網路分段涉及將公司網路劃分為多個區域。任何嘗試穿越區域之間的邊界的交通都必須經由一名檢查 次世代防火牆 (日本語)。 這為組織提供了更大的網路可見性以及識別和阻止攻擊者嘗試橫向移動的能力。
網路分段是組織安全和監管策略的重要組成部分。如果無法檢查網路內的流量,組織就無法阻止攻擊者的橫向移動或有效地實施存取控制。許多法規要求組織管理敏感資料的存取權及處理這些資料的系統。 將這些裝置與網路的其餘部分分開使組織能夠檢測並阻止對受保護資料的未經授權的存取。
網路分段將網路劃分為通常由多個裝置及其託管的應用程式組成的區域。 微分段 更進一步,將每個裝置甚至每個應用程式放置在自己的部分中。檢查裝置或應用程式之間的所有流量是否有潛在的惡意內容或違反公司安全或存取控制策略的情況。
微分段是使用軟體定義的網路 (SDN) 來實現的。 SDN 的網路基礎設施虛擬化允許所有流量透過 NGFW 等檢查點進行路由。此 NGFW 可以識別攻擊者潛在的側向移動,並阻止對公司資源的任何不當存取。
對於組織才能真正實施零信任安全政策,微分段至關重要。 零信任要求能夠阻止對應用程式或裝置的任何未經授權的訪問,這使得有必要檢查該資源的所有流量,無論其源自何處。
微分段有利於應用程式的理解、效能以及安全性。透過微分段,組織可以深入了解應用程式的使用方式以及流量在整個企業網路中的流動。這種可見性可用於增強企業應用程式的效能。例如,通常從特定資料庫請求資料的應用程式可以重新定位,以最小化這些請求的延遲。
微分段是一種更細粒度的網路分段形式,也稱為 宏觀分段。微分段不是將網路分成多個大的網段,而是使每個應用程式或裝置都有自己的網段。
因此,微分段提供了比網路分段更精細的可見性和安全控制。透過網路分段,特定網段內的裝置或應用程式之間的流量不會透過 NGFW 進行檢查。另一方面,微分段則對流經企業網路的所有流量進行檢查。
過去組織採用的以周邊為重點的安全策略不足以抵禦現代網絡威脅。 攻擊者可以透過各種方式存取公司網路,一旦進入,基於邊界的安全解決方案就無法察覺。
如果組織希望有效管理其網絡風險,則零信任安全政策至關重要。 零信任安全性 指令應根據個別情況授予或拒絕存取公司資源和系統。 員工或應用程式應該能夠存取完成其工作所需的資源,僅此而已。網路分段透過在企業網路內提供可見性和存取控制來實現這一點。
宏觀分段和微細分段都可以是組織的寶貴組成部分 網絡安全政策。宏分段提供對組織網路各個區域之間移動的流量的進階控制,而微分段提供更精細的網路可見度和能力 有效實施零信任 存取控制。
Check Point 的解決方案能夠在整個組織的網路中實施宏觀分段和微觀分段。Check Point 的 NGFW 可讓組織有效地檢查和保護網段之間的流量,而不會降低吞吐量或效能。要了解如何在網路中實施宏觀分段, 請求 Check Point NGFW 演示。
Check Point 也為您組織的私有雲端基礎架構提供微分段支援。Check Point 的 CloudGuard 基礎架構即服務產品提供雲端原生安全策略實施和威脅防護功能。要了解有關有效保護組織的雲端部署的更多信息,請查看此 安全雲端藍圖。然後,親自查看 CloudGuard 基礎架構式服務的實際應用 今天請求免費演示。