《企業(yè)網D1Net》5月30日訊

提起網絡分片，相信很多人都不熟悉，網絡分片是自IT興起以來就有的一種經過檢驗且可靠的網絡安全原則。在本文中，我們將介紹企業(yè)網絡分片的優(yōu)點及缺點，重點介紹一些應用網絡分片的最佳實踐方法，它們可以降低現(xiàn)代無數(shù)網絡安全威脅所造成的風險。

網絡分片的優(yōu)點

網絡分片的定義是指對網絡進行分割或隔離——通常采用一個或多個防火墻，但是在政府或軍事網絡中，出于安全原因的考慮，這可能意味著要在物理上隔離不同的網絡，使它們無法連接其他網絡或互聯(lián)網。正確的網絡分片有以下作用：

· 以需知的方式給關鍵服務器和應用程序提供強有力的保護

· 將遠程工作者隔離在他們有必要訪問的網絡區(qū)域

· 簡化網絡管理，其中包括事件監(jiān)控和意外響應

· 減少由業(yè)務合作伙伴和客戶不斷發(fā)起的安全突擊審計與調查所付出的人力

雖然這些優(yōu)點在理論上是非常好的，但是這個任務遠遠不僅僅是“分片和執(zhí)行”這么簡單。各個組織都必須考慮下面這些網絡分片的缺點與挑戰(zhàn)：

· 對于跨職能部署而言，對于需要各種內部網絡訪問的外部供應商和業(yè)務流程而言，這些層次的分片訪問可能是無法實現(xiàn)的。

· 使用虛擬局域網(VLAN)來執(zhí)行分片的方式(最常見的方式)咋一看很不錯，但是只要知道IP尋址方式，局域網中的任何人都可以繞過某個網絡分片預先確定的訪問權限限制，直接跳到一個新網段。

· 網絡分片是安全漏洞掃描的一個真實痛點。我們需要通過訪問控制列表/防火墻規(guī)則在物理或邏輯上將掃描程序從一個分片移到另一個分片。此外，我們可能還需要同時部署遠程掃描傳感器。

· 如果企業(yè)不使用終端安全控制程序(如反病毒軟件、入侵防御和防止數(shù)據丟失)來處理每一個網絡分片中的惡意行為(如病毒感染或內部威脅)，那么他們仍然會面臨巨大的風險。

· 現(xiàn)代企業(yè)所使用的無數(shù)面對互聯(lián)網的網絡基礎架構設備、服務器、Web應用程序和云服務必須面向公眾開放——組織可以嘗試隔離惡意流量，但是這是很難實現(xiàn)的。

· 執(zhí)行主管不希望自己的計算體驗受到周期性影響。

然而，網絡分片可能并不總是最佳解決方法。特定的業(yè)務流程、合作伙伴網絡連接或缺少網絡管理資源(例如，資金或技術)等都可能造成更嚴重的問題。甚至，在追求安全性與方便性的平衡過程中，后者往往占據優(yōu)先地位。但是，這些都不意味著我們應該放棄給網絡劃分正確的分片。

讓我感興趣的是許多組織(包括一些大型企業(yè))在還沒有完全理解網絡分片的真實風險之前，就已經實現(xiàn)了各種級別的網絡分片。如果不懂一項技術，那么我們就不可能保證它的安全性。如果還沒有清晰理解它所處的狀態(tài)及其風險，那么從長遠角度看，我們是不可能實現(xiàn)一種一直保持有效的網絡分片。

毫無疑問，現(xiàn)代的“全面互聯(lián)”網絡肯定會加劇安全漏洞的暴露，但是它們可以通過一些行之有效的安全原則來避免。雖然所有方面都要考慮安全性，但是并沒有一種方法能夠解決所有問題;每一個網絡都存在差異，每一個業(yè)務都有其特殊需求，而且每一個業(yè)務執(zhí)行團隊的信息風險容忍力也各不相同

那么，什么才是最適合自身企業(yè)的?答案只有我們自己知道。混合使用防火墻規(guī)則、ACL和VLAN技術，才能規(guī)定什么人和系統(tǒng)需要訪問特定區(qū)域的網絡。此外， 執(zhí)行一個強有力的滲透測試并持續(xù)評估安全性，將幫助組織發(fā)現(xiàn)所需要的額外措施。我們很可能最終會發(fā)現(xiàn)需要額外的IPS傳感器、更嚴格的文件訪問控制或者必須重要關注于DLP控制。

當組織混合使用這些工具和技術之后，馬上會遇到一個更困難的工作：真正去實現(xiàn)“理想的”網絡分片。當然，決定是否應用網絡分片的業(yè)務動因也會開始起作用。這可能包括一些已知風險、合規(guī)性(例如：PCI DSS)或合同需求及需要這個功能的特定業(yè)務流程。雖然一些公司可能從未達到他們的“理想狀態(tài)”，但是最重要的是我們必須盡可能地減少任意用戶能接觸到的網絡攻擊區(qū)域。

D1Net評論：

由于現(xiàn)代企業(yè)網絡非常復雜，減少網絡漏洞影響重要性及合理性絲毫不亞于在第一線防止漏洞出現(xiàn)。最后，政治與文化也決定了應該部署何種網絡分片技術，企業(yè)必須能夠適應這個問題。