与许多大型网络安全项目一样,微分段似乎很复杂、耗时且成本高昂。
它涉及管理有关设备间服务连接的复杂细节。
一台 Web 服务器应连接到特定数据库,但不连接到其他数据库,或者负载平衡器应连接到某些 Web 服务器,同时限制与其他 Web 服务器的连接。
管理所有这些连接似乎很困难。
采用软件方法进行网络微分段是提高网络抵御外部安全漏洞和恶意内部威胁能力的最佳方法。
它还强制执行零信任网络架构 ( ZTNA ) 原则(假设网络的某些部分已经遭到破坏),以最大限度地减少横向移动。
这种主动方法正是政府或行业法规经常强制实施微分段的原因。
微隔离并不需要太复杂才能发挥其作用。微隔离的概念通常被比作游轮和防水舱。
只要封闭一个或多个舱室,就可以堵住漏洞,让船保持漂浮。
现代游轮通常有 8-12 个防水舱室,这证明您不需要数十个隔间就能确保安全。
从简单的微分段项目开始(针对最关键或最脆弱的区域)可以带来巨大的网络安全优势。
以下是三个简单但有效的微分段项目,任何 IT 团队都可以实施这些项目,以通过零信任方法加强网络安全。
隔离生产基础设施
考虑以下情况:远程开发人员通过 VPN 连接到网络以访问测试数据,但随后尝试使用远程桌面协议 (RDP) 访问其中一个域控制器。
在实施微分段的情况下,域控制器应拒绝此连接。
想测试一下吗?现在就试试。如果您在尝试通过 RDP 连接到域控制器时在笔记本电脑上收到凭据提示,则说明您有一个影响巨大的简单微分段项目。
您可能会说开发人员不具备域管理员凭据,因此风险很小。
但是,对关键生产网络基础设施(如域控制器)的访问应受到严格控制。
对它的访问应仅限于几个指定的跳转服务器,而从任何其他位置的访问都应被拒绝/阻止。
一般而言,限制生产设备(例如域控制器、跳转服务器、数据库和 Web 服务器)之间的访问,使其仅相互连接,即使不隔离服务的详细信息,也可以通过限制访问显著增强安全性。
让生产数据库主机连接到生产 Web 服务器,即使理论上没有必要。
但要拒绝任何暂存或开发设备连接到生产 Web 服务器。
隔离智能设备
许多会议室都配有连接到生产网络的智能电视。
这些物联网设备以及智能打印机、复印机甚至厨房冰箱都配有 CPU 和操作系统,因此很容易受到各种攻击。
虽然访问这些设备似乎不是什么严重的威胁,但它们可能会被用来攻击更敏感的系统。
考虑一下会议室里的智能电视是否可以与另一栋楼里的 MRI 扫描仪或 SWIFT 终端等关键设备通信。
如果可以,将这些设备与生产设备或网络基础设施隔离是一个简单但非常有效的微分段项目。
细分业务功能
制造或能源公司后台的会计人员是否应该能够访问控制激光钻孔设备的监控和数据采集 ( SCADA ) 基础设施?
或者,连接到可编程逻辑控制器 ( PLC ) 的车间工程师是否应该能够连接到企业企业资源规划 (ERP) 系统?
虽然会计人员或生产车间工程师不太可能试图跳转到网络中更敏感的区域,但远程恶意行为者或机器人会这样做。
保护组织内各部门免受其他部门的侵害是一项广泛且相对简单的项目,它将零信任架构引入复杂的网络。
通过确保一个部门无法自由访问另一个部门,您可以创建额外的安全层,使恶意行为者更难在网络内横向移动。
小进步,大安全收益
一个全面的微分段项目将涉及分析数千个网络连接、识别和标记数百种服务、配置和执行数百种策略。
然而,这样的项目需要付出巨大的努力,引入新的错误,并产生性能和维护问题,而且往往无法实现关键且易于实现的目标。
为了避免迷失于复杂性中,循序渐进地实施微分段项目会很有帮助。
首先关注易于实施的关键广泛领域。
一旦到位,您就可以进入实施的下一阶段,确保每一步都能带来真正的、可衡量的安全改进,而不会占用过多的资源。
