Network segmentation enhances security and performance

• 网络分段将大型网络划分为较小的隔离段，以提高安全性并减少攻击面。
• 它通过限制广播流量并为不同分段制定量身定制的安全策略，从而提升性能。
• 正确的实施有助于遵守法规，并在发生安全漏洞时缩短事件响应时间。

在这个日益互联的世界中，企业面临日益增长的网络安全威胁，这些威胁可能危及敏感数据并中断运营。降低这些风险的一种有效策略是网络分段，即将大型网络划分为更小的、可管理的部分。

这种方法不仅能增强安全性，还能通过隔离问题和控制数据流来提升网络性能。随着各组织寻求保护其数字资产的强大解决方案，了解网络分段的原理和优势变得至关重要。

网络分段的定义

网络分段是一种将网络划分为多个分段或子网的架构方法，每个子网都作为一个独立的小型网络运行。这使得网络管理员可以根据精细的策略控制子网之间的网络流量。组织利用分段来改进监控、提升性能、定位技术问题并增强安全性。 另见: Ziggo集团任命领导人，备战2027年阿姆斯特丹上市.

另请阅读：关于NIC（网络接口卡）的关键事实

另请阅读：DMZ网络：定义、工作原理与优势

信任假设

过去，网络架构师将安全策略重点放在内部网络边界，即那条将外部世界与对企业业务至关重要的数据隔开的无形界线。边界内的人员被假定为可信赖，因此不构成威胁。因此，他们访问信息的能力受到的限制很少。 另见: AKNET 互联网与信息系统有限公司.

然而，传统安全基础设施通常采用扁平的网络架构，仅依赖边界防火墙作为流量检查和控制的唯一节点。由于网络边界不再像过去那样存在，且大多数数据中心流量为东西向流量，传统的基于端口的防火墙在云和移动环境中提供的价值有限。

近期备受关注的重大泄露事件让信任假设受到质疑。一方面，内部人员确实可能成为泄露源头，通常是疏忽所致，但有时也可能是故意的。此外，当威胁突破边界后，它们可以在网络内横向移动，访问几乎任何数据、应用、资产或服务（DAAS）。凭借几乎不受阻碍的访问，攻击者可以轻易窃取各种有价值的资产，往往甚至在泄露被检测到之前就已经得手。

零信任应对

由于信任假设的固有弱点，许多组织已开始采用零信任策略。零信任默认不信任任何人，即使是已在网络边界内的用户。零信任基于一个“保护面”原则，该保护面围绕组织最关键、最有价值的DAAS构建。由于保护面仅包含对业务运营最重要的内容，因此其规模比整个网络边界的攻击面小几个数量级。

这就是网络分段发挥作用的地方。通过分段，网络架构师可以在保护面周围构建一个微边界，本质上形成第二道防线。在某些情况下，虚拟防火墙可以自动执行安全配置，以简化分段任务。无论采用何种方式，授权用户都可以访问保护面内的资产，而其他所有用户默认被阻止。 另见: Azarakhsh Ava-e Ahvaz Co.

对于攻击者来说，分段是个坏消息，因为与信任假设的时代不同，仅仅突破边界并不足以获取敏感信息。微边界，无论是物理的还是虚拟的，都能防止威胁在网络内横向移动，从而在很大程度上使初始突破的努力付诸东流。

应用场景

组织可以将网络分段用于多种场景。 另见: Windhoos.

访客无线网络：通过使用网络分段，公司可以为访客和承包商提供Wi-Fi服务，而风险相对较小。当用户使用访客凭据登录时，他们会进入一个微分段，该分段仅提供互联网访问，不提供其他任何访问。 另见: EuroNet.

用户组访问：为防止内部泄露，许多企业将各个内部部门划分为单独的子网，这些子网包含授权组成员及其工作所需的DAAS。子网之间的访问受到严格控制。例如，工程部的人员试图访问人力资源子网会触发警报和调查。 另见: DU jiarui.

公共云安全：云服务提供商通常负责云基础设施的安全，但客户需负责通常位于基础设施之上的操作系统、平台、访问控制、数据、知识产权、源代码和面向客户的内容的安全。分段是一种在公共云和混合云环境中隔离应用程序的有效方法。 另见: 弗罗茨瓦夫市政供水与污水处理公司（MPWiK）.

PCI DSS合规：网络管理员可以利用分段将所有信用卡信息隔离到一个安全区域——本质上是一个保护面——并创建规则，仅允许该区域内绝对最低限度的合法流量，同时自动拒绝其他所有流量。这些隔离区域通常是虚拟化的SDN，在其中可以通过虚拟防火墙实现PCI DSS合规和分段。