支柱名稱:保護網路
型樣名稱:網路隔離
內容和問題
現代威脅行為者利用薄弱的網路邊界橫向移動並提升權限。 常見的攻擊路徑包括憑證被盜、協定濫用和令牌重播。 一旦進入,對手通常會利用不良的分段、過於寬鬆的權限或共享基礎設施來存取敏感的工作負載。
傳統的扁平網路使得強制執行 最低權限 存取變得困難,並且通常會使資源廣泛可存取。 如果沒有明確的隔離,內部和外部威脅都會迅速危害多個系統。 挑戰在於標準化網路分段、強制執行邊界並確保嚴格控制流量,以防止橫向移動並遏制違規行為。
Solution
網路隔離透過將網路劃分和隔離為多個段並控制網路存取來保護網路。 它結合了身分感知網路安全解決方案以及可見性、監控和偵測能力的改進。 核心實踐包括:
網路分割和軟體定義邊界:假設違規,並透過網路分割和動態、基於風險的存取來限制橫向移動。 使用具體範圍的存取來強制執行最低權限,並通過身分識別型存取控制進行明確驗證。
SASE 和 ZTNA:使用安全存取服務邊緣 (SASE) 和零信任網路存取 (ZTNA) 架構來整合安全性和網路。 根據內容、身分識別和條件式存取控制來授與和限制存取權,以調整零信任原則。
加密和通訊:透過保護傳輸中的資料,並透過強大的現代加密和通訊限制資料竄改風險,以及封鎖弱通訊協定,來假設資料外洩。
可見性和威脅偵測:假設 入侵 ,並持續可見性和監控,並記錄網路活動。 透過存取控制和威脅偵測明確強制執行 最低權限 和 驗證 ,以尋找和顯示異常。 透過大規模自動化網路資源和控制的部署、管理和分配來強制執行零信任。 如果沒有自動化,延遲、不一致和差距很快就會出現。
原則驅動控制: 明確驗證 ,並使用細微、調適性身分識別中心、條件式存取原則控制套用 最低許可權 。 假設入侵並預設拒絕,並不斷重新評估風險。
雲端和混合式網路安全性:在多雲端和混合式環境中,明確假設違規並明確驗證,透過將雲端工作負載隔離到受保護的微邊界,並使用身分識別代理和雲端安全性存取代理(CASB)解決方案,來管理 SaaS 和 PaaS 應用程式。 透過跨雲端和內部部署的統一安全策略、安全的混合式連線機制、改善雲端/混合式安全性態勢,以及集中式安全性監控,套用零信任原則。
指導
組織可以使用下列可操作的做法來採用類似的模式:
| 用例 | 建議的動作 | Resource |
|---|---|---|
| 微型分割 |
|
Azure 網路安全性群組概觀 |
| 隔離虛擬網路 |
|
隔離虛擬網路 - Azure 虛擬網路 |
| PaaS 資源的周邊保護 |
|
什麼是網路安全邊界 |
| 與虛擬機器的安全連線 |
|
關於 Azure 堡壘主機 |
| 限制輸出虛擬存取 |
|
Azure 中的預設輸出存取 - Azure 虛擬網路 |
| 分層周界防禦 |
|
Azure DDoS 防護概觀 |
| 集中式政策管理 |
|
Azure Virtual Network Manager 中的安全性系統管理員規則 |
結果
優點
- 彈性:限制入侵的爆炸半徑。
- 可擴展性:標準化網路隔離支援企業級環境。
- 可見性:服務標記和監控提供了更清晰的流量歸因。
- 監管一致性: 支持遵守需要嚴格隔離敏感資源的框架。
Trade-offs
- 營運開銷:設計和維護分段網路需要規劃和持續更新。
- 複雜性:更多的細分可能會引入額外的管理層,並需要自動化才能擴展。
- 效能考量:某些隔離措施可能會稍微增加延遲。
關鍵成功因素
若要追蹤成功,請測量下列項目:
- 部署在隔離虛擬網路中且沒有直接因特網暴露的工作負載數目。
- 受集中式安全管理規則控管的服務百分比。
- 在紅隊測試中,確定的橫向移動路徑減少。
- 跨環境遵守最低權限原則。
- 是時候偵測和修復異常網路活動了。
總結
網路隔離是防止橫向移動和保護敏感工作負載的基本策略。 透過分割資源、強制執行邊界和應用分層防禦,組織可以減少攻擊面並建立針對現代對手的彈性。
隔離網路不再是可選的---它是保護雲端和混合環境的必要控制。 網路隔離目標提供清晰的架構,以減少橫向移動、與零信任保持一致,以及保護企業規模的環境。
此外,應持續監控所有網路、身分和裝置活動。 使用延伸偵測和回應 (XDR) 解決方案和 SIEM 工具集中記錄並關聯安全警示,以有效偵測異常和威脅。 將偵測與行為分析、深度封包檢查和自動化威脅回應相結合,以快速遏制可疑活動,並支援高效的事件回應。
評估您目前的網路拓撲並實施分段和周邊控制以符合網路隔離目標。