正確的網(wǎng)絡(luò)分段策略需要企業(yè)非常了解他們的系統(tǒng)和目標(biāo)。而SD-WAN供應(yīng)商對(duì)網(wǎng)絡(luò)分段有自己的定義,并沒(méi)有哪個(gè)供應(yīng)商具有全面的分段策略可完全解決你企業(yè)的分段需求。你可能需要考慮無(wú)數(shù)的分段考慮因素–從身份驗(yàn)證和授權(quán)到管理安全角色和策略,你必須深入研究。
傳統(tǒng)分段技術(shù)很繁瑣
傳統(tǒng)上,網(wǎng)絡(luò)團(tuán)隊(duì)在進(jìn)行網(wǎng)絡(luò)分段時(shí),他們會(huì)使用各種工具在不同流程中創(chuàng)建路徑隔離。你經(jīng)常會(huì)看到各種標(biāo)記路由方案或虛擬化路由實(shí)例,還有安全訪問(wèn)控制列表(ACL)。幾乎所有方法都在2層網(wǎng)絡(luò)到4層網(wǎng)絡(luò)中的某處運(yùn)行,并且大多數(shù)方法繁瑣且需要大量勞動(dòng)來(lái)部署和管理。
在過(guò)去,隔離并不依靠身份;而是基于IP地址的位置。這種方法在以前可行,當(dāng)時(shí)一臺(tái)機(jī)器運(yùn)行一項(xiàng)服務(wù)或一名用戶坐在一臺(tái)端點(diǎn)設(shè)備前,但是這樣的日子已經(jīng)過(guò)去。現(xiàn)在,我們?cè)谝粋€(gè)端點(diǎn)具有多個(gè)服務(wù),并且服務(wù)可以動(dòng)態(tài)移動(dòng)或擴(kuò)展以應(yīng)對(duì)各種情況。嚴(yán)格基于IP地址進(jìn)行隔離已不再足夠或不可擴(kuò)展。
曾經(jīng),安全性也很簡(jiǎn)單–基于身份或位置,并由ACL進(jìn)行管理,ACL很快會(huì)變得繁瑣–即使在很小數(shù)量的情況。強(qiáng)制執(zhí)行計(jì)算機(jī)和應(yīng)用程序安全性并沒(méi)有更好。跟蹤誰(shuí)應(yīng)該有權(quán)訪問(wèn)什么內(nèi)容變成徒勞無(wú)益的練習(xí),并且,安全訪問(wèn)優(yōu)先級(jí)的錯(cuò)誤也很常見(jiàn)。在這種情況下,新的分段方法應(yīng)運(yùn)而生。
網(wǎng)絡(luò)分段和SD-WAN
在其核心,網(wǎng)絡(luò)分段旨在防止進(jìn)程橫向遍歷網(wǎng)絡(luò)。換句話說(shuō),用戶的文字處理器實(shí)例沒(méi)有理由訪問(wèn)另一個(gè)用戶系統(tǒng)上的數(shù)據(jù)庫(kù)。同樣,訪問(wèn)單個(gè)數(shù)據(jù)庫(kù)的前端系統(tǒng)也無(wú)需與網(wǎng)絡(luò)中的其他系統(tǒng)通信。好的分段策略可以將流程僅隔離到其需要訪問(wèn)的組件和系統(tǒng)。
對(duì)于網(wǎng)絡(luò)分段策略,企業(yè)面臨的困難是,如何在SD-WAN供應(yīng)商提供的各種分段工具中做出選擇。有些供應(yīng)商采取以網(wǎng)絡(luò)為中心的方法,依靠第3層和第4層的路徑隔離和分段。有些則采用以應(yīng)用程序?yàn)橹行牡姆椒ǎ揽康?層網(wǎng)絡(luò);其他則在不同網(wǎng)絡(luò)層使用多項(xiàng)技術(shù)進(jìn)行分段。但是,所有做法都有著相同的目標(biāo),那就是在系統(tǒng)和用戶進(jìn)程之間建立安全屏障。
現(xiàn)在,安全泄漏事故屢見(jiàn)不鮮,并以驚人的頻率發(fā)生。因此,在選擇任何SD-WAN產(chǎn)品時(shí),安全控制應(yīng)該是最重要的問(wèn)題。僅僅靜態(tài)地分?jǐn)嗑W(wǎng)絡(luò)是不夠的,好的SD-WAN平臺(tái)必須幾乎實(shí)時(shí)地審核和響應(yīng)安全事件,同時(shí)減輕由數(shù)據(jù)泄露引起的任何損害。
其他重要的企業(yè)分段功能包括:
自動(dòng)化部署;
支持路徑隔離;
訪問(wèn)和授權(quán)策略—理想情況下,使用專(zhuān)用機(jī)密保管庫(kù)。
如果你需要將傳統(tǒng)的非分段網(wǎng)絡(luò)遷移到高度分段的網(wǎng)絡(luò),你需要對(duì)業(yè)務(wù)需求有深入的了解和扎實(shí)的知識(shí)。為了嘗試新事物而進(jìn)行分段并不是部署分段策略的好理由。沒(méi)有哪個(gè)供應(yīng)商提供完整的網(wǎng)絡(luò)分段策略,企業(yè)網(wǎng)絡(luò)團(tuán)隊(duì)只有通過(guò)了解其當(dāng)前網(wǎng)絡(luò)以及為什么要對(duì)其進(jìn)行分段,才能選擇正確的產(chǎn)品來(lái)完成網(wǎng)絡(luò)分段。
