目录:
视频: Орфография французского языка. Когда ставить accent grave, а когда – accent aigu? (十一月 2024)
到目前为止,您可能已经在从本专栏到网络安全功能以及网络监控最佳实践的讨论中看到了对网络分段的引用。 但是对于许多IT专业人员来说,网络分段是您总是打算很快解决的事情之一,但是总有一些麻烦。 就像在二月份纳税一样:您知道应该这样做,但是您需要额外的动力。 这就是我希望对这个5步解释器进行的操作。
网络分段有多种原因。 最重要的原因是安全性。 如果您的网络分为几个较小的网络,每个网络都有自己的路由器或第3层交换机,则可以将入口限制在网络的某些部分。 这样,仅将访问权限授予需要它的端点。 这样可以防止未经授权的用户访问您不想访问的网络部分,并且还限制了一些可能已经渗透到一个网段的黑客访问所有内容。
这就是2013年的Target违规事件。使用暖气,通风和空调(HVAC)承包商的凭证的攻击者可以访问销售点(POS)终端,信用卡数据库以及服务器上所有其他内容。网络。 显然,除了HVAC控制器外,HVAC承包商没有其他理由可以使用任何东西,但之所以这样做,是因为Target没有分段网络。
但是,如果您与Target不同,您需要花时间对网络进行分段,那么那些入侵者将能够看到您的暖气和空调控制器,而没有其他任何东西。 许多违规行为可能会成为非事件。 同样,仓库人员将无权访问会计数据库,也将无权访问HVAC控制器,但会计人员将有权访问其数据库。 同时,员工将可以访问电子邮件服务器,但网络上的设备将无法访问。
确定所需的功能
所有这些意味着您必须确定网络上需要通信的功能,并且需要确定所需的细分类型。 “决定性功能”意味着您需要查看哪些人员必须有权访问特定的计算资源,而哪些人没有权限。 这可能会很麻烦,但完成后,您将能够按职务或工作分配来分配功能,这在将来会带来更多好处。
至于分段类型,可以使用物理分段或逻辑分段。 物理分段意味着一个物理区域中的所有网络资产都将位于防火墙后面,该防火墙定义了哪些流量可以流入和哪些流量可以流出。 因此,如果10楼有自己的路由器,则可以物理上将那里的每个人分段。
逻辑分段将使用虚拟LAN(VLAN)或网络寻址来完成分段。 逻辑分段可以基于VLAN或特定子网来定义网络关系,也可以同时使用两者。 例如,您可能希望将物联网(IoT)设备放在特定的子网中,因此,虽然主数据网络是一组子网,但HVAC控制器甚至打印机都可以占用其他子网。 繁琐的事情是您需要定义对打印机的访问权限,以便需要打印的人可以访问。
更具动态性的环境可能意味着甚至更复杂的流量分配过程,可能不得不使用调度或编排软件,但是这些问题只会在较大的网络中出现。
不同的功能,解释
这部分是关于将工作功能映射到您的网段。 例如,典型的企业可能具有会计,人力资源(HR),生产,仓储,管理以及网络上连接的设备(例如打印机或如今的咖啡机)的零散分布。 这些功能中的每一个都有自己的网络部分,这些部分上的端点将能够访问其功能区域中的数据和其他资产。 但是他们可能还需要访问其他区域,例如电子邮件或互联网,并且可能需要常规人员区域来处理公告和空白表格。
下一步是查看必须阻止哪些功能到达这些区域。 一个很好的例子是您的物联网设备,它们仅需要与各自的服务器或控制器进行通信,而无需电子邮件,互联网浏览或人员数据。 仓库工作人员将需要库存访问权限,但例如,他们可能不应该具有会计访问权限。 您必须首先定义这些关系来开始细分。
网络分段的5个基本步骤
将网络上的每个资产分配给一个特定的组,这样会计人员将在一个组中,仓库人员在另一个组中,而经理在另一个组中。
确定您要如何处理细分。 如果您的环境允许,物理分段很容易,但这是有限的。 对于大多数组织来说,逻辑分段可能更有意义,但是您必须更多地了解网络。
确定哪些资产需要与其他资产进行通信,然后设置防火墙或网络设备以允许此操作并拒绝对其他所有资源的访问。
设置入侵检测和反恶意软件服务,以便两者都可以看到您的所有网段。 设置防火墙或交换机,以便它们报告入侵尝试。
请记住,对网段的访问对于授权用户应该是透明的,对于未经授权的用户,应该不能看到网段。 您可以尝试进行测试。
- 小型企业应立即采取的10个网络安全步骤小型企业应立即采取的10个网络安全步骤
- 超越外围:如何解决分层安全性超越外围:如何解决分层安全性
值得注意的是,除了最小的办公室以外,网络分段并不是真正的DIY项目。 但是阅读一些内容会使您准备好提出正确的问题。 美国网络应急准备小组或US-CERT(美国国土安全部的一部分)虽然是针对物联网和过程控制的指南,但却是一个不错的起点。 思科针对数据保护的细分市场提供了详细的文章,该文章不是特定于供应商的。
有些供应商提供有用的信息。 但是,我们尚未测试他们的产品,因此无法告诉您这些产品是否有用。 这些信息包括Sage Data Security的使用技巧,AlgoSec的最佳实践视频以及网络调度软件提供商HashiCorp的动态细分讨论。 最后,如果您是冒险家,安全咨询公司Bishop Fox将提供网络分段DIY指南。
至于分段带来的安全以外的其他好处,分段的网络可能会带来性能上的好处,因为分段上的网络流量可能不必与其他流量竞争。 这意味着工程人员不会发现其图纸会因备份而延迟,并且开发人员可以进行测试而不必担心其他网络流量对性能的影响。 但是在做任何事情之前,您需要制定一个计划。
