网络分段使组织能够降低网络安全风险,并作为定义零信任安全策略的重要的第一步。网络分段创建网络边界,零信任安全策略可以在其中实施访问控制。过去,许多组织仅在网络边界定义安全边界。以下步骤概述了如何在企业网络中实施有效的分段。以下是CheckPoint关于网络分段的一些最佳实践,供您参考!1.识别有价值的数据和资产并非组织内的所有数据和资产都具有同等价值。某些系统(例如客户数据库)对于维持正常操作可能是必不可少的。其他的,如打印机,对业务的运作很有用,但并不重要。为资产分配重要性和价值水平是网络分段中重要的第一步。这些标签稍后将用于定义网络中的各种信任区域。2.为每项资产分配分类标签除了资产的价值外,考虑其包含的数据的敏感性也很重要。持有非常敏感数据的资产,例如客户信息、研发数据等,可能需要额外的保护以符合数据保护法规或公司安全政策。这些标签应考虑数据的敏感性(即公开到高度受限)和资产包含的数据类型。这有助于定义符合适用法规的分段策略,例如支付卡行业数据安全标准(PCIDSS)。3.映射整个网络的数据流网络分段通过将网络划分为独立的段来帮助提高网络安全性。这使得攻击者在获得初始立足点后更难在网络中横向移动。但是,需要允许许多合法的流量流。来自网络上所有系统的所有数据流都应该被映射,包括:北向流量:北向流量离开公司网络,例如员工从连接到公司网络的托管设备访问salesforce.com。东西向流量:东西向流量在网络边界内的系统之间移动,例如数据中心网络中的前端Web服务器和后端数据库服务器。南向流量:南向流量包括进入网段或区域的数据,例如客户或员工访问位于DMZ网络或企业内部网中的本地Web服务器。4.定义资产组来组织网络中服务于类似目的并定期通信的某些资产。将这些系统彼此分开是没有意义的,因为需要许多异常来维持正常的功能。在定义资产组时,重要的是要考虑企业网络上各种资产的相似功能和敏感性。任何用于类似目的和类似敏感性级别的资产都应归为一个部分,与具有不同信任级别或功能的其他资产分开。5.部署分段网关定义分段边界很重要,但如果不强制执行这些边界,则对组织没有任何好处。对每个网段实施访问控制需要部署网段网关。要强制执行分段边界,进出该分段的所有网络流量都必须通过网关。因此,组织可能需要多个网关来进行有效分段。这些要求有助于决定是选择硬件防火墙还是虚拟防火墙。6.创建访问控制策略以允许特定段内资产之间的流量不受限制地流动。然而,段间通信需要由段网关监控并遵守访问控制策略。这些策略应根据最小权限原则定义,该原则规定应用程序、设备或用户应具有完成其工作所需的最低权限级别。这些权限应基于#3中确定的合法数据流。7.执行定期审计和审查定义微分段、部署分段网关、创建和执行访问控制策略后,实施网络分段的过程基本完成。但是,定义网络分段策略不是一次性的工作。网络分段策略可能会因企业网络的演进或初始设计过程中的疏忽和错误而发生变化。解决这些潜在问题需要定期审计,以确定是否进行了更改、系统中是否存在任何不必要的风险,以及如何更新网段和访问控制以减轻这些风险。8.尽可能自动化定义网络分段策略可能是一项艰巨的任务,尤其是对于企业级网络。尝试手动完成所有这些步骤可能很困难或不可能。因此,尽可能利用自动化很重要。特别是在发现和分类阶段,自动化对于识别添加到网络的新资产、它们的通信流(如果它们包含任何漏洞)以及应用网络分段策略具有无可估量的价值。
