網(wǎng)絡(luò)分段使組織能夠降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并作為定義零信任安全策略的重要第一步。網(wǎng)絡(luò)分段創(chuàng)建了零信任安全策略可以強(qiáng)制執(zhí)行訪問控制的網(wǎng)絡(luò)邊界。過去，許多組織僅在網(wǎng)絡(luò)外圍定義安全邊界。以下步驟概述了如何在公司網(wǎng)絡(luò)中實(shí)施有效的分段。以下是來自CheckPoint的有關(guān)網(wǎng)絡(luò)分段的最佳實(shí)踐，供大家參考!

1. 識(shí)別有價(jià)值的數(shù)據(jù)和資產(chǎn)

并非組織內(nèi)的所有數(shù)據(jù)和資產(chǎn)都具有同等價(jià)值。某些系統(tǒng)，例如客戶數(shù)據(jù)庫，對(duì)于維持正常操作可能是必不可少的。其他的，如打印機(jī)，對(duì)企業(yè)的運(yùn)作很有用，但并不重要。

為資產(chǎn)分配重要性和價(jià)值級(jí)別是網(wǎng)絡(luò)分割的重要第一步。這些標(biāo)簽稍后將用于定義網(wǎng)絡(luò)內(nèi)的各種信任區(qū)域。

2. 為每個(gè)資產(chǎn)分配分類標(biāo)簽

除了資產(chǎn)的價(jià)值，考慮它們所包含的數(shù)據(jù)的敏感性也很重要。持有非常敏感數(shù)據(jù)的資產(chǎn)，例如客戶信息、研發(fā)數(shù)據(jù)等，可能需要額外的保護(hù)以符合數(shù)據(jù)保護(hù)法規(guī)或公司安全政策。

這些標(biāo)簽應(yīng)考慮數(shù)據(jù)的敏感性(即公開到高度受限)和資產(chǎn)包含的數(shù)據(jù)類型。這有助于定義符合適用法規(guī)的分段策略，例如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)。

3. 跨網(wǎng)絡(luò)映射數(shù)據(jù)流

網(wǎng)絡(luò)分段通過將網(wǎng)絡(luò)分成獨(dú)立的段來幫助提高網(wǎng)絡(luò)安全性。這使得攻擊者在獲得初始立足點(diǎn)后更難在網(wǎng)絡(luò)中橫向移動(dòng)。

但是，有許多合法的數(shù)據(jù)流需要被允許。應(yīng)映射網(wǎng)絡(luò)上所有系統(tǒng)的所有數(shù)據(jù)流，包括：

• 北向流量：北向流量正在離開公司網(wǎng)絡(luò)，例如員工從連接到公司網(wǎng)絡(luò)的托管設(shè)備訪問 saleforce.com。
• 東西流量：東西流量在網(wǎng)絡(luò)外圍內(nèi)的系統(tǒng)之間移動(dòng)，例如數(shù)據(jù)中心網(wǎng)絡(luò)中的前端網(wǎng)絡(luò)服務(wù)器和后端數(shù)據(jù)庫服務(wù)器。
• 南向流量：南向流量包括進(jìn)入網(wǎng)段或區(qū)域的數(shù)據(jù)，例如客戶或員工訪問位于DMZ 網(wǎng)絡(luò)或公司內(nèi)部網(wǎng)中的本地 Web 服務(wù)器。

4. 定義資產(chǎn)組

組織網(wǎng)絡(luò)中的某些資產(chǎn)用于類似目的并定期通信。將這些系統(tǒng)彼此分開是沒有意義的，因?yàn)樾枰S多例外來維持正常的功能。

在定義資產(chǎn)組時(shí)，重要的是要考慮這種相似的功能和企業(yè)網(wǎng)絡(luò)上各種資產(chǎn)的敏感性。任何用于類似目的和類似敏感度級(jí)別的資產(chǎn)都應(yīng)歸為一個(gè)部分，與具有不同信任級(jí)別或功能的其他資產(chǎn)分開。

5. 部署分段網(wǎng)關(guān)

定義段邊界很重要，但如果不強(qiáng)制執(zhí)行這些邊界，則對(duì)組織沒有任何好處。對(duì)每個(gè)網(wǎng)段實(shí)施訪問控制需要部署網(wǎng)段網(wǎng)關(guān)。

要強(qiáng)制分段邊界，所有進(jìn)出該分段的網(wǎng)絡(luò)流量都必須通過網(wǎng)關(guān)。因此，一個(gè)組織可能需要多個(gè)網(wǎng)關(guān)來實(shí)現(xiàn)有效的分段。這些要求有助于決定是選擇硬件防火墻還是虛擬防火墻。

6. 創(chuàng)建訪問控制策略

可以允許特定段內(nèi)的資產(chǎn)之間的流量不受限制地流動(dòng)。但是，段間通信需要由段網(wǎng)關(guān)監(jiān)控并遵守訪問控制策略。

這些策略應(yīng)基于最小權(quán)限原則定義，該原則規(guī)定應(yīng)用程序、設(shè)備或用戶應(yīng)具有完成其工作所需的最低權(quán)限級(jí)別。這些權(quán)限應(yīng)基于#3 中確定的合法數(shù)據(jù)流。

7. 執(zhí)行定期審計(jì)和審查

在定義微分段、部署分段網(wǎng)關(guān)、創(chuàng)建和執(zhí)行訪問控制策略之后，實(shí)現(xiàn)網(wǎng)絡(luò)分段的過程基本完成。但是，定義網(wǎng)絡(luò)分段策略并不是一次性的練習(xí)。

由于公司網(wǎng)絡(luò)的發(fā)展或初始設(shè)計(jì)過程中的疏忽和錯(cuò)誤，網(wǎng)絡(luò)分段策略可能會(huì)發(fā)生變化。解決這些潛在問題需要定期審核以確定是否進(jìn)行了更改，系統(tǒng)中是否存在任何不必要的風(fēng)險(xiǎn)，以及如何更新網(wǎng)段和訪問控制以減輕這些風(fēng)險(xiǎn)。

8. 盡可能自動(dòng)化

定義網(wǎng)絡(luò)分段策略可能是一項(xiàng)艱巨的任務(wù)，尤其是對(duì)于企業(yè)級(jí)網(wǎng)絡(luò)。嘗試手動(dòng)執(zhí)行所有這些步驟可能很困難或不可能。

因此，盡可能利用自動(dòng)化功能非常重要。尤其是在發(fā)現(xiàn)和分類階段，自動(dòng)化對(duì)于識(shí)別添加到網(wǎng)絡(luò)上的新資產(chǎn)、它們的通信流(如果它們包含任何漏洞)和應(yīng)用網(wǎng)絡(luò)分段策略是非常寶貴的。