正確的網絡分段策略需要企業非常了解他們的系統和目標。而SD-WAN供應商對網絡分段有自己的定義,并沒有哪個供應商具有全面的分段策略可完全解決你企業的分段需求。你可能需要考慮無數的分段考慮因素–從身份驗證和授權到管理安全角色和策略,你必須深入研究。
傳統分段技術很繁瑣
傳統上,網絡團隊在進行網絡分段時,他們會使用各種工具在不同流程中創建路徑隔離。你經常會看到各種標記路由方案或虛擬化路由實例,還有安全訪問控制列表(ACL)。幾乎所有方法都在2層網絡到4層網絡中的某處運行,并且大多數方法繁瑣且需要大量勞動來部署和管理。
在過去,隔離并不依靠身份;而是基于IP地址的位置。這種方法在以前可行,當時一臺機器運行一項服務或一名用戶坐在一臺端點設備前,但是這樣的日子已經過去。現在,我們在一個端點具有多個服務,并且服務可以動態移動或擴展以應對各種情況。嚴格基于IP地址進行隔離已不再足夠或不可擴展。
曾經,安全性也很簡單–基于身份或位置,并由ACL進行管理,ACL很快會變得繁瑣–即使在很小數量的情況。強制執行計算機和應用程序安全性并沒有更好。跟蹤誰應該有權訪問什么內容變成徒勞無益的練習,并且,安全訪問優先級的錯誤也很常見。在這種情況下,新的分段方法應運而生。
網絡分段和SD-WAN
在其核心,網絡分段旨在防止進程橫向遍歷網絡。換句話說,用戶的文字處理器實例沒有理由訪問另一個用戶系統上的數據庫。同樣,訪問單個數據庫的前端系統也無需與網絡中的其他系統通信。好的分段策略可以將流程僅隔離到其需要訪問的組件和系統。
對于網絡分段策略,企業面臨的困難是,如何在SD-WAN供應商提供的各種分段工具中做出選擇。有些供應商采取以網絡為中心的方法,依靠第3層和第4層的路徑隔離和分段。有些則采用以應用程序為中心的方法,依靠第7層網絡;其他則在不同網絡層使用多項技術進行分段。但是,所有做法都有著相同的目標,那就是在系統和用戶進程之間建立安全屏障。
現在,安全泄漏事故屢見不鮮,并以驚人的頻率發生。因此,在選擇任何SD-WAN產品時,安全控制應該是最重要的問題。僅僅靜態地分斷網絡是不夠的,好的SD-WAN平臺必須幾乎實時地審核和響應安全事件,同時減輕由數據泄露引起的任何損害。
其他重要的企業分段功能包括:
自動化部署;
支持路徑隔離;
訪問和授權策略—理想情況下,使用專用機密保管庫。
如果你需要將傳統的非分段網絡遷移到高度分段的網絡,你需要對業務需求有深入的了解和扎實的知識。為了嘗試新事物而進行分段并不是部署分段策略的好理由。沒有哪個供應商提供完整的網絡分段策略,企業網絡團隊只有通過了解其當前網絡以及為什么要對其進行分段,才能選擇正確的產品來完成網絡分段。
