从历史发展来看,安全域隔离一直是传统安全领域广泛采用的防御手段。为了发挥巨大的作用,会在坚城的巨型堡垒周围修筑高墙、宽阔的护城河等。不管是长城还是城墙,它们的目的都是为了形成关内外和城外两个安全区域,这样既是为了实施统一的保护策略,也是为了方便同一安全域中的实体进行通信和联系相对容易。在企业网络安全防护方面,网络安全域隔离也是网络安全防御最重要、最基本的手段之一,也是企业数据中心和信息系统建设首先需要考虑的基本问题.然而,在企业网络安全建设过程中,网络安全域隔离的有效实施面临着各种问题。本文是笔者对这个问题的一些思考,记录下来供读者参考。1.什么是网络安全域?网络安全域是由安全级别相同、业务类型/功能相近的计算机、服务器、数据库、业务系统等组成的系统**。具体可以是一个IP网段(A网段C,一个B网段)或者几个网段**,或者一个VLAN或者几个VLAN**,或者在一个防火墙接口下连接整个网络区域,或者一个机柜或者几个机房的柜子等着。上面的解释其实比较抽象。举几个例子,比如存储数据的数据库服务器和客户访问的web服务器明显不在一个安全级别,测试环境的服务器和生产服务器明显不在一个级别正式提供服务。因此,一个安全级别将它们划分为安全域。一般来说,安全域实际上是一个信任域。您可以将一些您认为可以相互信任的计算机和设备放在一个安全信任域中,并在信任域内实施更宽松的规则。安全策略,同时在信任域的边界实施更严格的监控、访问控制等。每个信任域的服务器数量取决于本单位信息系统建设、信息安全意识等多方面因素的制约。从网络攻击者的角度来看,有一种典型的攻击方式称为横向渗透攻击,即攻击者将内网的某台主机拿下。段扫描,因为一般企业内部同一个C类地址段不会有进一步的网络隔离划分。在这一点上,这是一个处于危险中的C类段。如果不实施网络安全域隔离,那么整个数据中心都可能在攻击者的直接攻击范围内。基于后一点,我们了解到网络安全域隔离实际上是将整个网络划分为相对较小的安全信任域。否则,整个网络在同一平面上。攻击者获得一个地址后,就可以对整个网络进行攻击。进行扫描检测。2、网络安全域隔离有什么好处据笔者分析有四点:第一,可以将坏事和坏人隔离在一个小范围内,减少受害程度。二是坏事坏人可以集中在隔离边界上,集中清除和淘汰。三是可以把好事好人和其他坏事坏人隔离在一个相对安全的区域。四是在隔离边界部署安保设施,加强对好事好人的保护,阻断拦截坏事坏人。3、如何规划和设计网络安全域从不同的站点角度、不同的观察粒度来看,企业网络安全域的划分可以有不同的划分。从企业外部看,安全域可以分为内部网络和外部网络。这时,企业内部的所有办公电脑、服务器、路由器、交换机等,都属于我们要保护的信息资产。因此,内外网边界是我们实施统一安全策略和部署防御设施的“主阵地”,如部署边界防火墙、入侵检测、上网行为管理等。接下来,让我们走进企业内部。从企业内部的大体来看,企业一般分为办公网络PC终端安全域和数据中心安全域。此时,企业内部的办公网络区域和数据中心区域属于不同的安全级别。仔细一看,其实每个安全域还划分了子安全域。例如《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》,将企业内部网络按照不同的防护等级划分安全域,不同等级的安全域之间使用安全互联组件进行数据交换。在赵岩老师的《互联网企业安全高级指南》一书中,作者重点介绍了办公网络安全域的划分。办公网络安全域分为OA服务器域、业务部门A桌面域、业务部门B桌面域等。业务部门桌面域又分为重度PC用户、中度PC用户和轻度PC用户。这张设计图应该属于赵岩先生早期的设计图。不知道最近的想法有没有变化?在图中的OA服务器域中,我们看到了持续集成代码托管和测试环境。按照笔者的观点,这种服务器应该属于数据中心安全领域。其实笔者首先想到的应该是OA服务器域在数据中心属于安全域。后来看了赵岩老师的(美团技术团队文章),几张图的划分方法是将OA服务器域归类为办公网络,如下图。在这篇文章中,赵岩先生分享了几种典型的区域隔离划分方案。有兴趣的读者可以参考。另外,在柳岩老师的《基于开源软件打造企业网络安全》一书中,OA服务器被划分为一个独立的安全域,但此时应该属于数据中心安全域。数据中心安全域分为生产网络、开发测试网络等不同的网络安全域。生产网络安全域又分为集团安全域和子公司安全域。集团安全域又分为生产网络内网区和生产网络DMZ区,生产内网安全域又分为公共业务安全域、核心业务安全域、数据仓库安全域、KMS安全域等。根据不同的业务类型。上述安全域一般是按功能划分的。在实际场景中,还有其他划分安全域的方式。比如从纵深防御的角度,一般系统分为DMZ区(Web服务区)、外部联盟区、APP区、DB区等。如下图。DMZ区、outreach区、APP区、DB区一一为网络安全域。对于集团公司,各子公司将逐步明确自己的业务边界和战略中心。如果集团提供统一的IT基础设施服务,各子公司的业务可能面临完全不同的监管要求,比如金融监管要求。去管理社区服务体系,或者按照社区服务体系的要求来管理金融业务,你会面临从严或宽松的压力。因此,集团数据中心需要对子公司进行隔离和划分,明确划分各子公司在数据中心内的访问边界。根据子公司职能和业务特点,划分安全信任域,建立明确的责任边界、安全边界和信任边界。4、传统的网络安全域隔离方式上面提到了这么多网络安全域隔离的问题,那么如何实现呢?方法是什么?根据笔者的经验,主要有物理隔离和逻辑隔离(防火墙隔离、VLAN隔离等)。(1)物理隔离。有几种类型:强物理隔离。从字面上看,这是一种非常通俗易懂的网络隔离方法。两个网络安全域在网络线路、网络设备、系统主机等硬件系统层面分别部署。连接。在目前大环境下,估计只有京东、广汽、采埃孚等核心敏感部门或核心工控系统才会做这件事。这种隔离方式不仅建设成本相对较高,而且在后续运维、信息共享等方面存在较大风险。人力成本和时间成本。因此,普通企业不可能采用这种方式,尤其是在互联网和移动互联网的背景下,对于那些需要为客户提供在线服务的企业来说,实现完全的强物理隔离更是难上加难。弱物理隔离。大多数传统金融公司应该属于这种模式。网络设备和主机系统一般会根据需要为每个网络安全域设置一套,但是一般可以通过网守和单向数据传输设备在安全域之间建立特定的安全传输通道。(2)逻辑隔离。与物理隔离相比,逻辑隔离与物理隔离的主要区别在于网络各个安全域之间存在链路,只是在协议和路由上进行了逻辑阻断,使两者不能直接相连。但是如果两者要互通,可以直接配置在交换节点、路由节点、网关节点等,而不用单独拉物理线路或部署网守等设备。仔细想想,常用的逻辑隔离手段只有防火墙隔离和VLAN隔离。VXLAN是云环境下VLAN划分的变体实现。5、如何实现网络安全域之间的访问控制安全域的形成只是为了提高企业的安全级别。但是,无论是管理需求还是业务需求,归根结底安全域之间或多或少还是需要通信的,否则整个企业信息系统就没有存在的必要。那么,安全域之间的通信应该如何隔离呢?根据笔者的经验,网络隔离后的通信方式主要有网络访问控制策略(ACL)、访问网关、正向和反向代理、堡垒机等。其中:ACL是在防火墙或三层交换机上实现的,是一种基于IP地址的控制策略。在企业中,为了方便管理,网络管理员可以使用IP地址段的形式开放访问控制列表。因此,这种控制粒度较粗,缺乏对应用层访问的控制。接入网关和正向、反向代理可以实现应用级的访问控制,还可以加入更多的访问控制策略等模块。堡垒机是为远程运维提供的一种访问控制手段,可以实现登录控制、操作拦截、操作审计等功能。6.虚拟化/云计算环境下的网络安全域隔离服务或应用占用物理机的时代已经逐渐成为过去,虚拟化/云计算是目前广泛使用的数据中心交付模式。但是,在虚拟化/云计算环境中,是否需要隔离网络安全域?如何实现网络安全域隔离?笔者阅读了阿里云、华为云等云计算公司发布的白皮书,网络安全域隔离仍然是其网络安全架构的基本实现之一。以阿里云的白皮书为例:在上一段中,我们看到了阿里云基础平台是如何实现网络安全域隔离的。首先,阿里云分为生产网络和非生产网络。其次,阿里云分为对外服务网络。云服务网络和支撑云服务的物理网络。最后,我们还看到了阿里云办公网络与生产网络的隔离。根据笔者的理解,以上应该是云平台提供商做的网络区域隔离。那么如何实现云租户之间的安全域隔离呢?目前云厂商普遍提供的方式是VPC。VPC即虚拟私有云,也称为虚拟局域网。VPC实现了不同租户之间的网络隔离。由于VPC采用了隧道封装技术,保证了不同VPC之间的网络流量完全不可见,而VPC内网流量则直接到达目的机,从而保证了用户流量无论在VPC内还是在VPC之间。事实上,根据企业的IT规划,如果数据中心云平台只是提供企业内部服务,VPC也可以实现企业内部各个网络安全域的划分。比如我们可以将DMZ划分为一个VPC,将数据库划分为一个安全域。域,将办公服务器归类为VPC。一般每个VPC都需要指定一个网段,网段范围如下:10.0.0.0/8(10.0.0.0–10.255.255.255)172.16.0.0/12(172.16.0.0–172.31.255.255)192.168。0.0/16(192.168.0.0-192.168.255.255)VPC可以使用EIP或者NAT服务让VPC内的虚拟机连接到公网,或者通过VPC点对点连接两个VPC,连接用户创建数据通过VPN或专线中心,构建混合云。最后,有没有办法实现云租户内部的网络安全域隔离?这个也可以灵活考虑。比如云租户可以多租几个VPC来实现隔离。另外,在VPC内部,也可以通过安全组来划分安全域。以下是阿里云对安全组应用场景的描述:(1)安全组用于设置单个或多个云服务器的网络访问控制。它是网络安全隔离的重要手段,用于在云端划分安全域。(2)一个安全组是一个逻辑划分。该组由同一地域内具有相同安全保护要求且相互信任的实例组成。这种安全组在不同的云厂商中可能会有不同的称呼和实现。比如下图中,VPC中的隔离叫做Subnet(子网),应该和安全组一样。7.结论随着虚拟化和云计算技术的不断演进,网络安全域隔离方法出现了一些新的研究方向和实践讨论,如微分段或微分段。2016年、2017年、2018年,国际权威技术分析咨询研究公司Gartner连续三年将“微分段或微隔离”列入年度十大安全技术(项目),但它已经没有被列入最新的2019。我知道Gartner是怎么想的,但是从我了解的企业实践来看,目前大规模实施“微隔离或微隔离”的企业并不多,甚至从未见过.也可能是作者眼界狭隘。与读者讨论“微分还是微分”的做法。近日,在阅读郑允文老师的《数据安全架构设计与实战》时,郑老师提出了一个观点:安全域过多,防火墙运维难度加大。只要满足合规性要求,安全域越少越好。这或许也代表了企业网络安全域划分的一个新方向,有兴趣的读者也可以仔细研究一下。
