网络分段是指将网络划分为较小的、孤立的部分,以帮助减少横向移动并提高网络性能。
阅读本文后,您将能够:
复制文章链接
网络分段是指将网络* 划分成较小的、孤立的部分。这些分区可以通过物理硬件或软件来创建和保护,每种方法都有各自的实施难题。
通过封锁不同的网段,企业可以更轻松地防止横向移动,对网络流量进行细粒度控制,并提高网络性能。他们甚至可以为单个工作负载和应用程序设置策略,这种方法被称为微分段。
*网络是一组相互连接的计算机。
网络分段将网络划分为多个部分,然后可对这些部分实施不同的控制。这一过程通常采用两种方法之一:物理分段和逻辑分段。
物理分段需要硬件设备(如路由器、交换机和防火墙)将网络分隔成不同的部分。这些设备通过分段策略控制允许进出每个部分的流量类型,这些策略可根据特定标准配置(例如流量来源、目的地等)。
物理分段(也称为基于边界的分段)的设置和维护通常成本高昂、耗费人力。此外,它还假定大多数组织仍在维护物理网络边界。
然而,随着云计算的出现,这种限制几乎消失了,因为用户可以通过互联网而不是内部 IT 管理网络来访问数据和应用程序。即使是使用本地基础设施的组织,也经常允许用户从外部设备和软件连接到内部资源。
逻辑分段(也称为虚拟网络分段)使用软件将网络划分为较小的部分。这些网段可以通过子网划分、虚拟局域网 (VLAN) 和网络寻址方案来创建。
与物理分段一样,逻辑分段也使用分段策略来限制进出每个网段的流量。
由于逻辑分段不依赖于配置、维护和更新多个硬件设备,因此被广泛认为是一种更灵活、可扩展性更好、更具成本效益的网络分离和保护方法。
如果实施得当,网络分段可以帮助组织以更高的效率提高安全性、性能和合规性。其中最重要的几个优势如下:
网络分段将网络划分为较小的部分,并对其应用不同的安全控制和策略。
相比之下,微分段是网络分段的一个子集,可对单个工作负载实施更细粒度的控制。(工作负载是指使用一定内存和计算资源的程序或应用程序,如服务器、虚拟机或无服务器功能)。它是 Zero Trust 安全模型的一部分,在该模型中,默认情况下不信任任何用户或设备。
为了更好地理解网络分段与微分段的安全优势,可以设想一个国王有一大笔黄金和珠宝需要保护。他可能会把所有的财宝放在几个秘密宝库中,每个宝库只能用特定的钥匙才能打开(网络分段)。如果窃贼偷了一个宝库的钥匙,他们也许能偷走这个宝库里的财宝,但如果没有偷到其他房间的钥匙,就无法进入其他宝库。同样,入侵一个子网的攻击者或许可以破坏其中的数据,但无法自由移动到另一个子网。
另外,国王不仅可以将财宝分散到多个宝库,还可以将它们放入这些房间内上锁的箱子中,并确保每个箱子只能用自己的钥匙打开(微分段)。这样,如果窃贼偷走了其中一个宝库的钥匙,但没有得到其他钥匙,他们就无法打开各个宝箱。同样,在微分段网络中,即使攻击者入侵了一个工作负载,也可能无法入侵(甚至访问)其他工作负载。
进一步了解微分段如何帮助企业实现 Zero Trust 安全态势。