【网络安全】Forescout 网络分割

Chinese, Simplified

2019年,人人都在关注网络细分项目。这些项目是一项巨大的工程,可以极大地提高组织的安全性,但它们也涉及到业务的每一部分,并带来相当大的风险。它为网络安全提供了什么?

  • 它将网络划分为包含具有类似法规遵从性要求的数据的区域
  • 通过这种方式对网络进行分段,您可以减少法规遵从性的范围并简化安全策略

一般来说,你对网络的分段越多,网络就越安全。一个关键的挑战是避免分割不足或过度,并随着时间的推移保持分割的完整性。

在过去的一年里,我们估计90%与我们交谈过的公司在今年的计划中都有细分项目。这是每个人都想做的事情,但并不总是很清楚从哪里开始,风险是什么,或者是否值得付出金钱和努力。一个成功的细分项目可以为提高安全性、网络可管理性带来巨大的好处,并为企业带来积极的投资回报(ROI)。但这并非没有风险。

network segmentation diagram 1

许多公司都知道他们的企业网络并不像他们希望的那样安全。他们有一个外围防火墙和其他可能的工具,如安全信息和事件管理(SIEM)、入侵防御系统(IPS)、高级威胁检测(ATD)来保护网络外围,但这背后是内部的“可信”网络,没有标准化的分段方法。这被亲切地称为crunchy shell/goey center(脆壳/胶粘中心网络)网络架构。这种听起来很美妙的设计带来了重大的安全风险,因为如果恶意软件越过了外围,就无法阻止它攻击内部网络上的所有其他设备。电子邮件、Dropbox和USB驱动器只是恶意软件试图绕过这一边界的几种方式,一旦进入,可能会在数天、数周甚至数月内不被发现(Verizon 2016年数据泄露调查报告第38页)。

那么,一家公司应该如何进行细分项目呢?首先,从内而外思考。从完整的网络可见性开始,然后使用该可见性来识别需要分段的网络、数据和设备。最后一步是部署策略,将设备和用户自动分段到适当的网络。

2009年,Forrester创建了网络安全的零信任模型。该模型源于这样一个结论:对于当今的数字业务,传统的基于外围设备的安全模型对于恶意内部人员和目标攻击是无效的。NextGen防火墙(NGFW)是最早采用“信任但验证”方法的供应商之一,在零信任模型中扮演着关键角色。谷歌开发了自己的解决方案BeyondCorp,它基于这样一个概念:边界不再存在,组织边界正在消失。

零信任网络架构提倡使用下一代防火墙(NGFW)在网络的每一层实施网络分段。在开始细分项目的规划过程时,您将发现两个问题:

  • 您意识到您的内部网络流量不会流经NGFW,因此您需要完全重新构建所有内容,以便可以看到并保护这些内部流量。这导致许多细分项目突然停止。不通往互联网的内部流量不会通过NGFW(想象一台笔记本电脑在与打印机通话),因此无法进行检查。从平面网络迁移到完全分段的网络是一项巨大的任务。为一项好的交易引入了重大的运营风险。
  • 在您决定重新设计您的内部网络之后,您将需要考虑到现在将要检查的流量的增加。入侵防御系统、ATD和NGFWs是功能强大的设备,可以解决很多问题,但它们是要付出代价的,而这一增加的成本可能会对项目的投资回报率产生负面影响。

network segmentation diagram 2

那么,如何在不破坏银行或完全重新设计现有网络的情况下解决这个项目?这就是弗雷斯科特的用武之地。Forescout平台补充了NGFWs,使您能够像现在这样在您的网络上部署“虚拟分段”网络。Forescout通过将新的网段映射到现有网络上,并与现有网络设备集成以协调访问。因为Forescout可以与您的交换机、路由器、无线控制器和防火墙集成,所以我们可以在每个连接到网络的设备周围扩展网段。Forescout会自动执行此操作,而不管设备连接到何处或如何连接,也无需在设备上安装代理。将NGFWs和Forescout一起使用,您可以在自然网络边界部署适当大小的NGFWs来控制网段之间的访问,并让Forescout保护每个网段内的设备。有了这种方法,让我们看一个我的客户想要实现的用例。这家公司有数千个他们想要保护的现有IP摄像机。当一个新的IP摄像机连接到网络上时,他们不仅希望它移动到适当的网段,而且还希望向操作团队发出警报,记录事件并创建规则,仅限制对摄像机工作所需的服务器的访问。当设备连接到网络并且Forescout将其分类为IP摄像机时,策略将:

  • 连接到无线控制器并将摄像头分配到摄像头网段。
  • 连接到Palo Alto Networks防火墙并创建限制摄像头互联网访问的规则。
  • 连接到访问交换机并创建一个访问控制列表(ACL),限制对摄像机的入站网络访问。
  • 对Splunk进行API调用,其中包含设备、连接事件和所采取的策略操作的详细信息。
  • 向/#OpsChanel发布延迟通知,通知管理员。

这一切都是在没有人与人交互的情况下发生的,而且设备上不需要任何代理。通过利用Forescout的实时可视性、分类和姿态分析功能,客户可以真正实现自动化、实时的网络分割。

如果这激起了你的兴趣,我们有两个资源可能对你很有价值。其中一个讨论了我们与Palo Alto Networks NGFW的集成。另一个概述了Forescout的网络安全划分方法。看看他们,并一如既往,随时与我们联系任何问题。

 

原文:https://www.forescout.com/company/blog/network-segmentation/

本文:https://www.forescout.com/company/blog/network-segmentation/

讨论:请加入知识星球【首席架构师圈】或者小号【jiagoushi_pro】

  • 34 次浏览
SEO Title
forescout NETWORK SEGMENTATION