當 IT 主管知道有關分段的訊息時,他們的第一個想法通常是關於使用 VLAN 或 VXLAN 劃分網絡。但是,在當今高度分散的環境中,分段在保護動態 多雲 環境,IoT 和 BYOD 策略以及自動化工作流方面也起著至關重要的安全性作用。
數位創新正在擾亂企業組織,增加了新的網絡,例如動態多雲,以實現新的服務和商機。但是,這些新環境也會增加風險。物聯網和移動設備以及來自多個雲的應用程序和服務的爆炸性採用,將攻擊面推向了傳統網絡邊界之外。而且,由於工作流,應用程序和事務必須跨越所有這些新環境,因此傳統的基於網絡的分段策略會停在每個網絡環境的邊緣,而無需放置繁瑣而復雜的解決方案。
這尤其具有挑戰性,因為諸如IoT設備之類的東西會收集需要共享給基於雲的數據中心的信息,或者位於遠程的設備需要通過網絡彼此通信。同時,這種擴展且分散的攻擊面也破壞了網絡團隊在其不斷擴展的網絡範圍內維護網絡性能,安全性,可靠性和可用性之類的能力。
開放,扁平的網絡使組織面臨不必要的風險
To accommodate this need for interoperability and communication between devices, organizations leverage flat, open networks to accelerate transactions, applications, and workflows. And a growing number of these networks are being built around high-performance routing and switching infrastructure that doesn’t include security due to the performance limitations of most security solutions.
從安全角度來看,這可能是災難性的。突破平面網絡的網絡範圍,黑客可以建立灘頭堡,然後在網絡中橫向移動以獲得對憑據,資源和數據的訪問。此外,內部網絡缺乏安全性基礎架構,這也大大限制了組織對可疑流量行為和數據流的可見性,這進一步阻礙了檢測漏洞的能力。這就是為什麼 在當今網絡中識別威脅的 平均平均時間 為 197 天,而遏制和消除威脅的 平均時間 為 69 天。對於可用安全資源較少的中小型企業,問題甚至更嚴重,駐留時間 超過 兩年。
內部細分的價值
為了重新控制其迅速發展的網絡,網絡領導者可以實施內部分段,以將業務目標有效地轉換為安全分段的“位置”,“方式”和“什麼”:“位置”確定了分段劃分的要點和所使用的邏輯為了細分IT資產,“如何”通過細粒度的訪問控制來實現業務目標,並使用連續的自適應信任來維護它,而“什麼”則通過在整個網絡中應用高性能的高級(第7層)安全性來實施訪問控制。
這三個元素在安全組件的集成結構的上下文中運行,這些安全組件連接到其他網絡和基礎結構設備並與之通信。也可以應用宏分段和微分段架構,以及應用程序,進程和端點級別的分段,以創建更小,更易於管理的攻擊面。
然後,NAC解決方案可以識別和分類訪問網絡的每個設備,以建立和維護設備可見性。可以根據上下文(例如設備的類型和分配給用戶的用戶的角色)將經過身份驗證的設備自動分配給特定的網段。一旦將設備分配到特定的網絡段,自動化的工作流程安全性就可以創建水平的段,以保護個人或設備組之間的通信和交易,包括跨越不同網絡環境的設備。
這樣,網絡領導者可以有效地改善其安全狀況,降低風險並在整個企業範圍內支持合規性和運營效率,而無需更改其網絡體系結構。
內部細分需要出色的性能
但是,由於某些安全解決方案難以滿足當今內部網絡流量的性能要求,因此內部分段會破壞組織在當今市場上有效競爭所依賴的數字創新。應用程序需要以驚人的速度提供關鍵業務服務,物聯網設備正在生成前所未有的數據量,需要在基於雲的數據中心中進行收集和處理,而計算密集型處理則依賴於可以移動大量數據的超大規模架構。在諸如高級渲染和建模項目之類的巨大工作流中。
結果,昨天的安全性能不再足以確保企業以當今的業務創新步伐獲得安全和支持。對於大多數企業而言,使用現成的CPU和非集成安全組件構建的傳統安全平台無法滿足當今前所未有的基礎架構性能要求。結果,嘗試使用動態分段保護基礎架構的安全成為基礎架構的瓶頸,從而導致用戶和應用程序體驗下降。結果,內部網絡安全性降低到了虛擬LAN和第4層訪問列表,這完全不足以抵禦當今復雜的威脅和確定的網絡犯罪分子。
但是,安全性不必降低網絡速度。取而代之的是,就像蘋果,微軟,谷歌和亞馬遜等公司開發的高速硬件為其高級設備和基礎架構提供動力一樣,安全平台將需要新一代處理器來滿足不斷增長的網絡性能需求。還需要設計這些平台,以便以任何形式無縫集成到任何環境中,同時保持平台之間一致的安全可見性和策略實施。
此外,性能增強的安全平台可以為硬件加速的虛擬擴展LAN(VXLAN)提供可大規模擴展和適應性強的內部分段,從而實現超大規模服務之間的超快速通信,例如計算,存儲和共同託管的應用程序在物理和虛擬平台上。這使組織能夠利用高度可擴展的虛擬服務體系結構以盡可能敏捷的方式啟動服務和應用程序,從而在保持關鍵的安全檢查和保護的同時,提高生產率和創收機會。
內部細分需要支持自動化的工作流程和開放的生態系統
安全平台還需要支持自動化工作流程,以確保從訪問到交易的所有內容都得到自動保護。需要通過網絡相互通信的設備不需要特殊的配置來保護和分段其交互。相反,業務策略應自動觸發安全的工作流程以保護該交互。此外,這些平台應包括開放標準和API,以輕鬆與第三方解決方案集成以確保端到端細分。
這也可以應用於訪問。例如,帶病毒的便攜式計算機應自動與訪問點通信,以防止便攜式計算機加入網絡,然後安全平台應將其自動重定向到隔離的網段。統一的平台支持自動化的工作流程,可以解決互操作性的挑戰,而這種互操作性是使用隔離的多供應商部署構建的安全體系結構無法解決的。
性能和保護絕不是決定
使用專為當今的性能要求和分佈式資源架構而設計的安全設備實施內部網絡分段策略,對於確保業務目標不會使您的組織面臨不必要和嚴重的風險至關重要。考慮到當今下一代安全平台提供的功能和性能,需要重新考慮與傳統安全設備不一致的盡職調查和合規性要求。
參考資訊:
- 新聞稿:Fortinet 在 Gartner 的 SD-WAN 設備營收市佔率排名中名列第三。
- 新聞稿:Fortinet 連續兩年於 NSS 實驗室的 SD-WAN 組別測試中獲得推薦評級。
- 獲得更多 Fortinet Secure SD-WAN 的資訊。
- 了解 Fortinet 安全織網 (Security Fabric ) 如何提供廣泛、整合且自動化的防護,協助企業抵禦IoT、邊緣網路、網路核心與多雲等層面的數位攻擊。
- 深入了解 FortiGuard 實驗室與 FortiGuard 安全服務產品組合。
- 深入了解可提供安全稽核與最佳實作方式的 FortiGuard 安全等級評估服務 (Security Rating Service)。
- 深入了解 Fortinet 的網路安全專家計畫、網路安全學院計畫與 FortiVets 計畫。
- 在 Facebook、YouTube、Line、電子報 與 微網站 上追蹤 Fortinet。
關於Fortinet ( www.fortinet.com/tw )
Fortinet (NASDAQ: FTNT) 致力保護全球大型企業、服務供應商和政府組織,為客戶提供完整的智慧型安全防護,以因應日趨擴大的攻擊範圍,並滿足無邊界網路在今日與未來造成的效能需求。唯有 Fortinet 的安全架構能提供滴水不漏的防護,並解決網路、應用程式、雲端和行動環境中最嚴苛的安全挑戰。Fortinet 的安全設備出貨量在全球排名第一,並深受全球 40 多萬名客戶的信任。更多有關 Fortinet 的資訊,請至 Fortinet官方網站、Fortinet部落格,或是 FortiGuard實驗室。
Copyright © 2020 Fortinet, Inc。保留所有權利。符號 ® 和 TM 分別代表 Fortinet 公司、其子公司及相關企業的聯邦政府註冊商標和普通法商標。Fortinet 的商標包括但不限於 Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiInsight, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence, FortiProxy, FortiRecorder、FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS 與 FortiWLM
所有其它提及之商標各歸其擁有者所有。Fortinet 並未獨立驗證本處第三方機構所做之聲明或認證,亦不為此處任何聲明背書。即使本文載有相反規定,此處任何內容均不構成 Fortinet的保證、擔保、契約、具約束力的規範或其他具約束力的承諾,也不構成與具約束力的承諾和效能有關的任何意向指示。此處的規範資訊可能僅屬於某些環境。本新聞稿可能包含涉及不確定性和假設性的前瞻性聲明,例如與技術發佈有關的聲明等。我們透過 www.sec.gov 送交給美國證券交易委員會的文件中提及的情況變化、產品發佈延遲或其他風險可能會導致結果與本新聞稿中明示或暗示的結果有重大差異。若不確定性獲得實現或此類假設證明為不正確,結果可能與此類前瞻性聲明與假設所明示或暗示的結果有實質差異。所有非歷史事實以外之陳述即可視為前瞻性陳述。Fortinet 沒有義務更新任何前瞻性聲明,並明確聲明不承擔此義務。