首页 > 其他分享 >设计安全高效网络的17个关键策略

设计安全高效网络的17个关键策略

时间:2024-01-11 14:34:03浏览次数:32  
标签:高效 隔离 17 网络 安全 设计 设备


随着越来越多的业务流程走向数字化,拥有一个强大可靠的网络能够处理日益增长的日常流量对于维持生产力和服务至关重要。同时,网络攻击者永远不会停滞不前,每家组织都是潜在的目标。

技术领导者及其团队比以往任何时候更知道设计一种网络架构的重要性,以便提供可靠的服务,并防御未经授权的访问。《福布斯》杂志技术委员会的17位专家成员在本文中分享并解释了组建和维护安全高效网络的一些关键策略,这是当今数字化工作场所的必备知识。

1. 清点盘查所有网络资产

技术人员在设计网络时很少拥有一个全新的环境。相反,他们面对的是必须更新改造的现有基础设施。首先为所有网络资产列一份最新的清单,并绘图以勾勒网络当前的状态和未来的预期状态。完成这项工作后,在进行任何更改之前备份所有当前配置。

2. 寻求决策者的意见

一种安全高效的网络架构需要听取业务决策者的意见,包括需要完成的内容以及在任何特定的网段中必须使用的资源。一旦为整个组织确立了目标,应采用软件定义的网络分割。使用硬件和代理实施整个架构成本太高、难度太大,而且无法轻易扩展。

3. 实施最小权限

实施最小权限原则对于设计安全高效的网络架构至关重要。这包括将用户和系统的访问权限限制在执行其任务所需的最低级别,从而减小安全漏洞和跨网段未经授权访问的潜在影响。

4. 采用零信任模式

在设计安全的网络架构时,应采用零信任模式。这意味着在授予网段访问权限之前,要对每个用户和设备进行验证,无论其位置在哪里。基于需要知道的标准采用严格的访问控制机制进行分段,确保了严格的安全性和高效的流量管理,最大限度地降低了风险,并优化了性能。

5. 遵循“纵深防御”原则

一个关键原则名为“纵深防御”。这意味着不依赖单一的技术、政策或流程来保护网络的任何部分。使用这种方法,你假定保护网络一部分的任何一层(防火墙、密码或IP白名单)都可能被攻陷。然后,你设计结合多种毫不相关的方法以减轻威胁的防护措施。

6. 分割网络

设计安全高效的网络架构的一个关键原则是实施可靠的网络分段。这将网络划分为单独的区域,每个区域都有独特的访问控制机制,缩小攻击面,并遏制潜在漏洞。

7. 融入BFT原则

将拜占庭容错(BFT)原则融入到网络设计中。BFT是指在存在故障或恶意组件/部件的情况下,确保系统的可靠性和安全性。比如说,如果你引入冗余机制,并将网络划分为不同的节点,每个节点都有独立的验证机制,网络就可以抵御并隔离攻击或故障事件。

8. 自动加密数据

尽可能对敏感数据和内容采取加密保护,无论数据和内容在什么环境中。为此可以自动加密所有的敏感数据、内容和文档,并以数字方式将它们分配给适当的组、角色及/或个人,从创建或摄取这类内容开始入手,并在整个生命周期中持续进行。

9. 创建VLAN

创建虚拟局域网(VLAN)是设计安全高效的网络基础设施的最佳实践。比如说,安全摄像头、VoIP耳机、测试环境、公共会议室和Wi-Fi都应该在VLAN上隔离开来。如果操作得当,这让你可以隔离和修复特定内部网络上的恶意尝试和攻击。

10. 限制人为错误的影响

软件很脆弱,人类难免犯错,所以个人系统和用户受攻击不可避免。安全网络设计旨在设计的系统确保恶意软件和人为错误的影响在时间和空间上受限制。试想:如果节点X受到了威胁,节点Y和你的网络部件该如何配置以防止攻击不会扩散开来?

11. 建立访客网络

建立一个与主网络隔离的访客网络。任何不属于贵公司的设备(比如公司已制定自带设备策略)只能连接到访客网络。你无法控制不属于贵公司的设备访问的网站或网站上的内容,你永远不知道这些设备上存在什么威胁。拥有访客网络可以隔离BYOD策略带来的任何威胁。

12. 竭力隔离流量

网络设计者需要全面了解预期的流量、业务目的和威胁。他们应该设计隔离流量的网络,便于监测点和控制点发现和管理异常流量。尽管微分割和入侵检测等技术模糊了隔离线,但坚持采用控制点仍然是安全网络设计的关键原则。

13. 尽量减少“跳数”

尽量减少数据包需要经过的“跳数”(hop)很重要,因为每一跳都会加大数据丢失的可能性。除了防御方法(比如外部密钥管理)和主动方法(比如加密灵活性)外,防止风险的最佳方法是部署多个安全层,以防止攻击者在网络中横向移动时访问和提取关键数据。

14. 了解联网资产的行为

你需要了解联网资产的行为以及它们所处的环境。它们连接到什么设备?什么时候连接?实现所需功能的基本通信是什么?自动化和人工智能有助于为设备活动确立一个基准,这对于定义只允许获得批准的通信、阻止其他一切通信的分段策略至关重要。

15. 隔离生产网络与非生产网络

要实现适当的网络隔离,最关键的设计原则之一是将生产网络与非生产(即办公)网络完全隔离开来。这是防止勒索软件攻击从非生产网络扩散到关键生产网络的重要防御措施,这些类型的攻击通常针对非生产网络(通过电子邮件)。

16. 采取多步骤的方法设置防火墙

设计一个防火墙规则,并部署规则,只有日志功能(没有阻塞)。在进入完全阻塞之前,根据需要调整规则。确保考虑到在月末、季度末或年末运行的非典型流程,在每周的正常工作时间内通常不会发现这些流程。

17. 隔离各个IIoT流程

在生产制造环境中,建议将生产流程及其相关的工业物联网(IIoT)设备托管在隐蔽的网络上,这些网络被严密地屏蔽和保护起来。确保在不同的网络上隔离每个流程及其相关的IIoT设备。当需要访问流程或其IIoT设备时,部署安全的单一入口点平台。


标签:高效,隔离,17,网络,安全,设计,设备
From: https://blog.51cto.com/lihuailong/9199082

相关文章

  • 最新测试,芝麻代理、青果网络、快代理的代理IP哪家好?
    近期,讯代理狗了,想必大家都知道吧?感兴趣的也可以自己看看。历年来,狗了的代理IP服务商不在少数了,从飞蚁、rola、讯代理……这还是做了一定体量,大家略有耳闻的,其他还有更多的小服务商倒下,倒也不是想来说一波创业艰难,我只是心疼打工人的钱和找代理IP的精力。基于行业共识,现在代理IP的头......
  • 4.k8s-配置网络策略 NetworkPolicy
    一、基本了解官方文档:https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/基本了解:1.网络策略通过网络插件来实现,创建一个NetworkPolicy资源对象而没有控制器来使它生效的话,是没有任何作用的,而我们搭建K8s集群时安装的calico网络组件就支持网......
  • 24-调度引擎:Kubernete 如何高效调度 Pod?
    我们已经学会如何部署业务,发布Pod。但是Pod创建好以后,Kubernetes又如何调度这些Pod呢?如果我们希望把一个Pod跑在我们期望的节点上,该如何操作呢?如果我们希望把某些关联性强的Pod跑在特定的节点上,或者同一个节点上,又该怎么操作呢?今天我们就来揭晓。Kubernetes调度器工......
  • 26-网络插件:Kubernete 搞定网络原来可以如此简单?
    通过之前的学习,相信你对Kubernetes越来越熟悉了。理论上,Kubernetes可以跑在任何环境中,比如公有云、私有云、物理机、虚拟机、树莓派,但是任何基础设施(Infrastructure)对网络的需求都是最基本的。网络同时也是Kubernetes中比较复杂的一部分。我们今天就来聊聊Kubernetes中的......
  • 17-案例实战:教你快速搭建 Kubernete 监控平台
    Prometheus和Grafana可以说是Kubernetes监控解决方案中最知名的两个。Prometheus负责收集、存储、查询数据,而Grafana负责将Prometheus中的数据进行可视化展示,当然Grafana还支持其他平台,比如ElasticSearch、InfluxDB、Graphite等。CNCF博客也将这两者称为黄金组合,目......
  • 智能运维:预测风险,提升网络设备性能
    在当今高度信息化的时代,智能运维已经成为企业运营的关键一环。智能运维不仅能提升设备的运行效率,更能预测风险,确保企业业务的稳定运行。本文将详细介绍智能运维的各项功能,包括智能统计、预测报告、预测风险、智能分析以及算法模型管理。一、智能统计:实时监控设备状态智能统计功能实......
  • 虹科分享 | 实现网络流量的全面访问和可视性——Profitap和Ntop联合解决方案
    这次和大家分享如何捕捉、分析和解读网络数据,从而更有效地监控网络流量,实现网络性能的最大化。先来看一个实际的问题——“网速太慢”。一、为什么客户抱怨“网速太慢”?1、互联网服务提供商面临着客户增长带来的高带宽使用率问题,面临的挑战是如何确保带宽得到有效利用。很多时候,......
  • 在Linux Docker中部署RStudio Server,实现高效远程访问
    在LinuxDocker中部署RStudioServer,实现高效远程访问  ......
  • 【K8S系列】如何高效查看 k8s日志
     序言你只管努力,其他交给时间,时间会证明一切。文章标记颜色说明:黄色:重要标题红色:用来标记结论绿色:用来标记一级论点蓝色:用来标记二级论点Kubernetes(k8s)是一个容器编排平台,允许在容器中运行应用程序和服务。今天学习一下k8s日志查看相关方法希望这篇文章......
  • DevOps常用工具全家桶,实现高效运维和交付
     DevOps常用工具全家桶,实现高效运维和交付1、DevOps发展DevOps发展背景:随着互联网技术的快速发展,软件开发和运维的挑战也日益增加。传统的软件开发和运维模式往往存在分离、效率低下、沟通不畅等问题,导致软件交付速度缓慢,质量参差不齐。为了解决这些问题,DevOps应运而生。De......