乾貨!網絡分段–優秀數據保護

2023.08.18

乾貨!網絡分段–優秀數據保護


每個運行內部系統,無論是物理的還是虛擬的,以支持企業網絡安全需求的人都必須意識到自己的責任。在保護數據方面,網絡分段是無可替代的。

每個運行內部系統,無論是物理的還是虛擬的,以支持企業網絡安全需求的人都必須意識到自己的責任。在保護數據方面,網絡分段是無可替代的。

隨著設計變得越來越複雜,分段也變得越來越重要。僅依賴軟件即服務(SaaS)或不使用IT服務的企業是唯一不需要網絡隔離的企業。

在詳細了解如何分段計算機網絡之前,首先得定義網絡分段是什麼。

網絡分段是什麼,以及如何工作?

網絡分段是一種網絡安全方法,其將網絡劃分為更小的、獨立的子網。其允許網絡團隊為每個子網劃分安全控制和服務。

在網絡分段中,一個物理網絡被細分為多個邏輯網絡。然後,一旦每個網絡組件被分解為更小、更易於管理的單元,就會向其添加控件。

1.其是如何工作的?

如果想在更大的網絡中構建各種不同的網絡,那麼網絡分段非常好。相同級別的信任可以保護這些分段中特定類別的應用或端點。

網絡分段可以通過多種方式實現:

(1) 基於邊界的分段

基於邊界的分段根據網絡邊界的可信度將網絡劃分為可信部分和不可信部分。其結果是一個內部網絡分段程度較低的扁平網絡,對內部資源幾乎沒有限制。固定網絡點用於過濾和分段。

網絡性能最初旨在通過虛擬局域網(VLAN)來提高,隨著時間的推移,虛擬局域網逐漸發展成為安全工具,但從未打算使用。由於VLAN缺乏VLAN內過濾,因此可以提供更廣泛的網絡訪問。

防火牆是保護網絡邊界的標準方法。如果想要管理南北移動的網絡流量,但仍允許網段之間進行通信,那麼這是正確的工具。

(2) 網絡虛擬化

現在有許多企業擁有一系列網絡區域,需要在不同的網絡點進行分段。此外,網絡必須處理的端點類型和信任級別的數量也有所增加。

因此,基於邊界的分段不再足夠。由於這些技術,雲、自帶設備(BYOD)和移動之間沒有明確的邊界點。如果能進一步深入到具有更大分段的網絡中,安全性和性能將會得到提高。由於當今東西向的流量模式,甚至需要更多的網絡分段。通過網絡虛擬化,可以將分段使用到下一個級別。

網絡虛擬化以其最簡單的形式,提供獨立於物理基礎設施的網絡和安全服務。網絡虛擬化是促進有效網絡分段的重要因素,因為其使整個網絡的分段成為可能,而不僅僅是在邊界。

2.網絡分段示例

子網或子網分段是一種通過將大型網絡劃分為較小的子網或網絡來預防安全漏洞的措施。

網絡分段旨在限制子網之間的通信,以減少對設備、數據和應用的非法訪問。因此,實施網絡分段對於零信任至關重要,因為其減少了網絡內橫向移動的機會。

分段網絡上的每個子網都充當虛擬局域網(VLAN)。子網可以通過安全策略互連,安全策略指定允許哪些用戶、服務和設備互連。最無價的資產將受到最嚴格的安全措施的保護。

網絡分段示例:

使用內部防火牆作為網絡分段示例是實現此目的的一種方法。網絡專家可以將防火牆兩側的兩個網絡劃分為子網。例如,在數據通過防火牆到達網絡的另一端之前,可以在第一子網環境中檢查數據是否存在有害代碼。

當涉及到路由數據時,網絡分段也是一個非常寶貴的工具。工程師可以限制通過特定網段發送的數據類型,以提高安全性,或減少對網絡硬件造成壓力或消耗額外資源的流量。

其他網絡分段示例包括,已獲得網絡訪問權限的人員嘗試在網絡中移動以訪問和利用敏感數據。如果網絡是平坦的(沒有網橋或路由器等中間設備),攻擊者可以通過單個入口點輕鬆訪問整個系統。

對於當今復雜的現代互聯企業而言,扁平網絡由於系統之間的橫向訪問而特別容易受到攻擊。

另一方面,如果網絡被分段,惡意流量將無法快速訪問整個生態系統。因此,攻擊者將被限制在其最初滲透的區域,從而給IT部門時間來檢測漏洞並減輕其影響。

網絡分段策略

網絡分段有助於企業在採用零信任安全策略的同時,最大限度地降低網絡安全風險。此外,網絡分段造成了零信任網絡障礙。

長期以來,只有網絡邊界可以得到保護。使用這些步驟,可以成功地對企業的網絡進行分段。

1. 確定有價值的信息和資產

組織的數據和資產的價值並不完全相同。為了保持系統的平穩運行,一些系統,如客戶數據庫,是必要的。打印機是一種有用的工具,但對企業的運營並不重要。

2. 對每個資產的分類應用標籤

在為這些資產分配標籤時,應考慮敏感性(即公眾受到嚴格限制)和資產所包含的數據類型。此外,遵守支付卡行業數據安全標準(PCI DSS)等要求有助於製定劃分策略。

3. 繪製網絡數據流圖

通過將網絡劃分為離散的部分,網絡分段有助於增強網絡安全性。一旦攻擊者建立了立足點,將很難在網絡中橫向移動。

4. 識別和分類資產子組

在網絡環境中,某些資產具有相似的功能並且經常進行通信。因此,如果這些系統彼此隔離,就不可能維持正常運行,因為必須有一些例外情況。

5. 為分段部署網關

確定劃分邊界至關重要,但如果不堅持這些邊界,組織將不會獲得什麼優勢。因此,需要安裝網段網關,對每個網段實施訪問控制。

6. 創建訪問控制策略

根據分段,可能允許資產之間的無限流量。另一方面,網段間的通信必須受到網段網關的監控,並遵守訪問控制策略。

如果考慮最小特權原則,應用分段應該只擁有履行其職責所需的權限。

7. 確保定期審計和審查

在定義微分段、部署分段網關以及製定和實施訪問控制策略後,網絡分段已接近完成。然而,網絡分段策略的定義並不是一次性的工作。

8. 自動化

對於大型網絡來說,定義網絡分段策略可能是一項重大任務。手動執行所有這些任務可能是完全不可能的。

網絡分段的類型

1. 網絡分段

通過VLAN或子網對網絡進行分段早已成為標準做法。可以通過創建虛擬局域網(VLAN)來創建更小的網段,虛擬局域網將所有主機虛擬地相互連接。

子網使用IP地址將網絡劃分為更小的部分,這些部分可以在網絡設備的幫助下互連。因此,這些方法可以提高網絡性能,並防止攻擊傳播到單個VLAN或子網之外。

這類方法面臨兩大障礙。網絡經常被重新架構以滿足分段要求。第二個問題是難以編寫和管理駐留在網絡設備上的成千上萬條ACL規則來建立子網。

2. 防火牆分段

乾貨! 網絡分段–最佳數據保護乾貨!網絡分段–最佳數據保護

可以使用防火牆代替網絡來確保分段。例如,可以通過部署防火牆將內部網絡或數據中心劃分為不同的功能區,使其相互隔離。這可以防止攻擊傳播到其他功能區域。這方面的一個例子是將工程應用與金融應用分開。例如,PCI數據就是需要保護的敏感區域的典型示例。

3. 使用SDN進行分段

SDN依靠與網絡物理硬件隔離的集中控制器來提供更高的網絡自動化和可編程性。例如,SDN網絡覆蓋實現可用於構建策略,通過一組分佈式防火牆過濾數據包以實現分段。

當應用不適合網絡邊界時,成功的微分段所需的高複雜性就成為一個問題。因此,SDN側重於網絡策略,而不是其他技術所解決的工作負載和應用程序流的安全可見性。

4. 微分段

乾貨! 網絡分段–最佳數據保護乾貨!網絡分段–最佳數據保護

可以在不使用子網或防火牆的情況下在計算機網絡中實現分段,但這不是唯一的選擇。每個數據中心或云工作負載操作系統都有一個本機狀態防火牆,例如Linux的IP表或Windows的Windows過濾平台。

所有流量,除了被允許的,都會被此策略阻止。安全分段是微分段的別稱,也稱為基於主機的分段。

通過使用主機遙測數據,雲和本地環境和應用可以被隔離。此外,地圖可用於創建自動分段方法。策略使用標籤,而不是IP地址或防火牆規則。在流程級別控制分段的能力是一個額外的優勢。

此外,借助微分段安全性,數據中心可以在邏輯上劃分為各個工作負載級別,然後針對每個分段進行定義和提供安全控制和服務。

網絡分段的好處

1. 更好的網絡性能

當進行更多檢查時,可以更輕鬆地監控網絡分段並檢測可疑活動。此外,高級監控可以揭示問題的根源和範圍。

管理人員可以通過密切關注日誌事件和內部連接來查找有害活動的模式。因此,管理人員可以通過了解攻擊者的操作方式來更好地保護高風險區域。

2. 限製網絡攻擊造成的損害

黑客只能訪問分段網絡上的單個子網。因此,可能需要一些時間才能掌握網絡的其餘部分。

當黑客試圖滲透其他子網時,管理人員有機會加強計算機網絡中其他分段的安全性。一旦問題得到控制,管理人員就可以集中精力處理被破壞的部分。

3. 保護易受攻擊的設備

如果擁有強大的網絡分段,則更容易限制對最敏感數據和系統的訪問。如果用戶的訪問憑據被洩露或濫用,這可能成為保護該信息的救星。換言之,應用程序分段有助於保護企業免受內部和外部人員的侵害。

4. 減少擁堵

通過限制用戶對單個網段的訪問,分段有助於防範內部威脅。“最小特權策略”被賦予這種類型的安全性。通過將對網絡重要部分的訪問限制為少數人,可以減少黑客破壞關鍵系統的機會。

人是網絡安全鏈條中最薄弱的環節。因此,最小特權政策至關重要。如果用戶的登錄憑證在分段網絡中被洩露或濫用,入侵者將無法訪問關鍵資源。

5. 包含網絡問題

為了最大限度地減少網絡漏洞造成的損害,良好的網絡分段可以幫助防止攻擊者突破系統,直到限制並關閉其為止。

分段網絡可以保護終端用戶和設備以及網段本身免受源自網絡端點的威脅。

常見問題解答

問:為什麼網絡分段很重要?

答:由於網絡風險和網絡攻擊的增加,人們對網絡分段的認識出現了新的變化。作為安全策略的一部分,世界各地的企業和組織都在使用網絡分段來抑制黑客。

流量效率是分段網絡的好處之一。“數據包”是從一台計算機發送到另一台計算機的一小段數據,其中包含通信內容以及有關發送者和接收者的信息。

因此,網絡將能夠處理更高的流量,並且能夠更好地應對未來的增長。

問:什麼是網絡安全中的網絡分段?

答:網絡分段為每個網段提供不同的安全服務,增強對網絡流量的控制,提高網絡性能和安全性。

首先,必須提高安全性。在安全方面,連接是最薄弱的點。這是因為大型扁平網絡的攻擊面總是很大。然而,當大型網絡分解為較小的子網時,較小的子網會限制攻擊面,並阻礙橫向移動性。

例如,分段可確保某一部分中的惡意軟件不會傳播到其他系統。創建分段可以限制攻擊的分佈,並最大限度地減少攻擊面。

問:如何對網絡進行分段?

答:在網絡分段中,較大的網絡被分成較小的網絡。防火牆、虛擬網絡(VLAN)和其他方法可用於分隔網絡。

如果基於分段的保護措施到位,以防止網絡受到感染,勒索軟件或黑客就無法在網絡上傳播。

對網絡進行分段可以有效防禦自行傳播的病毒和惡意軟件,例如勒索軟件。如果用戶雙擊已邏輯分段的網絡部分中的故障鏈接,則破壞將僅限於網絡的該部分,而不會擴散到其他部分。

問:網絡分段有什麼影響?

答:網絡分段可以幫助保護內部網絡資產最敏感的數據。在網絡的關鍵數據服務器和互聯網的其他部分之間添加一層保護層,可以大大降低遇到數據丟失或被盜的可能性。

對網絡進行分段也是一個好主意,因為其可以防止非法流量或攻擊到達不希望被訪問的網絡部分。當網絡被分段時,其被劃分成更小的網絡,每個網絡被稱為“子網”。可以根據條件允許、禁用或阻止子網流量。

問:VPN是網絡的一種分段嗎?

答:虛擬專用網絡(VPN)將專用網絡擴展到公共網絡,允許計算機相互通信,就好像它們直接連接到專用網絡一樣。

虛擬專用網絡(VPN)提高了專用網絡的功能性、安全性和管理性。虛擬專用網絡(VPN)允許遠程工作人員訪問公共網絡上不可用的資源。VPN連接並未預先加密,但這是一種常見的做法。

使用專用電路或隧道技術在現有網絡上建立虛擬點對點連接,從而創建VPN。

問:網絡分段的主要目的是什麼?

答:3個主要目的:

(1) 安全

通過將網絡資源劃分為單獨的網絡,每個網絡都有自己的硬件,可以大大減少單個邏輯網絡的攻擊面。

(2) 可見性

正確劃分網絡所帶來的效率和資源利用率使管理人員受益匪淺。在特定分段中的可見性是高度特定的。

(3) 響應

另一個好處是,由於管理人員具有優越的網絡可見性,因此管理人員對事件的響應速度比其他網絡要快得多,尤其是具有共享服務器場的網絡。

問:什麼是網絡分段圖?

答:網絡分段圖,也被稱為網絡分段,涉及將網絡分成許多子網或網段,每個子網或網段都作為自己獨立的微網絡運行。這種獨立的微分段網絡稱為網絡分段。通過對網絡進行分段,管理人員可以根據日益具體的策略來管理網絡不同子集之間的流量。

企業可以選擇對其網絡進行分段,以提高性能、改進監控活動、定位技術人員出現的問題、提高網絡安全性等。網絡分段圖提供了用於將網絡劃分為其組成部分的過程的圖形化圖片。

問:網絡分段是PCI要求嗎?

答:對於任何想要保護其持卡人數據,同時縮小PCI DSS合規範圍的企業而言,PCI網絡分段是一項關鍵的安全策略。

在“扁平”網絡中,卡片處理系統與後台軟件集成。在這些情況下,必須確保整個網絡遵守PCI DSS。這可能會大大增加確保企業網絡安全所需的工作量。

因此,儘管扁平網絡存在固有的安全漏洞,但許多企業仍繼續使用扁平網絡。然而,重要的是要記住,這種思維方式可能會導致PCI範圍擴大和安全威脅。

問:什麼是分段控制?

答:分段是根據系統所需的安全程度通過添加額外的保護措施來分離系統的過程。例如,分段可以將PCI DSS範圍內的系統與PCI DSS範圍外的系統分開。邏輯控制、物理控製或兩者的組合可用於分段。

用於縮小PCI DSS範圍的分段方法的一些示例包括,阻止範圍外網絡與CDE之間的通信、配置網絡以阻止不同系統或子網之間的通信,以及實施物理訪問控制。

問:DLP是PCI要求嗎?

答:是的,使用PCI DSS Requirement 11的數據丟失防護(DLP)技術,企業可以通過自動和人工掃描保護敏感數據來測試其數據保護解決方案的有效性。

使用數據丟失防護(DLP),系統管理人員可以密切監控數據的使用和傳輸方式。因此,PCI DSS數據丟失防護解決方案是必要的。

除了這些功能之外,DLP軟件還可以監控網絡流量,保證計算機在預定規定的範圍內使用,並控制電子郵件。通過這種方式,可以防止數據洩漏。

問:如何實現PCI兼容?

步驟1:刪除密鑰身份驗證數據,並最大限度地減少數據保留,以減輕安全妥協的影響。

步驟2:保護網絡系統,並響應違規行為。阻止並保護經常被破壞的訪問點。

步驟3:保護支付卡應用程序的安全。並解決支付應用程序的安全和控制問題。

步驟4:管理和監督對系統的訪問。監控誰可以訪問網絡,以及其在連接時執行的操作。

步驟5:確保持卡人數據安全。以安全的方式存儲主帳號(PAN)。

步驟6:完成法規遵循工作,並驗證所有控制措施是否存在。記錄企業的法規遵從性要求。

問:Payeezy PCI兼容嗎?

答:首個數據Payeezy網關支付頁面是一種非存儲、“無需干預”的解決方案,完全符合支付卡行業數據安全標準(PCI-DSS)。

其支付頁面限製商戶接觸持卡人數據,同時減少對SSL證書的需求。PCI合規性的重要性之所以被強調,是因為其是一項法律強制要求。

Payeezy網關支付頁面可以定制,以滿足商戶的需求。顏色、徽標和措辭可以HTML格式提供給Payeezy網關,以便持卡人在支付期間擁有與在商家網站上購物時相同的用戶界面。

問:什麼是PCI?

答:PCI DSS是一套安全準則,旨在確保所有獲取、處理、存儲或傳輸信用卡信息的企業維持一個安全的環境。

使用信用卡支付可能是一項有風險的業務,因此支付卡行業安全標準委員會於2006年9月7日成立,負責監督PCI安全標準的製定。

在主要支付卡企業的努力下,成立了PCI SSC來管理和監控PCI DSS(Visa、MasterCard、American Express、Discover和JCB)。

問:是否禁止記錄信用卡號碼?

答:除非業務流程明確要求,否則不應實際記錄任何信用卡信息。未經持卡人許可,切勿獲取或披露任何類型的信用卡信息,包括部分16位號碼。

紙質和電子媒介(如可移動電子介質、計算機、報告、收據或傳真)的物理安全必須包括所有記錄,包括持卡人數據。

信用卡處理商應該只能訪問上鎖的抽屜和保險箱。此外,所有紙質和電子媒介均應計入媒體清單,並保存清單日誌和審計跟踪。