或者需要這個(gè)功能的特定業(yè)務(wù)流程。雖然企業(yè)可能永遠(yuǎn)也達(dá)不到“理想狀態(tài)”，但重要的是你盡了一切努力來最大限度地減少網(wǎng)絡(luò)攻擊區(qū)域。

面對(duì)企業(yè)現(xiàn)在要應(yīng)對(duì)的網(wǎng)絡(luò)復(fù)雜性，盡量減小安全事故的影響與防止安全事故同樣重要。歸根結(jié)底，政策和文化將決定企業(yè)應(yīng)該采用怎樣的網(wǎng)絡(luò)分段，你的企業(yè)只要接受就行了。