隨著越來越多的業(yè)務(wù)流程走向數(shù)字化，擁有一個強(qiáng)大可靠的網(wǎng)絡(luò)能夠處理日益增長的日常流量對于維持生產(chǎn)力和服務(wù)至關(guān)重要。同時，網(wǎng)絡(luò)攻擊者永遠(yuǎn)不會停滯不前，每家組織都是潛在的目標(biāo)。

技術(shù)領(lǐng)導(dǎo)者及其團(tuán)隊(duì)比以往任何時候更知道設(shè)計(jì)一種網(wǎng)絡(luò)架構(gòu)的重要性，以便提供可靠的服務(wù)，并防御未經(jīng)授權(quán)的訪問?！陡２妓埂冯s志技術(shù)委員會的17位專家成員在本文中分享并解釋了組建和維護(hù)安全高效網(wǎng)絡(luò)的一些關(guān)鍵策略，這是當(dāng)今數(shù)字化工作場所的必備知識。

1. 清點(diǎn)盤查所有網(wǎng)絡(luò)資產(chǎn)

技術(shù)人員在設(shè)計(jì)網(wǎng)絡(luò)時很少擁有一個全新的環(huán)境。相反，他們面對的是必須更新改造的現(xiàn)有基礎(chǔ)設(shè)施。首先為所有網(wǎng)絡(luò)資產(chǎn)列一份最新的清單，并繪圖以勾勒網(wǎng)絡(luò)當(dāng)前的狀態(tài)和未來的預(yù)期狀態(tài)。完成這項(xiàng)工作后，在進(jìn)行任何更改之前備份所有當(dāng)前配置。

2. 尋求決策者的意見

一種安全高效的網(wǎng)絡(luò)架構(gòu)需要聽取業(yè)務(wù)決策者的意見，包括需要完成的內(nèi)容以及在任何特定的網(wǎng)段中必須使用的資源。一旦為整個組織確立了目標(biāo)，應(yīng)采用軟件定義的網(wǎng)絡(luò)分割。使用硬件和代理實(shí)施整個架構(gòu)成本太高、難度太大，而且無法輕易擴(kuò)展。

3. 實(shí)施最小權(quán)限

實(shí)施最小權(quán)限原則對于設(shè)計(jì)安全高效的網(wǎng)絡(luò)架構(gòu)至關(guān)重要。這包括將用戶和系統(tǒng)的訪問權(quán)限限制在執(zhí)行其任務(wù)所需的最低級別，從而減小安全漏洞和跨網(wǎng)段未經(jīng)授權(quán)訪問的潛在影響。

4. 采用零信任模式

在設(shè)計(jì)安全的網(wǎng)絡(luò)架構(gòu)時，應(yīng)采用零信任模式。這意味著在授予網(wǎng)段訪問權(quán)限之前，要對每個用戶和設(shè)備進(jìn)行驗(yàn)證，無論其位置在哪里?；谛枰赖臉?biāo)準(zhǔn)采用嚴(yán)格的訪問控制機(jī)制進(jìn)行分段，確保了嚴(yán)格的安全性和高效的流量管理，最大限度地降低了風(fēng)險(xiǎn)，并優(yōu)化了性能。

5. 遵循“縱深防御”原則

一個關(guān)鍵原則名為“縱深防御”。這意味著不依賴單一的技術(shù)、政策或流程來保護(hù)網(wǎng)絡(luò)的任何部分。使用這種方法，你假定保護(hù)網(wǎng)絡(luò)一部分的任何一層（防火墻、密碼或IP白名單）都可能被攻陷。然后，你設(shè)計(jì)結(jié)合多種毫不相關(guān)的方法以減輕威脅的防護(hù)措施。

6. 分割網(wǎng)絡(luò)

設(shè)計(jì)安全高效的網(wǎng)絡(luò)架構(gòu)的一個關(guān)鍵原則是實(shí)施可靠的網(wǎng)絡(luò)分段。這將網(wǎng)絡(luò)劃分為單獨(dú)的區(qū)域，每個區(qū)域都有獨(dú)特的訪問控制機(jī)制，縮小攻擊面，并遏制潛在漏洞。

7. 融入BFT原則

將拜占庭容錯（BFT）原則融入到網(wǎng)絡(luò)設(shè)計(jì)中。BFT是指在存在故障或惡意組件/部件的情況下，確保系統(tǒng)的可靠性和安全性。比如說，如果你引入冗余機(jī)制，并將網(wǎng)絡(luò)劃分為不同的節(jié)點(diǎn)，每個節(jié)點(diǎn)都有獨(dú)立的驗(yàn)證機(jī)制，網(wǎng)絡(luò)就可以抵御并隔離攻擊或故障事件。

8. 自動加密數(shù)據(jù)

盡可能對敏感數(shù)據(jù)和內(nèi)容采取加密保護(hù)，無論數(shù)據(jù)和內(nèi)容在什么環(huán)境中。為此可以自動加密所有的敏感數(shù)據(jù)、內(nèi)容和文檔，并以數(shù)字方式將它們分配給適當(dāng)?shù)慕M、角色及/或個人，從創(chuàng)建或攝取這類內(nèi)容開始入手，并在整個生命周期中持續(xù)進(jìn)行。

9. 創(chuàng)建VLAN

創(chuàng)建虛擬局域網(wǎng)（VLAN）是設(shè)計(jì)安全高效的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的最佳實(shí)踐。比如說，安全攝像頭、VoIP耳機(jī)、測試環(huán)境、公共會議室和Wi-Fi都應(yīng)該在VLAN上隔離開來。如果操作得當(dāng)，這讓你可以隔離和修復(fù)特定內(nèi)部網(wǎng)絡(luò)上的惡意嘗試和攻擊。

10. 限制人為錯誤的影響

軟件很脆弱，人類難免犯錯，所以個人系統(tǒng)和用戶受攻擊不可避免。安全網(wǎng)絡(luò)設(shè)計(jì)旨在設(shè)計(jì)的系統(tǒng)確保惡意軟件和人為錯誤的影響在時間和空間上受限制。試想：如果節(jié)點(diǎn)X受到了威脅，節(jié)點(diǎn)Y和你的網(wǎng)絡(luò)部件該如何配置以防止攻擊不會擴(kuò)散開來？

11. 建立訪客網(wǎng)絡(luò)

建立一個與主網(wǎng)絡(luò)隔離的訪客網(wǎng)絡(luò)。任何不屬于貴公司的設(shè)備（比如公司已制定自帶設(shè)備策略）只能連接到訪客網(wǎng)絡(luò)。你無法控制不屬于貴公司的設(shè)備訪問的網(wǎng)站或網(wǎng)站上的內(nèi)容，你永遠(yuǎn)不知道這些設(shè)備上存在什么威脅。擁有訪客網(wǎng)絡(luò)可以隔離BYOD策略帶來的任何威脅。

12. 竭力隔離流量

網(wǎng)絡(luò)設(shè)計(jì)者需要全面了解預(yù)期的流量、業(yè)務(wù)目的和威脅。他們應(yīng)該設(shè)計(jì)隔離流量的網(wǎng)絡(luò)，便于監(jiān)測點(diǎn)和控制點(diǎn)發(fā)現(xiàn)和管理異常流量。盡管微分割和入侵檢測等技術(shù)模糊了隔離線，但堅(jiān)持采用控制點(diǎn)仍然是安全網(wǎng)絡(luò)設(shè)計(jì)的關(guān)鍵原則。

13. 盡量減少“跳數(shù)”

盡量減少數(shù)據(jù)包需要經(jīng)過的“跳數(shù)”（hop）很重要，因?yàn)槊恳惶紩哟髷?shù)據(jù)丟失的可能性。除了防御方法（比如外部密鑰管理）和主動方法（比如加密靈活性）外，防止風(fēng)險(xiǎn)的最佳方法是部署多個安全層，以防止攻擊者在網(wǎng)絡(luò)中橫向移動時訪問和提取關(guān)鍵數(shù)據(jù)。

14. 了解聯(lián)網(wǎng)資產(chǎn)的行為

你需要了解聯(lián)網(wǎng)資產(chǎn)的行為以及它們所處的環(huán)境。它們連接到什么設(shè)備？什么時候連接？實(shí)現(xiàn)所需功能的基本通信是什么？自動化和人工智能有助于為設(shè)備活動確立一個基準(zhǔn)，這對于定義只允許獲得批準(zhǔn)的通信、阻止其他一切通信的分段策略至關(guān)重要。

15. 隔離生產(chǎn)網(wǎng)絡(luò)與非生產(chǎn)網(wǎng)絡(luò)

要實(shí)現(xiàn)適當(dāng)?shù)木W(wǎng)絡(luò)隔離，最關(guān)鍵的設(shè)計(jì)原則之一是將生產(chǎn)網(wǎng)絡(luò)與非生產(chǎn)（即辦公）網(wǎng)絡(luò)完全隔離開來。這是防止勒索軟件攻擊從非生產(chǎn)網(wǎng)絡(luò)擴(kuò)散到關(guān)鍵生產(chǎn)網(wǎng)絡(luò)的重要防御措施，這些類型的攻擊通常針對非生產(chǎn)網(wǎng)絡(luò)（通過電子郵件）。

16. 采取多步驟的方法設(shè)置防火墻

設(shè)計(jì)一個防火墻規(guī)則，并部署規(guī)則，只有日志功能（沒有阻塞）。在進(jìn)入完全阻塞之前，根據(jù)需要調(diào)整規(guī)則。確保考慮到在月末、季度末或年末運(yùn)行的非典型流程，在每周的正常工作時間內(nèi)通常不會發(fā)現(xiàn)這些流程。

17. 隔離各個IIoT流程

在生產(chǎn)制造環(huán)境中，建議將生產(chǎn)流程及其相關(guān)的工業(yè)物聯(lián)網(wǎng)（IIoT）設(shè)備托管在隱蔽的網(wǎng)絡(luò)上，這些網(wǎng)絡(luò)被嚴(yán)密地屏蔽和保護(hù)起來。確保在不同的網(wǎng)絡(luò)上隔離每個流程及其相關(guān)的IIoT設(shè)備。當(dāng)需要訪問流程或其IIoT設(shè)備時，部署安全的單一入口點(diǎn)平臺。

本文翻譯自：https://www.forbes.com/sites/forbestechcouncil/2023/11/28/17-key-strategies-for-designing-a-secure-efficient-network/?sh=22f3b1db2096如若轉(zhuǎn)載，請注明原文地址