信息來源:企業(yè)網(wǎng)
網(wǎng)絡分段(Network segmentation)是為了應對網(wǎng)絡流量的增大而導致的用戶響應緩慢以及數(shù)據(jù)流堵塞���,而將大型網(wǎng)絡劃分為眾多小網(wǎng)絡的行為。是淘汰過時的安全方法的最佳途徑���。
采用“城堡周圍的護城河”式的防御是處理計算機網(wǎng)絡安全的可靠方法��,可以防止網(wǎng)絡攻擊者的出現(xiàn)�。“扁平化”網(wǎng)絡致力于為網(wǎng)絡上的所有設備提供可靠快速的連接�����,而安全工作則著眼于隔離外部網(wǎng)絡與內(nèi)部網(wǎng)絡�。
然而,這種傳統(tǒng)的方法已經(jīng)不再適用于保護現(xiàn)代企業(yè)復雜的互聯(lián)數(shù)字化網(wǎng)絡����,或者難以應對網(wǎng)絡攻擊者不斷發(fā)展的技巧���,這導致了WannaCry勒索軟件攻擊等違規(guī)行為�����。企業(yè)的數(shù)據(jù)不斷地在進出網(wǎng)絡��。然而�,當這些數(shù)據(jù)通過企業(yè)的工作人員在將IT服務遷移到云端時����,企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間就存在一條模糊的界限。
咨詢調(diào)研機構(gòu)畢馬威公司的CIO咨詢經(jīng)理Fredrik Lindstrom表示��,相反,企業(yè)將網(wǎng)絡分段或?qū)⒕W(wǎng)絡分割成子網(wǎng)絡是淘汰陳舊過時的安全方法的一種最佳途徑���。不幸的是�,它也是企業(yè)網(wǎng)絡安全計劃中最被忽視的部分之一�,因為大多數(shù)組織認為網(wǎng)絡分割過于復雜和繁瑣。根據(jù)Avaya公司委托進行的研究����,雖然幾乎所有的IT專業(yè)人員都認為網(wǎng)絡分段是一項重要的安全措施,但實際上只有不到四分之一的企業(yè)實施了這項措施�����。
Lindstrom解釋說:“很多公司不知道從哪里開始����,如何做,以及應該包含哪些組件�����?�!彼a充說�����,試圖實施網(wǎng)絡分段的組織經(jīng)常遭遇失敗,因為這是一個如此巨大的任務���。
對于那些做得對的組織來說���,實施網(wǎng)絡分段是非常值得的。其威力在于它能夠直接處理當今威脅環(huán)境的現(xiàn)實�,既然無法防止網(wǎng)絡違規(guī)事件發(fā)生,但是可以將其隔離開來����,這樣病毒只能傳播到幾個點����,而不是成千上萬的都被感染。
根據(jù)畢馬威公司的一篇新論文“現(xiàn)代企業(yè)中提高安全性的10個部分框架:網(wǎng)絡分割勢在必行”指出�,正確的網(wǎng)絡分段為防止惡意軟件和行為者在網(wǎng)絡上橫向移動的控制奠定了基礎,防止?jié)撛诘母腥净蛭<熬W(wǎng)絡傳播��。網(wǎng)絡分段還允許在整個網(wǎng)絡中增加控制點���,從而顯著提高對網(wǎng)絡流量的可視性和控制����。
網(wǎng)絡分段入門的框架
畢馬威會計師事務報告中的網(wǎng)絡分段框架包含10個組成部分,其中包括制定指導性戰(zhàn)略文件���,創(chuàng)建分段和控制點的網(wǎng)絡架構(gòu)��,通過IT資產(chǎn)管理定義需求�����,實施核心安全控制��,并創(chuàng)建一個全面的數(shù)據(jù)分類程序���。
Lindstrom說,在如此大量的工作�,最重要的組織優(yōu)先事項是通過變更管理來處理涉及的人員的關系,并設定程序的基本部分���,如資產(chǎn)管理和數(shù)據(jù)分類��。Lindstrom說:“一旦組織擁有了基礎設施�,那么就可以擁有從安全到網(wǎng)絡到數(shù)據(jù)中心的覆蓋范圍�����,所有這些傳統(tǒng)的IT團隊的工作?!彼a充說,通過從小事做起�����,而不是試圖在這樣一個大型項目中做得面面俱到����,組織可以實現(xiàn)最后的覆蓋,而最成熟的組織可以實施網(wǎng)絡分段���,而這是一種基于行為的保護措施。
畢馬威會計師事務所的文章詳細介紹了一家高科技制造企業(yè)的案例��,這家高科技制造企業(yè)由于有機增長和收購而整合了網(wǎng)絡基礎設施��。它沒有提供必要的網(wǎng)絡細分來保護重大的研發(fā)投資����。這家公司對差距進行評估并設定目標,將網(wǎng)絡分段策略分解為更小的項目��。該公司解決了其全球網(wǎng)絡中的網(wǎng)絡安全缺陷問題,提高了安全性�、自動化、運營效率����,以滿足該公司目前的需求。
網(wǎng)絡分段實施面臨的最大挑戰(zhàn)
Lindstrom說���,企業(yè)的人員和內(nèi)部斗爭往往是實施網(wǎng)絡分段的最大障礙�����。該項目必須涉及從人力資源和法律��、IT資產(chǎn)管理����、安全網(wǎng)絡�����,以及最終用戶計算等各個方面����。他說:“所有這些孤島必須協(xié)同工作才能正確實施這個框架�。這是企業(yè)如何處理網(wǎng)絡的一個變化��?!?
他補充說,讓組織了解網(wǎng)絡細分工作的最重要方法是制定如何取得成功�����,以及如何改變用戶的行為���。也就是說�,當組織將網(wǎng)絡分割與資產(chǎn)管理集成相結(jié)合時����,如何恰當?shù)厣婕叭肆Y源和法律,以及如何進行工作���。
另外,大多數(shù)組織都犯了過分依賴供應商的錯誤�����,在談到網(wǎng)絡分段的過程中,他們可能不會提供什么客觀的建議����。Lindstrom說:“供應商會說他們正在為組織做最好的事情,但是他們傾向于提供產(chǎn)品和服務��,而不是為了讓這個組織的業(yè)務成功���?!?
提供巨大成果的長期努力
網(wǎng)絡分割限制了網(wǎng)絡違約事件的損害�,可以說是一種抵御最新的復雜安全威脅的最佳防御手段。但對于大多數(shù)公司來說��,即使是違規(guī)的可能性也不足以讓他們開始實施��。而采用網(wǎng)絡細分往往是由一個重大的違規(guī)事件引發(fā)的����,這個事件激發(fā)了這些組織為此必須采取行動。
但現(xiàn)在是企業(yè)考慮實施網(wǎng)絡分割的時候了����。這是一項長期的努力,可能需要三個月到三年的時間��。 Lindstrom說:“企業(yè)可以開始進行網(wǎng)絡細分,但是如果沒有其他組件�����,比如成熟的數(shù)據(jù)分類程序和IT資產(chǎn)管理�,就不會順利實施。 ”
他補充說����,這完全是為了打破孤島效應。Lindstrom說:“企業(yè)開始關注網(wǎng)絡細分和隔離組件是至關重要的���。即使只專注于數(shù)據(jù)中心���,無論是在內(nèi)部部署數(shù)據(jù)中心還是在云端,這都是朝著正確方向邁出的一大步�。”
