什么是宏观细分？

宏观分割是一种最常用的方法来组织IT网络。这里的“宏观”一词意味着……分段处理适用于网络的较大部分区域。这与“微观”分割不同，后者是将网络划分为更小的单位。

在思考什么是宏观分割时，我们还需要将其与传统的扁平式网络边界进行对比。传统的网络边界依赖于单一的防火墙以及适用于整个网络的防病毒或反恶意软件工具。而分片式网络则超越了这种单一边界的概念，它能够提供更精细的保护措施。

宏观分割的定义

在网络安全领域，宏观分割指的是根据部门或功能等广泛的分类标准，将网络划分为多个独立的区域。这种方法的目的是通过在这些区域之间建立屏障来限制对网络的访问，从而防止威胁在网络中的传播。

主要要点/关键信息

• 宏细分方式将IT网络划分为多个较大的部分，这种方式比传统的扁平式网络结构更能提供可靠的安全性。
• 宏观分区的好处包括：提升网络监控能力、优化性能、加强网络安全、确保符合监管要求，以及为物联网和远程工作环境提供安全保障。
• 与微细分相比，宏观细分的范围更为广泛，它关注的是各个部门或业务领域。而微细分则更为精确，它是在应用程序或设备层面进行操作的。
• 不同的安全策略有所不同。宏观分段方式依赖于内部防火墙和信任区域来保障安全性，而微细分则采用精细化的分析手段，以及零信任原则来实现精确的安全控制。
• 灵活性有所不同。宏观分段具有固定的边界，因此需要手动进行重新配置；而微观分段则更加灵活，更适合应对不断变化的威胁以及远程工作场景。
• 在选择合适的方法时，请考虑组织的需求。宏观细分方式虽然简单，但存在诸多障碍；而微观细分则能带来更高的精确度、更好的云环境优化效果，以及更大的灵活性。

宏观细分是如何运作的？

在宏观层面，网络分割是通过虚拟局域网（VLAN）和防火墙来实现的。VLAN软件运行在物理网络基础设施之上。将更庞大的网络划分为多个独立的部分/区域.

防火墙提供了强大的保护机制，确保未经认证的用户无法在各个网络段之间传输数据。无论是恶意攻击者还是合法用户，都必须通过访问控制机制才能在网络中自由移动。这为未经授权的入侵者设置了巨大的障碍。

宏观分割后的网络通常会被划分为不同的部门或分支网络。软件公司就是一个很好的例子。它们可能会使用不同的网络段来分别进行代码开发和市场营销工作。通过这种划分方式，可以更容易地防止恶意软件的入侵。同时，将市场营销相关的功能分离出来，也能让保护客户数据变得更加简单。

宏观细分带来的好处

网络监控功能得到了改进。

宏观细分为IT管理人员提供了对网络活动的更清晰了解。如果没有进行分段处理，安保人员只能在网络边缘处对流量进行监控。而内部监控则几乎是不可能的。

通过网络结构的宏观划分，可以实现对流量的详细监控。网络专业人士可以追踪流量在内部各个节点之间的流动情况。这些信息有助于了解网络的性能状况。此外，这种监控方式还能为改进安全策略提供宝贵的见解。

2. 优化了网络性能

分割过程通常很常见。旨在提高网络的效率那些经常进行通信的部门可以直接连接在一起。而通过部门间的分割，可以排除那些不相关的网络流量，将它们引导到合适的目的地。这样，流量就能被正确地传输到需要到达的地方，从而降低了网络延迟。

3. 网络安全

安全性是采用宏观细分策略所带来的最重要的好处之一。强大的内部边界能够缩小攻击的入口点。同时，还可以防止恶意软件在各部门之间传播。安全团队在发现威胁时就能立即采取措施来遏制其蔓延。这样一来，他们就可以及时采取行动，以减少威胁所带来的危害。

网络分段可以限制黑客进入企业网络的自由。同时，它还能将网络入口点，比如工作站，与存储设备分开。这样一来，数据窃取者就难以发现并获取敏感数据了。

安全团队还可以识别并隔离那些受到网络攻击影响的网络区域。警报会明确指出哪些部分正在遭受攻击，而安全团队则可以迅速采取行动来应对这些攻击。这样一来，系统对网络攻击的抵御能力就会大大增强。

4. 遵守相关法规与标准

许多针对特定行业的法规需要强有力的数据保护机制来保障数据的安全。在企业的网络环境中，同样需要遵守相关法规。例如，HIPAA法规明确规定，企业必须保护患者的病历信息，防止其被网络攻击者窃取。PCI-DSS也为信用卡处理机构提出了类似的要求。

网络分段是一种实现合规性要求的方法。网络管理员可以隔离重要的数据资源，同时允许合法用户访问这些资源。

5. 确保物联网和远程工作的安全性

许多企业都依赖于物联网技术。远程传感器可以实时提供各种信息，比如家庭的温度数据以及安全状况等。不过，确保物联网设备的安全性其实并不容易。

宏观细分这使得网络管理者能够创建独立的物联网段。这限制了通过物联网终端发起的攻击范围。安全团队可以迅速控制这些攻击，并采取适当的措施来应对它们。

同样的情况也适用于远程设备。企业可以通过划分网络来创建远程工作小组。这些网络区域可以让员工访问重要的资源。不过，这样做也可以有效防止设备安全方面的问题。

微观细分与宏观细分

宏观分割与微观分割常常被相互对比。这两种技术都是为了对网络进行划分并保护数据而设计的。不过，它们所使用的方法却大相径庭。

专注/集中注意力

宏观细分在团队或部门层面划分网络结构这通常涉及到大量的设备和用户群体。而微细分则更为精准，它是在应用或设备层面进行操作的。

这种微细分的方法，将网络中的每个用户或工作负载都视为一个独立的单元。用户只能根据自身的权限访问网络的特定部分。访问控制机制确保那些超出其权限范围的内容无法被访问。

零信任与边界防御的区别

宏观细分通过内部防火墙来创建信任区域。在网络的这些部分中，用户可以自由地操作。防火墙会限制用户的横向移动，但用户仍然可以访问网络中的资源，从而可能对网络造成破坏。

微细分更为精确。当用户试图访问资源时，这种处理方式能够提供更精准的匹配效果。他们必须提出访问请求。应用级控制机制能够根据用户的独特权限来决定是否允许或禁止其访问某些资源。这种细粒度的访问控制方式为“零信任网络访问”策略提供了基础，其核心原则就是“永远不要信任用户，必须始终进行验证”。当系统能够监控每一个操作行为时，恶意活动的发生机会就会大大减少。

SD-WAN与VLAN的区别

微分段系统通常使用软件定义网络工具（SDN）SDN通过基于云的软件来实施安全控制。PoP则能够在应用程序和资源的附近提供安全保障，而不是在网络边缘处。因此，无需使用硬件防火墙或局域网基础设施来保障网络的安全。

宏观细分遵循传统的“外围与核心”模型每个段都拥有由防火墙保护的预定义边缘。在工作负载层面，无法实施任何安全保护措施。

灵活性

宏观分割方法往往倾向于……划定明确的边界当添加新的基础设施或更改安全策略时，技术人员必须手动重新配置防火墙。适应不断涌现的威胁或业务变化（比如采用SaaS模式）是一件相当困难的事情。

微细分方式更加灵活。IT团队可以……通过中央控制台，可以将新的SaaS应用程序添加到安全策略中。安全措施可以适应远程工作的需求，或者随着第三方承包商的加入而进行调整。

通过正确的网络分段策略，确保网络资产的安全。

宏观分割指的是…一种用于保护企业网络的常见选择这些分段方式的设计和应用都非常简单。强大的内部防火墙可以为不同部门或地点之间提供可靠的隔离措施。此外，网络设计师还可以优化网络流量，从而提高系统的性能。

还有其他网络分段的方法可供选择。依赖云计算的企业则倾向于采用微细分策略，因为这种方式能提供更精确的分段方式。经过优化后的微细分策略非常适合许多组织。找到适合您企业的网络解决方案，从而保护那些至关重要的资源。