網(wǎng)絡(luò)分片是自IT興起以來(lái)就有的一種經(jīng)過(guò)檢驗(yàn)且可靠的網(wǎng)絡(luò)安全原則。

早在上世紀(jì)70年代，James Martin、Saltzer和Schroeder研究提出的最小權(quán)限 和職責(zé)分離等概念讓企業(yè)懂得了只能給用戶提供業(yè)務(wù)所需要的系統(tǒng)訪問(wèn)權(quán)限，而不提供在此范圍之外的權(quán)限。但是，在幾十年的時(shí)間里，有無(wú)數(shù)的安全事件都是因?yàn)橐恍┤双@得了本不應(yīng)該獲得的未授權(quán)系統(tǒng)訪問(wèn)權(quán)限。

顯然這里出現(xiàn)了問(wèn)題。例如，最近出現(xiàn)了來(lái)自中國(guó)的攻擊入侵歐洲網(wǎng)絡(luò)的事件，黑客攻破了網(wǎng)絡(luò)，并使用高訪問(wèn)權(quán)限盜取數(shù)據(jù)。這些可能受到制止的攻擊獲取了正常訪問(wèn)該網(wǎng)絡(luò)分片的權(quán)限。

在本文中，我們將介紹企業(yè)網(wǎng)絡(luò)分片的優(yōu)點(diǎn)及缺點(diǎn)，重點(diǎn)介紹一些應(yīng)用網(wǎng)絡(luò)分片的最佳實(shí)踐方法，它們可以降低現(xiàn)代無(wú)數(shù)網(wǎng)絡(luò)安全威脅所造成的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)分片的優(yōu)點(diǎn)

網(wǎng)絡(luò)分片的定義是指對(duì)網(wǎng)絡(luò)進(jìn)行分割或隔離——通常采用一個(gè)或多個(gè)防火墻，但是在政府或軍事網(wǎng)絡(luò)中，出于安全原因的考慮，這可能意味著要在物理上隔離不同的網(wǎng)絡(luò)，使它們無(wú)法連接其他網(wǎng)絡(luò)或互聯(lián)網(wǎng)。正確的網(wǎng)絡(luò)分片有以下作用：

• 以需知的方式給關(guān)鍵服務(wù)器和應(yīng)用程序提供強(qiáng)有力的保護(hù)

• 將遠(yuǎn)程工作者隔離在他們有必要訪問(wèn)的網(wǎng)絡(luò)區(qū)域

• 簡(jiǎn)化網(wǎng)絡(luò)管理，其中包括事件監(jiān)控和意外響應(yīng)

• 減少由業(yè)務(wù)合作伙伴和客戶不斷發(fā)起的安全突擊審計(jì)與調(diào)查所付出的人力

雖然這些優(yōu)點(diǎn)在理論上是非常好的，但是這個(gè)任務(wù)遠(yuǎn)遠(yuǎn)不僅僅是“分片和執(zhí)行”這么簡(jiǎn)單。各個(gè)組織都必須考慮下面這些網(wǎng)絡(luò)分片的缺點(diǎn)與挑戰(zhàn)：

• 對(duì)于跨職能部署而言，對(duì)于需要各種內(nèi)部網(wǎng)絡(luò)訪問(wèn)的外部供應(yīng)商和業(yè)務(wù)流程而言，這些層次的分片訪問(wèn)可能是無(wú)法實(shí)現(xiàn)的。

• 使用虛擬局域網(wǎng)(VLAN)來(lái)執(zhí)行分片的方式(最常見(jiàn)的方式)咋一看很不錯(cuò)，但是只要知道IP尋址方式，局域網(wǎng)中的任何人都可以繞過(guò)某個(gè)網(wǎng)絡(luò)分片預(yù)先確定的訪問(wèn)權(quán)限限制，直接跳到一個(gè)新網(wǎng)段。

• 網(wǎng)絡(luò)分片是安全漏洞掃描的一個(gè)真實(shí)痛點(diǎn)。我們需要通過(guò)訪問(wèn)控制列表/防火墻規(guī)則在物理或邏輯上將掃描程序從一個(gè)分片移到另一個(gè)分片。此外，我們可能還需要同時(shí)部署遠(yuǎn)程掃描傳感器。

• 如果企業(yè)不使用終端安全控制程序(如反病毒軟件、入侵防御和防止數(shù)據(jù)丟失)來(lái)處理每一個(gè)網(wǎng)絡(luò)分片中的惡意行為(如病毒感染或內(nèi)部威脅)，那么他們?nèi)匀粫?huì)面臨巨大的風(fēng)險(xiǎn)。

• 現(xiàn)代企業(yè)所使用的無(wú)數(shù)面對(duì)互聯(lián)網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)設(shè)備、服務(wù)器、Web應(yīng)用程序和云服務(wù)必須面向公眾開(kāi)放——組織可以嘗試隔離惡意流量，但是這是很難實(shí)現(xiàn)的。

• 執(zhí)行主管不希望自己的計(jì)算體驗(yàn)受到周期性影響。

然而，網(wǎng)絡(luò)分片可能并不總是最佳解決方法。特定的業(yè)務(wù)流程、合作伙伴網(wǎng)絡(luò)連接或缺少網(wǎng)絡(luò)管理資源(例如，資金或技術(shù))等都可能造成更嚴(yán)重的問(wèn)題。甚至，在追求安全性與方便性的平衡過(guò)程中，后者往往占據(jù)優(yōu)先地位。但是，這些都不意味著我們應(yīng)該放棄給網(wǎng)絡(luò)劃分正確的分片。

讓我感興趣的是許多組織(包括一些大型企業(yè))在還沒(méi)有完全理解網(wǎng)絡(luò)分片的真實(shí)風(fēng)險(xiǎn)之前，就已經(jīng)實(shí)現(xiàn)了各種級(jí)別的網(wǎng)絡(luò)分片。如果不懂一項(xiàng)技術(shù)，那么我們就不可能保證它的安全性。如果還沒(méi)有清晰理解它所處的狀態(tài)及其風(fēng)險(xiǎn)，那么從長(zhǎng)遠(yuǎn)角度看，我們是不可能實(shí)現(xiàn)一種一直保持有效的網(wǎng)絡(luò)分片。

毫無(wú)疑問(wèn)，現(xiàn)代的“全面互聯(lián)”網(wǎng)絡(luò)肯定會(huì)加劇安全漏洞的暴露，但是它們可以通過(guò)一些行之有效的安全原則來(lái)避免。雖然所有方面都要考慮安全性，但是并沒(méi)有一種方法能夠解決所有問(wèn)題;每一個(gè)網(wǎng)絡(luò)都存在差異，每一個(gè)業(yè)務(wù)都有其特殊需求，而且每一個(gè)業(yè)務(wù)執(zhí)行團(tuán)隊(duì)的信息風(fēng)險(xiǎn)容忍力也各不相同。

那么，什么才是最適合自身企業(yè)的?答案只有我們自己知道?；旌鲜褂梅阑饓σ?guī)則、ACL和VLAN技術(shù)，才能規(guī)定什么人和系統(tǒng)需要訪問(wèn)特定區(qū)域的網(wǎng)絡(luò)。此外， 執(zhí)行一個(gè)強(qiáng)有力的滲透測(cè)試并持續(xù)評(píng)估安全性，將幫助組織發(fā)現(xiàn)所需要的額外措施。我們很可能最終會(huì)發(fā)現(xiàn)需要額外的IPS傳感器、更嚴(yán)格的文件訪問(wèn)控制或者必須重要關(guān)注于DLP控制。

當(dāng)組織混合使用這些工具和技術(shù)之后，馬上會(huì)遇到一個(gè)更困難的工作：真正去實(shí)現(xiàn)“理想的”網(wǎng)絡(luò)分片。當(dāng)然，決定是否應(yīng)用網(wǎng)絡(luò)分片的業(yè)務(wù)動(dòng)因也會(huì)開(kāi)始起作用。這可能包括一些已知風(fēng)險(xiǎn)、合規(guī)性(例如：PCI DSS)或合同需求及需要這個(gè)功能的特定業(yè)務(wù)流程。雖然一些公司可能從未達(dá)到他們的“理想狀態(tài)”，但是最重要的是我們必須盡可能地減少任意用戶能接觸到的網(wǎng)絡(luò)攻擊區(qū)域。

由于現(xiàn)代企業(yè)網(wǎng)絡(luò)非常復(fù)雜，減少網(wǎng)絡(luò)漏洞影響重要性及合理性絲毫不亞于在第一線防止漏洞出現(xiàn)。最后，政治與文化也決定了應(yīng)該部署何種網(wǎng)絡(luò)分片技術(shù)，企業(yè)必須能夠適應(yīng)這個(gè)問(wèn)題。