顧名思義，網(wǎng)絡分段是一種將網(wǎng)絡劃分為多個段或子網(wǎng)的方法。這使網(wǎng)絡管理員能夠控制網(wǎng)段之間的流量，提高性能并提高監(jiān)控能力。因此，網(wǎng)絡管理員可以通過防止未經(jīng)授權(quán)的訪問和本地化技術(shù)問題來創(chuàng)建安全的企業(yè)網(wǎng)絡。

網(wǎng)絡分段的定義

傳統(tǒng)網(wǎng)絡的特點是：

• 它們通常有一個堅不可摧的外殼，將外部世界與內(nèi)部企業(yè)網(wǎng)絡隔開。
• 他們假設網(wǎng)絡中的個人是可以信任的。
• 他們對內(nèi)部網(wǎng)絡幾乎沒有部署限制，因此如果攻擊者可以從外殼侵入，他們就可以訪問內(nèi)部企業(yè)網(wǎng)絡中的所有內(nèi)容。

然而，由于最近備受矚目的內(nèi)部泄密事件經(jīng)常浮出水面，因此有必要加強內(nèi)部網(wǎng)絡。這就產(chǎn)生了網(wǎng)絡分段的架構(gòu)概念。

網(wǎng)絡分段的工作原理

在更廣泛的網(wǎng)絡中，網(wǎng)絡分段建立了不同的、分離的部分，每個部分都有自己的一套安全標準和策略。具有相同信任級別的段或端點類別存儲在這些段中。

基于邊界的網(wǎng)絡分段

內(nèi)部和外部網(wǎng)段是通過基于信任的基于邊界的分段創(chuàng)建的：網(wǎng)段內(nèi)部的內(nèi)容可以信任，而外部的任何內(nèi)容都不是。因此，內(nèi)部資源幾乎沒有限制，因為它們通常在具有最小內(nèi)部網(wǎng)絡分段的平面網(wǎng)絡中運行。分段和過濾發(fā)生在預定的網(wǎng)絡節(jié)點。

網(wǎng)絡虛擬化

許多企業(yè)現(xiàn)在有許多網(wǎng)絡區(qū)域，這些網(wǎng)絡區(qū)域具有需要在多個網(wǎng)絡點進行分段的特定任務。此外，網(wǎng)絡的端點已經(jīng)擴展到包括各種端點類型，每種類型都有不同的信任級別。

結(jié)果，基于周長的分割不再足夠好。隨著云技術(shù)、BYOD 和移動設備的引入，邊界變得越來越模糊，沒有明確的分界線。為了獲得更高的安全性和網(wǎng)絡性能，我們現(xiàn)在需要額外的分段，進一步進入網(wǎng)絡。此外，當今的東西向流量模式需要更大的網(wǎng)絡分段。網(wǎng)絡虛擬化在這里發(fā)揮作用，因為它將分段提升到了另一個層次。

VLAN 最初設計用于分隔廣播域和提高網(wǎng)絡性能。隨著時間的推移，VLAN 演變成一種安全機制，盡管這從來都不是本意。VLAN 的問題是沒有 VLAN 內(nèi)過濾，因此具有非常廣泛的訪問權(quán)限。

網(wǎng)絡分段功能

網(wǎng)絡分段具有以下特點和特點：

• 網(wǎng)絡分段部署零信任策略。零信任策略假定默認情況下沒有人值得信任，即使他們在內(nèi)部企業(yè)網(wǎng)絡中也是如此。
• 網(wǎng)絡分段策略創(chuàng)建第二道防線并加強安全性。
• 默認情況下，只有授權(quán)用戶可以訪問該網(wǎng)段，而其他人則被禁止訪問。
• 網(wǎng)段可以是應用一組通用安全策略的網(wǎng)絡安全區(qū)域的一部分。

網(wǎng)絡分段是通過限制攻擊者繞過外圍訪問內(nèi)部數(shù)據(jù)的可能性來創(chuàng)建安全企業(yè)網(wǎng)絡的重要工具。

網(wǎng)絡分段的用例

網(wǎng)絡分段在業(yè)務和安全領(lǐng)域具有以下重要用例：

• 合規(guī)性：組織在開展業(yè)務時需要遵守監(jiān)管法律和標準，例如健康保險流通與責任法案 (HIPAA) 和支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)。網(wǎng)絡分段通過證明敏感數(shù)據(jù)得到安全處理以及對敏感數(shù)據(jù)的充分監(jiān)控到位，有助于輕松實現(xiàn)這一目標。
• 勞動力流動性：您可以創(chuàng)建啟用虛擬專用網(wǎng)絡 (VPN) 客戶端的網(wǎng)段，以允許員工在家工作。這有助于創(chuàng)建安全的移動員工隊伍并提高員工的工作效率。
• 物聯(lián)網(wǎng)設備的隔離：物聯(lián)網(wǎng) (IoT) 設備的安全與其他組織數(shù)據(jù)一樣重要。因此，您可以使用網(wǎng)絡分段來允許閉路電視 (CCTV) 攝像機等物聯(lián)網(wǎng)設備僅在其自己的網(wǎng)絡內(nèi)共享信息。
• 訪客網(wǎng)絡：您可以使用網(wǎng)絡分段來創(chuàng)建受保護的訪客網(wǎng)絡并實時管理訪客活動。
• 員工：您可以為您的員工創(chuàng)建網(wǎng)段，使用他們自己的一套規(guī)則策略、過濾器和限制。

網(wǎng)絡分段的好處

網(wǎng)絡分段有很多好處。網(wǎng)絡分段的一個不可否認的好處是提高了安全性。網(wǎng)絡分段將系統(tǒng)和應用程序彼此隔離。它創(chuàng)建一個網(wǎng)絡過濾器，限制網(wǎng)段之間的訪問并增強安全性。

網(wǎng)絡分段意味著更好的網(wǎng)絡遏制，可以減慢攻擊者的速度。當攻擊者攻破一個網(wǎng)段時，他們也無法訪問所有其他網(wǎng)段。他們需要一些時間來突破每個網(wǎng)段之前的策略、過濾器、防火墻和障礙，從而減慢攻擊者的速度。可以肯定地說，成功攻擊造成的損害會減少，因為將攻擊傳播到其他部分需要時間。

攻擊不僅破壞性較小，而且您可以通過網(wǎng)絡分段提供的改進監(jiān)控更輕松地檢測到它們。網(wǎng)絡分段允許您增強日志記錄、監(jiān)視事件和連接并檢測可疑行為。有了這個，您可以注意到惡意活動的模式并進行適當?shù)恼{(diào)整以防止可能的違規(guī)行為。

網(wǎng)絡分段提高了性能。您為每個網(wǎng)段創(chuàng)建更少的主機，從而最大限度地減少本地流量。您可以將廣播流量隔離到本地子網(wǎng)，從而節(jié)省查找惡意事件所花費的時間和金錢。

管理員可以提高訪問控制能力并輕松實施最小權(quán)限策略 (PoLP) 原則。這是指何時為用戶提供執(zhí)行工作職能所需的最低級別的訪問權(quán)限。網(wǎng)絡分段允許用戶僅訪問特定的網(wǎng)絡資源并防止意外訪問，從而更好地控制您的網(wǎng)絡。隨著組織迅速采用最小權(quán)限策略，網(wǎng)絡分段正步入正軌。分段網(wǎng)絡限制對關(guān)鍵信息的訪問，加強最小特權(quán)策略。