什么是网络分段？

你不需要时刻关注网络安全相关的新闻，就能了解那些威胁企业安全的各种威胁。比如远程工作和混合办公这样的新趋势，只会让已经不堪重负的企业更加难以应对网络安全方面的挑战。

因此，需要采取新的安全措施来应对那些传统工具无法应对的风险。幸运的是，有许多不同的方法可以帮助企业解决这个问题。其中之一就是网络分段技术。

主要要点/关键信息

• 网络分段可以将大型网络划分为多个较小的部分，这样就能更容易地管理和实施特定的分段策略。
• 逻辑分段是一种现代且经济高效的方法。它利用软件来创建虚拟的、安全的网络分段，从而提升整个网络的性能。
• 网络分段技术，通过精确的分割策略，有助于提升网络性能。它能够减少网络拥塞现象，同时使得监控威胁变得更加容易。
• 这一策略是迈向“零信任模型”的关键步骤。在零信任模型中，内部的分区机制可以限制访问权限，同时对所有用户进行身份验证，从而保护您的数据和业务安全。

网络分段的定义

网络分段是指将大型网络划分为多个较小的子网络，以此来提升安全性与管理的效率。通过这种划分方式，管理员可以实施精确的安全控制措施，制定个性化的安全策略，并严格执行访问权限限制。

网络分段是如何工作的呢？

该网络被划分为多个段，这样就能分别管理每一段网络。网络流量协议可以控制哪些连接和内容是被允许的。此外，还可以为每个子网络应用安全协议，从而更好地管理整体安全规则。

网络中的各个部分通常都有专门的硬件设备，以减少它们之间的接触点。网络的配置方式通常会定义这些部分之间的连接关系，从而将网络分割为两种类型。

物理分割与逻辑分割

物理分割

从名称就可以看出，物理隔离方式需要使用专门的硬件来构建封闭的网络环境。因此，这种网络隔离方式属于最复杂且成本最高的一种方法。每个网络段都需要独立的互联网连接、专门的硬件设备以及防火墙来保护网络安全。

这种方法有时被称为“基于边界的分割”。网络边界之外的所有内容都被视为不可信赖的。 问题在于，一旦黑客成功侵入这些网络，他们就没有任何能力来保护自己了。 没有内部过滤机制，因此默认情况下，每个用户都可以访问网络上的所有内容。 更糟糕的是，由于目前所使用的终端数量实在太多，因此要逐一检查每一个连接设备是非常困难的。

虚拟分割

现代工作场所中有太多的终端设备，几乎无法明确界定网络的边界。因此，虚拟分割技术旨在超越物理网络边界进行管理。交换机负责管理虚拟局域网，而防火墙则用于独立于物理基础设施的情况下对整个网络进行监控。

本质上，这种方法彻底改变了传统的边界概念。分割技术使得可以创建出许多虚拟结构，从而更方便地实施监控管理。这种方法的优点与物理方法类似，但采用了分布式模型，因此不容易出现缺陷。此外，这种方法的成本也更低，而且还可以根据每个虚拟结构来调整安全策略。

为什么企业需要网络分段呢？

IT基础设施的安全性是现代组织的重要资产之一。网络分段是一种有效的实现方式，有助于降低网络安全方面的成本。基于边界的分割方案正在被更现代的解决方案所取代，因为这些现代解决方案能够更好地满足当前的业务需求。

网络分段能够确保安全策略得到有效执行，同时还能为各个团队之间划定界限，从而避免数据泄露的情况发生。此外，网络分段还有助于均衡分配网络流量，从而提升整体性能。

网络分段的应用场景

网络分段可以在多个方面帮助组织。以下是企业如何利用网络分段来增强安全性的几个案例。

宾客无线网络：该公司可以以较低的风险为访客和承包商提供无线网络服务。当客人登录后，他们只能访问互联网，而无法访问主网络。

用户组访问权限：公司可以将各个部门划分为各自的网络。这样，只有需要访问这些资源的人员才能访问相关资源。例如，如果市场营销团队中的某个人试图访问会计部门的资源，那么系统会发出警告。

公共云的安全性云服务提供商负责保护基础设施的安全，但客户则需要对自己的数据、系统和应用程序负责。通过划分不同的云环境，可以将应用程序和数据分开处理，从而确保它们处于安全状态。

PCI DSS合规性信用卡数据可以被存储在具有严格安全规则的专区中。只有必要的通信才能被允许，其他所有通信都会被阻止。为了实现符合PCI DSS标准的要求，通常会使用虚拟防火墙来保障数据安全。

网络分段带来的好处

不可否认，更完善的行政控制机制是网络分段方式的最大优势之一。不过，这并非这种方法的唯一优点。

• 网络隔离在不同子段之间设置边界可以提升安全性，从而阻止黑客在突破网络后继续横向移动。有了这样的限制措施，应对威胁也变得更加容易了。
• 严格的访问控制机制这些子段规则可以用来限制特定网络区域的访问权限，只有经过许可的人才能进入这些区域。
• 深入监控由于子网的规模较小，因此检测子网络中的威胁比在更大规模的网络中要容易得多。
• 性能更高。网络的规模会对其性能产生负面影响。较小的子网会更有效率，同时，也更容易平衡各个子网的负载。一个子网不会限制另一个子网的流量，从而确保业务操作的顺利进行，避免网络拥堵的问题。
• 有助于满足各项合规要求。大多数监管框架都要求管理员确保数据无法被未经授权的用户访问。成功实施网络分段措施，有助于提升组织的合规性。
• 安全网络与终端设备一个安全的网络意味着，威胁很难扩散到各个终端设备上。相反地，整个网络不会受到感染，因为攻击只会影响到终端设备本身。

网络分段所面临的挑战

虽然网络分段带来的好处是不可否认的，但相关的准备工作和实施过程可能会面临一些挑战。在将网络分段技术应用到您的业务中时，需要考虑几个障碍。

• 细分市场/区域划分虽然较小的网络确实更容易管理和保护，但这种做法应该适度进行。如果过度进行微细分网络的操作，那么实施起来会非常困难，而且也无法取得实质性的效果。在这种情况下，良好的战略规划就显得非常重要了，这样才能确保各个小区域带来的好处大于其带来的负面影响。
• 资源管理不当对整个网络进行重组是一项非常复杂的任务。因此，有必要提前做好准备工作，确保有足够的人员来实施这项计划。此外，还需要考虑所需的工具和其他相关项目或业务领域。如果规划不周，可能会导致严重的延误，从而威胁到项目的成功。
• 将网络分段视为一个已经完成的项目来处理。网络安全不应被视为已经得到妥善处理、可以轻易被忽略的问题。网络分段也是如此。即使网络分段工作已经完成，也仍需定期进行审核。因为网络安全威胁始终在不断变化，因此必须不断改进安全措施，以更好地应对这些威胁。

网络分割的类型

目前有许多网络分段解决方案可供选择。以下是您可能会遇到的最常见的几种解决方案。

VLAN网络分段

虚拟局域网（VLAN）通过使用IP地址来划分较小的网络段来实现网络分割。这种方法能够实现网络分割所期望的所有功能，同时还能防止威胁从一个VLAN传播到另一个VLAN。不过，这种方法需要管理访问控制列表，以记录哪些设备可以访问该网络段。

防火墙分段

与其依赖虚拟网络，不如使用防火墙来划分不同的区域。这样就能阻止不同区域之间的通信，从而限制网络受到感染后的扩散范围。不过，根据组织的规模大小，可能需要部署数百个防火墙。由于这种方法的复杂性，很容易忽略一些重要的细节，从而导致系统变得非常复杂。

基于SDN的分段技术

软件定义网络（SDN）利用从网络物理硬件中分离出来的集中式控制器来运作。其主要优势在于能够实现更精细的网络自动化和编程功能，从而让网络能够根据需要被精确地配置。不过，这种技术最常被用于实施网络安全策略，而不是为了提升对工作流程的监控能力。

基于主机的分割/划分

这种方法依赖于安装在终端设备上的特殊软件，这些软件可以将数据报告到中央处理中心。该技术利用了诸如工作负载遥测和可视化技术等多种手段，从而能够绘制出多云环境的“地图”。人们可以通过中央控制面板来轻松管理这些环境。

微细分

这种方法通过在数据中心部署防火墙来实现网络的分段处理。这些防火墙会阻止除允许之外的所有流量。这样，通过为每个独立的网络段应用预定义的规则，就可以将各种工作负载进行划分。

零信任与网络分段

在推行零信任策略时，网络分段是非常有用的手段。在这种策略下，IT基础设施中的隐含信任被彻底消除。在这种框架下，信任需要通过验证来建立。

这有助于解决之前网络网络安全模型中的缺陷，因为这些模型认为网络的边界是安全的。因此，对零信任的访问是一种特权，这种特权是逐案授予的。

网络分段是一种非常有效的做法，因为网络划分有助于对重要资产实施更严格的控制。可以为每个子网络配置用户访问权限，从而在整个网络基础设施中实现零信任策略的实施。

在这种框架下，用户不得在内部网络中自由移动。数据也仅在特定情况下才被提供，即只有那些需要了解这些信息的人才能访问这些数据。这样就能有效防范内部和外部的威胁，同时减少黑客可利用的攻击途径。