塔吉特(Target)泄密事件無異于向大企業(yè)的IT從業(yè)人員敲響了一記警鐘。這令人遺憾，因為要不是典型企業(yè)架構的一個非常過時的方面：廣域網缺少網絡分段機制，塔吉特以及其他大型零售商和數(shù)百萬的顧客原本可以避免損失和苦惱。

要是能夠實行網絡分段、流量隔離，企業(yè)就能夠防止攻擊者訪問企業(yè)網絡上不同分段上的數(shù)據后，迅速演變成危害性很大的重大泄密事件的攻擊。此外，塔吉特事件表明，泄密事件不一定就來自公司自身網絡的內部。業(yè)務合作伙伴的系統(tǒng)也可能遭到危及，隨后，這種感染同樣會擴展到其他實體的數(shù)據。

網絡分段的好處

企業(yè)需要一系列防范措施，確保敏感數(shù)據仍然安全;確保可能遭到危及的網絡邊緣和業(yè)務合作伙伴數(shù)據可以隨時加以隔離和擦清。比如說，你將供應商整合到企業(yè)網絡上后，就需要將供應商與企業(yè)的所有敏感信息隔離開來，比如客戶數(shù)據。

網絡分段提供了另外的好處，包括如下：

·對業(yè)務部門進行分段，不管位置如何;

·為客戶和合作伙伴分隔訪客的無線訪問權;

·隔離橫跨多個地方的按需而建的開發(fā)和測試實驗室;

·讓企業(yè)更容易合規(guī)和審計，比如《支付卡行業(yè)數(shù)據安全標準》(PCI-DSS)和《健康保險可攜性及責任性法案》(HIPAA)。

·多租戶和B2B合作伙伴;

·數(shù)字標牌和數(shù)字錄像機(DVR)服務

可能最讓CIO和IT部門吃下放心丸的是，能夠根據基于用戶、設備和位置的策略，為自帶設備(BYOD)設置不同的權限。這可以極其簡單地解決BYOD策略被粗心大意的員工濫用而引起的棘手問題和潛在的安全泄密。

跨站流量分段面臨的困難

分段在一個站點里面并不難(使用虛擬局域網)，但是一旦流量離開了站點，進入到廣域網，隔離就不復存在。也就是說，無法跨企業(yè)保持隔離，因而就有可能出現(xiàn)安全泄密事件。為了將分隔機制合理地擴展到整個網絡中，必須將相關的識別信息傳送到網絡中的所有點。

遺留網絡為解決這個問題提供了兩種不同的辦法;遺憾的是，這兩種辦法都效率低下。第一種方法是，在單一設備上定義群組策略，并且在網絡中的每個點執(zhí)行該策略，你可以在虛擬路由和轉發(fā)精簡版(VRF Lite)和逐段VRF中看到這一情況。除了缺少迫切需要的可擴展性外，網絡中執(zhí)行該策略的點數(shù)量太多;頭端變得異常復雜、無法管理，變更控制也變得極其困難。

另一種方法是在網絡邊緣定義策略，并在數(shù)據流量中傳送分段信息，比如在MPLS第3層VPN中。遺憾的是，這種方法變得復雜、成本高昂。

SD-WAN和分段

公司需要一種成熟可靠的網絡基礎設施，可以將路由、安全、集中策略和編排整合起來，從而提供一個安全的網絡，又擁有實現(xiàn)端到端分段所需的固有功能。為廣域網添加軟件定義網絡功能形成了SD-WAN，可以解決這個問題。SD-WAN不僅能對信息進行分段，還能將信息傳送到網絡中的所有相關點，又不需要外部機制或額外協(xié)議，這就簡化了網絡設計。

SD-WAN《夽易聯(lián)》還可以為企業(yè)帶來下列功能：

·在現(xiàn)有的網絡上創(chuàng)建端到端網絡分段，但又不用改動路徑中的任何設備;

·執(zhí)行基于分段的策略(比如說，訪客無線流量應該走成本最低的線路，同時保留高SLA線路用于創(chuàng)收的流量);

·根據位置來控制哪些分段獲得訪問權，因而防止有人攻擊遠程站點;

·基于分段執(zhí)行網絡策略(比如說，來自未知BYOD設備的流量通過DMZ擦洗站點來發(fā)送，之后才可允許訪問網絡。)

·基于分段執(zhí)行網絡拓撲結構(比如說，使用交互式語音/視頻的分段可能從一站點傳送到另一站點，而另外某些分段是純粹的集中星型。)

端到端網絡分段這個想法提供了網絡行業(yè)幾年來一直在考慮采用的方案，但是它實施起來太過復雜了。不過，如今的網絡攻擊詭計多端，又不可預測，這就意味著光靠防火墻和加密已不足以確保企業(yè)數(shù)據安全――網絡分段必須成為該戰(zhàn)略的一個不可或缺的部分。

部分素材來源于網絡，侵權請聯(lián)系刪除

審核編輯 黃昊宇