網(wǎng)絡(luò)分片是自IT興起以來就有的一種經(jīng)過檢驗(yàn)且可靠的網(wǎng)絡(luò)安全原則。

早在上世紀(jì)70年代，James Martin、Saltzer和Schroeder研究提出的最小權(quán)限 和職責(zé)分離等概念讓企業(yè)懂得了只能給用戶提供業(yè)務(wù)所需要的系統(tǒng)訪問權(quán)限，而不提供在此范圍之外的權(quán)限。但是，在幾十年的時間里，有無數(shù)的安全事件都是因?yàn)橐恍┤双@得了本不應(yīng)該獲得的未授權(quán)系統(tǒng)訪問權(quán)限。

顯然這里出現(xiàn)了問題。例如，最近出現(xiàn)了來自中國的攻擊入侵歐洲網(wǎng)絡(luò)的事件，黑客攻破了網(wǎng)絡(luò)，并使用高訪問權(quán)限盜取數(shù)據(jù)。這些可能受到制止的攻擊獲取了正常訪問該網(wǎng)絡(luò)分片的權(quán)限。

在本文中，我們將介紹企業(yè)網(wǎng)絡(luò)分片的優(yōu)點(diǎn)及缺點(diǎn)，重點(diǎn)介紹一些應(yīng)用網(wǎng)絡(luò)分片的最佳實(shí)踐方法，它們可以降低現(xiàn)代無數(shù)網(wǎng)絡(luò)安全威脅所造成的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)分片的優(yōu)點(diǎn)

網(wǎng)絡(luò)分片的定義是指對網(wǎng)絡(luò)進(jìn)行分割或隔離——通常采用一個或多個防火墻，但是在政府或軍事網(wǎng)絡(luò)中，出于安全原因的考慮，這可能意味著要在物理上隔離不同的網(wǎng)絡(luò)，使它們無法連接其他網(wǎng)絡(luò)或互聯(lián)網(wǎng)。正確的網(wǎng)絡(luò)分片有以下作用：

· 以需知的方式給關(guān)鍵服務(wù)器和應(yīng)用程序提供強(qiáng)有力的保護(hù)

· 將遠(yuǎn)程工作者隔離在他們有必要訪問的網(wǎng)絡(luò)區(qū)域

· 簡化網(wǎng)絡(luò)管理，其中包括事件監(jiān)控和意外響應(yīng)

· 減少由業(yè)務(wù)合作伙伴和客戶不斷發(fā)起的安全突擊審計(jì)與調(diào)查所付出的人力

雖然這些優(yōu)點(diǎn)在理論上是非常好的，但是這個任務(wù)遠(yuǎn)遠(yuǎn)不僅僅是“分片和執(zhí)行”這么簡單。各個組織都必須考慮下面這些網(wǎng)絡(luò)分片的缺點(diǎn)與挑戰(zhàn)：

· 對于跨職能部署而言，對于需要各種內(nèi)部網(wǎng)絡(luò)訪問的外部供應(yīng)商和業(yè)務(wù)流程而言，這些層次的分片訪問可能是無法實(shí)現(xiàn)的。

· 使用虛擬局域網(wǎng)(VLAN)來執(zhí)行分片的方式(最常見的方式)咋一看很不錯，但是只要知道IP尋址方式，局域網(wǎng)中的任何人都可以繞過某個網(wǎng)絡(luò)分片預(yù)先確定的訪問權(quán)限限制，直接跳到一個新網(wǎng)段。

· 網(wǎng)絡(luò)分片是安全漏洞掃描的一個真實(shí)痛點(diǎn)。我們需要通過訪問控制列表/防火墻規(guī)則在物理或邏輯上將掃描程序從一個分片移到另一個分片。此外，我們可能還需要同時部署遠(yuǎn)程掃描傳感器。

· 如果企業(yè)不使用終端安全控制程序(如反病毒軟件、入侵防御和防止數(shù)據(jù)丟失)來處理每一個網(wǎng)絡(luò)分片中的惡意行為(如病毒感染或內(nèi)部威脅)，那么他們?nèi)匀粫媾R巨大的風(fēng)險(xiǎn)。

· 現(xiàn)代企業(yè)所使用的無數(shù)面對互聯(lián)網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)設(shè)備、服務(wù)器、Web應(yīng)用程序和云服務(wù)必須面向公眾開放——組織可以嘗試隔離惡意流量，但是這是很難實(shí)現(xiàn)的。

· 執(zhí)行主管不希望自己的計(jì)算體驗(yàn)受到周期性影響。

然而，網(wǎng)絡(luò)分片可能并不總是最佳解決方法。特定的業(yè)務(wù)流程、合作伙伴網(wǎng)絡(luò)連接或缺少網(wǎng)絡(luò)管理資源(例如，資金或技術(shù))等都可能造成更嚴(yán)重的問題。甚至，在追求安全性與方便性的平衡過程中，后者往往占據(jù)優(yōu)先地位。但是，這些都不意味著我們應(yīng)該放棄給網(wǎng)絡(luò)劃分正確的分片。

讓我感興趣的是許多組織(包括一些大型企業(yè))在還沒有完全理解網(wǎng)絡(luò)分片的真實(shí)風(fēng)險(xiǎn)之前，就已經(jīng)實(shí)現(xiàn)了各種級別的網(wǎng)絡(luò)分片。如果不懂一項(xiàng)技術(shù)，那么我們就不可能保證它的安全性。如果還沒有清晰理解它所處的狀態(tài)及其風(fēng)險(xiǎn)，那么從長遠(yuǎn)角度看，我們是不可能實(shí)現(xiàn)一種一直保持有效的網(wǎng)絡(luò)分片。

毫無疑問，現(xiàn)代的“全面互聯(lián)”網(wǎng)絡(luò)肯定會加劇安全漏洞的暴露，但是它們可以通過一些行之有效的安全原則來避免。雖然所有方面都要考慮安全性，但是并沒有一種方法能夠解決所有問題;每一個網(wǎng)絡(luò)都存在差異，每一個業(yè)務(wù)都有其特殊需求，而且每一個業(yè)務(wù)執(zhí)行團(tuán)隊(duì)的信息風(fēng)險(xiǎn)容忍力也各不相同。

那么，什么才是最適合自身企業(yè)的?答案只有我們自己知道?；旌鲜褂梅阑饓σ?guī)則、ACL和VLAN技術(shù)，才能規(guī)定什么人和系統(tǒng)需要訪問特定區(qū)域的網(wǎng)絡(luò)。此外， 執(zhí)行一個強(qiáng)有力的滲透測試并持續(xù)評估安全性，將幫助組織發(fā)現(xiàn)所需要的額外措施。我們很可能最終會發(fā)現(xiàn)需要額外的IPS傳感器、更嚴(yán)格的文件訪問控制或者必須重要關(guān)注于DLP控制。

當(dāng)組織混合使用這些工具和技術(shù)之后，馬上會遇到一個更困難的工作：真正去實(shí)現(xiàn)“理想的”網(wǎng)絡(luò)分片。當(dāng)然，決定是否應(yīng)用網(wǎng)絡(luò)分片的業(yè)務(wù)動因也會開始起作用。這可能包括一些已知風(fēng)險(xiǎn)、合規(guī)性(例如：PCI DSS)或合同需求及需要這個功能的特定業(yè)務(wù)流程。雖然一些公司可能從未達(dá)到他們的“理想狀態(tài)”，但是最重要的是我們必須盡可能地減少任意用戶能接觸到的網(wǎng)絡(luò)攻擊區(qū)域。

由于現(xiàn)代企業(yè)網(wǎng)絡(luò)非常復(fù)雜，減少網(wǎng)絡(luò)漏洞影響重要性及合理性絲毫不亞于在第一線防止漏洞出現(xiàn)。最后，政治與文化也決定了應(yīng)該部署何種網(wǎng)絡(luò)分片技術(shù)，企業(yè)必須能夠適應(yīng)這個問題。