网络分段是一种网络安全工具,它可以将网络划分为不同的网段,每个网段是自成一体的网络。网络分段让一家公司的专家可以根据公司的策略来控制网段之间的数据流。
企业经常使用分段来改善网络安全、改进监控、提升网络性能并发现漏洞。
网络分段简介
网络分段是一种组织手段,将公司的网络划分为多个网段或子网。每个网段和子网是自成一体的网络。这可以帮助网络管理员根据公司的需要来跟踪不同网段之间的数据流。
网络分段是一种工具,有助于改善监控、提升性能,并改善企业的网络安全需求。网络分段可以防止未经授权的用户,只允许公司访问有价值的客户信息。
为网络分段的七个步骤
1. 确定最有价值的资产和数据
数据和公司资产在推动业务的价值和发展。
公司应该分析其网络,看看哪些数据和资产需要最有力的保护。有价值的资产可能包括客户数据库或员工信息。要确定如何对数据进行估值,有三个因素:
增长:长期观察数据增长情况有助于发现当前数据和未来数据当中的模式。
回报:如果资产与客户数据有关,信任和钱财是需要考虑的重要部分。
风险:丢失数据的风险需要考虑,这有助于找到划分有价值的数据的正确方法。
2. 用标签对资产进行分类
按高、中、低不等的重要性来标记资产有助于公司确定并优先考虑应该将网络安全工作重心放在哪里。为了确定价值,公司必须考虑机密性:
访问限制 | 如果被公开访问 | 类型 | |
低机密性 | 公开访问 | 可以毫无问题地使用或重新分发 | 工作描述和公共网站内容 |
中等机密性 | 公司访问 | 数据丢失会产生重大的负面影响 | 公司政策、电子邮件和文档 |
高机密性 | 机密访问 | 数据丢失对公司不利 | 财务记录和商业机密 |
虽然不是所有的数据和资产都具有这样的机密性,但这是开始标记的有用方法。这些标签将定义网络中的信任和保护。
3.检测网络和数据流,并绘制成图
为了检测网络和数据流并绘制成图,公司应该使用标签核查部门网络的每一步,以确定基本的数据和网络流。
在为数据和网络绘图时,专家应该注意数据如何流动、数据如何传输以及公司使用的方法。
业内专家建议核查所有数据流,以便了解:
北向流量,指离开公司网络的数据流。
东西向流量,指网络边界中的系统之间传输的数据流。
南向流量,指进入公司网段的数据流。
网络分段将网络划分为不同的网段,从而提高网络安全性。
4. 确定公司想要如何为网络分段
一旦收集了网络和数据流,公司必须确定如何为网络分段。虽然防火墙通常是公司的选择,但它们并不是网络分段的唯一形式:
交换机是为网络分段的第二常用方法。公司常常在内部使用交换机,同时在划分网络区域时使用防火墙。
气隙帮助分段实现通过两家互联网提供商分布的两个网络连接。
模拟电话线是一种为网络分段的离线方式。部署和配置模拟电话线后,没有网络入侵风险。
虚拟局域网(VLAN)是一种广播域,可以在网络内部提供分区和隔离,并在部署时实现网络设计。
点对点加密是为网络分段的另一种方法,但它也可以杜绝对分段的任何需要。
5. 部署网络流量分段网关
网段边界必须快速完成,以便对每个网段内的访问进行控制。所有网段都需要访问控制。为了拥有网段边界,所有进出网段的网络流量都必须经过网关传输。
美国国家安全局表示:“如果部署得当,网段边界和访问控制都提供了一种灵活的方式来执行网络分段,并且在跨越网段传输时,数据流可以被动态引导到可以感知应用的防火墙。”
6. 制定全公司的访问控制策略
全公司的访问控制策略至关重要,因为网络犯罪分子或胡作非为的员工可能拥有不受限制的访问权限。
美国国家标准与技术研究所(NIST)声称:“访问控制策略是一种高级别的需求,规定了如何管理访问以及谁可以在什么情况下访问信息。”
应该基于最低特权原则来决定全公司的访问控制策略,使用员工可能拥有的完成工作所需的任何应用程序或设备。
7. 执行审计和审核,并实现网络自动化
在部署分段网关并创建公司访问控制策略之后,可以构建分段网关。定义网络分段策略确实需要随着公司网络的变化而变化。
由于经常出现变更,公司需要执行审计和审核,并监控网络,但这也将帮助公司了解是否出现了任何风险或错误。
网络分段测试可以是网络安全审计、渗透测试、漏洞扫描和风险评估。
用网络分段保护贵公司
能够分隔网段有助于防止大大小小的数据泄露事件。随着一家公司壮大或变化,公司网络必须处理庞大流量。
网络分段提供了可访问性、更好的性能,并有助于保护整个公司。
本文翻译自:https://www.datamation.com/security/how-to-segment-a-network/