读书笔记初探下一代网络隔离与访问控制

Posted 仙人掌情报站

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了读书笔记初探下一代网络隔离与访问控制相关的知识,希望对你有一定的参考价值。

文章通过实例,分析了网络隔离和访问控制的最佳实践。这是网络安全工作中最基础的问题,同时也对整体安全保障能力具有深远影响。


点击“阅读原文”,访问原文。


1. 隔离原则

1.1 办公与生产隔离

这是基础的原则。问题在于,办公与生产之间开放哪些通道。文中提到了运维通道、数据通道和研发通道,以及一些默认端口,覆盖了一般情况下的场景。从安全的角度考虑,开放必须满足这些原则:

一是可审计,所有的通道必须经过审计,不管是协议审计还是堡垒机;

二是统一化,开放统一的通道,同时也实现最小化原则;

三是可鉴权,既然是隔离,就要有在必要的时候阻断的能力。


值得留意的是,OA应用被规划到办公网络,体现出按照职能划分的思路。


1.2 区域内部隔离

办公网络内部按照职能再划分出子网。就像文中描述:“一个仓进水不会沉船”,在类似勒索病毒爆发的时候,只要不把鸡蛋放在一个篮子里,总有抢救的余地。


生产网络内部划分出了业务、数据和密钥三类区域。传统模式下,企业往往基于业务进行划分,即一个系统、或者一类系统(安全保障要求相同)划为一个区域。随着技术的发展,数据和密钥的重要性凸显,与业务在安全保障方面鼎足而立。


数据安全,尤其是大数据安全,已为大多数企业所重视。密钥体系作为重要的安全基础设施,在网络安全保障中具有举足轻重的地位。加密、认证、授权、签名,是最直接有效的安全手段。如果密钥体系出现问题,难以通过其他手段进行弥补。因此,网络安全部门在布局整个IDC的业务和数据安全时,应同等重视密钥安全。


业务、数据、密钥三者并立,给安全管理增加了横向维度。在新的技术发展形势下,这是企业安全管理者思考的出发点。


2. 长期战略

文中提到了Google的最佳实践,主要是基于应用而非网络实现隔离。同时也提到,想要做到这一点并不容易:一是需要高度的集群管理自动化,二是需要较高的服务治理水平,三是需要高度统一的技术栈,四是需要极度收敛的内网协议。


这么做的意义在于实现了超大规模IDC自适应安全隔离,符合未来的发展方向,并在很大程度上收敛了攻击面。


在大多数企业中,复杂的技术路线带来了多样化的组件和协议,使得网络安全工作成果无法复用,带来了多样化的安全风险。这也是安全工作缺乏统一规划和架构的结果。因此,从长远战略角度出发,高度统一的技术栈和极度收敛的协议,是釜底抽薪的解决方案。随着云计算、大数据等新技术的发展和广泛应用,这个战略将更容易实现。


这是自上而下的管理,在业务还处于设计阶段初期,就进行了有效规范。同时,这要求企业对于IT架构有足够的投入,而不是大甩手地采购和外包。这样,网络安全部门就由“救火队”成为了“设计师”,提升了工作价值。




以上是关于读书笔记初探下一代网络隔离与访问控制的主要内容,如果未能解决你的问题,请参考以下文章

新一代网络建设理论与实践读书笔记-云计算

《Kubernetes网络权威指南》读书笔记 | 天生不易:容器组网的挑战

事务与隔离级别------《Designing Data-Intensive Applications》读书笔记10

《Kubernetes网络权威指南》读书笔记 | 你的名字:通过域名访问服务

《Kubernetes网络权威指南》读书笔记 | 找到你并不容易:从集群外访问服务

《Kubernetes网络权威指南》读书笔记 | 找到你并不容易:从集群内访问服务