網路基礎架構安全性如何運作?
網路基礎架構安全性需要針對持續性流程與實踐方式採取全面性做法,以確保底層基礎架構持續受到保護。美國網路安全暨基礎設施安全局 (CISA) 建議,在檢討需實作哪些方法時,應考量數種做法。
- 分段和區隔網路與功能 - 應特別留意整體基礎架構配置。適當的分段和區隔是有效的安全性機制,可限制潛在的入侵者利用行為,以免其擴散至內部網路的其他部分。使用路由器等硬體可將網路區隔,進而建立可篩選廣播流量的邊界。隨後這些微分段可進一步限制流量,甚至可在偵測到攻擊時加以關閉。虛擬分隔的設計,與使用路由器以實體方式分隔網路類似,但無需使用所需硬體。
- 限制不必要的橫向通訊 - 切勿忽略網路內的點對點通訊。各點之間未經篩選的通訊,可能會讓入侵者自由地在電腦間移動。如此一來,攻擊者就有機會透過內嵌後門或安裝應用程式,持續存在於目標網路中。
- 強化網路裝置 - 強化網路裝置是加強網路基礎架構安全性的主要方式。建議應依循與下列事項相關的業界標準和最佳實踐方式:網路加密、可用服務、保護存取、強密碼、保護路由器、限制實體存取、備份設定,以及定期測試安全性設定等。
- 保護基礎架構裝置的存取 - 系統會授予管理權限,以允許受信任的特定使用者存取資源。為了確保使用者的真實性,應實作多重要素驗證 (MFA),並對具特殊權限的存取和管理憑證進行管理。
- 執行頻外 (OoB) 網路管理 - 頻外管理會實作專屬通訊路徑,以從遠端管理網路裝置。如此一來,就能分隔使用者流量與管理流量,進而強化網路安全性。
- 驗證硬體和軟體的完整性 - 灰色市場產品會允許攻擊媒介入侵網路,進而使 IT 基礎架構受到威脅。非法產品可能會預先載入惡意軟體,等待著某人將其引進未起戒心的網路。組織應定期對其裝置和軟體執行完整性檢查。
網路基礎架構安全性為什麼至關重要?
網路基礎架構安全性的最大威脅來自駭客與惡意應用程式,他們會攻擊並企圖掌控路由基礎架構。網路基礎架構元件包括網路通訊所需的所有裝置,包括路由器、防火牆、交換器、伺服器、負載平衡器、入侵偵測系統 (IDS)、網域名稱系統 (DNS) 和儲存系統。對於企圖在目標網路上放置惡意軟體的駭客來說,前述每個系統都代表一個進入點。
- 閘道風險:駭客只要取得閘道路由器的存取權限,就能監控、修改和拒絕流入與流出網路的流量。
- 滲透風險:只要從內部路由與交換裝置取得更多控制能力,駭客就能監控、修改與拒絕網路內重要主機之間的流量,並利用內部主機之間的信賴關係,橫向移動至其他主機。
雖然駭客能對網路進行大量破壞性攻擊,但就防範深度系統滲透而言,保護並防禦路由基礎架構應是最為重要的考量。
網路基礎架構安全性具備哪些優勢?
若能妥善實作的網路基礎架構安全性,即可為企業的網路提供數項重要優勢。
- 改善資源共用,進而節省成本:透過保護機制,就能讓多位使用者在不受威脅的情況下,利用網路上的資源,最終還可降低營運成本。
- 共用站點授權:有了安全性,就可確保站點授權的成本低於授權每部機器的成本。
- 檔案共用可提高生產力:使用者能安全地在內部網路上共用檔案。
- 內部通訊安全無虞:內部電子郵件與聊天系統可受到保護,不會遭到窺探。
- 區隔化並保護檔案:相較於使用多個使用者共用的機器,現在可分別保護各個使用者檔案和資料。
- 資料保護:將資料備份至本機伺服器的作業既簡單又安全,可保護重要的智慧財產。
網路基礎架構安全性包含哪些不同類型?
目前具有多種網路基礎架構安全性方法,而最佳做法是採用多種方法,以擴大網路防禦範圍。
- 存取控制:防止未經授權的使用者和裝置存取網路。
- 應用程式安全性:在硬體和軟體上實施安全性措施,以封鎖可能的弱點。
- 防火牆:這類閘道管理裝置可允許或阻止特定流量進入或離開網路。
- 虛擬私人網路 (VPN):VPN 會加密端點之間的連線,以建立安全的網際網路通訊「通道」。
- 行為分析:這類工具會自動偵測偏離正常活動的網路活動。
- 無線安全性:無線網路的安全性低於有線網路,而且隨著新行動裝置和應用程式激增,網路滲透的媒介也與日俱增。
相關解決方案與產品
NSX Data Center
網路與安全性虛擬化平台
NSX Distributed Firewall
透過分配至每個工作負載的完整堆疊防火牆,保護您的資料中心。
NSX Network Detection & Response
採用人工智慧技術的網路偵測與回應 (NDR)