- 网络分段将大型网络划分为较小的隔离段,以提高安全性并减少攻击面。
- 它通过限制广播流量并为不同分段制定量身定制的安全策略,从而提升性能。
- 正确的实施有助于遵守法规,并在发生安全漏洞时缩短事件响应时间。
在这个日益互联的世界中,企业面临日益增长的网络安全威胁,这些威胁可能危及敏感数据并中断运营。降低这些风险的一种有效策略是网络分段,即将大型网络划分为更小的、可管理的部分。
这种方法不仅能增强安全性,还能通过隔离问题和控制数据流来提升网络性能。随着各组织寻求保护其数字资产的强大解决方案,了解网络分段的原理和优势变得至关重要。
网络分段的定义
网络分段是一种将网络划分为多个分段或子网的架构方法,每个子网都作为一个独立的小型网络运行。这使得网络管理员可以根据精细的策略控制子网之间的网络流量。组织利用分段来改进监控、提升性能、定位技术问题并增强安全性。
另请阅读:关于 NIC(网络接口卡)的关键事实
另请阅读:DMZ 网络:定义、工作原理与优势
信任假设
过去,网络架构师将安全策略重点放在内部网络边界,即那条将外部世界与对企业业务至关重要的数据隔开的无形界线。边界内的人员被假定为可信赖,因此不构成威胁。因此,他们访问信息的能力受到的限制很少。
然而,传统安全基础设施通常采用扁平的网络架构,仅依赖边界防火墙作为流量检查和控制的唯一节点。由于网络边界不再像过去那样存在,且大多数数据中心流量为东西向流量,传统的基于端口的防火墙在云和移动环境中提供的价值有限。
近期备受关注的重大泄露事件让信任假设受到质疑。一方面,内部人员确实可能成为泄露源头,通常是疏忽所致,但有时也可能是故意的。此外,当威胁突破边界后,它们可以在网络内横向移动,访问几乎任何数据、应用、资产或服务(DAAS)。凭借几乎不受阻碍的访问,攻击者可以轻易窃取各种有价值的资产,往往甚至在泄露被检测到之前就已经得手。
零信任应对
由于信任假设的固有弱点,许多组织已开始采用零信任策略。零信任默认不信任任何人,即使是已在网络边界内的用户。零信任基于一个“保护面”原则,该保护面围绕组织最关键、最有价值的 DAAS 构建。由于保护面仅包含对业务运营最重要的内容,因此其规模比整个网络边界的攻击面小几个数量级。
这就是网络分段发挥作用的地方。通过分段,网络架构师可以在保护面周围构建一个微边界,本质上形成第二道防线。在某些情况下,虚拟防火墙可以自动执行安全配置,以简化分段任务。无论采用何种方式,授权用户都可以访问保护面内的资产,而其他所有用户默认被阻止。
对于攻击者来说,分段是个坏消息,因为与信任假设的时代不同,仅仅突破边界并不足以获取敏感信息。微边界,无论是物理的还是虚拟的,都能防止威胁在网络内横向移动,从而在很大程度上使初始突破的努力付诸东流。
应用场景
组织可以将网络分段用于多种场景。
访客无线网络:通过使用网络分段,公司可以为访客和承包商提供 Wi-Fi 服务,而风险相对较小。当用户使用访客凭据登录时,他们会进入一个微分段,该分段仅提供互联网访问,不提供其他任何访问。
用户组访问:为防止内部泄露,许多企业将各个内部部门划分为单独的子网,这些子网包含授权组成员及其工作所需的 DAAS。子网之间的访问受到严格控制。例如,工程部的人员试图访问人力资源子网会触发警报和调查。
公共云安全:云服务提供商通常负责云基础设施的安全,但客户需负责通常位于基础设施之上的操作系统、平台、访问控制、数据、知识产权、源代码和面向客户的内容的安全。分段是一种在公共云和混合云环境中隔离应用程序的有效方法。
PCI DSS合规:网络管理员可以利用分段将所有信用卡信息隔离到一个安全区域——本质上是一个保护面——并创建规则,仅允许该区域内绝对最低限度的合法流量,同时自动拒绝其他所有流量。这些隔离区域通常是虚拟化的 SDN,在其中可以通过虚拟防火墙实现 PCI DSS 合规和分段。

