網(wǎng)絡(luò)分片是自IT興起以來(lái)就有的一種經(jīng)過(guò)檢驗(yàn)且可靠的網(wǎng)絡(luò)安全原則�����。早在上世紀(jì)70年代���,James Martin、Saltzer和Schroeder研究提出的最小權(quán)限和職責(zé)分離等概念讓企業(yè)懂得了只能給用戶提供業(yè)務(wù)所需要的系統(tǒng)訪問(wèn)權(quán)限�����,而不提供在此范圍之外的權(quán)限���。但是,在幾十年的時(shí)間里�����,有無(wú)數(shù)的安全事件都是因?yàn)? 一些人獲得了本不應(yīng)該獲得的未授權(quán)系統(tǒng)訪問(wèn)權(quán)限�����。
顯然這里出現(xiàn)了問(wèn)題。例如��,最近出現(xiàn)了來(lái)自中國(guó)的攻擊入侵歐洲網(wǎng)絡(luò)的事件����,黑客攻破了網(wǎng)絡(luò),并使用高訪問(wèn)權(quán)限盜取數(shù)據(jù)���。這些可能受到制止的攻擊獲取了正常訪問(wèn)該網(wǎng)絡(luò)分片的權(quán)限��。
在本文中���,我們將介紹企業(yè)網(wǎng)絡(luò)分片的優(yōu)點(diǎn)及缺點(diǎn),重點(diǎn)介紹一些應(yīng)用網(wǎng)絡(luò)分片的最佳實(shí)踐方法��,它們可以降低現(xiàn)代無(wú)數(shù)網(wǎng)絡(luò)安全威脅所造成的風(fēng)險(xiǎn)��。
網(wǎng)絡(luò)分片的優(yōu)點(diǎn)
網(wǎng)絡(luò)分片的定義是指對(duì)網(wǎng)絡(luò)進(jìn)行分割或隔離——通常采用一個(gè)或多個(gè)防火墻�,但是在政府或軍事網(wǎng)絡(luò)中,出于安全原因的考慮���,這可能意味著要在物理上隔離不同的網(wǎng)絡(luò)����,使它們無(wú)法連接其他網(wǎng)絡(luò)或互聯(lián)網(wǎng)。正確的網(wǎng)絡(luò)分片有以下作用:
• 以需知的方式給關(guān)鍵服務(wù)器和應(yīng)用程序提供強(qiáng)有力的保護(hù)
• 將遠(yuǎn)程工作者隔離在他們有必要訪問(wèn)的網(wǎng)絡(luò)區(qū)域
• 簡(jiǎn)化網(wǎng)絡(luò)管理��,其中包括事件監(jiān)控和意外響應(yīng)
• 減少由業(yè)務(wù)合作伙伴和客戶不斷發(fā)起的安全突擊審計(jì)與調(diào)查所付出的人力
雖然這些優(yōu)點(diǎn)在理論上是非常好的�����,但是這個(gè)任務(wù)遠(yuǎn)遠(yuǎn)不僅僅是“分片和執(zhí)行”這么簡(jiǎn)單��。各個(gè)組織都必須考慮下面這些網(wǎng)絡(luò)分片的缺點(diǎn)與挑戰(zhàn):
• 對(duì)于跨職能部署而言�,對(duì)于需要各種內(nèi)部網(wǎng)絡(luò)訪問(wèn)的外部供應(yīng)商和業(yè)務(wù)流程而言,這些層次的分片訪問(wèn)可能是無(wú)法實(shí)現(xiàn)的�。
• 使用虛擬局域網(wǎng)(VLAN)來(lái)執(zhí)行分片的方式(最常見(jiàn)的方式)咋一看很不錯(cuò),但是只要知道IP尋址方式�����,局域網(wǎng)中的任何人都可以繞過(guò)某個(gè)網(wǎng)絡(luò)分片預(yù)先確定的訪問(wèn)權(quán)限限制��,直接跳到一個(gè)新網(wǎng)段��。
• 網(wǎng)絡(luò)分片是安全漏洞掃描的一個(gè)真實(shí)痛點(diǎn)��。我們需要通過(guò)訪問(wèn)控制列表/防火墻規(guī)則在物理或邏輯上將掃描程序從一個(gè)分片移到另一個(gè)分片��。此外��,我們可能還需要同時(shí)部署遠(yuǎn)程掃描傳感器���。
• 如果企業(yè)不使用終端安全控制程序(如反病毒軟件��、入侵防御和防止數(shù)據(jù)丟失)來(lái)處理每一個(gè)網(wǎng)絡(luò)分片中的惡意行為(如病毒感染或內(nèi)部威脅)����,那么他們?nèi)匀粫?huì)面臨巨大的風(fēng)險(xiǎn)����。
• 現(xiàn)代企業(yè)所使用的無(wú)數(shù)面對(duì)互聯(lián)網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)設(shè)備、服務(wù)器����、Web應(yīng)用程序和云服務(wù)必須面向公眾開(kāi)放——組織可以嘗試隔離惡意流量,但是這是很難實(shí)現(xiàn)的�。
• 執(zhí)行主管不希望自己的計(jì)算體驗(yàn)受到周期性影響。
然而����,網(wǎng)絡(luò)分片可能并不總是最佳解決方法����。特定的業(yè)務(wù)流程���、合作伙伴網(wǎng)絡(luò)連接或缺少網(wǎng)絡(luò)管理資源(例如���,資金或技術(shù))等都可能造成更嚴(yán)重的問(wèn)題。甚至����,在追求安全性與方便性的平衡過(guò)程中,后者往往占據(jù)優(yōu)先地位��。但是��,這些都不意味著我們應(yīng)該放棄給網(wǎng)絡(luò)劃分正確的分片�。
讓 我感興趣的是許多組織(包括一些大型企業(yè))在還沒(méi)有完全理解網(wǎng)絡(luò)分片的真實(shí)風(fēng)險(xiǎn)之前,就已經(jīng)實(shí)現(xiàn)了各種級(jí)別的網(wǎng)絡(luò)分片����。如果不懂一項(xiàng)技術(shù),那么我們就不可 能保證它的安全性���。如果還沒(méi)有清晰理解它所處的狀態(tài)及其風(fēng)險(xiǎn),那么從長(zhǎng)遠(yuǎn)角度看,我們是不可能實(shí)現(xiàn)一種一直保持有效的網(wǎng)絡(luò)分片�����。
毫無(wú)疑 問(wèn)�����,現(xiàn)代的“全面互聯(lián)”網(wǎng)絡(luò)肯定會(huì)加劇安全漏洞的暴露���,但是它們可以通過(guò)一些行之有效的安全原則來(lái)避免���。雖然所有方面都要考慮安全性,但是并沒(méi)有一種方法 能夠解決所有問(wèn)題;每一個(gè)網(wǎng)絡(luò)都存在差異����,每一個(gè)業(yè)務(wù)都有其特殊需求,而且每一個(gè)業(yè)務(wù)執(zhí)行團(tuán)隊(duì)的信息風(fēng)險(xiǎn)容忍力也各不相同�。
那么,什么才 是最適合自身企業(yè)的?答案只有我們自己知道�������;旌鲜褂梅阑饓σ(guī)則、ACL和VLAN技術(shù)���,才能規(guī)定什么人和系統(tǒng)需要訪問(wèn)特定區(qū)域的網(wǎng)絡(luò)��。此外��, 執(zhí)行一個(gè)強(qiáng)有力的滲透測(cè)試并持續(xù)評(píng)估安全性��,將幫助組織發(fā)現(xiàn)所需要的額外措施���。我們很可能最終會(huì)發(fā)現(xiàn)需要額外的IPS傳感器、更嚴(yán)格的文件訪問(wèn)控制或者必 須重要關(guān)注于DLP控制�����。
