塔吉特(Target)泄密事件無(wú)異于向大企業(yè)的IT從業(yè)人員敲響了一記警鐘。這令人遺憾,因?yàn)橐皇堑湫推髽I(yè)架構(gòu)的一個(gè)非常過時(shí)的方面:廣域網(wǎng)缺少網(wǎng)絡(luò)分段機(jī)制,塔吉特以及其他大型零售商和數(shù)百萬(wàn)的顧客原本可以避免損失和苦惱。
要是能夠?qū)嵭芯W(wǎng)絡(luò)分段、流量隔離,企業(yè)就能夠防止攻擊者訪問企業(yè)網(wǎng)絡(luò)上不同分段上的數(shù)據(jù)后,迅速演變成危害性很大的重大泄密事件的攻擊。此外,塔吉特事件表明,泄密事件不一定就來(lái)自公司自身網(wǎng)絡(luò)的內(nèi)部。業(yè)務(wù)合作伙伴的系統(tǒng)也可能遭到危及,隨后,這種感染同樣會(huì)擴(kuò)展到其他實(shí)體的數(shù)據(jù)。
網(wǎng)絡(luò)分段的好處
企業(yè)需要一系列防范措施,確保敏感數(shù)據(jù)仍然安全;確保可能遭到危及的網(wǎng)絡(luò)邊緣和業(yè)務(wù)合作伙伴數(shù)據(jù)可以隨時(shí)加以隔離和擦清。比如說(shuō),你將供應(yīng)商整合到企業(yè)網(wǎng)絡(luò)上后,就需要將供應(yīng)商與企業(yè)的所有敏感信息隔離開來(lái),比如客戶數(shù)據(jù)。
網(wǎng)絡(luò)分段提供了另外的好處,包括如下:
·對(duì)業(yè)務(wù)部門進(jìn)行分段,不管位置如何;
·為客戶和合作伙伴分隔訪客的無(wú)線訪問權(quán);
·隔離橫跨多個(gè)地方的按需而建的開發(fā)和測(cè)試實(shí)驗(yàn)室;
·讓企業(yè)更容易合規(guī)和審計(jì),比如《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI-DSS)和《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)。
·多租戶和B2B合作伙伴;
·數(shù)字標(biāo)牌和數(shù)字錄像機(jī)(DVR)服務(wù)
可能最讓CIO和IT部門吃下放心丸的是,能夠根據(jù)基于用戶、設(shè)備和位置的策略,為自帶設(shè)備(BYOD)設(shè)置不同的權(quán)限。這可以極其簡(jiǎn)單地解決BYOD策略被粗心大意的員工濫用而引起的棘手問題和潛在的安全泄密。
跨站流量分段面臨的困難
分段在一個(gè)站點(diǎn)里面并不難(使用虛擬局域網(wǎng)),但是一旦流量離開了站點(diǎn),進(jìn)入到廣域網(wǎng),隔離就不復(fù)存在。也就是說(shuō),無(wú)法跨企業(yè)保持隔離,因而就有可能出現(xiàn)安全泄密事件。為了將分隔機(jī)制合理地?cái)U(kuò)展到整個(gè)網(wǎng)絡(luò)中,必須將相關(guān)的識(shí)別信息傳送到網(wǎng)絡(luò)中的所有點(diǎn)。
遺留網(wǎng)絡(luò)為解決這個(gè)問題提供了兩種不同的辦法;遺憾的是,這兩種辦法都效率低下。第一種方法是,在單一設(shè)備上定義群組策略,并且在網(wǎng)絡(luò)中的每個(gè)點(diǎn)執(zhí)行該策略,你可以在虛擬路由和轉(zhuǎn)發(fā)精簡(jiǎn)版(VRF Lite)和逐段VRF中看到這一情況。除了缺少迫切需要的可擴(kuò)展性外,網(wǎng)絡(luò)中執(zhí)行該策略的點(diǎn)數(shù)量太多;頭端變得異常復(fù)雜、無(wú)法管理,變更控制也變得極其困難。
另一種方法是在網(wǎng)絡(luò)邊緣定義策略,并在數(shù)據(jù)流量中傳送分段信息,比如在MPLS第3層VPN中。遺憾的是,這種方法變得復(fù)雜、成本高昂。
SD-WAN和分段
公司需要一種成熟可靠的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,可以將路由、安全、集中策略和編排整合起來(lái),從而提供一個(gè)安全的網(wǎng)絡(luò),又擁有實(shí)現(xiàn)端到端分段所需的固有功能。為廣域網(wǎng)添加軟件定義網(wǎng)絡(luò)功能形成了SD-WAN,可以解決這個(gè)問題。SD-WAN不僅能對(duì)信息進(jìn)行分段,還能將信息傳送到網(wǎng)絡(luò)中的所有相關(guān)點(diǎn),又不需要外部機(jī)制或額外協(xié)議,這就簡(jiǎn)化了網(wǎng)絡(luò)設(shè)計(jì)。
SD-WAN還可以為企業(yè)帶來(lái)下列功能:
·在現(xiàn)有的網(wǎng)絡(luò)上創(chuàng)建端到端網(wǎng)絡(luò)分段,但又不用改動(dòng)路徑中的任何設(shè)備;
·執(zhí)行基于分段的策略(比如說(shuō),訪客無(wú)線流量應(yīng)該走成本最低的線路,同時(shí)保留高SLA線路用于創(chuàng)收的流量);
·根據(jù)位置來(lái)控制哪些分段獲得訪問權(quán),因而防止有人攻擊遠(yuǎn)程站點(diǎn);
·基于分段執(zhí)行網(wǎng)絡(luò)策略(比如說(shuō),來(lái)自未知BYOD設(shè)備的流量通過DMZ擦洗站點(diǎn)來(lái)發(fā)送,之后才可允許訪問網(wǎng)絡(luò)。)
·基于分段執(zhí)行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(比如說(shuō),使用交互式語(yǔ)音/視頻的分段可能從一站點(diǎn)傳送到另一站點(diǎn),而另外某些分段是純粹的集中星型。)
端到端網(wǎng)絡(luò)分段這個(gè)想法提供了網(wǎng)絡(luò)行業(yè)幾年來(lái)一直在考慮采用的方案,但是它實(shí)施起來(lái)太過復(fù)雜了。不過,如今的網(wǎng)絡(luò)攻擊詭計(jì)多端,又不可預(yù)測(cè),這就意味著光靠防火墻和加密已不足以確保企業(yè)數(shù)據(jù)安全――網(wǎng)絡(luò)分段必須成為該戰(zhàn)略的一個(gè)不可或缺的部分。