网络微分段

网络微分段是一种安全技术，通过将网络划分成独特的逻辑单元来隔离网络设备、接入点和通信协议，从而帮助限制潜在数据泄露的范围。本文将探讨网络微分段的工作原理、它所提供的优势，以及您可以遵循的实施步骤。

大多数系统都是设计来促进设备间通信的，它们假定网络安全边界内的所有用户都是可信的。因此，如果入侵者获得对网络或网络内部设备的访问权限，他们便能轻松遍历网络，发现并危及其他关键系统。这种现象被称为横向移动。

网络微分段通过将网络设备、接入点和通信（通常是数据中心内的流量）划分成独特的逻辑单元，直接解决了这种风险。这些单元根据数据中心或组织内部的设备及其用户的独特工作流程来封装特定的服务和安全策略。这意味着网络的每个分段只处理与数据中心或组织内特定工作流程相关的流量和访问，从而限制了潜在违规行为的范围。

除了防止网络内的横向移动外，网络微分段还提供了若干其他优势。理解并实施这项技术可以为您提供一套增强网络或数据中心安全性的工具。在本文中，我们将深入探讨网络微分段是什么，它能为您提供什么，以及如何在您的组织中使用 ISecWay 来实施它。

为什么要实施微分段？

网络微分段为您的企业带来许多好处，包括减小攻击面、防止横向移动、增强威胁可见性以及促进法规遵从性。

减小攻击面

攻击面包括任何可能出现硬件或软件漏洞的设备。只要设备通过网络进行通信，它就有可能被威胁者利用。

潜在的攻击面包括工作站和笔记本电脑、网络文件服务器、网络应用服务器、交换机和路由器、多功能打印机以及移动设备。您的网络托管的设备和应用程序越多，攻击面就越大，使网络犯罪分子更容易入侵您的网络。

微分段通过将您的设备隔离到较小的逻辑网络段中，从而大大减小您的攻击面。在微分段系统中，即使您的网络遭到入侵，泄露也只会影响作为入口点的特定分段，而网络的其余部分仍然受到保护。

防止横向移动

一旦威胁者获得对网络的访问权限，他们会立即寻找方法来维持自己的访问权限，并确定网络内可以潜在入侵的其他设备或服务。为了实现这一目标，他们会使用工具来扫描、发现并收集有关网络的信息，以确定自己在网络上的位置以及其他连接的设备。

在微分段网络中，这个过程几乎不可能实现。各个逻辑网络分段之间的用户和设备通信受到零信任策略的约束，这些策略定义并限制用户和设备之间可以发生的通信类型。

这意味着攻击者无法扫描发现其他节点；即使他们这样做了，由于未经授权的通信会被拒绝或阻止，他们也无法进一步交互。

威胁的可见性

微分段的细粒度特性允许更高效地在网络内发现威胁。根据工作负载，可以对网络内的大多数（如果不是全部）用户和设备之间的通信进行标记。这意味着访问网络、请求类型和流量的异常情况更容易被发现。入侵检测和防御系统可以更快地标记出哪个节点被入侵，因为它们根据每个段的特定工作负载进行调整，而不是扫描整个网络上的所有内容。这还可以实现更快的事件响应和攻击缓解。

符合法规要求

随着数据和网络需求以及技术在拥有本地和云网络基础架构的组织中的演变，保持符合 GDPR 和 PCI DSS 等数据法规的规定非常具有挑战性。

通过微分段，受保护的数据基础设施可以划分成隔离的环境，并严格执行和维护相应的访问和安全策略。这也为法规机构在合规性检查和验证期间提供了易于查看的环境。

考虑到所有这些好处，让我们来看看为您的组织设置网络微分段将涉及什么。

如何设置网络微分段

由于组织的网络基础架构需求各不相同，所以没有通用的网络微分段实施方式

。但是，有一些基本步骤对大多数情况都相关，从获得网络体系结构的可见性到管理长期实施过程中的挑战。

清点网络资源和资产

为了正确实施微分段，对系统的可见性至关重要。您应该从映射和理解当前的网络体系结构开始。您还应该识别网络中的各种组件、用户、应用程序和数据点，并记录所有这些信息。

这为您提供了对网络资源和资产以及它们之间连接所需的可见性，这对于下一步非常必要。

对网络资源进行分类

在对网络有了更深入的了解之后，观察并识别网络模式、工作负载和流量流。这将帮助您了解哪些用户和部门访问哪些应用程序、服务器或数据。一些有用的因素应该变得清晰——例如，哪些服务器端口需要保持开放和可访问，或者哪些机器应该相互通信以及这种通信应该是单向的还是双向的。

这将使您能够根据设备及其用户的工作负载和数据流的独特上下文对网络节点和组件进行分类。根据您使用的网络技术，这可以通过网络区域或子网、标签和组来完成。

例如，财务部门的用户将访问为他们提供的网络文件存储。这意味着三件事:

1. 财务部门的所有用户将分类到一个组中，例如“财务”。根据部门中的角色，也可以创建子组以进一步对这些用户进行分类。
2. 部门共享的所有网络设备或资源都将被标记，例如 finance_resource。
3. 诸如用户工作站之类的网络设备可以放置在单个子网或区域中。根据您的网络情况，每个子网都可以放在像网关路由器或防火墙这样的周边设备后面。

像 ISecWay 这样的工具可以帮助您轻松实现上述上下文分类。ISecWay 为您的网络中的机器分类提供了标签，为用户提供了组，并为您网络中子网内的节点提供了主机。

根据您的设置，您还可能需要子网路由器和出口节点，特别是为了更轻松地从大型网络子网过渡。然后，这些标签、组和主机将在下一步中应用各种访问控制策略（ACL）。

制定和配置访问策略

访问策略是网络微分段的关键方面。它们包含并应用定义和控制网络各节点和分段访问的规则。这就是前面提到的零信任方法发挥作用的地方。

零信任意味着默认情况下，网络用户和设备之间的所有通信都不受信任，因此除非由 ACL 特别允许，否则都会被阻止或拒绝。ISecWay 提供了一个强大的网络访问控制系统，允许您轻松实施可应用于单个用户、组、机器和标签的策略。这反过来为您提供了对网络中任何对象的细粒度控制。

一旦完成上一步中的分类，可以通过以下方式建立策略:

机器与机器: 这些访问策略调节机器与机器之间的通信，通常使用 IP 和机器名称——例如，Web 服务器只能通过端口 5432 访问 Postgres 数据库服务器，而不能反过来，以允许 Web 服务器上的 CMS 访问和显示数据库中的内容。但由于数据库服务器不需要来自 Web 服务器的任何内容，因此将阻止或限制所有到 Web 服务器的通信。

用户与机器: 这里，用户的访问被限制到特定资源——例如，服务器管理员可以通过端口 22 的 SSH 访问数据库服务器以执行系统管理功能，如执行备份或系统更新和维护。

使用 ISecWay，除上述之外，您还可以通过以下方式定义策略:

标签与标签: 可以将这视为您网络上机器或设备的组，例如将所有打印机分类到一个标签下或将所有 Web 服务器分类到一个标签下。这也可以用来在不基于 IP 地址和特定机器名称的情况下实现机器到机器的访问策略。如上面的机器到机器示例中所示，您可以让多个带有 web-server 标签的服务器访问同一台或多台带有 db-server 标签的数据库服务器。

用户与标签: 单个用户可以被授予访问所有带特定标签的服务器的权限。例如，网站管理员可能需要通过 SSH 端口 22 以及 http/https 通过端口 80 和 443 访问所有带有 web-server 标签的 Web 服务器，以便查看它们的网页并在所有带有 web-server 标签的服务器的文件系统上执行某些任务。

组与标签: 这些策略确保特定组内的所有用户都可以访问带有特定标签的所有网络资源——例如，IT 支持组中的所有用户都可以通过 RDP 访问带有 general-staff 标签的所有工作站，以便在需要时为员工提供支持。

使用 ISecWay，除上述之外，您还可以通过以下方式定义策略:

模拟和验证

一

旦策略被创建和执行，就必须检查它们是否按预期运行。您需要遍历每个用例和场景以确保正确的访问控制到位。

您还应该测试边缘情况: 尝试使用其他用户帐户或计算机违反各种策略，并评估结果。这将帮助您识别安全漏洞或可能遗漏的工作负载。

同样，ISecWay 提供了一个简单但有效的测试功能，允许您针对上一步中实施的各种访问规则或策略创建测试用例及断言。这些测试用例根据您定义的断言可能失败或通过。当您对 ACL 进行修改时，这个测试功能还可以帮助您运行检查，以便在更改被接受和推出之前了解更改的影响。

设置微分段的挑战

如果由于组织规模大，网络基础架构需求广泛，那么最初的阶段（即清点和分类网络资源）可能会非常耗时和劳力。

在最初实施微分段时，从网络的一个部分开始，然后有条不紊地移动到另一个部分会是一个好主意。一旦一个单元的功能达到预期，就可以在保持对整个网络的可见性的同时转移到下一个单元，直到组织的整个网络实现微分段为止。这个过程可能需要数天、数月甚至数年。

但是网络微分段还存在其他挑战，特别是从长期来看: 您的组织及其需求不仅可能会发生变化，技术和更广泛的法规也可能会发生变化。例如，基于 IP 和名称的策略可能会随着时间的推移而失败，因为出于不同目的，一些具有这些 IP 和名称的设备可能会被其他设备替换或完全删除，从而违反现有策略。这意味着策略必须结构化并设置成适应长期使用。

如前所述采取积极措施（如定义访问策略）可以帮助缓解这一挑战。通过 ISecWay 的标签和组，您可以更有效地根据它们的角色以及目的或功能对访问策略进行分类和定义。

ISecWay 强大的 ACL 使您能够创建在持续时间内保持有效和奏效的策略。标签还可以用于自动注册 ISecWay 网络上的机器，从而在不需要进一步干预或监督的情况下，在该设备上应用相应的 ACL。

ISecWay 用于网络微分段

我们已经介绍了 ISecWay 一些可以帮助您实现微分段的创新功能。但这些还不是 ISecWay 能为您的企业带来的唯一好处。

直观的用户界面

实现微分段可能是一个复杂和乏味的过程，特别是在处理广泛的技术和拓扑时。ISecWay 为您提供了一个单一的、直观的、易于使用的 UI 来管理整个网络。

强大的加密

通过 ISecWay，您拥有自己的私有网络，称为 isecnet，它将安全性视为绝对优先事项。isecway 采用端到端加密来保护您网络上每个设备之间的所有通信。

一个全面的解决方案

直观的 UI 与一套全面功能相结合，特别是集中访问控制，这使您能够满足网络中的几乎所有安全需求，而与位置或拓扑无关。这还包括详细而易于遵循的产品文档，以帮助您顺利快速完成设置。

总结

在本文中，您了解了网络微分段及其在提高网络安全方面的力量。您已经看到了一些主要优势，例如该技术如何减小攻击面，如何对威胁发出更好的警报，如何防止横向移动以及如何帮助您遵守规定。您还了解了实施的关键步骤以及 ISecWay 如何帮助您实现有效、安全和可持续的微分段网络。

ISecWay 是一种成本效益高的 网络隧道 解决方案，适用于希望充分利用网络微分段所带来安全优势的企业。它可以跨地点和全球网络无缝工作。您可以在任何设备上免费下载 ISecWay 并开始探索其可能性。

常见问题解答

以下是关于网络微分段的一些常见问题及其答案。

网络微分段的优势是什么？

实施网络分段可以大大减少您的攻击面，因为您的设备被隔离到更小的逻辑网络段中，即使发生攻击，在网络间横向移动也将变得更加困难。微分段的细粒度特性允许更高效地在网络内识别威胁，它将受保护的数据基础设施隔离到独立的环境中，为监管机构的合规性检查和验证提供了易于查看的环境。

**实施网络微分段

的步骤是什么？**

实施网络分段遵循四个广泛的步骤:

1. 清点网络资源和资产：映射和理解网络架构，并识别网络内的组件、用户、应用程序和数据点。记录所有这些。
2. 对网络资源进行分类：识别网络模式、工作负载和流量流，以了解哪些用户和部门访问哪些应用程序、服务器或数据，从而根据工作负载和数据流的独特上下文对网络节点和组件进行分类。这可以通过网络区域或子网、标签和组来完成。
3. 制定和配置访问策略：一旦完成分类，建立访问策略以定义和控制对网络各节点和分段的访问。这是一个零信任的方法，默认情况下不信任用户和设备之间的通信。
4. 模拟和验证：检查策略是否按预期运行，遍历每个用例和场景以确保访问控制到位。

网络微分段如何阻止横向移动攻击？

一旦入侵者访问网络，他们会使用工具来扫描、发现和收集有关网络和连接设备的信息，以识别可以入侵的其他设备或服务。在微分段网络中，各段之间的通信受到零信任策略的约束，这些策略定义并限制可以发生的通信类型。这使攻击者几乎无法扫描发现其他节点，即使发现也无法进一步交互。