網路分段是將網路劃分為較小的隔離部分的做法,以幫助減少橫向移動並提高網路效能。
閱讀本文後,您將能夠:
複製文章連結
網路分段是將網路*分成較小的隔離部分的做法。這些分區可以透過實體硬體或軟體來建立和保護,每個分區都有自己的實作挑戰。
透過隔離網路的不同部分,組織可以更輕鬆地防止橫向移動、對網路流量進行精細控制並提高網路效能。他們甚至可能為單一工作負載和應用程式設定原則,這種方法稱為微分段。
*網路是一組相互連接的電腦。
網路分段將網路劃分為多個部分,然後可以對其套用不同的控制。通常,使用以下兩種方法之一執行此程序:實體分段和邏輯分段。
實體分段需要硬體設備(例如路由器、交換器和防火牆)將網路分成離散的部分。這些設備透過分段原則控制允許進入和退出每個部分的流量類型,可以根據特定標準進行設定(例如流量來源、目的地等)。
實體分段(也稱為基於周邊的分段)的設定和維護通常成本高昂且需要耗費大量人力。它還假設大多數組織仍然維持實體網路週邊。
然而,隨著雲端運算的出現,這個周邊幾乎消失了,因為使用者可以透過網際網路而不是 IT 管理的內部網路來存取資料和應用程式。即使使用內部部署基礎架構的組織也通常允許使用者從外部裝置和軟體連接到內部資源。
邏輯分段或虛擬網路分段使用軟體將網路劃分為較小的部分。這些分段可以透過子網路、虛擬區域網路 (VLAN) 和網路尋址方案來建立。
與實體分段一樣,邏輯分段也使用分段策略來限制進出每個網路分段的流量。
由於邏輯分段不依賴設定、維護和更新多個硬體設備,因此它被廣泛認為是一種更靈活、可擴展且更具成本效益的分離和保護網路的方法。
如果實作得當,網路分段可以幫助組織更有效率地改善安全性、效能和合規性。幾個最顯著的優點包括:
網路分段將網路劃分為較小的部分,並對其套用不同的安全控制和原則。
而微分段隸屬於網路分段,它允許對單一工作負載套用更精細的控制。(工作負載是一個程式或應用程式,例如一個伺服器、虛擬機器或無伺服器功能,它使用一定量的記憶體和運算資源。)它是 Zero Trust 安全性模型的一部分,其中預設不信任任何使用者或裝置。
為了更瞭解網路分段與微分段的安全優勢,請想像一位國王想要保護大量黃金和珠寶。他可能會將所有的寶藏放入幾個秘密金庫中,每個金庫只能使用特定的鑰匙(網路分段)來打開。如果小偷偷了一個金庫的鑰匙,他們可能能夠竊取其中的寶藏,但如果不竊取其他房間的鑰匙,就無法進入其他金庫。同樣,入侵一個子網路的攻擊者可能會洩漏其中的資料,但無法自由移動到另一個子網路。
或者,國王不僅可以將他的寶藏分散在多個金庫中,還可以將它們放入這些房間內上鎖的箱子中,並確保每個箱子只能用自己的鑰匙(微分段)打開。這樣,如果小偷偷了其中一個寶庫的鑰匙,他們就無法在不獲取額外鑰匙的情況下打開各個寶箱。同樣,在微分段網路中,即使攻擊者入侵了一項工作負載,他們也可能無法入侵(甚至存取)其他工作負載。
詳細瞭解微分段如何幫助組織實現 Zero Trust 安全狀態。
入門
關於存取管理
關於零信任