隨著越來越多的業(yè)務(wù)流程走向數(shù)字化,擁有一個強大可靠的網(wǎng)絡(luò)能夠處理日益增長的日常流量對于維持生產(chǎn)力和服務(wù)至關(guān)重要。同時,網(wǎng)絡(luò)攻擊者永遠不會停滯不前,每家組織都是潛在的目標。
技術(shù)領(lǐng)導(dǎo)者及其團隊比以往任何時候更知道設(shè)計一種網(wǎng)絡(luò)架構(gòu)的重要性,以便提供可靠的服務(wù),并防御未經(jīng)授權(quán)的訪問。《福布斯》雜志技術(shù)委員會的17位專家成員在本文中分享并解釋了組建和維護安全高效網(wǎng)絡(luò)的一些關(guān)鍵策略,這是當今數(shù)字化工作場所的必備知識。
1. 清點盤查所有網(wǎng)絡(luò)資產(chǎn)
技術(shù)人員在設(shè)計網(wǎng)絡(luò)時很少擁有一個全新的環(huán)境。相反,他們面對的是必須更新改造的現(xiàn)有基礎(chǔ)設(shè)施。首先為所有網(wǎng)絡(luò)資產(chǎn)列一份最新的清單,并繪圖以勾勒網(wǎng)絡(luò)當前的狀態(tài)和未來的預(yù)期狀態(tài)。完成這項工作后,在進行任何更改之前備份所有當前配置。
2. 尋求決策者的意見
一種安全高效的網(wǎng)絡(luò)架構(gòu)需要聽取業(yè)務(wù)決策者的意見,包括需要完成的內(nèi)容以及在任何特定的網(wǎng)段中必須使用的資源。一旦為整個組織確立了目標,應(yīng)采用軟件定義的網(wǎng)絡(luò)分割。使用硬件和代理實施整個架構(gòu)成本太高、難度太大,而且無法輕易擴展。
3. 實施最小權(quán)限
實施最小權(quán)限原則對于設(shè)計安全高效的網(wǎng)絡(luò)架構(gòu)至關(guān)重要。這包括將用戶和系統(tǒng)的訪問權(quán)限限制在執(zhí)行其任務(wù)所需的最低級別,從而減小安全漏洞和跨網(wǎng)段未經(jīng)授權(quán)訪問的潛在影響。
4. 采用零信任模式
在設(shè)計安全的網(wǎng)絡(luò)架構(gòu)時,應(yīng)采用零信任模式。這意味著在授予網(wǎng)段訪問權(quán)限之前,要對每個用戶和設(shè)備進行驗證,無論其位置在哪里。基于需要知道的標準采用嚴格的訪問控制機制進行分段,確保了嚴格的安全性和高效的流量管理,最大限度地降低了風險,并優(yōu)化了性能。
5. 遵循“縱深防御”原則
一個關(guān)鍵原則名為“縱深防御”。這意味著不依賴單一的技術(shù)、政策或流程來保護網(wǎng)絡(luò)的任何部分。使用這種方法,你假定保護網(wǎng)絡(luò)一部分的任何一層(防火墻、密碼或IP白名單)都可能被攻陷。然后,你設(shè)計結(jié)合多種毫不相關(guān)的方法以減輕威脅的防護措施。
6. 分割網(wǎng)絡(luò)
設(shè)計安全高效的網(wǎng)絡(luò)架構(gòu)的一個關(guān)鍵原則是實施可靠的網(wǎng)絡(luò)分段。這將網(wǎng)絡(luò)劃分為單獨的區(qū)域,每個區(qū)域都有獨特的訪問控制機制,縮小攻擊面,并遏制潛在漏洞。
7. 融入BFT原則
將拜占庭容錯(BFT)原則融入到網(wǎng)絡(luò)設(shè)計中。BFT是指在存在故障或惡意組件/部件的情況下,確保系統(tǒng)的可靠性和安全性。比如說,如果你引入冗余機制,并將網(wǎng)絡(luò)劃分為不同的節(jié)點,每個節(jié)點都有獨立的驗證機制,網(wǎng)絡(luò)就可以抵御并隔離攻擊或故障事件。
8. 自動加密數(shù)據(jù)
盡可能對敏感數(shù)據(jù)和內(nèi)容采取加密保護,無論數(shù)據(jù)和內(nèi)容在什么環(huán)境中。為此可以自動加密所有的敏感數(shù)據(jù)、內(nèi)容和文檔,并以數(shù)字方式將它們分配給適當?shù)慕M、角色及/或個人,從創(chuàng)建或攝取這類內(nèi)容開始入手,并在整個生命周期中持續(xù)進行。
9. 創(chuàng)建VLAN
創(chuàng)建虛擬局域網(wǎng)(VLAN)是設(shè)計安全高效的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的最佳實踐。比如說,安全攝像頭、VoIP耳機、測試環(huán)境、公共會議室和Wi-Fi都應(yīng)該在VLAN上隔離開來。如果操作得當,這讓你可以隔離和修復(fù)特定內(nèi)部網(wǎng)絡(luò)上的惡意嘗試和攻擊。
10. 限制人為錯誤的影響
軟件很脆弱,人類難免犯錯,所以個人系統(tǒng)和用戶受攻擊不可避免。安全網(wǎng)絡(luò)設(shè)計旨在設(shè)計的系統(tǒng)確保惡意軟件和人為錯誤的影響在時間和空間上受限制。試想:如果節(jié)點X受到了威脅,節(jié)點Y和你的網(wǎng)絡(luò)部件該如何配置以防止攻擊不會擴散開來?
11. 建立訪客網(wǎng)絡(luò)
建立一個與主網(wǎng)絡(luò)隔離的訪客網(wǎng)絡(luò)。任何不屬于貴公司的設(shè)備(比如公司已制定自帶設(shè)備策略)只能連接到訪客網(wǎng)絡(luò)。你無法控制不屬于貴公司的設(shè)備訪問的網(wǎng)站或網(wǎng)站上的內(nèi)容,你永遠不知道這些設(shè)備上存在什么威脅。擁有訪客網(wǎng)絡(luò)可以隔離BYOD策略帶來的任何威脅。
12. 竭力隔離流量
網(wǎng)絡(luò)設(shè)計者需要全面了解預(yù)期的流量、業(yè)務(wù)目的和威脅。他們應(yīng)該設(shè)計隔離流量的網(wǎng)絡(luò),便于監(jiān)測點和控制點發(fā)現(xiàn)和管理異常流量。盡管微分割和入侵檢測等技術(shù)模糊了隔離線,但堅持采用控制點仍然是安全網(wǎng)絡(luò)設(shè)計的關(guān)鍵原則。
13. 盡量減少“跳數(shù)”
盡量減少數(shù)據(jù)包需要經(jīng)過的“跳數(shù)”(hop)很重要,因為每一跳都會加大數(shù)據(jù)丟失的可能性。除了防御方法(比如外部密鑰管理)和主動方法(比如加密靈活性)外,防止風險的最佳方法是部署多個安全層,以防止攻擊者在網(wǎng)絡(luò)中橫向移動時訪問和提取關(guān)鍵數(shù)據(jù)。
14. 了解聯(lián)網(wǎng)資產(chǎn)的行為
你需要了解聯(lián)網(wǎng)資產(chǎn)的行為以及它們所處的環(huán)境。它們連接到什么設(shè)備?什么時候連接?實現(xiàn)所需功能的基本通信是什么?自動化和人工智能有助于為設(shè)備活動確立一個基準,這對于定義只允許獲得批準的通信、阻止其他一切通信的分段策略至關(guān)重要。
15. 隔離生產(chǎn)網(wǎng)絡(luò)與非生產(chǎn)網(wǎng)絡(luò)
要實現(xiàn)適當?shù)木W(wǎng)絡(luò)隔離,最關(guān)鍵的設(shè)計原則之一是將生產(chǎn)網(wǎng)絡(luò)與非生產(chǎn)(即辦公)網(wǎng)絡(luò)完全隔離開來。這是防止勒索軟件攻擊從非生產(chǎn)網(wǎng)絡(luò)擴散到關(guān)鍵生產(chǎn)網(wǎng)絡(luò)的重要防御措施,這些類型的攻擊通常針對非生產(chǎn)網(wǎng)絡(luò)(通過電子郵件)。
16. 采取多步驟的方法設(shè)置防火墻
設(shè)計一個防火墻規(guī)則,并部署規(guī)則,只有日志功能(沒有阻塞)。在進入完全阻塞之前,根據(jù)需要調(diào)整規(guī)則。確保考慮到在月末、季度末或年末運行的非典型流程,在每周的正常工作時間內(nèi)通常不會發(fā)現(xiàn)這些流程。
17. 隔離各個IIoT流程
在生產(chǎn)制造環(huán)境中,建議將生產(chǎn)流程及其相關(guān)的工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備托管在隱蔽的網(wǎng)絡(luò)上,這些網(wǎng)絡(luò)被嚴密地屏蔽和保護起來。確保在不同的網(wǎng)絡(luò)上隔離每個流程及其相關(guān)的IIoT設(shè)備。當需要訪問流程或其IIoT設(shè)備時,部署安全的單一入口點平臺。
本文翻譯自:https://www.forbes.com/sites/forbestechcouncil/2023/11/28/17-key-strategies-for-designing-a-secure-efficient.NETwork/?sh=22f3b1db2096如若轉(zhuǎn)載,請注明原文地址
