语言 Chinese, Simplified

SEO Title

Network Segmentation Best Practices to Improve Security

介绍

分割的概念并不新鲜。在古代历史上，罗马人根据被俘战士的种族和地理特征创建了战斗单位。这个想法很简单：把背景相似的战士组合在一起，这样他们就可以团结起来，最终成为更好的战斗单位。纵观历史，这一概念一直被用作创建宗教、种族、地理、性别和政治团体的基础[1]。当我们观察数字世界时，组织一直在通过逻辑或物理方法执行用户、流量或数据分割，以保护其基础设施的核心部分。

整合和集中网络基础设施一直是细分的关键驱动因素。以前被隔离的应用程序基础架构现在正在迁移到公共的共享物理和虚拟网络，这些网络需要隔离才能保持一定程度的隔离。同样，随着虚拟化、容器、智能手机、平板电脑、无线连接以及最近的物联网（Internet of Things，IoT）的引入，网络在过去几年经历了巨大的转变。组织已经通过二级技术（如VLAN、虚拟路由和转发（VRF）和虚拟防火墙）使用策略强制作为提供网络分段的流行方法。想到的一个显而易见的问题是，如果组织已经在划分其网络组件，为什么我们需要讨论这个话题？在回答这个问题之前，让我们先介绍几个数据点。

网络设计：

传统的网络架构是通过把皇冠上的宝石（数据）放在一个戒备森严的城堡（数据中心）中构建的。你会有一种舒服的感觉，你所有的关键资源都有一个强大的外围保护，如果不明确允许，任何东西都不能通过你的防御。这个设计最大的缺陷是：如果城堡里已经有未经授权的实体怎么办？如果未经授权的实体已经可以访问珠宝怎么办？如果未经授权的实体找到了把珠宝搬出你城堡的方法呢？

具有有限分段和数百个用户和应用程序的组织通常会遇到N*M问题，其中N是用户组的数量，M是关键资源的数量，如图1所示。简单地说，每个用户组都可以访问企业网络中几乎所有的应用程序。

图1：用户组到资源（N*M）的关系

如果在单个用户级别提供访问而不按一组公共特征对用户进行分组，则N*M问题会变得更糟。通过显式地允许用户组访问授权资源，使用最小权限原则有助于简化此问题。如果将每个用户组的授权资源组合在一起，则此问题的严重性将降低到N+M。请仔细查看图2中箭头的方向，该箭头说明了一种单向分段策略，允许用户组对授权资源具有适当的访问权限。

Figure 2: User Group to Resource (N+M) Relationship

数据泄露：

我们都同意，安全形势在过去几年中发生了变化。网络攻击变得越来越复杂和有针对性。如果你看看最近的数据泄露，一个突出的问题是这些网络的布局。为了满足业务需求，大多数拥有大型网络的公司忽略了安全性的大部分方面，有时会使他们的网络变得几乎平坦。此外，大多数组织的流量可见性有限，并且缺乏正确定义的分段策略。这些数据泄露表明，一旦恶意参与者侵入了您的外围防御，他们就可以在您的网络中自由漫游。作为侦察活动的一部分，他们试图确定访问关键资源和数据的方式。如果网络是平坦的，并且用户能够在只有有限安全控制（如身份验证或基于IP的访问控制列表）的情况下访问任何资源，那么攻击者几乎不需要做什么工作来利用这些漏洞。

业务目标：

组织的两个主要目标是盈利能力和生产力。在许多情况下，组织最终会扩展其网络基础设施，以满足用户和消费者的需求。这一问题通常因收购带来的无机增长而加剧，收购过程中，两个或多个网络通过虚拟隧道连接，作为整合过程的一部分。当需要快速集成时，这就成了一种创可贴，而安全性则成为一种事后考虑。

应用程序安全性：

在过去，应用程序和服务更简单，在企业中并不普遍。只有少数几个应用程序被选定的用户组在整个企业中使用。这些应用程序被放置在一个由一组安全和监视产品保护的数据中心中。尽管此模型相对简单，但它对托管在数据中心内的应用程序缺乏保护。此外，应用程序通常由防火墙分组和分隔。然而，当两个应用程序是同一个应用程序组的一部分时，此模型对它们之间的通信缺乏保护。

用户和数据移动：

用户不局限于办公室的物理边界。在这个数字时代，没有国界。传统的数据保护模式不再适用。用户可以在任何地方，使用任何设备，随时访问数据，并通过有线、无线或移动基础设施连接。随着智能设备的发展，对数据的访问不限于公司发布的设备。如果珠宝不在城堡里，你的城堡有多安全并不重要。数据本身可以是任何地方——企业数据中心、云（公共、私有、混合）或合作伙伴的网络，举几个例子。

数据可见性和监控：

超过50%的网络攻击在数月内都没有被组织发现。如果您对您的IT基础架构没有完全的可见性，如果您不知道谁在访问您的网络，他们在做什么，他们从哪里来，他们使用什么设备，以及他们如何从网络的一部分跳到另一部分，你如何保护自己免受威胁（有意或无意，直接或间接）？由于缺乏确定流量模式的区域，监控成为一个更大的挑战。

一旦可以接受的安全措施，如分割网络、配置VLAN、部署防火墙和创建虚拟路由表，就不再足够了。将用户和应用程序放入VLAN，并通过访问控制列表过滤流量，可实现有限的流量分离。随着网络虚拟化、云的采用和设备的激增，在允许访问关键数据之前，必须查看连接的整个上下文。随着网络威胁的不断演变，在网络层提供严格的分割不足以确保完整的数据保护。

数据驱动分割框架

我们需要的是一种新的方法，它能够适应当今以应用程序为中心的业务环境，能够结合来自不同来源的威胁情报，并且能够围绕端到端的数据连接构建完整的上下文。这种方法可以根据对应用程序、用户、使用者、威胁参与者和设备的理解，通过构建适当的访问控制方法，动态地划分这些数据连接。目前还没有一个框架可以将基础设施分解为单独的组件，在相关组件之间建立连接，然后应用访问控制模型来实现完全的流量隔离。我们需要一个超越技术控制和产品的框架，这些技术控制和产品通常作为解决这些安全问题的辅助手段部署，一个为高级管理层和网络架构师提供蓝图的框架，以确保分割是总体战略中不可或缺的一部分。

本文提出了一个框架，如图3所示，它以企业的业务关键资源为中心。此框架有助于识别需要访问这些资源的元素，围绕这些元素构建墙，然后应用访问控制策略来授权连接。完成本文所述的细分过程练习将迫使组织详细评估其网络安全计划，因为只有在微观层面上对企业的所有部分进行评估后，才能实现真正的细分，包括将基础结构组件分解为对象并建立适当的关系。

图3：数据驱动的分割框架

框架由以下组件组成：

业务关键资源：

建议的框架从逻辑上分解网络基础设施开始，并将业务关键资源放在体系结构的中心。业务关键型资源可以是您想要保护的任何内容，以防止未经授权的用户或对象访问。例如，如果您从事零售业务，它可能是您的PCI网络。如果你在医疗行业，它可能是存放病人信息的服务器。如果你是在汽车工业，它可能是包含你的下一辆车蓝图的系统。重要的是，您有一个适当的流程，让您可以看到您的网络元素，并知道它对您的价值，以防关键资源受到损害。如果数据泄露给未经授权的实体，则必须确定所涉及的适当风险。

对象：

一旦你知道你的关键资源是什么，下一步就是把你的网络架构分解成不同的对象。这些对象是用于交换数据内容的离散元素。对象的常见示例包括用户社区、访问网络的设备、为您的使用提供或承载数据的应用程序，以及提供与应用程序连接的系统。在这里，您将标识驻留在网络上或需要访问您的数据的所有元素。不仅如此，您还要识别这些对象以了解数据交换流。

当您开始识别每个对象的子元素时，这些对象对构建分割模型的影响显著增强。属于销售、工程、服务、营销、人力资源和合作伙伴组织的用户都可以是用户子对象的示例。有关每个对象定义的子元素列表，请参见表1。

表1

对象	定义	子对象示例
用户	可以提供分配的标识信息的对象	销售、工程、服务、营销、人力资源、合作伙伴组织
设备	需要访问基础设施以请求和接收数据的对象	公司发行的笔记本电脑、公司发行的移动设备、个人移动设备、IT拥有的打印机和扫描仪
系统	控制应用程序和设备之间数据连接的对象	虚拟主机、管理程序、软件映像、后端数据库
应用	通过某些接口直接或间接访问数据的对象	Web服务器，AD/DNS/NTP服务器

识别和创建子对象将允许组织在这些元素之间建立信任关系。信任关系可以在两个不同的对象或子对象之间建立，也可以在同一元素的两个子对象之间建立。如图4所示，在企业中标识了两个应用程序，活动目录（AD）和网络时间协议（NTP）。根据它们之间的关系和数据交互，属于AD的对象需要与NTP中的对象通信以同步它们的时钟。问题是，当NTP中的对象试图访问AD中的对象时，是否需要提供对这些对象的访问权限？答案取决于您的网络实现。不要盲目地允许这些对象之间的完全通信。如果您觉得NTP服务器需要与AD服务器通信，那么就允许它。

图4：应用程序到应用程序细分

分段策略允许组织根据信任模型验证源对象发出的请求，然后提供应用适当的强制操作以保护目标对象的方法，如图5所示。

图5：分段策略示例

地点：

如前所述，我们倾向于把珠宝放在一个安全的地方，在周围建立一个安全的边界。我们没有意识到的是，小偷可能会尝试不同的方法来偷你的东西。他们不会总是从外面进来。他们可能已经在你的安全屋里，或者已经可以通过其他途径接触到你的珠宝。框架需要确定关键资源的所有入口点。随着越来越多的云服务的采用，一些数据可以在控制点之外访问。云中托管的服务也有可能访问数据中心中的数据。

根据业务的性质，您可能有一个需要访问特定数据的合作伙伴生态系统。你知道他们从哪里连接，或者他们如何访问你的数据吗？你确定他们没有权限访问未经授权的数据吗？框架内的灵活性允许您根据您的组织结构和需要逻辑地将一个位置拆分为特定区域。有关位置、其定义和子位置列表的示例，请参见表2。

表2

位置	定义	子对象示例
内部	用户和设备连接到访问网络的网络的一部分	用户、访客、实验室、生产子网、VPN、工业控制空间
外部	网络的一部分，通常不在您的控制范围内，您可能不知道访问您的数据的用户或设备	Internet, Extranet
云	网络的一部分，由提供商管理和维护，可以访问您的DMZ网络	AWS, Azure, Salesforce.com
供应商	供应商和其他合作伙伴连接的网络的一部分	Extranet, partner subnet

通过对网络的这种分解，您应该能够确定属于工业控制区域的设备是否需要访问您的用户网络。

标识：

框架最重要的组件之一是确定对象的标识，无论它们是用户、设备还是应用程序。通过现有的用户数据库可以相对容易地找出用户的身份。您是否有确定设备或应用程序标识的过程？您知道用户是从公司发行的设备还是从个人拥有的移动设备请求访问数据吗？

同样，对于大型工业制造商，可能有许多供应商定期访问制造厂，对现场设备进行维修和故障排除。必须确定请求访问网络所有部分的对象的标识。您是否允许您的供应商完全访问您的内部网络？

监控：

如果您对网络体系结构没有完全的可见性，则任何安全框架都是不完整的。安全监控是通过收集、检查和分析各个安全区域的流量来实现的。这包括从以下位置收集数据：

边缘的IPS系统，用于检查和分析从外部进入网络的流量
不同对象之间的防火墙，以发现标识并实施适当的安全控制
设备探查器，以发现尝试请求网络访问的设备类型
NetFlow系统帮助您识别通过网络的流量类型，更重要的是，帮助您识别应用程序的使用情况

操作安全：

许多人常常认为信息和网络安全只是技术和产品的问题，关注的是它们的可靠性和复杂性。他们常常忽视根据资产的安全风险来评估业务目标。缺乏可信和相关的安全操作流程通常会导致安全漏洞，包括个人和/或机密数据被盗。例如，在数据泄露的情况下，您是否知道：

哪个设备是零号病人？
攻击者如何访问数据？
发现恶意事件需要多长时间？
控制这一事件需要多长时间？
操作人员执行了哪些流程来检测异常情况？
事件的生命周期是什么？
修补程序管理或事件管理流程是否得到正确遵循？

这些只是一些例子，但列表可能要长得多。目标是为每个高级流程（或操作区域）定义一组子流程，然后为每个子流程构建度量。更重要的是，将这些指标组合成一个模型，用于跟踪运营改进。

行为分析：

在目前讨论的所有不同组件中，行为分析是最重要的。它把所有的东西组合在一起，完成了这个框架。一旦您知道哪些设备正在连接到您的网络，哪些应用程序正在托管，谁在请求访问，以及对象的位置，您就可以为连接请求构建一个全面的上下文，并创建一个分段策略来授权或拒绝会话。要实现这一点，您需要准备好以下模块：

用于发现对象（用户、设备、应用程序、系统）的标识模块
位置模块以了解请求的发起位置
监控模块从所有适当的源（如路由器、防火墙、交换机、NG-IPS、探查器、应用程序、管理程序）收集数据
安全操作中心（SOC）中分析员调查异常和控制安全事件的操作安全模块

图6提供了一个示例，其中销售团队的一个用户请求访问一个数据库，该数据库包含该地区所有客户的联系信息。这个请求来自目前位于用户家中的iPad。我们如何知道这个连接的属性？让我们把它分解。假设数据库及其前端应用程序位于一个安全的数据中心中，没有外部访问权限，则用户有两种访问客户信息的选项：

从公司网络连接
或者，建立到网络的安全连接（例如SSL VPN）

如果连接请求来自为VPN用户分配的子网，我们知道该用户位于公司网络之外（可能在其家中）。根据身份验证凭据，用户将被放入销售容器中。最后，profiler帮助识别设备类型并将其放入iPad部分。现在我们已经拥有了这个请求的所有信息，行为分析应用授权操作的访问模型并隔离连接。

图6：基于上下文的分段策略

这个框架的优点是它可以帮助您划分任何对象。无论您有在云中托管数据的应用程序、在数据中心中包含数据的主机，还是可以访问云中和私有数据中心中的数据的应用程序，该框架都为您提供了用于构建对象特定区域、创建连接上下文和动态应用访问控制模型的工具。

分割策略

在企业中制定细分战略是确保实施成功的基础。在设计分段时，大多数网络架构师或工程师都将注意力集中在更大的网络区域：DMZ、Core、数据中心、广域网、校园网等。虽然这是一个很好的第一步，但还不足以应对当今的安全威胁。大多数机会主义攻击者利用隔离有限的事实，允许他们在网络中自由漫游。

框架只有在有实现策略的情况下才有用。该战略应足够全面，以提供企业保护其珠宝所需的所有工具。本文阐述了一个细分策略生命周期，它从识别现有资源和加入任何新资产或资源开始。以下小节将更详细地讨论每个步骤。

图7：细分策略步骤

识别：

如前所述，分割应该基于关键业务资产或资源的价值，而不仅仅是基于网络边界。攻击者的第一步是侦察。这基本上就是分割策略的第一步：识别资源（数据和资产）。

为了保护（或危害）网络，收集有关网络上可能存在的各种弱点的情报是很重要的。攻击者利用这些弱点侵犯其他资源，使攻击者有权访问所有关键资源。这使得任何类型的资源，即使是被认为具有低价值的资源，如果被用作网络的入口点，并导致一个更有价值的目标，都是非常有价值的。要问的问题是：

如果被破坏，对资源有什么影响？
资源被破坏的可能性有多大？

这些资产或对象本质上主要是数字的，可以包括但不限于：

硬件：服务器、网络设备、工作站、手持设备、IP电话、物理安全组件、连接的外围设备和附件，如打印机、扫描仪、IP电话、语音和视频协作工具
软件：操作系统、服务器和客户端应用程序、固件
文档：网络图、资产信息、产品设计、员工信息

资产的价值不是基于其物理硬件的价值，而是基于其包含的数据的价值。如果一台包含员工私人信息的iPad被盗，那么损失的总价值不仅仅是更换500美元iPad的成本。

分类：

这项工作的结果是全面了解网络上的资源及其风险分类和评级。组织应该了解各种资源之间的关系，而不是单独对待它们。一个低价值目标最终可能提供对一个非常高价值目标的访问，因此整个链应该受到充分控制的保护。根据组织的规模，这可能是最耗时的步骤之一。可以遵循各种方法和/或框架，对网络中存在的资源进行彻底评估[2][3][4]。

现在，您应该能够进入创建分段策略的下一步，该策略使用每个资产的值来确定应如何保护它。例如，如果用户工作站被视为低值目标，但用于危害高值系统（如员工数据库），则还应根据其访问的资源对工作站进行分段。

策略创建：

大多数网络安全程序没有明确要求分段策略。它通常在程序中的各个主题中被间接地提到，不幸的是，这并没有给予它足够的重要性或价值。例如，访问控制策略可能会指出人力资源员工不应如何访问财务系统。这可以简单地通过防火墙上的访问控制列表和VLAN来实现，VLAN可以保护资源，但不一定关注分段本身。

应该根据在前面步骤中收集的有关资源的数据来构建分段策略。这个策略应该从高层次开始，通过传统的网络边界（如DMZ、数据中心和校园）隔离各个区域，然后逐步深入到每个区域。这个过程应该一直持续到应用程序本身，本质上是向上移动OSI模型的层。一旦发现所有对象（甚至子对象），应根据这些对象的类型和位置以及请求访问托管或包含数据的各种资源的用户来制定策略。深度取决于资产的关键程度，因为在某些情况下，为某项资产进行整个流程的相关成本可能是不合理的。

图8：钻入区域

考虑两种资产：

第一种是保存信用卡信息的服务器，第二种是开发团队用于内部测试的SMTP服务器。任何一种资产的折衷都会导致一些损失；然而，一种资产的价值要比另一种资产的价值高很多。丢失客户信用卡数据会给组织带来巨大的金钱和法律损失。这需要一个组织分配足够的资源来确保这样的资产得到良好的保护。

一旦创建了分段策略，就应该通过各种访问控制模型来实现这些控制。

访问控制建模：

有多个访问控制模型可供选择[5]。使用哪种模型取决于场景。

网络工程师最熟悉基于网络的ACL，虽然它们是控制较大区域之间的访问的好方法，但很难使它们细化，特别是因为它们大多是静态的，并且随着时间的推移很难管理。我们采用的模型是多个模型的混合，一个不完全依赖OSI第3层和第4层，但也考虑了多个访问控制模型。这包括但不限于：

基于属性的访问控制（ABAC）
基于角色的访问控制（RBAC）
基于身份的访问控制（IBAC）
基于规则的访问控制（RuBAC）
表3提供了访问控制模型的示例。

表3

身份	属性	角色	画像
公司Windows工作站上的HR用户	User group: HR endpoint profile: Windows device auth: Successful	HR	访问人力资源系统和网络代理
HP 打印机	Endpoint profile: HP printer device auth: Successful	Printer	仅从打印服务器访问

使您能够实现所述模型的一个解决方案是Cisco TrustSec。

执行：

一旦定义了访问控制模型并在此模型中映射了适当的策略，下一步就是实现这些控制。这涉及到周密的计划，这将导致相关技术的采购、设计和实施。这可以分为以下几个阶段：

计划
采购
设计
实施/迁移
监视

图9：执行阶段

计划和采购：

执行的这一阶段需要列出满足细分策略目标的需求列表。一旦你对保护什么和保护什么有了准确的理解，下一步就是确定需要哪些工具、技术和程序来提供这种保护。重要的是不要从在整个组织中实施细分战略开始。这导致了高昂的成本，需要大量的资源。根据您的数据/资源分类和访问控制模型，通过对处理和存储业务关键型数据的组织部分进行优先级排序来构建实施计划。你不会一夜之间拥有一个完全细分的基础设施。这是一次可能需要几个月甚至几年的旅程。从第一天起，正确的战略将确保以最具成本效益的方式取得成功。

整个执行需要通过适当的程序管理来执行。多个团队将需要管理：IT、采购、人力资源、财务和法律，并有公平的交叉对话，以确保顺利进行。

一旦需求明确，组织可以浮动一个RFP（直接或间接通过合作伙伴），并根据响应评估哪些技术最适合实施细分所需的控制。强烈建议通过飞行员或概念验证来验证这些技术，以确保它们满足要求并通过各种烟雾测试。遗漏关键功能可能会导致不必要的延迟，在某些情况下，可能会导致后期安全问题的解决方案或折衷方案。

设计：

在大多数情况下，组织的首席架构师或外部顾问将监督产品供应商创建的设计。在细分方面，设计应侧重于核心要素，包括：

位置：资源在网络中的位置，以及如何与网络的其他部分分割？
设备和应用程序：资源是否需要访问其他资源？其他资源需要访问吗？例如，多层应用程序可能有前端（web）、中间件或后端（数据库）。每个服务都在自己的容器中运行吗？每个服务对其他服务有什么特权？服务之间的关系是什么？
用户：正常情况下，用户设备不需要直接相互通信。这是怎么处理的？用户可以访问什么？组织如何证明用户的端点具有相同的访问级别，而不管其位置如何？

该设计基于供应商在其自身环境中进行的测试，以确保在初始规划和采购阶段工作期间所承诺的所有功能和功能符合预期。如果涉及多个供应商，并且需要在所有供应商之间进行集成，则应在组织的过渡网络上执行阶段期间要求进行测试。

在这个阶段或更早的阶段，确定试点设置是很重要的，这将涉及到多个利益相关者和工作人员的参与。试点的目的是使用资源（人员、流程、技术和技术）测试所有特性，以便在向整个企业推出之前解决任何挑战和问题。

一旦设计完成，就是开始实现的时候了。此时，任何硬件或软件都应该已经交付。对于硬件，应该对其进行机架、堆叠、连接和通电，并进行任何初步的后期测试，以确保其正确启动。

实现和测试：

实现阶段假设所有硬件都已测试并按预期工作。在后期测试期间可能失败的任何组件都应该被替换并准备好进行配置。实现应该遵循基于设计创建的计划。这包括供应商在设计阶段已经在其环境中测试和验证的详细配置。

必须执行测试，以确保所有操作都按照解决方案的规范和预期进行。测试应遵循正确的方法，并应评估随后记录的功能和特性。测试过程中遇到的任何问题都应与供应商一起解决，并在进入实施阶段之前予以纠正。

如前所述，试验对这一阶段很重要，应在功能和特性测试完成后进行。测试性能、弹性、用户体验和互操作性，并解决在初始阶段可能忽略的任何问题。试验阶段还应跨越地点、部门、技术和资源。这种接触确保所有利益攸关方都参与这一进程，并将努力妥善解决所面临的任何挑战。

监控：

这一步在大多数企业中并不重要。监视是保护网络不受入侵者攻击并确保系统和网络按规范运行的关键。监视标志着整个分段策略的高潮，是将人员、流程和技术聚集在一起以保持受保护资源的完整性的粘合剂。密切关注网络不仅可以方便地检测到任何异常活动，而且有助于识别在初始过程中可能丢失的任何资源，无论是新的还是现有的。这将决定是否需要整个分段生命周期中的另一个迭代。