压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

概覽

做年度計(jì)劃的時(shí)候，公司企業(yè)總會(huì)將安全當(dāng)作頭等大事加以考慮，其中一個(gè)值得注意的防御方法就是網(wǎng)絡(luò)隔離。

遭遇網(wǎng)絡(luò)攻擊的時(shí)候，如果有做網(wǎng)絡(luò)隔離，便可以將攻擊限定在特定區(qū)域，防止攻擊者利用最初的立足點(diǎn)進(jìn)一步探索公司網(wǎng)絡(luò)，從而控制攻擊的影響。分隔網(wǎng)絡(luò)并在每個(gè)區(qū)域應(yīng)用強(qiáng)訪問控制的方法，可以隔離攻擊，防患于未然。

但時(shí)至今日，企業(yè)網(wǎng)絡(luò)已不僅僅是網(wǎng)絡(luò)，而是大量傳統(tǒng)網(wǎng)絡(luò)、軟件定義網(wǎng)絡(luò)(SDN)、云服務(wù)和微服務(wù)的集合。該混合環(huán)境的分隔需要升級(jí)版分隔方法。

本文將介紹網(wǎng)絡(luò)隔離該如何入手，講述應(yīng)該提前規(guī)劃和避免的一些問題。

開始

指定基本網(wǎng)絡(luò)區(qū)域是最成功的網(wǎng)絡(luò)隔離切入方法。萬變不離其宗，不管混合網(wǎng)絡(luò)復(fù)雜到何種程度，應(yīng)總是從最簡單的區(qū)域開始分隔。初始區(qū)域通常包括內(nèi)部、外部、互聯(lián)網(wǎng)和隔離區(qū)(DMZ)。然后可對(duì)初始區(qū)域進(jìn)一步調(diào)整細(xì)分和設(shè)置訪問策略，最終形成可接受的分隔設(shè)置。

夯實(shí)安全策略

公司企業(yè)制定應(yīng)用到區(qū)域間允許端口及協(xié)議上的標(biāo)準(zhǔn)策略。該策略應(yīng)完全文檔化，以可被快速查閱的形式呈現(xiàn)，不能僅僅是IT安全經(jīng)理腦中那團(tuán)變來變?nèi)サ姆钦健耙?guī)則”。只要安全策略集中統(tǒng)一到一個(gè)地方，就可以放心做出協(xié)調(diào)一致的訪問策略修改了。

隨著分隔進(jìn)程向縱深發(fā)展，可以考慮用用戶ID和應(yīng)用控制來進(jìn)一步分隔網(wǎng)絡(luò)。

限制出站

公司網(wǎng)絡(luò)有極大可能性已經(jīng)被感染，即便尚未感染，限制出站流量也是個(gè)良好操作。完全防止惡意軟件是不可能的，但我們有另一種方法可以簡單地緩解惡意軟件感染的后果。只要將出站連接限制到非必要不允許的程度，就可以阻止惡意軟件回連C2服務(wù)器或者上載被盜數(shù)據(jù)了。

傳統(tǒng)網(wǎng)絡(luò)、云及其他

當(dāng)公司網(wǎng)絡(luò)擴(kuò)展至云端，你便需要與應(yīng)用團(tuán)隊(duì)攜手合作。如果采取整體遷移的方式，公司的云網(wǎng)絡(luò)可能就是之前現(xiàn)場(chǎng)網(wǎng)絡(luò)的延伸，而傳統(tǒng)分隔架構(gòu)將被沿用到云端。已經(jīng)采用“云原生”操作的公司企業(yè)(以DevOps和CI/CD過程為特征)則不然，他們會(huì)圍繞應(yīng)用而非網(wǎng)絡(luò)來構(gòu)建云。這種情況下，云為相關(guān)應(yīng)用團(tuán)隊(duì)所有，一旦發(fā)生安全事件，必須與相關(guān)應(yīng)用團(tuán)隊(duì)緊密合作以限制泄露范圍。

這種操作經(jīng)常需要2個(gè)或2個(gè)以上的團(tuán)隊(duì)為了同一個(gè)目標(biāo)聯(lián)合起來，順帶提供了改善網(wǎng)絡(luò)連接性和安全性的機(jī)會(huì)。規(guī)劃需要自己負(fù)責(zé)分隔的網(wǎng)絡(luò)時(shí)，你會(huì)想要囊括進(jìn)可能與你現(xiàn)有網(wǎng)絡(luò)融合的那些相關(guān)網(wǎng)絡(luò)。認(rèn)識(shí)到這種改變會(huì)引入新的安全顧慮和障礙，就可以更好地預(yù)期對(duì)你網(wǎng)絡(luò)隔離策略的整體影響。

可管理

除了網(wǎng)絡(luò)平臺(tái)的不斷改變，網(wǎng)絡(luò)策略也在持續(xù)變化中。2019年里，你的公司很可能會(huì)開展云優(yōu)先的項(xiàng)目、發(fā)布新的業(yè)務(wù)，或者在全球各地開設(shè)新的分公司——必須對(duì)此做好準(zhǔn)備。

無論網(wǎng)絡(luò)如何變化，管理和跟蹤這些變化都是必須的。你的網(wǎng)絡(luò)上之前配置的發(fā)現(xiàn)工具，或者目前用來管理你網(wǎng)絡(luò)的那些工具，可以作為管理你網(wǎng)絡(luò)隔離過程的良好起始點(diǎn)。如果有多個(gè)現(xiàn)有解決方案，不妨考慮自己是否能將之集成到一個(gè)中央控制臺(tái)上，統(tǒng)一設(shè)計(jì)、實(shí)現(xiàn)和管理正在進(jìn)行的網(wǎng)絡(luò)隔離工作。

分階段實(shí)現(xiàn)

進(jìn)行到這一步，你應(yīng)該清楚網(wǎng)絡(luò)隔離過程中有哪些資源可以利用，有哪些人可以負(fù)責(zé)分隔設(shè)計(jì)和實(shí)現(xiàn)。有以上認(rèn)知打底，你就該為分隔實(shí)現(xiàn)事項(xiàng)設(shè)置優(yōu)先級(jí)了。

首先，在較高層次上評(píng)估網(wǎng)絡(luò)，考慮要指定哪些區(qū)域。即使只分成兩個(gè)區(qū)域，也能提供對(duì)連接性更好的管理，增加訪問可見性，識(shí)別出之前可能漏掉的與現(xiàn)有訪問規(guī)則相關(guān)的風(fēng)險(xiǎn)。

從上述內(nèi)部、外部、互聯(lián)網(wǎng)和隔離區(qū)這4個(gè)初始區(qū)域開始，你可以指定進(jìn)一步的連接限制，設(shè)置哪些區(qū)域需要再細(xì)分(比如：敏感數(shù)據(jù)、網(wǎng)絡(luò)資產(chǎn)等等)。

如果要符合特定行業(yè)監(jiān)管規(guī)定，從指定敏感數(shù)據(jù)區(qū)開始(比如，為 PCI DSS 系統(tǒng)及數(shù)據(jù)專設(shè)一個(gè)區(qū)域)。腦子里想著合規(guī)，然后返回去總覽整個(gè)網(wǎng)絡(luò)。該方法可助你發(fā)現(xiàn)連接改進(jìn)點(diǎn)、減少訪問權(quán)限、增加攻擊敏感數(shù)據(jù)的難度。

微分隔

應(yīng)用安全的時(shí)候總是從宏觀層次上開始：區(qū)域、子網(wǎng)、虛擬局域網(wǎng)等等。隨著安全旅程的深入，微觀層次上的問題也應(yīng)進(jìn)入視野。SDN、云平臺(tái)和Kubernetes微服務(wù)之類現(xiàn)代架構(gòu)以安全為本，提供靈活的方法為每個(gè)應(yīng)用程序開發(fā)各自的訪問控制。按應(yīng)用程序?qū)嵤┻B接限制，令用戶可制定更具體的白名單，更容易發(fā)現(xiàn)異常行為，實(shí)現(xiàn)細(xì)粒度控制。而想要高效達(dá)成此目的，你得讓應(yīng)用擁有者也參與進(jìn)來。

慢一點(diǎn)，少一點(diǎn)

記得謹(jǐn)慎實(shí)現(xiàn)分隔，因?yàn)樵诠揪W(wǎng)絡(luò)中實(shí)現(xiàn)這么細(xì)致的控制會(huì)隨著分隔規(guī)模的擴(kuò)大而變得無法管理。

過分分隔是網(wǎng)絡(luò)隔離中需要特別注意避免的一條，分隔過度會(huì)因復(fù)雜性的上升而造成管理上的喪失。雖然網(wǎng)絡(luò)隔離能改善整體安全性，促進(jìn)合規(guī)，但公司企業(yè)應(yīng)漸進(jìn)式分隔網(wǎng)絡(luò)，這樣才能保持住可管理性和避免網(wǎng)絡(luò)過于復(fù)雜。

分隔步子邁得過大過快，或者一開始就分得太細(xì)，會(huì)造成“分析癱瘓”的窘境，安全團(tuán)隊(duì)很快就會(huì)應(yīng)接不暇，網(wǎng)絡(luò)隔離的優(yōu)勢(shì)也就體現(xiàn)不出來了。

在擁有500個(gè)應(yīng)用的環(huán)境里為每個(gè)應(yīng)用分配一個(gè)安全區(qū)域就屬于分隔過度。如果每個(gè)區(qū)域都單獨(dú)配置，僅網(wǎng)絡(luò)規(guī)則的規(guī)模都能耗盡公司安全資源，讓公司更不安全。

采取行動(dòng)

安全界每個(gè)人都知道，自動(dòng)化解決方案是能發(fā)送太多太多警報(bào)的。網(wǎng)絡(luò)安全策略管理(NSPM)解決方案可緩解該警報(bào)疲勞。NSPM可以審核安全策略違反事件，確定它們是否可接受的異常，需不需要做出修改以符合規(guī)定。除了合規(guī)，NSPM解決方案還可以評(píng)估訪問違規(guī)是否遵循了經(jīng)審核的異常規(guī)程。

安全人員常會(huì)成為攻擊者的目標(biāo)。NSPM解決方案也可用于確定網(wǎng)絡(luò)違規(guī)是否攻擊者利用被盜憑證授權(quán)敏感數(shù)據(jù)訪問的結(jié)果。

永不停歇

網(wǎng)絡(luò)隔離的正確方法是永不“完結(jié)”。每個(gè)網(wǎng)絡(luò)都在經(jīng)歷改變，治理連接的訪問控制也需要改變。循序漸進(jìn)的方法是最佳操作。NSPM可使你在每一步都有機(jī)會(huì)審查、修正和持續(xù)優(yōu)化分隔。