宏觀分段的運作方式
宏觀分段通常是作為組織實體網路基礎設施上的覆蓋層來實現。這是透過結合使用防火牆和虛擬區域網路 (VLAN) 來實現的。
VLAN 是一個虛擬化網絡,它定義瞭如何在實體網路上路由流量。這意味著,如果兩個系統位於不同的 VLAN 上,則可能無法在它們之間直接路由流量。 相反,VLAN 被配置為使得 VLAN 之間的所有流量必須先通過防火牆。這使得防火牆能夠強制執行 VLAN 之間的邊界(即阻止任何未經授權試圖跨越 VLAN 邊界的流量)並執行安全性檢查和執行存取控制策略。
宏觀分段與微分段
宏觀分段和微觀分段都是將組織的網路劃分為多個部分的方法,並且可以提供許多好處。但是,宏觀分段和微分段政策非常不同:
- 宏觀分段:宏觀分段將網路分解為系統群組,從而能夠根據部門或其他標準劃分網路基礎設施和系統。它通常使用 VLAN 和防火牆來實現。
- 微分段:微分段通常在系統甚至應用程式層級劃分組織的基礎架構。它用於提供對組織網路內資料流的高度精細的可見性和控制,從而實現零信任安全策略。它通常使用軟件定義的解決方案部署,因為這些系統已經需要深度的可見性和控制以進行路由目的(使檢查和原則執行更容易)。
宏觀分段的主要好處
宏觀分段將組織的網路從整體網路轉變為離散子網路的集合。這為組織提供了許多優勢:
- 增強的可見性和控制:在不實施巨集分段的情況下,組織只能深入了解和控製網路外圍的網路流量,其中網路流量穿過外圍防火牆。透過宏觀分段,內部網路防火牆可以對組織網路內的資料流提供更深層的理解和控制。
- 改善安全性:組織實施宏細分割的主要原因是提供更高的抵抗網路攻擊。 組織網路內的攻擊者可能需要橫向移動才能實現其目標,因為通常受到損害的系統(使用者工作站等)不太可能是攻擊者的目標。宏分段可讓組織檢查區段邊界處的內部資料流,從而增加偵測此側向移動的機率。
- 提高網路效能:宏觀分段可讓組織根據其業務需求對網路進行分段。這可以確保頻繁相互通訊的系統緊密連接,並且多餘的網路流量不會消耗寶貴的頻寬,從而有助於減少網路延遲和擁塞。
- 監管合規性:一些資料保護法規,例如支付卡產業資料安全標準 (PCI DSS),要求組織根據需要限制對受保護資料(例如支付卡)的存取。宏觀分段是 PCI DSS 法規遵循的重要組成部分,因為合規組織必須將用於支付卡處理的系統與企業網路的其餘部分隔離。
使用 Check Point 實作巨集分段
巨集分段使用內部網路防火牆來定義 VLAN 並對跨 VLAN 邊界的流量執行內容檢查。這為組織提供了許多不同的優勢,並且可能是公司資料安全和合規策略的關鍵組成部分。
然而,組織在設計和實施在網路中部署宏觀分段的策略時也必須考慮其網路基礎架構的可用性。如果跨越網段邊界的所有內部網路流量都將被迫通過內部網路防火牆,那麼組織需要具有高吞吐量和強大的安全檢查功能的防火牆,以便最大限度地提高網路效能和安全性。
Check Point 的安全解決方案使組織能夠透過其整個網路基礎設施實施有效的宏觀分段。Check Point 次世代防火牆 (NGFW) 為本地基礎架構提供強大的安全性和高吞吐量,而 Check Point CloudGuard 則為組織的基於雲端的部署提供雲端原生可見性和安全解決方案。若要了解這些解決方案的實際應用,請要求Check Point NGFW和CloudGuard 基礎架構即服務 (基礎架構式服務)解決方案的示範。
反映意見