網(wǎng)絡分段使組織能夠降低網(wǎng)絡安全風險，并作為定義零信任安全策略的重要第一步。網(wǎng)絡分段創(chuàng)建了零信任安全策略可以強制執(zhí)行訪問控制的網(wǎng)絡邊界。過去，許多組織僅在網(wǎng)絡外圍定義安全邊界。以下步驟概述了如何在公司網(wǎng)絡中實施有效的分段。以下是來自CheckPoint的有關網(wǎng)絡分段的最佳實踐，供大家參考!

1. 識別有價值的數(shù)據(jù)和資產(chǎn)

并非組織內(nèi)的所有數(shù)據(jù)和資產(chǎn)都具有同等價值。某些系統(tǒng)，例如客戶數(shù)據(jù)庫，對于維持正常操作可能是必不可少的。其他的，如打印機，對企業(yè)的運作很有用，但并不重要。

為資產(chǎn)分配重要性和價值級別是網(wǎng)絡分割的重要第一步。這些標簽稍后將用于定義網(wǎng)絡內(nèi)的各種信任區(qū)域。

2. 為每個資產(chǎn)分配分類標簽

除了資產(chǎn)的價值，考慮它們所包含的數(shù)據(jù)的敏感性也很重要。持有非常敏感數(shù)據(jù)的資產(chǎn)，例如客戶信息、研發(fā)數(shù)據(jù)等，可能需要額外的保護以符合數(shù)據(jù)保護法規(guī)或公司安全政策。

這些標簽應考慮數(shù)據(jù)的敏感性(即公開到高度受限)和資產(chǎn)包含的數(shù)據(jù)類型。這有助于定義符合適用法規(guī)的分段策略，例如支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)。

3. 跨網(wǎng)絡映射數(shù)據(jù)流

網(wǎng)絡分段通過將網(wǎng)絡分成獨立的段來幫助提高網(wǎng)絡安全性。這使得攻擊者在獲得初始立足點后更難在網(wǎng)絡中橫向移動。

但是，有許多合法的數(shù)據(jù)流需要被允許。應映射網(wǎng)絡上所有系統(tǒng)的所有數(shù)據(jù)流，包括：

• 北向流量：北向流量正在離開公司網(wǎng)絡，例如員工從連接到公司網(wǎng)絡的托管設備訪問 saleforce.com。
• 東西流量：東西流量在網(wǎng)絡外圍內(nèi)的系統(tǒng)之間移動，例如數(shù)據(jù)中心網(wǎng)絡中的前端網(wǎng)絡服務器和后端數(shù)據(jù)庫服務器。
• 南向流量：南向流量包括進入網(wǎng)段或區(qū)域的數(shù)據(jù)，例如客戶或員工訪問位于DMZ 網(wǎng)絡或公司內(nèi)部網(wǎng)中的本地 Web 服務器。

4. 定義資產(chǎn)組

組織網(wǎng)絡中的某些資產(chǎn)用于類似目的并定期通信。將這些系統(tǒng)彼此分開是沒有意義的，因為需要許多例外來維持正常的功能。

在定義資產(chǎn)組時，重要的是要考慮這種相似的功能和企業(yè)網(wǎng)絡上各種資產(chǎn)的敏感性。任何用于類似目的和類似敏感度級別的資產(chǎn)都應歸為一個部分，與具有不同信任級別或功能的其他資產(chǎn)分開。

5. 部署分段網(wǎng)關

定義段邊界很重要，但如果不強制執(zhí)行這些邊界，則對組織沒有任何好處。對每個網(wǎng)段實施訪問控制需要部署網(wǎng)段網(wǎng)關。

要強制分段邊界，所有進出該分段的網(wǎng)絡流量都必須通過網(wǎng)關。因此，一個組織可能需要多個網(wǎng)關來實現(xiàn)有效的分段。這些要求有助于決定是選擇硬件防火墻還是虛擬防火墻。

6. 創(chuàng)建訪問控制策略

可以允許特定段內(nèi)的資產(chǎn)之間的流量不受限制地流動。但是，段間通信需要由段網(wǎng)關監(jiān)控并遵守訪問控制策略。

這些策略應基于最小權限原則定義，該原則規(guī)定應用程序、設備或用戶應具有完成其工作所需的最低權限級別。這些權限應基于#3 中確定的合法數(shù)據(jù)流。

7. 執(zhí)行定期審計和審查

在定義微分段、部署分段網(wǎng)關、創(chuàng)建和執(zhí)行訪問控制策略之后，實現(xiàn)網(wǎng)絡分段的過程基本完成。但是，定義網(wǎng)絡分段策略并不是一次性的練習。

由于公司網(wǎng)絡的發(fā)展或初始設計過程中的疏忽和錯誤，網(wǎng)絡分段策略可能會發(fā)生變化。解決這些潛在問題需要定期審核以確定是否進行了更改，系統(tǒng)中是否存在任何不必要的風險，以及如何更新網(wǎng)段和訪問控制以減輕這些風險。

8. 盡可能自動化

定義網(wǎng)絡分段策略可能是一項艱巨的任務，尤其是對于企業(yè)級網(wǎng)絡。嘗試手動執(zhí)行所有這些步驟可能很困難或不可能。

因此，盡可能利用自動化功能非常重要。尤其是在發(fā)現(xiàn)和分類階段，自動化對于識別添加到網(wǎng)絡上的新資產(chǎn)、它們的通信流(如果它們包含任何漏洞)和應用網(wǎng)絡分段策略是非常寶貴的。