网络分段是指将网络划分为较小的、孤立的部分,以帮助减少横向移动并提高网络性能。
阅读本文后,您将能够:
复制文章链接
网络分段是指将网络* 划分成较小的、孤立的部分。这些分区可以通过物理硬件或软件来创建和保护,每种方法都有各自的实施难题。
通过封锁不同的网段,企业可以更轻松地防止横向移动,对网络流量进行细粒度控制,并提高网络性能。他们甚至可以为单个工作负载和应用程序设置策略,这种方法被称为微分段。
*网络是一组相互连接的计算机。
网络分段将网络划分为多个部分,然后可对这些部分实施不同的控制。这一过程通常采用两种方法之一:物理分段和逻辑分段。
物理分段需要硬件设备(如路由器、交换机和防火墙)将网络分隔成不同的部分。这些设备通过分段策略控制允许进出每个部分的流量类型,这些策略可根据特定标准配置(例如流量来源、目的地等)。
物理分段(也称为基于边界的分段)的设置和维护通常成本高昂、耗费人力。此外,它还假定大多数组织仍在维护物理网络边界。
然而,随着云计算的出现,这种限制几乎消失了,因为用户可以通过互联网而不是内部 IT 管理网络来访问数据和应用程序。即使是使用本地基础设施的组织,也经常允许用户从外部设备和软件连接到内部资源。
逻辑分段(也称为虚拟网络分段)使用软件将网络划分为较小的部分。这些网段可以通过子网划分、虚拟局域网 (VLAN) 和网络寻址方案来创建。
与物理分段一样,逻辑分段也使用分段策略来限制进出每个网段的流量。
由于逻辑分段不依赖于配置、维护和更新多个硬件设备,因此被广泛认为是一种更灵活、可扩展性更好、更具成本效益的网络分离和保护方法。
如果实施得当,网络分段可以帮助组织以更高的效率提高安全性、性能和合规性。其中最重要的几个优势如下:
网络分段将网络划分为较小的部分,并对其应用不同的安全控制和策略。
相比之下,微分段是网络分段的一个子集,可对单个工作负载实施更细粒度的控制。(工作负载是指使用一定内存和计算资源的程序或应用程序,如服务器、虚拟机或无服务器功能)。它是 Zero Trust 安全模型的一部分,在该模型中,默认情况下不信任任何用户或设备。
为了更好地理解网络分段与微分段的安全优势,可以设想一个国王有一大笔黄金和珠宝需要保护。他可能会把所有的财宝放在几个秘密宝库中,每个宝库只能用特定的钥匙才能打开(网络分段)。如果窃贼偷了一个宝库的钥匙,他们也许能偷走这个宝库里的财宝,但如果没有偷到其他房间的钥匙,就无法进入其他宝库。同样,入侵一个子网的攻击者或许可以破坏其中的数据,但无法自由移动到另一个子网。
另外,国王不仅可以将财宝分散到多个宝库,还可以将它们放入这些房间内上锁的箱子中,并确保每个箱子只能用自己的钥匙打开(微分段)。这样,如果窃贼偷走了其中一个宝库的钥匙,但没有得到其他钥匙,他们就无法打开各个宝箱。同样,在微分段网络中,即使攻击者入侵了一个工作负载,也可能无法入侵(甚至访问)其他工作负载。
进一步了解微分段如何帮助企业实现 Zero Trust 安全态势。
网络分段技术通过将网络划分成更小的、孤立的分段,增强安全性。这种做法会限制攻击者在入侵网络后可以访问的内容,并且可以优化控制网络流量。
微分段是一种精细化网络分段方式,它将安全控制措施应用于单个工作负载或应用,从而为每个工作负载或应用制定特定的安全策略。与其它类型的网络分段相比,微分段发生在应用层,而不是网络层。
网络分段制约了攻击者在数据泄露后移动到其它网络部分的能力,将其访问限制在遭到入侵的部分并保护网络的其余部分。
物理分段使用路由器和防火墙等硬件来分隔网络的各个部分。逻辑分段则使用基于软件的方法,例如子网划分和虚拟局域网 (VLAN),在网络内创建虚拟屏障。
网络分段通过确保仅必要的流量在网段之间流动并减少网络拥塞,帮助企业优化网络性能。
云计算模糊了传统的网络边界,致使灵活的、基于软件的分段方法在保护现代分布式环境方面变得更加重要。基于硬件的网络分段方法,在保护云部署安全方面没有多大的作用。
Zero Trust 是一种安全模型,假设网络中已存在威胁并且默认不信任任何用户和设备。网络分段,尤其是微分段,是 Zero Trust 安全的关键原则,因为它可以阻止这些已经存在的威胁破坏整个网络。