1. 识别有价值的数据和资产
并非组织内的所有数据和资产都具有同等价值。某些系统,例如客户数据库,对于维持正常操作可能是必不可少的。其他的,如打印机,对企业的运作很有用,但并不重要。
为资产分配重要性和价值级别是网络分割的重要第一步。这些标签稍后将用于定义网络内的各种信任区域。
2. 为每个资产分配分类标签
除了资产的价值,考虑它们所包含的数据的敏感性也很重要。持有非常敏感数据的资产,例如客户信息、研发数据等,可能需要额外的保护以符合数据保护法规或公司安全政策。
这些标签应考虑数据的敏感性(即公开到高度受限)和资产包含的数据类型。这有助于定义符合适用法规的分段策略,例如支付卡行业数据安全标准 (PCI DSS)。
3. 跨网络映射数据流
网络分段通过将网络分成独立的段来帮助提高网络安全性。这使得攻击者在获得初始立足点后更难在网络中横向移动。
但是,有许多合法的数据流需要被允许。应映射网络上所有系统的所有数据流,包括:
- 北向流量:北向流量正在离开公司网络,例如员工从连接到公司网络的托管设备访问 saleforce.com。
- 东西流量:东西流量在网络外围内的系统之间移动,例如数据中心网络中的前端网络服务器和后端数据库服务器。
- 南向流量:南向流量包括进入网段或区域的数据,例如客户或员工访问位于DMZ 网络或公司内部网中的本地 Web 服务器。
4. 定义资产组
组织网络中的某些资产用于类似目的并定期通信。将这些系统彼此分开是没有意义的,因为需要许多例外来维持正常的功能。
在定义资产组时,重要的是要考虑这种相似的功能和企业网络上各种资产的敏感性。任何用于类似目的和类似敏感度级别的资产都应归为一个部分,与具有不同信任级别或功能的其他资产分开。
5. 部署分段网关
定义段边界很重要,但如果不强制执行这些边界,则对组织没有任何好处。对每个网段实施访问控制需要部署网段网关。
要强制分段边界,所有进出该分段的网络流量都必须通过网关。因此,一个组织可能需要多个网关来实现有效的分段。这些要求有助于决定是选择硬件防火墙还是虚拟防火墙。
6. 创建访问控制策略
可以允许特定段内的资产之间的流量不受限制地流动。但是,段间通信需要由段网关监控并遵守访问控制策略。
这些策略应基于最小权限原则定义,该原则规定应用程序、设备或用户应具有完成其工作所需的最低权限级别。这些权限应基于#3 中确定的合法数据流。
7. 执行定期审计和审查
在定义微分段、部署分段网关、创建和执行访问控制策略之后,实现网络分段的过程基本完成。但是,定义网络分段策略并不是一次性的练习。
由于公司网络的发展或初始设计过程中的疏忽和错误,网络分段策略可能会发生变化。解决这些潜在问题需要定期审核以确定是否进行了更改,系统中是否存在任何不必要的风险,以及如何更新网段和访问控制以减轻这些风险。
8. 尽可能自动化
定义网络分段策略可能是一项艰巨的任务,尤其是对于企业级网络。尝试手动执行所有这些步骤可能很困难或不可能。
因此,尽可能利用自动化功能非常重要。尤其是在发现和分类阶段,自动化对于识别添加到网络上的新资产、它们的通信流(如果它们包含任何漏洞)和应用网络分段策略是非常宝贵的。