为什么网络分段很重要?
当我们听到有关分段的信息时,第一个想法通常是关于使用VLAN或VXLAN划分网络。但是,在当今高度分散的环境中,分段在保护动态多云环境,IoT和BYOD策略以及自动化工作流方面也起着至关重要的安全性作用。数字创新正在扰乱企业组织,增加新的网络,例如动态多云,以实现新的服务和商机。但是,这些新环境也会增加风险。物联网和移动设备以及来自多个云的应用程序和服务的爆炸性采用,将攻击面推向了传统网络边界之外。而且,由于工作流、应用程序和事务必须跨越所有这些新环境,因此传统的基于网络的分段策略会停在每个网络环境的边缘,而无需放置繁琐而复杂的解决方案。
这尤其具有挑战性,因为诸如IoT设备之类的东西会收集需要共享给基于云的数据中心的信息,或者位于远程的设备需要通过网络彼此通信。同时,这种扩展且分散的攻击面也破坏了网络团队在其不断扩展的网络范围内维护网络性能,安全性,可靠性和可用性之类的能力。
开放,扁平的网络使组织面临不必要的风险
为了满足设备之间互操作性和通信的需求,组织利用平坦,开放的网络来加速事务,应用程序和工作流。而且,由于大多数安全解决方案的性能局限性,围绕高性能路由和交换基础架构构建的此类网络越来越多,其中不包含安全性。
从安全角度来看,这可能是灾难性的。突破平面网络的网络范围,黑客可以建立滩头堡,然后在网络中横向移动以获得对凭据,资源和数据的访问。此外,内部网络缺乏安全性基础架构,这也大大限制了组织对可疑流量行为和数据流的可见性,这进一步阻碍了检测漏洞的能力。
内部细分的价值
为了重新控制其迅速发展的网络,网络领导者可以实施内部分段,以将业务目标有效地转换为安全分段的“位置”,“方式”和“什么”:“位置”确定了分段划分的要点和所使用的逻辑为了细分IT资产,“如何”通过细粒度的访问控制来实现业务目标,并使用连续的自适应信任来维护它,而“什么”则通过在整个网络中应用高性能的高级(第7层)安全性来实施访问控制。
这三个元素在安全组件的集成结构的上下文中运行,这些安全组件连接到其他网络和基础结构设备并与之通信。也可以应用宏分段和微分段架构,以及应用程序,进程和端点级别的分段,以创建更小,更易于管理的攻击面。
然后,NAC解决方案可以识别和分类访问网络的每个设备,以建立和维护设备可见性。可以根据上下文(例如设备的类型和分配给用户的用户的角色)将经过身份验证的设备自动分配给特定的网段。一旦将设备分配到特定的网络段,自动化的工作流程安全性就可以创建水平的段,以保护个人或设备组之间的通信和交易,包括跨越不同网络环境的设备。
这样,网络领导者可以有效地改善其安全状况,降低风险并在整个企业范围内支持合规性和运营效率,而无需更改其网络体系结构。
内部细分需要出色的性能
但是,由于某些安全解决方案难以满足当今内部网络流量的性能要求,因此内部分段会破坏组织在当今市场上有效竞争所依赖的数字创新。应用程序需要以惊人的速度提供关键业务服务,物联网设备正在生成前所未有的数据量,需要在基于云的数据中心中进行收集和处理,而计算密集型处理则依赖于可以移动大量数据的超大规模架构。在诸如高级渲染和建模项目之类的巨大工作流中。
结果,昨天的安全性能不再足以确保企业以当今的业务创新步伐获得安全和支持。对于大多数企业而言,使用现成的CPU和非集成安全组件构建的传统安全平台无法满足当今前所未有的基础架构性能要求。结果,尝试使用动态分段保护基础架构的安全成为基础架构的瓶颈,从而导致用户和应用程序体验下降。结果,内部网络安全性降低到了虚拟LAN和第4层访问列表,这完全不足以抵御当今复杂的威胁和确定的网络犯罪分子。
但是,安全性不必降低网络速度。取而代之的是,就像苹果,微软,谷歌和亚马逊等公司开发的高速硬件为其高级设备和基础架构提供动力一样,安全平台将需要新一代处理器来满足不断增长的网络性能需求。还需要设计这些平台,以便以任何形式无缝集成到任何环境中,同时保持平台之间一致的安全可见性和策略实施。
此外,性能增强的安全平台可以为硬件加速的虚拟扩展LAN(VXLAN)提供可大规模扩展和适应性强的内部分段,从而实现超大规模服务之间的超快速通信,例如计算,存储和共同托管的应用程序在物理和虚拟平台上。这使组织能够利用高度可扩展的虚拟服务体系结构以尽可能敏捷的方式启动服务和应用程序,从而在保持关键的安全检查和保护的同时,提高生产率和创收机会。
内部细分需要支持自动化的工作流程和开放的生态系统
安全平台还需要支持自动化工作流程,以确保从访问到交易的所有内容都得到自动保护。需要通过网络相互通信的设备不需要特殊的配置来保护和分段其交互。相反,业务策略应自动触发安全的工作流程以保护该交互。此外,这些平台应包括开放标准和API,以轻松与第三方解决方案集成以确保端到端细分。
这也可以应用于访问。例如,带病毒的便携式计算机应自动与访问点通信,以防止便携式计算机加入网络,然后安全平台应将其自动重定向到隔离的网段。统一的平台支持自动化的工作流程,可以解决互操作性的挑战,而这种互操作性是使用隔离的多供应商部署构建的安全体系结构无法解决的。
性能和保护绝不是决定
使用专为当今的性能要求和分布式资源架构而设计的安全设备实施内部网络分段策略,对于确保业务目标不会使您的组织面临不必要和严重的风险至关重要。考虑到当今下一代安全平台提供的功能和性能,需要重新考虑与传统安全设备不一致的尽职调查和合规性要求。
页:
[1]