随着云平台和移动互联网的发展,传统的网络边界逐渐被打破,企业与外部合作伙伴建立可信连接变得愈来愈重要,需要远程访问公司网络的供应商越来越多,于是对这些外部特权访问会话的管理、监视和保护工作就成为了热点问题。
那么,如何打造任何人都可随时随地通过任意设备安全、可靠、无缝地连接到任意资源的无边界网络环境呢?
设定目标并制定清晰的路线图是成功实现无边界网络划分的有效途径。
多年来,企业一直在讨论如何有效改善整体安全状况的策略——划分无边界网络。虽然这被广泛认为是一种最有效的方法,但在当今不断发展的动态环境网络边界之中,细化实施、扩展和管理十分具有挑战性。新连接设备的组合、不断变化的业务模式、满足访客的需要、监管的要求以及不断变化的威胁可能使其成为一项复杂的任务。此外,用户需要一种能够覆盖学校、数据中心和云环境的一套整体管控方法以完成任何端到端的“网络-端点”连接。否则,用户终将面临多种导致使用复杂性增加的划分策略,它们还可能对系统安全和用户体验造成负面影响。
但是,不应让这个问题阻碍网络的发展与进步。正如汽车大王亨利福特所说:如果你能把做的事情化整为零,就没有什么事会特别困难。亨利福特不仅改造了工业生产力,还推动工业革命的发展,他本人的方法论也被沿用至今。
秉承着化整为零的精神,本文将如何成功划分网络边界的步骤分为六步。无论是企业内运维员工,或是即将制定无边界网络划分计划的项目组,亦或是正在考虑使用第三方咨询服务的组织机构,以下内容对成功划分无边界网络均具有至关重要的作用。
一步:定义目标
设定目标并制定明确的计划是成功实现细分的有效途径。为完成计划,需要考虑以下关键问题:
- 划分计划需考虑哪些业务流程和安全驱动因素?
- 通过哪些标准对已有资产进行分类?
- 哪些资产对企业业务流程至关重要?
- 企业业务流程进行中常见的威胁有哪些?
- 如何利用技术和流程来应对这些威胁?
- 技术实施计划中是否包含安全要素?
- 企业首要业务优先事项是什么?它们如何与当前的企业安全计划保持一致?
- 企业的痛点是什么?
上述信息有助于通过了解业务目标和驱动因素、关键业务资产、已知风险以及对当前企业安全状况来全面地明晰并制定高级策略。这反过来也可以帮助确定如何降低安全风险和制定技术规划的后续步骤及优先级。
第二步:识别、分类及优先考虑资产
通过与关键利益相关方的密切合作,企业现在可以定义资产集并根据业务的影响、风险、功能和监管要求对其进行分类。此分类用于定义安全控制功能,并通过明确定义的标准帮助设置优先级。例如,如果医院将放射学设备视为关键资产,则应识别这些设备并将其与同类设备分组。保险行业可能会认为所有业务服务都具有同等重要性并将它们组合在一起,但公司服务的重要性可能会因实际创收情况或合规性的影响而有所不同。
第三步:获得支持和增强战略的可视性
本步骤需在第二步验证工作内容:为确保没有遗漏,需要了解实际流量和设备情况。此过程包括:流量类型(南北流量和东西流量,即server-client流量和server-server流量);收集流量的所有物理和虚拟设备;收集数据的位置(WAN边界、接入层、云);用于监控、分析和报告信息的数据源和分析平台。企业使用正确的工具和流程可帮助识别要划分的实际设备,或使用其他划分策略。这使企业可以发现未知的设备和流量模式,它对于了解实际环境中发生情况并及时调整计划的实施时间、方式和来源都至关重要。
第四步:技术设计和策略制定
功能划分解决方案主要分为两个方面:详细的技术设计和深思熟虑的细分策略。
技术设计应由组织的优先级、技术能力和运营影响驱动。目标是开发部署划分策略所需的一组特定设备、设计并配置,使其按预期运行。这些设计用作部署蓝图,通常包括有关路由器/交换机的基础架构、网络架构、IP地址范围/子网、策略实施解决方案、具有动态访问控制列表的交换机以及其他分段技术的详细信息。
划分策略应与组织的业务目标相统一,并在整个组织内保持一致。优秀的划分策略平衡了简单性和粒度,将设备按通常理解的、不可能变化的功能特征分段放置,这对组织具有重要意义。
例如,医院可以从一般系统组开始,比如医院管理、实验室、药房和生物医学的系统组。这种更高级别的方法提高了安全性,同时最小化了复杂性和操作影响。后期阶段可以提供更细粒度的划分策略,且对整体业务影响较小。按功能对类似设备进行分组也有帮助。无需为每个品牌的MRI(核磁共振)设备创建单独的片段,与之相反的是将所有MRI设备与其他成像设备一起放在相同区段中。
第五步:验证设计和策略
通过详细的技术设计和细分策略,可以根据一步中开发的原始业务目标来审核最终部署模型。所有关键利益相关者都应纳入审核和签核,因为这是无边界网络划分过程中的重要一点,在部署开始之前进行重大调整。汇集所有关键业务、IT资源和安全领导,确认设计满足功能和技术业务目标,以便实施能够顺利发展。
第六步:执法和监督
正确的执法方法可以确保组织的政策具有动态性,并维持划分计划的可持续性。一种提供企业范围内跨校园、数据中心和云的网络流量数据可视化的解决方案,它可通过多种方式向企业提供帮助。首先,网络流量数据可以与用户和实体行为分析(UEBA)以及机器学习结合使用,以便为网络和连接的设备创建基线。通过比较从流数据派生的观察到的网络行为来定义策略,解决方案可以确认部署的策略是否按预期强制执行。该步骤加速了审计过程,并保证划分策略可有效减少面积和企业安全风险。
网络划分是每个组织都必将历经的旅程。无论企业内部是否存在员工能够推动划分项目的进程,或企业正在考虑启用第三方咨询服务,本文中讨论的六个步骤都能为企业提供成功的道路。
更重要的是,通过实施划分无边界网络的计划可以很快获得额外效益,除了通过限制网络进入时的横向移动来保护关键资产。可见性和划分技术都可以帮助加强组织整体的安全运营。与安全运营中心集成后,企业安全团队将能够使用这些工具生成的数据来更快地检测和响应漏洞,并最终缩短停顿时间。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
