划分无边界网络的六个步骤
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
随着云平台和移动互联网的发展,传统的网络边界逐渐被打破,企业与外部合作伙伴建立可信连接变得愈来愈重要,需要远程访问公司网络的供应商越来越多,于是对这些外部特权访问会话的管理、监视和保护工作就成为了热点问题。
那么,如何打造任何人都可随时随地通过任意设备安全、可靠、无缝地连接到任意资源的无边界网络环境呢?
设定目标并制定清晰的路线图是成功实现无边界网络划分的有效途径。
多年来,企业一直在讨论如何有效改善整体安全状况的策略——划分无边界网络。虽然这被广泛认为是一种最有效的方法,但在当今不断发展的动态环境网络边界之中,细化实施、扩展和管理十分具有挑战性。新连接设备的组合、不断变化的业务模式、满足访客的需要、监管的要求以及不断变化的威胁可能使其成为一项复杂的任务。此外,用户需要一种能够覆盖学校、数据中心和云环境的一套整体管控方法以完成任何端到端的“网络-端点”连接。否则,用户终将面临多种导致使用复杂性增加的划分策略,它们还可能对系统安全和用户体验造成负面影响。
但是,不应让这个问题阻碍网络的发展与进步。正如汽车大王亨利福特所说:如果你能把做的事情化整为零,就没有什么事会特别困难。亨利福特不仅改造了工业生产力,还推动工业革命的发展,他本人的方法论也被沿用至今。
秉承着化整为零的精神,本文将如何成功划分网络边界的步骤分为六步。无论是企业内运维员工,或是即将制定无边界网络划分计划的项目组,亦或是正在考虑使用第三方咨询服务的组织机构,以下内容对成功划分无边界网络均具有至关重要的作用。
一步:定义目标
设定目标并制定明确的计划是成功实现细分的有效途径。为完成计划,需要考虑以下关键问题:
- 划分计划需考虑哪些业务流程和安全驱动因素?
- 通过哪些标准对已有资产进行分类?
- 哪些资产对企业业务流程至关重要?
- 企业业务流程进行中常见的威胁有哪些?
- 如何利用技术和流程来应对这些威胁?
- 技术实施计划中是否包含安全要素?
- 企业首要业务优先事项是什么?它们如何与当前的企业安全计划保持一致?
- 企业的痛点是什么?
上述信息有助于通过了解业务目标和驱动因素、关键业务资产、已知风险以及对当前企业安全状况来全面地明晰并制定高级策略。这反过来也可以帮助确定如何降低安全风险和制定技术规划的后续步骤及优先级。
第二步:识别、分类及优先考虑资产
通过与关键利益相关方的密切合作,企业现在可以定义资产集并根据业务的影响、风险、功能和监管要求对其进行分类。此分类用于定义安全控制功能,并通过明确定义的标准帮助设置优先级。例如,如果医院将放射学设备视为关键资产,则应识别这些设备并将其与同类设备分组。保险行业可能会认为所有业务服务都具有同等重要性并将它们组合在一起,但公司服务的重要性可能会因实际创收情况或合规性的影响而有所不同。
第三步:获得支持和增强战略的可视性
本步骤需在第二步验证工作内容:为确保没有遗漏,需要了解实际流量和设备情况。此过程包括:流量类型(南北流量和东西流量,即server-client流量和server-server流量);收集流量的所有物理和虚拟设备;收集数据的位置(WAN边界、接入层、云);用于监控、分析和报告信息的数据源和分析平台。企业使用正确的工具和流程可帮助识别要划分的实际设备,或使用其他划分策略。这使企业可以发现未知的设备和流量模式,它对于了解实际环境中发生情况并及时调整计划的实施时间、方式和来源都至关重要。
第四步:技术设计和策略制定
功能划分解决方案主要分为两个方面:详细的技术设计和深思熟虑的细分策略。
技术设计应由组织的优先级、技术能力和运营影响驱动。目标是开发部署划分策略所需的一组特定设备、设计并配置,使其按预期运行。这些设计用作部署蓝图,通常包括有关路由器/交换机的基础架构、网络架构、IP地址范围/子网、策略实施解决方案、具有动态访问控制列表的交换机以及其他分段技术的详细信息。
划分策略应与组织的业务目标相统一,并在整个组织内保持一致。优秀的划分策略平衡了简单性和粒度,将设备按通常理解的、不可能变化的功能特征分段放置,这对组织具有重要意义。
例如,医院可以从一般系统组开始,比如医院管理、实验室、药房和生物医学的系统组。这种更高级别的方法提高了安全性,同时最小化了复杂性和操作影响。后期阶段可以提供更细粒度的划分策略,且对整体业务影响较小。按功能对类似设备进行分组也有帮助。无需为每个品牌的MRI(核磁共振)设备创建单独的片段,与之相反的是将所有MRI设备与其他成像设备一起放在相同区段中。
第五步:验证设计和策略
通过详细的技术设计和细分策略,可以根据一步中开发的原始业务目标来审核最终部署模型。所有关键利益相关者都应纳入审核和签核,因为这是无边界网络划分过程中的重要一点,在部署开始之前进行重大调整。汇集所有关键业务、IT资源和安全领导,确认设计满足功能和技术业务目标,以便实施能够顺利发展。
第六步:执法和监督
正确的执法方法可以确保组织的政策具有动态性,并维持划分计划的可持续性。一种提供企业范围内跨校园、数据中心和云的网络流量数据可视化的解决方案,它可通过多种方式向企业提供帮助。首先,网络流量数据可以与用户和实体行为分析(UEBA)以及机器学习结合使用,以便为网络和连接的设备创建基线。通过比较从流数据派生的观察到的网络行为来定义策略,解决方案可以确认部署的策略是否按预期强制执行。该步骤加速了审计过程,并保证划分策略可有效减少面积和企业安全风险。
网络划分是每个组织都必将历经的旅程。无论企业内部是否存在员工能够推动划分项目的进程,或企业正在考虑启用第三方咨询服务,本文中讨论的六个步骤都能为企业提供成功的道路。
更重要的是,通过实施划分无边界网络的计划可以很快获得额外效益,除了通过限制网络进入时的横向移动来保护关键资产。可见性和划分技术都可以帮助加强组织整体的安全运营。与安全运营中心集成后,企业安全团队将能够使用这些工具生成的数据来更快地检测和响应漏洞,并最终缩短停顿时间。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
八家跨国流媒体公司接到GDPR相关投诉
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 2019年1月18日,欧洲非政府组织“不关你事(NOYB:None of Your Business)”对8家跨国流媒体服务公司提出了10起GDPR相关投诉。投诉称,涉事流服务公司没能以透明的信息、通信及方式(GDPR第12条)响应数据主体的合法访问权(GDPR第15条),因而违反了GDPR。 其中4家公司为美国大型企业:Amazon Prime;Apple Music;Netflix和YouTube。另外4家是欧洲公司:DAZN(伦敦)、Flimmit(维也纳)、SoundCloud(柏林)和Spotify(斯德哥尔摩)。***罚金从80.2亿欧元(苹果)到2000万欧元(DAZN和Spotify)不等。投诉根据GDPR第80条的授权提出,该条款规定:数据主体享有授权恰当非营利性机构、组织或协会的权利。 NOYB由隐私活动家兼律师 Max Schrems 创建。Schrems在学生时期就依据GDPR的前身《欧洲数据保护指令》对Facebook提出了投诉,令欧洲法院以违宪为由撕毁了欧洲与美国之间的个人信息跨国流通安...
- 下一篇
捍卫数据安全!看昂楷科技如何出招
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 【51CTO.com原创稿件】回顾已逝去的2018年,数据泄露事件仍旧层出不穷:印度10亿公民身份数据库Aadhaar被曝遭网络攻击;数据分析公司 Cambridge Analytica通过一个应用程序收集了5000万Facebook用户的个人信息;美国著名运动装备品牌Under Armour称有1.5亿MyFitnessPal用户数据被泄露了;华住旗下多个连锁酒店开房信息数据正在暗网销售…… 为了保护数据安全,国内外关于数据安全的法律法规、标准、制度相继出台,从国家战略层面和法规层面强调数据安全保护的重要性。2017年6月1日,中国的网络安全法正式实施,在第二十条中对数据安全作出了明确说明:网络运营者应当按照网络安全等级保护制度的要求,防止网络数据泄露或者被窃取、篡改,采取数据分类、重要数据备份和加密等措施。可见,企业数据安全、企业信息安全已经成为关乎国计民生的重要方面。 在数据泄露事件数量激增、性质不断恶化的形势下,各行业组织对数据保护的需求日益增长。然而,传统的安全产品各自为政,零散不成体系,无法联防联控,无...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS8编译安装MySQL8.0.19
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Hadoop3单机部署,实现最简伪集群
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果