网络分段使机构可以减少网络安全隐患,并做为定义零信任安全设置的关键第一步。网络分段建立了零信任安全设置可以申请强制执行密钥管理的网络界限。以往,很多机构仅在网络外部定义安全性界限。下列流程简述了怎样在企业网络中执行合理的分段。下列是来源于CheckPoint的相关网络分段的最佳实践,供各位参照!
1. 鉴别有價值的信息和资产
并不是机构内的全部信息和资产都具备同样使用价值。一些系统软件,例如顾客数据库查询,针对保持一切正常实际操作可能是不可或缺的。别的的,如复印机,对公司的运行很有效,但并不重要。
为资产分派必要性和使用价值等级是网络切分的关键第一步。这种标识稍候将用以定义网络内的各种各样信赖地区。
2. 为每一个资产分派归类标识
除开资产的使用价值,考虑到他们所包括的数据资料的敏感度也很重要。拥有十分隐秘数据的资产,例如客户资料、产品研发数据信息等,很有可能必须附加的保障以合乎个人信息保护政策法规或企业安全性现行政策。
这种标识应考虑到数据信息的敏感度(即公布到相对高度受到限制)和资产包括的基本数据类型。这有利于定义合乎适用政策法规的分段对策,例如借记卡领域网络信息安全规范 (PCI DSS)。
3. 跨网络投射数据流分析
网络分段根据将网络分为单独的段来协助提升网络安全系数。这促使网络攻击在得到原始出发点后更难在网络中横着挪动。
可是,有很多合理合法的数据流分析必须被容许。应投射网络上全部系统软件的全部数据流分析,包含:
- 朝北总流量:朝北总流量已经离去企业网络,例如职工从接入到企业网络的代管机器设备浏览 saleforce.com。
- 物品总流量:物品总流量在网络外部内的系统软件中间挪动,例如大数据中心网络中的前面网络网络服务器和后面网站数据库。
- 坐北朝南总流量:坐北朝南总流量包含进到ip段或地区的数据信息,例如顾客或职工浏览坐落于DMZ 网络或企业内部网中的当地 Web 网络服务器。
4. 定义资产组
机构网络中的一些资产用以相近目地并按时通讯。将这种系统软件彼此之间分离是没有意义的,由于必须很多除外来保持一切正常的作用。
在定义资产组时,关键的是要考虑到这类类似的基本功能和公司网络上各种各样资产的敏感度。一切用以相近目地和相近敏感性等级的资产都应归为一个一部分,与有着不一样信赖等级或作用的别的资产分离。
5. 布署分段网关
定义段界限很重要,但如果不申请强制执行这种界限,则对机构没有益处。对每一个ip段执行密钥管理必须布署ip段网关。
要强制性分段界限,全部出入该分段的网络总流量都需要根据网关。因而,一个机构很有可能必须好几个网关来完成合理的分段。这种规定有利于决策是挑选硬件防火墙或是虚似服务器防火墙。
6. 建立浏览控制方法
可以容许特殊段内的资产中间的数据流量不受限地流动性。可是,段间通信必须由段网关监管并遵循浏览控制方法。
这种对策应根据最低授权标准定义,该原则要求应用软件、机器设备或客户应具备进行其工作中需要的最少管理权限等级。这种管理权限应根据#3 中确认的合理合法数据流分析。
7. 实行按时财务审计和核查
在定义微分段、布署分段网关、建立和实行浏览控制方法以后,完成网络分段的全过程基本上进行。可是,定义网络分段对策并非一次性的训练。
因为企业网络的进步或原始设计过程中的粗心大意和不正确,网络分段对策很有可能会产生变化。处理这种潜在性问题必须按时审批以明确是不是开展了变更,系统软件中是不是具有一切多余的风险性,及其如何更新ip段和密钥管理以缓解这种风险性。
8. 尽量自动化技术
定义网络分段对策可能是一项艰巨的任务,尤其是针对私有云网络。试着手动式实行全部这种流程很有可能很艰难或不太可能。
因而,尽量运用自动化技术作用十分关键。尤其是在发觉和归类环节,自动化技术针对鉴别加上到网络上的新资产、他们的通讯流(假如他们包括一切系统漏洞)和运用网络分段对策是十分可贵的。