网络分段安全优秀实践

网络分段使组织能够降低网络安全风险，并作为定义零信任安全策略的重要第一步。网络分段创建了零信任安全策略可以强制执行访问控制的网络边界。过去，许多组织仅在网络外围定义安全边界。以下步骤概述了如何在公司网络中实施有效的分段。以下是来自CheckPoint的有关网络分段的最佳实践，供大家参考!

创新互联主要企业基础官网建设，电商平台建设，移动手机平台，重庆小程序开发等一系列专为中小企业按需定制网站产品体系；应对中小企业在互联网运营的各种问题，为中小企业在互联网的运营中保驾护航。

1. 识别有价值的数据和资产

并非组织内的所有数据和资产都具有同等价值。某些系统，例如客户数据库，对于维持正常操作可能是必不可少的。其他的，如打印机，对企业的运作很有用，但并不重要。

为资产分配重要性和价值级别是网络分割的重要第一步。这些标签稍后将用于定义网络内的各种信任区域。

2. 为每个资产分配分类标签

除了资产的价值，考虑它们所包含的数据的敏感性也很重要。持有非常敏感数据的资产，例如客户信息、研发数据等，可能需要额外的保护以符合数据保护法规或公司安全政策。

这些标签应考虑数据的敏感性(即公开到高度受限)和资产包含的数据类型。这有助于定义符合适用法规的分段策略，例如支付卡行业数据安全标准 (PCI DSS)。

3. 跨网络映射数据流

网络分段通过将网络分成独立的段来帮助提高网络安全性。这使得攻击者在获得初始立足点后更难在网络中横向移动。

但是，有许多合法的数据流需要被允许。应映射网络上所有系统的所有数据流，包括：

• 北向流量：北向流量正在离开公司网络，例如员工从连接到公司网络的托管设备访问 saleforce.com。
• 东西流量：东西流量在网络外围内的系统之间移动，例如数据中心网络中的前端网络服务器和后端数据库服务器。
• 南向流量：南向流量包括进入网段或区域的数据，例如客户或员工访问位于DMZ 网络或公司内部网中的本地 Web 服务器。

4. 定义资产组

组织网络中的某些资产用于类似目的并定期通信。将这些系统彼此分开是没有意义的，因为需要许多例外来维持正常的功能。

在定义资产组时，重要的是要考虑这种相似的功能和企业网络上各种资产的敏感性。任何用于类似目的和类似敏感度级别的资产都应归为一个部分，与具有不同信任级别或功能的其他资产分开。

5. 部署分段网关

定义段边界很重要，但如果不强制执行这些边界，则对组织没有任何好处。对每个网段实施访问控制需要部署网段网关。

要强制分段边界，所有进出该分段的网络流量都必须通过网关。因此，一个组织可能需要多个网关来实现有效的分段。这些要求有助于决定是选择硬件防火墙还是虚拟防火墙。

6. 创建访问控制策略

可以允许特定段内的资产之间的流量不受限制地流动。但是，段间通信需要由段网关监控并遵守访问控制策略。

这些策略应基于最小权限原则定义，该原则规定应用程序、设备或用户应具有完成其工作所需的最低权限级别。这些权限应基于#3 中确定的合法数据流。

7. 执行定期审计和审查

在定义微分段、部署分段网关、创建和执行访问控制策略之后，实现网络分段的过程基本完成。但是，定义网络分段策略并不是一次性的练习。

由于公司网络的发展或初始设计过程中的疏忽和错误，网络分段策略可能会发生变化。解决这些潜在问题需要定期审核以确定是否进行了更改，系统中是否存在任何不必要的风险，以及如何更新网段和访问控制以减轻这些风险。

8. 尽可能自动化

定义网络分段策略可能是一项艰巨的任务，尤其是对于企业级网络。尝试手动执行所有这些步骤可能很困难或不可能。

因此，尽可能利用自动化功能非常重要。尤其是在发现和分类阶段，自动化对于识别添加到网络上的新资产、它们的通信流(如果它们包含任何漏洞)和应用网络分段策略是非常宝贵的。

网站名称：网络分段安全优秀实践
文章链接：http://www.mswzjz.cn/qtweb/news28/42578.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能