什麼是網路分段?

網路分段是將網路劃分為較小的隔離部分的做法,以幫助減少橫向移動並提高網路效能。

學習目標

閱讀本文後,您將能夠:

  • 定義「網路分段」
  • 瞭解網路分段的安全性與效能優勢
  • 比較網路分段與微分段

複製文章連結

什麼是網路分段?

網路分段是將網路*分成較小的隔離部分的做法。這些分區可以透過實體硬體或軟體來建立和保護,每個分區都有自己的實作挑戰。

透過隔離網路的不同部分,組織可以更輕鬆地防止橫向移動、對網路流量進行精細控制並提高網路效能。他們甚至可能為單一工作負載和應用程式設定原則,這種方法稱為微分段

*網路是一組相互連接的電腦。

網路分段是如何運作的?

網路分段將網路劃分為多個部分,然後可以對其套用不同的控制。通常,使用以下兩種方法之一執行此程序:實體分段邏輯分段

實體分段

實體分段需要硬體設備(例如路由器交換器防火牆)將網路分成離散的部分。這些設備透過分段原則控制允許進入和退出每個部分的流量類型,可以根據特定標準進行設定(例如流量來源、目的地等)。

實體分段(也稱為基於周邊的分段)的設定和維護通常成本高昂且需要耗費大量人力。它還假設大多數組織仍然維持實體網路週邊

然而,隨著雲端運算的出現,這個周邊幾乎消失了,因為使用者可以透過網際網路而不是 IT 管理的內部網路來存取資料和應用程式。即使使用內部部署基礎架構的組織也通常允許使用者從外部裝置和軟體連接到內部資源。

邏輯分段

邏輯分段或虛擬網路分段使用軟體將網路劃分為較小的部分。這些分段可以透過子網路虛擬區域網路 (VLAN) 和網路尋址方案來建立。

  • 子網路有助於將網路分成更小的網段,從而允許網路流量傳輸更短的距離,而無需透過不必要的路由器到達目的地
  • VLAN 將單一實體網路上的流量分割到兩個網路中,無需多個路由器或網際網路連線即可將網路流量路由到不同的目的地
  • 網路尋址方案透過在多個第 3 層子網路之間劃分網路資源來建立網路分段

與實體分段一樣,邏輯分段也使用分段策略來限制進出每個網路分段的流量。

由於邏輯分段不依賴設定、維護和更新多個硬體設備,因此它被廣泛認為是一種更靈活、可擴展且更具成本效益的分離和保護網路的方法。

網路分段有什麼好處?

如果實作得當,網路分段可以幫助組織更有效率地改善安全性、效能和合規性。幾個最顯著的優點包括:

  • 減少橫向移動:在攻擊者入侵網路後,他們無法在整個網路中自由移動,因為他們只入侵了網路的一個特定部分。這反過來又有助於最大限度地減少組織的攻擊面
  • 修復惡意活動:當攻擊或可疑活動局限於特定區域時,IT 團隊可以更有效地偵測和修復它,而不會影響網路的其他部分
  • 提高效能:將某些流量類型限制到網路的特定區域可以幫助減少整體網路擁塞並最佳化效能
  • 確保合規性:分段可以隔離受合規性標準約束的網路區域,從而更容易根據需要進行更新

網路分段與微分段

網路分段將網路劃分為較小的部分,並對其套用不同的安全控制和原則。

而微分段隸屬於網路分段,它允許對單一工作負載套用更精細的控制。(工作負載是一個程式或應用程式,例如一個伺服器、虛擬機器無伺服器功能,它使用一定量的記憶體和運算資源。)它是 Zero Trust 安全性模型的一部分,其中預設不信任任何使用者或裝置。

為了更瞭解網路分段與微分段的安全優勢,請想像一位國王想要保護大量黃金和珠寶。他可能會將所有的寶藏放入幾個秘密金庫中,每個金庫只能使用特定的鑰匙(網路分段)來打開。如果小偷偷了一個金庫的鑰匙,他們可能能夠竊取其中的寶藏,但如果不竊取其他房間的鑰匙,就無法進入其他金庫。同樣,入侵一個子網路的攻擊者可能會洩漏其中的資料,但無法自由移動到另一個子網路。

或者,國王不僅可以將他的寶藏分散在多個金庫中,還可以將它們放入這些房間內上鎖的箱子中,並確保每個箱子只能用自己的鑰匙(微分段)打開。這樣,如果小偷偷了其中一個寶庫的鑰匙,他們就無法在不獲取額外鑰匙的情況下打開各個寶箱。同樣,在微分段網路中,即使攻擊者入侵了一項工作負載,他們也可能無法入侵(甚至存取)其他工作負載。

詳細瞭解微分段如何幫助組織實現 Zero Trust 安全狀態