应用强大的网络细分为您的组织创建“纵深防御”战略可以提供许多好处。从减慢攻击者的速度，到限制数据泄露的范围，再到更容易实施其他数据安全策略（如最小权限策略），网络分段对您的网络安全策略非常重要。

然而，什么是网络分割？更重要的是，你如何以有效和可靠的方式创建它？

为了帮助您更好地保护您的组织免受现代网络威胁，以下是对该网络安全概念的解释，以及一些网络细分最佳实践：

什么是网络分段？

正如Tufin在一篇关于这个主题的白皮书中所指出的：“分段是将组织的网络划分成更小的、因而更易于管理的接口分组。”换句话说，网络分段的核心是将一个由连接的资产组成的网络并将每一个资产隔离以提高安全性的做法以及可管理性。

网络分割的主要目标之一是限制对组织网络的任何特定攻击造成的损害的范围，尤其是那些由内部威胁引起的攻击。如果没有强大的网络分割，任何通过外围防御的威胁都可能影响整个网络。

那么，如何利用细分策略创建纵深防御呢？以下是一些网络细分的最佳实践，可以帮助您：

网络细分最佳实践#1：小心过度细分

虽然隔离网络上的单个资产是一种很好的网络安全策略，但也存在这样一种情况：分割太多。当一个网络被分割得太重时，管理起来会更困难，甚至会影响网络的性能，从而影响员工的生产力。

用尽可能高的限制级别锁定网络中的每个端点可能会使整个网络更安全，但对于大多数组织来说，这将过于资源密集和不切实际。

因此，您的纵深防御策略应该考虑到您隔离的每个资源有多重要，该端点上的数据和系统有多敏感，以及该资源预计要处理多少网络流量。这样做可以帮助您平衡应用的安全性和资源的价值。

网络细分最佳实践2：定期进行网络审计

你不能正确地隔离和保护你不知道你拥有的东西。任何纵深防御策略都必须定期进行网络审计。否则，您将面临丢失网络上某些端点和连接的风险，从而造成攻击者可能会利用的安全漏洞。

经常进行网络审核，以确定已添加到网络中的任何新资产是弥补组织中安全漏洞的最有效的网络安全最佳实践之一。所以，一定要经常进行。

网络细分最佳实践#3：将类似资源整合到一个数据库中

在准备实施网络分割策略时，不仅可以审核网络上的所有数据，而且可以合并各个数据库上的类似资源和数据。这有助于您更轻松地制定最低权限策略，并更容易地保护额外敏感信息。

例如，假设您的客户数据只需要由组织中极少数人访问。与其把这些数据放在几十个工作站上，不如将所有数据整合到一个受良好保护的单一数据库中，以提高安全性。

这比保护几十个端点所需的资源更少，并且允许您应用更严格的保护，而不会对整体网络性能或用户体验造成太大影响。

在为合并目的定义哪些资源“相似”时，可以帮助按类型和敏感度级别对数据进行分类。

网络细分最佳实践4：为特定供应商创建和隔离访问门户

大多数组织与不同的供应商合作以满足他们的各种需求。从暖通空调维修供应商，到供应链供应商，再到特定软件许可证的供应商，一个组织可能会为服务签订合同的专家名单没有尽头。虽然不是每个供应商都需要访问组织的后端，但有些供应商可能需要访问您的系统来提供服务。

在为您的网络上的外部供应商创建访问门户时，尽可能地将他们锁定，并且只提供对他们所需的资源的访问，以满足您的组织的功能，这一点很重要。这有助于限制供应商组织中安全漏洞的潜在影响。

例如，如果供应商被攻破，并且可以不受限制地访问您的系统，那么攻击者也可能会破坏您的网络。但是，如果供应商的访问权限仅限于与网络其余部分隔离的少数系统，则损害不太可能严重。

原文：https://www.compuquip.com/blog/network-segmentation-best-practices

本文：http://jiagoushi.pro/node/1087

讨论：请加入知识星球【首席架构师圈】或者小号【jiagoushi_pro】