網(wǎng)絡(luò)分區(qū)是一種基本的預(yù)防性安全控制，可減少企業(yè)的攻擊面并阻止橫向移動(dòng)。它使攻擊者的生活更具挑戰(zhàn)性，因?yàn)樗麄儫o(wú)法從互聯(lián)網(wǎng)直接訪問(wèn)所有虛擬機(jī)(vm)。

而且，即使他們進(jìn)入了企業(yè)網(wǎng)絡(luò)，如果防火墻和區(qū)域限制了內(nèi)部網(wǎng)絡(luò)連接和流量，他們也無(wú)法從一個(gè)虛擬機(jī)快速跳轉(zhuǎn)到下一個(gè)虛擬機(jī)。然而，人工智能和IT自動(dòng)化的興起挑戰(zhàn)了一項(xiàng)基本的分區(qū)原則：階段。

階段如何影響網(wǎng)絡(luò)和網(wǎng)絡(luò)安全

開(kāi)發(fā)區(qū)、測(cè)試區(qū)、預(yù)生產(chǎn)區(qū)域和生產(chǎn)區(qū)域，敏捷工程方法取代了老式的瀑布模型，但是階段仍然存在。一些IT部門(mén)有三個(gè)或只有兩個(gè)階段，一些談?wù)摷蓽y(cè)試或單元測(cè)試階段。目的是一樣的:

防止錯(cuò)誤地在生產(chǎn)上進(jìn)行實(shí)驗(yàn)”，或者在沒(méi)有事先在測(cè)試安裝上進(jìn)行測(cè)試的情況下故意修復(fù)生產(chǎn)問(wèn)題。應(yīng)用的運(yùn)行穩(wěn)定性對(duì)許多企業(yè)來(lái)說(shuō)至關(guān)重要，因此不允許在生產(chǎn)中進(jìn)行未經(jīng)測(cè)試的更改。階段啟用并執(zhí)行此原則。

● 限制存儲(chǔ)敏感數(shù)據(jù)的機(jī)器，例如，在開(kāi)發(fā)和單元測(cè)試階段只允許合成或匿名數(shù)據(jù)。

● 阻礙橫向移動(dòng)，尤其是從通常沒(méi)有得到完美保護(hù)的開(kāi)發(fā)服務(wù)器到生產(chǎn)機(jī)器。

實(shí)際上，更大的網(wǎng)絡(luò)設(shè)計(jì)會(huì)區(qū)分內(nèi)部和外部，即互聯(lián)網(wǎng)可達(dá)區(qū)域，并在互聯(lián)網(wǎng)和外部區(qū)域之間，放置Web應(yīng)用防火墻和應(yīng)用接口(API)管理解決方案。國(guó)家或業(yè)務(wù)單位是其他廣泛使用的分區(qū)維度。在非生產(chǎn)階段可能會(huì)采用相同或更簡(jiǎn)單的分區(qū)概念。

這是傳統(tǒng)的設(shè)置。在過(guò)去的幾年里，人工智能和IT自動(dòng)化成為人們關(guān)注的焦點(diǎn)，并帶來(lái)了變化。

IT自動(dòng)化如何影響網(wǎng)絡(luò)分區(qū)

高可用性和快速編碼到部署周期，都需要數(shù)據(jù)中心的自動(dòng)化。另外，自動(dòng)化使管理員更有效率。與過(guò)去幾年的全職工作相比，如今安裝和設(shè)置軟件只需單擊一下即可完成，在過(guò)去，管理員需要處理20張軟盤(pán)。

如今的監(jiān)控服務(wù)器有自動(dòng)報(bào)警。如果需要手動(dòng)干預(yù)，他們會(huì)主動(dòng)通知管理員。此外，CI/CD管道是標(biāo)準(zhǔn)的。然而，這些效率提升需要修改網(wǎng)絡(luò)分區(qū)概念。

監(jiān)控和部署組件和CI/CD管道對(duì)網(wǎng)絡(luò)分區(qū)的影響

監(jiān)控解決方案檢查VM和網(wǎng)絡(luò)組件的可用性，并尋找可能暗示安全事件的事件。我們可以將監(jiān)控組件放置在生產(chǎn)區(qū)內(nèi)的專(zhuān)用區(qū)域或完全單獨(dú)放置。顯然，如果這些應(yīng)用按分區(qū)分開(kāi)，則不太可能出現(xiàn)操作錯(cuò)誤。此外，應(yīng)該有選擇地打開(kāi)防火墻，而不是只打開(kāi)所有防火墻。

監(jiān)控解決方案就是一個(gè)例子，其他解決方案屬于同一類(lèi)別，例如，補(bǔ)丁管理或漏洞掃描。然而，雖然有可能規(guī)避此類(lèi)解決方案的跨階段訪問(wèn)，但根據(jù)定義，CI/CD管道是跨階段的。

首先，將代碼部署到本地筆記本電腦上，然后是測(cè)試服務(wù)器、集成環(huán)境，最后部署到生產(chǎn)環(huán)境。因此，CI/CD管道的純粹性質(zhì)需要跨階段訪問(wèn)。同樣，如果一個(gè)工具必須在所有階段部署和更改VM，則區(qū)域之間的防火墻不應(yīng)完全拆除，而只能選擇性地為該工具開(kāi)放。

訓(xùn)練人工智能模型和網(wǎng)絡(luò)分區(qū)

人工智能提出了將生產(chǎn)數(shù)據(jù)與開(kāi)發(fā)活動(dòng)分開(kāi)的想法。訓(xùn)練人工智能模型意味著運(yùn)行算法，從數(shù)千個(gè)變量和數(shù)百萬(wàn)個(gè)數(shù)據(jù)集中檢測(cè)依賴關(guān)系，這是不可能手工檢測(cè)的。

此培訓(xùn)需要實(shí)際數(shù)據(jù)，盡管它可能不需要所有敏感數(shù)據(jù)，例如客戶姓名、地址和社會(huì)安全號(hào)碼。模型訓(xùn)練的類(lèi)似開(kāi)發(fā)任務(wù)必須在生產(chǎn)數(shù)據(jù)上運(yùn)行，因此必須在生產(chǎn)區(qū)域中運(yùn)行。但是，一個(gè)獨(dú)立的人工智能和分析生產(chǎn)(子)區(qū)域是有意義的。人工智能通常意味著想要保持安全的大量數(shù)據(jù)，并將其與正常工作流程分開(kāi)。

人工智能與自動(dòng)化平臺(tái)工程與舞臺(tái)概念

IT自動(dòng)化組件和人工智能訓(xùn)練環(huán)境不同于正常應(yīng)用工作負(fù)載。兩者都需要適應(yīng)傳統(tǒng)的分區(qū)概念，以實(shí)現(xiàn)跨階段的連接。然而，區(qū)分生產(chǎn)實(shí)例和它們的工程是至關(guān)重要的。

人工智能平臺(tái)的工程和自動(dòng)化工具的監(jiān)控遵循企業(yè)通常的工程方法。工程師首先在開(kāi)發(fā)區(qū)工作，然后再將更改推廣到測(cè)試預(yù)生產(chǎn)和生產(chǎn)環(huán)境。在沒(méi)有特殊要求的情況下，經(jīng)典規(guī)則適用于工程：僅連接到當(dāng)前階段，不提供用于開(kāi)發(fā)和早期測(cè)試的生產(chǎn)數(shù)據(jù)。

總而言之，盡管IT自動(dòng)化相關(guān)工具和人工智能模型的訓(xùn)練有少數(shù)例外，但傳統(tǒng)的分區(qū)和分段概念在20年代仍然存在。區(qū)域和階段的世界并沒(méi)有變得模糊，它變得越來(lái)越豐富多彩和復(fù)雜。