随着云平台和移动互联网的发展,传统的网络边界逐渐被打破,企业与外部合作伙伴建立可信连接变得越来越重要,这就需要远程访问到企业网络随着越来越多的供应商,对这些外部特权访问会话的管理、监控和保护已经成为一个热门话题。那么,如何打造一个无边界的网络环境,让任何人都可以随时随地通过任何设备安全、可靠、无缝地连接到任何资源?设定目标,制定清晰的路线图,是成功实现无边界网络划分的有效途径。多年来,企业一直在探讨如何有效提升整体安全态势策略——分段无边界网络。虽然这被广泛认为是最有效的方法,但在当今不断发展的动态环境网络边界中,细粒度实施、扩展和管理具有挑战性。新的连接设备、不断变化的商业模式、满足访客需求、监管要求和不断变化的威胁的组合可能使它成为一项复杂的任务。此外,用户需要一种涵盖学校、数据中心和云环境的整体方法,以实现任何端到端的“网络到端点”连接。否则,用户最终将面临多种分区策略,增加了使用的复杂性,也可能对系统安全和用户体验产生负面影响。然而,不应让这个问题阻碍网络的发展和进步。正如汽车大亨亨利福特所说:如果你能把它分解成零件,没有什么是特别困难的。亨利·福特不仅改造了工业生产力,还推动了工业革命的发展,他自己的方法论沿用至今。本着化整为零的精神,本文将如何成功划定网络边界的步骤分为六个步骤。无论是企业中的运维人员,还是即将制定无边界网络分区方案的项目组,亦或是正在考虑使用第三方咨询服务的组织,以下内容对于成功分区网络至关重要无边界网络。一步:定义目标设定目标并制定明确的计划是实现成功细分的有效途径。要完成该计划,需要考虑以下关键问题:分区计划需要考虑哪些业务流程和安全驱动程序?使用什么标准对现有资产进行分类?哪些资产对企业的业务流程至关重要?企业业务流程持续运行的常见威胁有哪些?如何利用技术和流程来应对这些威胁?安全要素是否包含在技术实施计划中?企业的首要业务优先事项是什么?它们如何与当前的企业安全计划保持一致?企业的痛点是什么?通过了解业务目标和驱动因素、关键业务资产、已知风险以及对当前企业安全态势的了解,帮助全面阐明和制定高级策略。这反过来又可以帮助确定如何降低安全风险并制定技术规划的后续步骤和优先事项。第二步:识别、分类和优先排序资产通过与主要利益相关者密切合作,组织现在可以定义资产集并根据业务影响、风险、功能和监管要求对其进行分类。此分类法用于定义安全控制功能,并通过明确定义的标准帮助设置优先级。例如,如果一家医院认为放射设备是一项关键资产,它应该识别该设备并将其与类似设备归为一组。保险业可能认为所有业务服务都具有同等重要性,并将它们组合在一起,但企业服务的重要性可能会因实际收入产生或合规性影响而有所不同。第3步:获得策略的支持和可见性此步骤需要验证第2步中所做的工作:需要了解真实的流量和设备,以确保不会遗漏任何内容。这个过程包括:流量类型(南北向流量和东西向流量,即服务器-客户端流量和服务器-服务器流量);所有收集流量的物理和虚拟设备;收集数据的位置(WAN边界、接入层、云);用于监控、分析和报告信息的数据源和分析平台。拥有正确工具和流程的企业可以帮助确定要分区的实际设备,或使用其他分区策略。这使组织能够发现未知的设备和流量模式,这对于了解现实世界中发生的事情以及调整实施计划的时间、方式和地点至关重要。第四步:技术设计和策略制定功能划分方案主要分为两个方面:详细的技术设计和深思熟虑的细分策略。技术设计应由组织优先级、技术能力和运营影响驱动。目标是开发部署分区策略所需的一组特定设备,对其进行设计,并将其配置为按预期运行。这些设计用作部署蓝图,通常包括有关路由器/交换机基础设施、网络架构、IP地址范围/子网、策略实施解决方案、具有动态访问控制列表的交换机和其他分段技术的详细信息。细分策略应与组织的业务目标保持一致,并在整个组织内保持一致。一个好的分区策略可以平衡简单性和粒度,按照不太可能改变的普遍理解的功能特征将设备分成几部分,这对组织具有重要意义。例如,一家医院可能从一般系统组开始,例如医院管理、实验室、药房和生物医学的系统组。这种更高级别的方法提高了安全性,同时最大限度地降低了复杂性和运营影响。后期可以提供更细粒度的分区策略,对整体业务的影响更小。按功能对类似设备进行分组也有帮助。不要为每个品牌的MRI设备创建单独的部分,而是将所有MRI设备与其他成像设备放在同一部分。第五步:验证设计和策略通过详细的技术设计和细分策略,可以根据第一步中制定的原始业务目标审查最终部署模型。应包括所有关键利益相关者进行审查和签署,因为这是无边界网络分段过程中的一个重要点,在部署开始之前进行重大调整。汇集所有关键业务、IT资源和安全领导,以确认设计满足功能和技术业务目标,以便实现顺利发展。第六步:执行和监督正确的执行方式可以确保组织的政策是动态的,并保持部门计划的可持续性。一种解决方案,可提供跨园区、数据中心和云的网络流量数据的企业范围可视化,可以通过多种方式帮助企业。首先,网络流量数据可以与用户和实体行为分析(UEBA)以及机器学习结合使用,为网络和连接的设备创建基线。通过比较从流量数据派生的观察到的网络行为来定义策略,解决方案可以确认部署的策略正在按预期执行。此步骤加快了审核过程,并确保分区策略有效降低区域和企业安全风险。网络分段是每个组织都必须经历的旅程。本文讨论的六个步骤可以为企业提供成功之路,无论他们是否拥有可以推动分区项目的内部员工,或者是否正在考虑聘请第三方咨询服务。更重要的是,除了通过限制网络进入时的横向移动来保护关键资产之外,还可以通过实施划分无边界网络的计划快速获得额外的好处。可见性和分段技术都可以帮助加强组织的整体安全运营。与安全运营中心集成后,企业安全团队将能够使用这些工具生成的数据来更快地检测和响应漏洞,并最终减少停机时间。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
