企业为什么要进行内外网络隔离
企业进行内外网络隔离的原因:
先从安全建设角度,一直以来,企业广泛的采用纵深防御技术(defensin depth)和最小权限逻辑(least privilege)来进行企业网络安全管理。而隔离是实现这两个理念的基本方式,例如传统安全管理中,通过边界部署防火墙来实现可信网络与外部网络的隔离,内部不同安全级别间划分安全域,域间通过防火墙实现隔离,并通过设置安全策略按需赋予访问权限。
再从攻防角度说,从近年来的安全事件我们可以看到,攻击者从以破坏为主的攻击逐渐转变为以特定的政治或经济目的为主的高级可持续攻击。无论从著名的Lockheed Martin Cyber Kill Chain(洛克希德-马丁公司提出的网络攻击杀伤链),还是近年名声大噪的勒索病毒、挖矿病毒,这些攻击都有一些显著特点,一旦边界的防线被攻破或绕过,攻击者就可以在数据中心内部横向移动,而中心内部基本没有安全控制的手段可以阻止攻击。这也突出了传统安全的一个主要弱点,复杂的安全策略、巨大的资金和技术都用于了边界防护,而同样的安全级别并不存在于内部。
最后从安全闭环角度来说,有了行为分析、有了蜜罐、有了态势感知,却没有了最基本的访问控制。数据中心内部往往几百台虚拟机域内全通,只有把这些进行隔离才能达到真正的安全。
内外网隔离可以通过多种方式实现,主要有以下几种:
通过安装部署物理网卡实现物理隔离
通过路由器或交换机实现逻辑隔离
通过第三方网络管理类软件实现逻辑隔离。
隔离主要是为了安全,现在很多涉密单位都必须要求进行内外网隔离,甚至在内部网络中又划分出了研发网、办公网、生产网等。内外网隔离,本质上隔离的是“自己人”与“外人”,具有较强的安全敏感性。有条件的企业可能会在内外网边界部署DLP(数据防泄漏)系统,所有内部向外部发出的数据(如电子邮件),都要经过DLP系统的内容扫描,在确保不包含敏感信息的情况下才允许发出。
较大规模的企业还可能对内部网络实施进一步的隔离,比如划分为办公网、研发网、生产网、测试网等,主要用来屏蔽不同部门、不同业务之间的违规数据交换。内部子网隔离,本质上解决的是“人民内部矛盾”,其敏感性因业务不同而有所差别。比如,研发网内的核心知识产权数据、生产网内的真实用户隐私数据,即便只是流入到内部办公网,也可能造成较大的安全风险。