阿里巴巴|网络分段安全优秀实践

阿里巴巴|网络分段安全优秀实践

文章图片



网络分段使组织能够降低网络安全风险 , 并作为定义零信任安全策略的重要第一步 。 网络分段创建了零信任安全策略可以强制执行访问控制的网络边界 。 过去 , 许多组织仅在网络外围定义安全边界 。 以下步骤概述了如何在公司网络中实施有效的分段 。 以下是来自CheckPoint的有关网络分段的最佳实践 , 供大家参考!

1. 识别有价值的数据和资产并非组织内的所有数据和资产都具有同等价值 。 某些系统 , 例如客户数据库 , 对于维持正常操作可能是必不可少的 。 其他的 , 如打印机 , 对企业的运作很有用 , 但并不重要 。
【阿里巴巴|网络分段安全优秀实践】为资产分配重要性和价值级别是网络分割的重要第一步 。 这些标签稍后将用于定义网络内的各种信任区域 。
2. 为每个资产分配分类标签除了资产的价值 , 考虑它们所包含的数据的敏感性也很重要 。 持有非常敏感数据的资产 , 例如客户信息、研发数据等 , 可能需要额外的保护以符合数据保护法规或公司安全政策 。
这些标签应考虑数据的敏感性(即公开到高度受限)和资产包含的数据类型 。 这有助于定义符合适用法规的分段策略 , 例如支付卡行业数据安全标准 (PCI DSS) 。
3. 跨网络映射数据流网络分段通过将网络分成独立的段来帮助提高网络安全性 。 这使得攻击者在获得初始立足点后更难在网络中横向移动 。
但是 , 有许多合法的数据流需要被允许 。 应映射网络上所有系统的所有数据流 , 包括:

  • 北向流量:北向流量正在离开公司网络 , 例如员工从连接到公司网络的托管设备访问 saleforce.com 。
  • 东西流量:东西流量在网络外围内的系统之间移动 , 例如数据中心网络中的前端网络服务器和后端数据库服务器 。
  • 南向流量:南向流量包括进入网段或区域的数据 , 例如客户或员工访问位于DMZ 网络或公司内部网中的本地 Web 服务器 。
4. 定义资产组组织网络中的某些资产用于类似目的并定期通信 。 将这些系统彼此分开是没有意义的 , 因为需要许多例外来维持正常的功能 。
在定义资产组时 , 重要的是要考虑这种相似的功能和企业网络上各种资产的敏感性 。 任何用于类似目的和类似敏感度级别的资产都应归为一个部分 , 与具有不同信任级别或功能的其他资产分开 。
5. 部署分段网关定义段边界很重要 , 但如果不强制执行这些边界 , 则对组织没有任何好处 。 对每个网段实施访问控制需要部署网段网关 。
要强制分段边界 , 所有进出该分段的网络流量都必须通过网关 。 因此 , 一个组织可能需要多个网关来实现有效的分段 。 这些要求有助于决定是选择硬件防火墙还是虚拟防火墙 。
6. 创建访问控制策略可以允许特定段内的资产之间的流量不受限制地流动 。 但是 , 段间通信需要由段网关监控并遵守访问控制策略 。
这些策略应基于最小权限原则定义 , 该原则规定应用程序、设备或用户应具有完成其工作所需的最低权限级别 。 这些权限应基于#3 中确定的合法数据流 。
7. 执行定期审计和审查在定义微分段、部署分段网关、创建和执行访问控制策略之后 , 实现网络分段的过程基本完成 。 但是 , 定义网络分段策略并不是一次性的练习 。
由于公司网络的发展或初始设计过程中的疏忽和错误 , 网络分段策略可能会发生变化 。 解决这些潜在问题需要定期审核以确定是否进行了更改 , 系统中是否存在任何不必要的风险 , 以及如何更新网段和访问控制以减轻这些风险 。