#1.識別有價值的資料和資產
並非組織內的所有資料和資產都是相等的價值。 某些系統,例如客戶資料庫,可能對維持正常運作至關重要。 其他,例如打印機,很有用,但對業務運作並不至關重要。
為資產分配重要性和價值等級是網路分段的重要第一步。這些標籤稍後將用於定義網路內的各個信任區域。
#2.將分類標籤指定給每個資產
除了資產的價值之外,考慮其包含的數據的敏感性也很重要。 持有非常敏感資料的資產,例如客戶資訊、研發資料等,可能需要符合資料保護法規或公司安全政策的額外保護。
這些標籤應同時考慮到數據的敏感性(即 公開到高度限制)以及資產包含的資料類型。 這有助於定義符合適用法規的細分策略,例如支付卡產業資料安全標準 (PCI DSS)。
#3。繪製網路中的資料流程圖
網路分段透過將網路分成隔離的網段來幫助提高網路安全性。這使得攻擊者在獲得初始立足點後更難以在網路中橫向移動。
但是,有許多合法的數據流需要允許。 應映射網路上所有系統的所有資料流,包括:
- 北向流量:北向流量正在離開公司網絡,就像員工從連接到公司網路的託管裝置存取 saleforce.com 一樣。
- 東西向流量:東西向流量在網路邊界內的系統之間移動,例如資料中心網路中的前端網路伺服器和後端資料庫伺服器。
- 南向流量:南向流量包括進入網段或區域的數據,例如客戶或員工存取位於DMZ 網路或公司 Intranet 中的本地 Web 伺服器。
#4.定義資產群組
組織網路內的某些資產用於類似目的並定期進行通訊。將這些系統彼此分隔並沒有意義,因為維持正常功能需要許多例外情況。
在定義資產組時,重要的是要考慮這種類似的功能以及公司網路上各種資產的敏感度。任何具有類似目的且具有相似敏感度等級的資產,應在一個區段中與具有不同信任層級或功能的其他資產分組在一個區段中。
#5。部署分段閘道器
定義區段邊界很重要,但如果未強制執行這些邊界,它不會對組織帶來任何好處。 對每個網段進行存取控制需要部署一個網段閘道器。
為了強制執行分段邊界,進出該分段的所有網路流量都必須通過閘道器。因此,一個組織可能需要多個閘道器來實現有效的分段。這些要求可以幫助您決定選擇硬體防火牆還是虛擬防火牆。
#6.建立存取控制原則
特定區段內的資產之間的流量可能會被允許不受限制。 但段間通訊需要由段閘道器監控並遵守存取控制策略。
這些策略應基於最小權限原則來定義,該原則規定應用程式、裝置或使用者應具有完成其工作所需的最低權限等級。這些權限應基於 #3 中識別的合法資料流程。
#7.進行定期稽核和審查
在定義微網段、部署分段閘道器、建立和執行存取控制策略之後,實施網路分段的過程就基本上完成了。然而,定義網路分段策略並不是一次性的工作。
由於企業網路的發展或初始設計過程中的疏忽和錯誤,網路分段策略可能會發生變化。解決這些潛在問題需要定期審核,以確定是否進行了變更、系統中是否存在任何不必要的風險,以及如何更新網路段和存取控制以減輕這些風險。
#8.盡可能自動化
定義網路分段策略可能是一項艱鉅的任務,尤其是對於企業規模的網路。嘗試手動執行所有這些步驟可能很困難或不可能。
因此,盡可能利用自動化功能非常重要。 特別是在發現和分類階段,自動化對於識別網路上新增的新資產及其通訊流(如果它們包含任何脆弱性)以及應用網路分段策略非常寶貴。
使用 Check Point 實作物聯網網路分段
隨著物聯網 (IoT) 的發展,自動偵測和標記變得越來越有價值。這些裝置通常不安全,需要進行分段以將它們與企業網路上的關鍵系統隔離。然而,實施有效的物聯網資安需要一個理解物聯網協定的防火牆。若要了解 IoT 網路分段的實際應用,歡迎您要求示範。
反映意見