网络分段优缺点及最佳做法

网络分段是经过检验而可靠的网络安全原则之一，在IT开始出现时，网络分段就已经存在。

[[112718]]

回顾20世纪70年代James Martin和Saltzer及Schroeder的作品，其中的最小特权和职责分离的概念让企业限制用户只能访问有业务需求的系统。然而，在这种概念出现几十年后，仍然有不计其数的事故涉及对系统的未经授权访问，而这些系统根本就不应该被访问。

举个例子，最近某国攻击者入侵欧洲网络，攻击者使用了高权限访问来窃取数据。如果通过网络分段部署了正确的访问限制，这些攻击原本可以被阻止。

在本文中，我们将讨论企业网络分段的优点和缺点，并提供部署网络分段的最佳做法来减少各种网络安全威胁带来的风险。

网络分段的好处

网络分段是指网络的分离或隔离(通常使用一个或多个防火墙)，但在政府或军方，它可能意味着出于安全原因，物理隔离网络，断开网络与其他网络或互联网的连接。适当的网络分段可以带来以下好处：

• 为关键服务器和应用提供强有力的保护

• 限制远程工作人员到他们所需的网络区域

• 简化网络管理，包括事件监控和事件响应

• 面对永无止境的安全审计和来自业务伙伴及客户的问卷调查，网络分段可以最大限度地减小这方面的工作

虽然在理论上来说，这些优点都很好，但网络分段不只是“分段就完事了”，还有很多工作需要做。同时，企业还必须考虑网络分段带来的以下缺点和挑战：

• 对于跨职能部门、外部供应商以及需要大量内部网络访问的业务流程，按照他们的访问水平进行分段几乎是不可能的。

• 使用虚拟局域网(VLAN)进行分段(这是最常见的类型)似乎是一个好主意，但本地网络的任何人只要知道IP寻址方案，他们都可以简单地跳到新的网段，并且可以绕过网络分段的访问限制。

• 在执行安全漏洞扫描时，网络分段真的是非常麻烦。你将需要根据访问控制列表或防火墙规则物理地或逻辑地将你的扫描仪在网段间移动，你可能还需要部署远程扫描传感器。

• 如果企业没有使用端点安全控制(例如反恶意软件、入侵防御和数据丢失防护)来应对每个网段内的恶意活动(例如恶意软件感染或内部威胁)，他们仍然将会面临很大的风险。

• 现在企业使用的很多面向互联网的网络基础设施设备、服务器、web应用和云服务都必须在全球范围内提供可用性，企业可能会试图拒绝坏流量进入网络，但这正变得越来越难以实现。

• 高管不希望其计算体验受到阻碍。

然而，网络分段并不总是解决问题的办法。并且，特定业务流程、合作伙伴网络连接或缺乏网络管理资源(金钱或技能)可能是更为优先的考虑因素。在追求安全与便利性的平衡中，后者往往更加重要。不过，这些并不意味着你不应该部署网络分段。

让笔者深感有趣的是，很多企业(大型企业在内)部署了各种水平的网络分段，而没有完全了解其中的真正风险。要知道，你不能保护你不认识的东西。如果你没有清楚认识这是什么以及风险何在，你将无法部署长期可行的有效的网络分段。

当今的“全连接”网络无疑有利于安全攻击的执行，而我们可以使用经过验证可靠的安全原则来预防这些攻击。对于一切与安全有关的事物，并没有放之四海而皆准的解决办法;每个网络都是不同的，每个企业都有独特的需求，同时，每个部门的业务主管都有不同的信息风险容忍度。

那么，最适合你企业的是什么?这恐怕只有你自己知道。首先，防火墙规则、ACL和VLAN组合将能够明确谁和哪些系统需要访问你网络的特定区域。其次，强大的渗透测试和持续的安全评估将帮助企业明确需要哪些额外的安全措施。你可能会发现，你需要额外的IPS传感器、更强的文件访问控制，或者甚至更专注于DLP控制。

在企业选择了正确的工具和技术组合后，困难的工作开始了：真正开始执行“理想的”网络分段。当然，决定你是否需要部署网络分段的业务驱动因素也将发挥一定作用。这可能包括已知风险、合规性(例如PCI DSS)或者合同要求，或者需要这个功能的特定业务流程。虽然企业可能永远也达不到“理想状态”，但重要的是你尽了一切努力来最大限度地减少网络攻击区域。

面对企业现在要应对的网络复杂性，尽量减小安全事故的影响与防止安全事故同样重要。归根结底，政策和文化将决定企业应该采用怎样的网络分段，你的企业只要接受就行了。