為何要採用網路分段:網路分段的優勢
網路分段會針對每個網路分段提供獨特的安全服務,以進一步掌控網路流量、將網路效能最佳化,並改善安全態勢。
首先是更出色的安全性。大家都知道就安全性而言,我們的強健度取決於自己最薄弱的環節所在。大型的扁平網路勢必會構成大型攻擊範圍。但是,如果將大型網路分割成多個較小的子網路,那麼隔離這些子網路中的網路流量後,就可縮小攻擊範圍並阻礙橫向移動。因此,如果網路周邊遭到入侵,網路分段就能阻止攻擊者在網路中橫向移動。
此外,分段提供了一種符合邏輯的方法,能在主動式攻擊散佈至網路中之前,先行隔離該攻擊。舉例來說,分段可確保某一分段中的惡意軟體不會影響另一分段中的系統。建立分段時,會限制攻擊可散佈的距離,並將攻擊範圍縮減至最低限度。
接下來,讓我們來探討效能。分段可移除特定分段中的不必要流量,以減少網路壅塞,進而提升網路效能。例如,醫院的醫療裝置可與醫院的訪客網路劃分,這樣醫療裝置就不會受到訪客網路瀏覽流量的影響。
進行網路分段之後,即可減少每個子網路的主機數量、將每個子網路的本機流量降至最低,並且能將外部流量限制為僅可達到該子網路的指定流量。
網路分段如何運作?
網路分段會在一個較大的網路中建立多個隔離的分段,而每個分段都可能有不同的安全性需求和原則。這些區段會保有相同信任層級的特定應用程式或端點類型。
網路分段可透過多種方式執行。以下我們將探討以 VLAN 實作的周邊式分段作業,以及運用網路虛擬化技術以更深入網路執行的分段作業。
周邊式分段
周邊式分段會依據信任程度來建立內部和外部分段:在網路分段內部的內容都是受到信任的內容,而外部內容則一概不受到信任。因此,內部資源幾乎不會受到限制,這類資源通常會在扁平網路上運作,並採用最低限度的內部網路分段。篩選和分段會在固定的網路點進行。
最初採用 VLAN 是為了劃分廣播網域,以提高網路效能。隨著時間經過,VLAN 逐漸被用來做為安全性工具,但安全性工具從來都不是 VLAN 的預期用途。VLAN 的問題,在於沒有 VLAN 內篩選功能;因此其存取範圍非常廣泛。
此外,若要在不同分段之間移動,必須具備原則。透過原則,您可以停止從某一分段傳到另一個分段的流量,或者也可限制流量 (依據流量類型、來源和目的地而定)。
就周邊式分段來說,網路防火牆是常用工具。最初採用網路防火牆,是為了控制網路流量的南北向移動,同時允許在分段內進行任意通訊。
網路虛擬化
目前,許多企業都保有具有特定功能的各種網路區域,而這些特定功能都需要在眾多網路點進行分段。此外,網路必須支援的端點數量已增長至包含眾多端點類型,而且各有不同的信任層級。
因此,周邊式分段已無法滿足需求。隨著如雲端、用戶自攜裝置與行動裝置等技術的出現,現今的周邊已變得模糊,沒有明確的分界點。我們現在需要更多分段,並更深入網路,才可實現更出色的安全性和網路效能。而且,面對現在採用的東西向流量模式,還有更多網路分段作業需要進行。這時網路虛擬化就可發揮作用,因為這項技術能將分段推向全新境界。
最簡單的網路虛擬化形式,就是佈建獨立在實體基礎架構之外的網路與安全服務。網路虛擬化可在整個網路中進行網路分段,而非只在周邊進行網路分段,因此在推動高效率網路分段中扮演著舉足輕重的角色。實際上,我們過去所使用的周邊式分段現在皆已虛擬化,並與靈活的精細安全性原則一同向下分配至網路的每個分段。
相關解決方案與產品
微分段
在不同雲端環境之間,定義並實施網路安全性原則。
NSX Distributed Firewall
使用分送至每個工作負載的完整堆疊防火牆保護您的資料中心,無需更改網路,還能自動執行原則並消除盲點。
NSX Data Center
網路與安全性虛擬化平台