網(wǎng)絡(luò)分段是一種網(wǎng)絡(luò)安全工具，它可以將網(wǎng)絡(luò)劃分為不同的網(wǎng)段，每個網(wǎng)段是自成一體的網(wǎng)絡(luò)。網(wǎng)絡(luò)分段讓一家公司的專家可以根據(jù)公司的策略來控制網(wǎng)段之間的數(shù)據(jù)流。

企業(yè)經(jīng)常使用分段來改善網(wǎng)絡(luò)安全、改進監(jiān)控、提升網(wǎng)絡(luò)性能并發(fā)現(xiàn)漏洞。

網(wǎng)絡(luò)分段簡介

網(wǎng)絡(luò)分段是一種組織手段，將公司的網(wǎng)絡(luò)劃分為多個網(wǎng)段或子網(wǎng)。每個網(wǎng)段和子網(wǎng)是自成一體的網(wǎng)絡(luò)。這可以幫助網(wǎng)絡(luò)管理員根據(jù)公司的需要來跟蹤不同網(wǎng)段之間的數(shù)據(jù)流。

網(wǎng)絡(luò)分段是一種工具，有助于改善監(jiān)控、提升性能，并改善企業(yè)的網(wǎng)絡(luò)安全需求。網(wǎng)絡(luò)分段可以防止未經(jīng)授權(quán)的用戶，只允許公司訪問有價值的客戶信息。

為網(wǎng)絡(luò)分段的七個步驟

1. 確定最有價值的資產(chǎn)和數(shù)據(jù)

數(shù)據(jù)和公司資產(chǎn)在推動業(yè)務(wù)的價值和發(fā)展。

公司應(yīng)該分析其網(wǎng)絡(luò)，看看哪些數(shù)據(jù)和資產(chǎn)需要最有力的保護。有價值的資產(chǎn)可能包括客戶數(shù)據(jù)庫或員工信息。要確定如何對數(shù)據(jù)進行估值，有三個因素：

增長：長期觀察數(shù)據(jù)增長情況有助于發(fā)現(xiàn)當(dāng)前數(shù)據(jù)和未來數(shù)據(jù)當(dāng)中的模式。

回報：如果資產(chǎn)與客戶數(shù)據(jù)有關(guān)，信任和錢財是需要考慮的重要部分。

風(fēng)險：丟失數(shù)據(jù)的風(fēng)險需要考慮，這有助于找到劃分有價值的數(shù)據(jù)的正確方法。

2. 用標(biāo)簽對資產(chǎn)進行分類

按高、中、低不等的重要性來標(biāo)記資產(chǎn)有助于公司確定并優(yōu)先考慮應(yīng)該將網(wǎng)絡(luò)安全工作重心放在哪里。為了確定價值，公司必須考慮機密性：

雖然不是所有的數(shù)據(jù)和資產(chǎn)都具有這樣的機密性，但這是開始標(biāo)記的有用方法。這些標(biāo)簽將定義網(wǎng)絡(luò)中的信任和保護。

3.檢測網(wǎng)絡(luò)和數(shù)據(jù)流，并繪制成圖

為了檢測網(wǎng)絡(luò)和數(shù)據(jù)流并繪制成圖，公司應(yīng)該使用標(biāo)簽核查部門網(wǎng)絡(luò)的每一步，以確定基本的數(shù)據(jù)和網(wǎng)絡(luò)流。

在為數(shù)據(jù)和網(wǎng)絡(luò)繪圖時，專家應(yīng)該注意數(shù)據(jù)如何流動、數(shù)據(jù)如何傳輸以及公司使用的方法。

業(yè)內(nèi)專家建議核查所有數(shù)據(jù)流，以便了解：

北向流量，指離開公司網(wǎng)絡(luò)的數(shù)據(jù)流。

東西向流量，指網(wǎng)絡(luò)邊界中的系統(tǒng)之間傳輸?shù)臄?shù)據(jù)流。

南向流量，指進入公司網(wǎng)段的數(shù)據(jù)流。

網(wǎng)絡(luò)分段將網(wǎng)絡(luò)劃分為不同的網(wǎng)段，從而提高網(wǎng)絡(luò)安全性。

4. 確定公司想要如何為網(wǎng)絡(luò)分段

一旦收集了網(wǎng)絡(luò)和數(shù)據(jù)流，公司必須確定如何為網(wǎng)絡(luò)分段。雖然防火墻通常是公司的選擇，但它們并不是網(wǎng)絡(luò)分段的唯一形式：

交換機是為網(wǎng)絡(luò)分段的第二常用方法。公司常常在內(nèi)部使用交換機，同時在劃分網(wǎng)絡(luò)區(qū)域時使用防火墻。

氣隙幫助分段實現(xiàn)通過兩家互聯(lián)網(wǎng)提供商分布的兩個網(wǎng)絡(luò)連接。

模擬電話線是一種為網(wǎng)絡(luò)分段的離線方式。部署和配置模擬電話線后，沒有網(wǎng)絡(luò)入侵風(fēng)險。

虛擬局域網(wǎng)（VLAN）是一種廣播域，可以在網(wǎng)絡(luò)內(nèi)部提供分區(qū)和隔離，并在部署時實現(xiàn)網(wǎng)絡(luò)設(shè)計。

點對點加密是為網(wǎng)絡(luò)分段的另一種方法，但它也可以杜絕對分段的任何需要。

5. 部署網(wǎng)絡(luò)流量分段網(wǎng)關(guān)

網(wǎng)段邊界必須快速完成，以便對每個網(wǎng)段內(nèi)的訪問進行控制。所有網(wǎng)段都需要訪問控制。為了擁有網(wǎng)段邊界，所有進出網(wǎng)段的網(wǎng)絡(luò)流量都必須經(jīng)過網(wǎng)關(guān)傳輸。

美國國家安全局表示：“如果部署得當(dāng)，網(wǎng)段邊界和訪問控制都提供了一種靈活的方式來執(zhí)行網(wǎng)絡(luò)分段，并且在跨越網(wǎng)段傳輸時，數(shù)據(jù)流可以被動態(tài)引導(dǎo)到可以感知應(yīng)用的防火墻?！?/p>

6. 制定全公司的訪問控制策略

全公司的訪問控制策略至關(guān)重要，因為網(wǎng)絡(luò)犯罪分子或胡作非為的員工可能擁有不受限制的訪問權(quán)限。

美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）聲稱：“訪問控制策略是一種高級別的需求，規(guī)定了如何管理訪問以及誰可以在什么情況下訪問信息?！?/p>

應(yīng)該基于最低特權(quán)原則來決定全公司的訪問控制策略，使用員工可能擁有的完成工作所需的任何應(yīng)用程序或設(shè)備。

7. 執(zhí)行審計和審核，并實現(xiàn)網(wǎng)絡(luò)自動化

在部署分段網(wǎng)關(guān)并創(chuàng)建公司訪問控制策略之后，可以構(gòu)建分段網(wǎng)關(guān)。定義網(wǎng)絡(luò)分段策略確實需要隨著公司網(wǎng)絡(luò)的變化而變化。

由于經(jīng)常出現(xiàn)變更，公司需要執(zhí)行審計和審核，并監(jiān)控網(wǎng)絡(luò)，但這也將幫助公司了解是否出現(xiàn)了任何風(fēng)險或錯誤。

網(wǎng)絡(luò)分段測試可以是網(wǎng)絡(luò)安全審計、滲透測試、漏洞掃描和風(fēng)險評估。

用網(wǎng)絡(luò)分段保護貴公司

能夠分隔網(wǎng)段有助于防止大大小小的數(shù)據(jù)泄露事件。隨著一家公司壯大或變化，公司網(wǎng)絡(luò)必須處理龐大流量。

網(wǎng)絡(luò)分段提供了可訪問性、更好的性能，并有助于保護整個公司。

本文翻譯自：https://www.datamation.com/security/how-to-segment-a-network/