随着组织不断发展,其网络往往会变得更难控制。员工、承包商、访客、个人设备、IoT 设备以及连接云端的系统都可能需要访问权限,但它们不应访问相同的资源
当访问范围过宽时,IT 团队就更难控制哪些人可以连接敏感系统、设备如何在网络中移动,以及权限是否仍与每位用户的角色相匹配。随着环境日益复杂,共享的 Wi-Fi 凭证、手动分配的 VLAN 以及静态访问规则都会让这个问题更难管理。
考虑到这一点,我们来看看网络分段是什么意思、为什么它很重要、它如何运作,以及基于身份的访问控制如何帮助在整个组织内强制实施分段。
网络分段是什么意思?
网络分段是指将网络划分为更小的区块,以便用户和设备只能访问其所需的资源。这是网络安全中的一项核心实践,通过减少整个网络中的广泛访问权限,帮助限制账户、设备或系统遭到入侵时可能造成的影响。
网络分段会在网络内创建明确划分的区域,只有特定用户、设备或应用程序才能访问这些区域。这些区域之间的流量通过 VLAN、防火墙、访问控制列表、身份验证策略和基于角色的访问规则进行控制。这意味着,只有经过批准的用户和设备才能连接到网络的特定部分,因此一个被攻破的账户不会自动获得广泛的访问权限。
有效的分段应同时考虑网络结构和访问决策。这意味着,随着用户、角色、设备和环境的变化,权限、身份验证方法以及 VLAN 分配都需要保持最新。当用户共享凭据、旧账号仍处于活跃状态、允许未受管理的设备连接,或 VLAN 分配采用手动处理时,网络分段的效果就会大打折扣。
常见的网络分段形式包括:
按用户组划分,例如员工、承包商、学生、教职员工、访客或管理员。
按部门划分,例如财务、人力资源、IT、工程或运营。
按设备类型划分,例如受管笔记本电脑、BYOD 设备、IoT 设备、服务器或销售点系统。
按环境划分,例如开发、预发布、生产或内部应用。
按访问方式分类,例如 Wi-Fi、VPN、有线网络或服务器访问。
按信任级别划分,例如受管设备、通过证书身份验证的设备或非受管访客设备。
为什么网络分段很重要
分段有多项好处,尤其是在网络安全方面,能够提升运营控制能力,并帮助 IT 团队收紧过于宽泛的访问权限。
网络分段的好处包括:
减少了整个网络中不必要的访问。
在用户、设备或账户遭到入侵时,限制横向移动。
为敏感系统提供保护,因为它们与一般网络流量相隔离。
为用户、设备、部门和角色提供更清晰的访问策略。
支持通过 Wi-Fi、VPN、有线网络和内部系统实现最小特权原则访问。
更清晰地了解哪些用户和设备可以访问各个分段。
由于访问边界清晰,可支持审计就绪。
帮助 IT 团队更一致地管理 BYOD、访客访问、学生访问和分布式环境。
静态分段与基于身份的网络分段对比
网络分段的方法有几种,但归根�结底主要分为静态分段和基于身份的分段。每种方式各有优势,因此了解哪种最适合业务需求会很有帮助。
静态网络分段
静态网络分段通常依赖手动分配的 VLAN、MAC 地址列表、SSID 或固定访问规则。这对于小型或基础环境非常适用,这类环境的分段需求通常没那么复杂。
但是,随着组织增加更多用户、设备、承包商等,扩展和管理个人权限会变得更加困难。此外,静态分段容易受到欺骗攻击,而且与用户身份和设备信任状态脱节。
基于身份的网络分段
基于身份的分段依赖用户身份验证和授权来确定个人可以访问哪些网络分段。可根据身份、组成员资格、角色或信任级别,将用户及其设备划分到相应的 VLAN 或网络分段中,并据此授予对相应分段的访问权限。
基于身份的网络分段有助于确保访问权限与用户身份、所使用的设备以及其应有权访问的资源保持一致。由于这些权限基于用户类别,因此当用户角色发生变化时,更新权限会很容易。
动态 VLAN 分配
动态 VLAN 分配是实施基于身份分段的一种方式。它会在身份验证期间自动将用户或设备分配到正确的 VLAN。
例如,如果某个教育机构使用动态 VLAN 分配,那么教职员工和学生在连接时将访问不同的网段,即使他们使用的是同一个网络环境。
网络分段如何运作
鉴于网络分段的优势以及它可采用的不同形式,我们有必要了解它是如何运作的。下面我们来拆解一下网络分段,并看看几种常见的流量隔离和网络保护方法。
1. VLAN 和子网
对网络进行分段最常见的方法之一是使用VLAN和子��网。这些可用于将流量划分到不同的逻辑网络区域,例如按员工设备、访客设备、POS 系统和 Internet of Things (IoT) 设备进行划分。
使用 VLAN 也可以是一种可扩展的分段方法,因为分配可以与身份和组成员资格绑定,而不是按用户或设备手动分配权限。
2. 防火墙和访问控制列表
借助防火墙和访问控制列表,IT 团队可以定义网络分段之间允许哪些流量通过。它们可以根据源和目标、端口或协议等类别允许或限制访问,并根据公司政策定义权限。因此,这些工具有助于限制网段之间的移动,防止受损账户进行横向访问。
3. RADIUS 身份验证
RADIUS 身份验证是在授予对 WiFi、VPN 或有线网络的访问权限之前,用于验证用户及其设备的强大工具。当用户尝试访问网络时,RADIUS 服务器会审查用户的凭证,并根据中央目录服务(例如 Active Directory 或 LDAP)进行验证,然后在允许访问之前检查访问策略。
RADIUS 可与身份提供商和网络基础设施集成,以支持策略信息,例如 VLAN 分配。这让它更稳健,同时提供强大的访问安全性。
4 基于证书的身份验证
借助基于证书的身份验证,网络无需仅依赖密码即可验证受信任的设备。这会增加一层额外的安全性和身份验证保障,因此即使用户的密码被窃取,也不足以让攻击者获得访问权限。
这对于受管设备、实行自带设备(BYOD)政策的组织,以及希望基于设备信任来授予网络访问权限的 IT 团队所在环境尤其有用,因为它兼具安全性与灵活性。
网络分段示例
组织可能希望通过多种方式对其网络进行分段,每种方式都�有助于确保安全访问,并更好地控制谁可以连接到哪些资源。
1. 访客 Wi-Fi 和员工 Wi-Fi
最常见的网络分段之一是在访客 WiFi 和员工 WiFi 之间进行隔离。连接公司 WiFi 网络的访客不应获得与员工相同的访问权限,但仍应能够连接到互联网。
通过适当的网络分段,访客可以轻松连接到 WiFi 网络,同时不会获得对内部系统、打印机、共享文件或其他业务应用程序的访问权限。不过,这需要强有力的访问控制,因为员工访问应通过唯一凭证或受信任证书进行身份验证,而不是使用共享密码。
2. 学生、教职员工和访客
对于教育机构而言,网络分段对于在让教职员工、管理人员、学生和访客保持连接的同时,不让他们都访问同一套系统至关重要。借助基于身份的分段,这些机构可以根据目录组将用户分配到相应的 VLAN 中,因此学生无法访问教师或管理网络,而访客则可以在不影响网络安全的情况下安全连接。
3. 开发、预发布和生产环境
工程和 DevOps 团队通常需要访问开发、预发布和生产环境。不过,这种访问权限不应过于宽泛,而且通过适当的网络分段,可以根据角色和需求加以限制。
在这种情况下,网络分段可以将各个环境隔离开来,使开发、预发布和生产环境彼此分隔。然后,组织可以使用身份验证和基于组的策略来控制谁可以访问每一项,从而将未经授权的用户拒之门外。
4. 零售店和分支机构地点
零售企业及其各分支机构通常需要独立的销售点系统、访客 Wi-Fi、后台办公设备等。在这些情况下,为了访问控制和安全性,将它们保持隔离非常重要。
网络分段有助于防止不同用途的系统之间发生不必要的访问。员工不��应能够访问不同分支机构的后台设备,访客也不应在连接 WiFi 后访问 PoS 系统。分段仅将访问权限限制为有需要的人员。
5. 医疗保健和受监管系统
在医疗、金融等受监管环境中,系统可能包含敏感信息,因此应与普通网络访问隔离开来。网络分段有助于在这些系统周围建立更清晰的访问边界。
借助分段,组织可以通过更清晰地划分敏感系统的边界来支持审计就绪和访问控制实践。强身份验证和访问控制有助于将访问权限限制在获批用户和受信任设备范围内。
6. BYOD 和非托管设备
个人设备、未受管理的端点、IoT 设备及其他低信任设备应谨慎处理,不应授予其不受限制的访问权限。使用网络分段后,企业可以授予这些设备访问受限网段的权限,而不必担心让潜在未知设备获得更广泛的访问权限。
企业还可以采用基于证书和基于身份的访问方式,进一步提升从这些设备进行访问的安全性。借助它,可为受管理且受信任的设备授予更广泛的访问权限,而未受管理的设备则可访问权限更受限的 VLAN。这让员工在外出途中或使用非托管设备时也能轻松访问,同时保障网络安全。
访问控制在网络分段中的作用
访问控制和网络分段协同工作,以定义并实施网络边界。网络分段将网络划分为不同的区域,而访问控制则决定谁可以访问哪个区域,因此两者是不可或缺的组合。
如果没有强有力的访问控制,组织可能仍然依赖不太可靠的工具来管理访问,例如共享的 Wi-Fi 密码、手动维护的 VLAN 分配,或不一致的服务器访问流程。而基于身份的访问控制则通过将访问与受信任的用户和设备关联起来,并结合强大的身份验证方法和实时访问策略,帮助组织加强网络分段。
访问控制可以加强分段,并在许多方面帮助 IT 团队,包括:
使用唯一凭证对用户进行身份验证。
在受信任设备连接前进行验证。
使用证书实现设备的无密码身份验证。
根据目录组成员身份分配网络访问权限。
在身份验证期间,将用户和设备分配到正确的 VLAN 中。
与身份提供商同步访问权限。
在用户离职或岗位变动时移除访问权限或调整权限。
在需要额外验证的情况下应用 MFA。
维护日志,以提高可见性并做好审计准备。
Foxpass 如何帮助实施基于身份的网络分段
基于身份的分段需要一种可靠的方法来对用户和设备进行身份验证,然后将其分配到正确的网络分段。Foxpass 使用身份驱动的 RADIUS 身份验证来支持网络分段和动态 VLAN 分配,使组织能够安全地验证用户身份,并让其连接到网络及所需资源。
Foxpass 可与企业目录同步,并根据身份、角色和组成员身份将用户分配到相应的 VLAN。它有助于在有线、Wi-Fi 和 VPN 网络中实施分段,因此访问策略在各种连接方式下都能保持一致。
Foxpass 基于身份的分段的关键功能包括:
1. 使用 Foxpass RADIUS 的动态 VLAN 分配
Foxpass RADIUS 可通过强大的身份验证和动态分配,帮助安全地将用户和设备分配到正确的 VLAN。
其工作原理很简单:用户一旦连接,Foxpass 就会对其进行身份验证,并检查其所属的组(例如 guest、admin、IoT 或 developer)。然后,RADIUS 服务器会响应一个 VLAN 分配,将用户放�入相应的网段。因此,用户可以快速建立连接,并被引导至所需的网络分段,而不会影响安全性或效率。
2. 基于目录组的访问
Foxpass 可以将访问权限与目录组成员身份关联起来,确保用户只能访问其所在组所需的网段。它可与 Google Workspace、Okta、Microsoft Entra ID、OneLogin 和 LDAP 等身份提供商及目录集成,让访问权限始终与目录组成员身份保持一致。
当用户在目录中的角色或组发生变化时,Foxpass 可以自动相应更新其访问权限。这减少了 IT 团队为单个用户或设备手动重新分配 VLAN 的需求,并有助于减少用户离职或角色变更后遗留的访问权限。
3. EAP-TTLS 和 EAP-TLS 身份验证
Foxpass 支持可帮助组织实施更强访问控制的身份验证方法。它支持使用身份和密码进行身份验证的 EAP-TTLS,也支持基于证书的身份验证 EAP-TLS,因此企业可以通过多种方式保障账户安全。
因此,IT 团队可以根据其环境、设备管理方式和信任要求,采用最适合自身业务的身份验证模型。Foxpass 为 IT 团队提供多种身份验证选项,使访问方式能够与组织的环境、设备管理模式和信任要求相匹配。
4. 跨 Wi-Fi、VPN 和有线网络的分段
Foxpass RADIUS 可帮助在 Wi-Fi、VPN 和有线网络中强制实施网络分段,以便根据身份验证和策略将用户分配到相应的网段。
Foxpass 无需为每种连接类型设置单独的分段,而是可在所有网络中提供一致且易于使用的体验。无需为每种访问方式手动创建单独的流程,一切都可在集中位置统一管理。
5. 日志记录和策略可见性
虽然网络分段和用户身份验证有助于保障网络安全,但日志记录同样至关重要,可帮助 IT 团队监控身份验证尝试、网络访问活动��以及有关谁被授予哪些访问权限的策略决策。
Foxpass 提供日志记录选项,帮助团队按 VLAN 和策略跟踪访问尝试。这让 IT 团队能够更清晰地了解身份验证活动、访问决策以及潜在的策略缺口。
网络分段最佳实践
对网络进行分段时,需要确保在安全性和可访问性之间取得恰到好处的平衡。这项工作一开始可能会比较困难,但只要遵循这些最佳实践,就能在确保网络安全分段的同时,让员工访问所需的区域。
梳理用户、设备、系统和数据流: 第一步是做好准备。确定哪些用户需要访问哪些系统,以及他们日常工作所使用的连接方式,以便正确规划您的分段。
识别敏感系统和高风险访问路径: 对系统进行优先级排序同样至关重要。务必识别存储敏感数据、关键资源或关键基础设施的系统,以便优先保护这些系统。
分离访客、员工、服务器、BYOD 和 IoT 访问:网络分段应为员工、访客和不同设备提供独立访问。确保不要给所有人相同级别的访问权限。
使用基于身份的访问规则:基于身份的访问规则有助于确保用户根据其角色连接到所需的网段。请务必根据需要将访问决策关联到用户、组、设备和证书。
尽可能使用动态 VLAN 分配:动态 VLAN 分配可在身份验证期间将用户和设备分配到正确的网段,从而减少手动 VLAN 管理,而不是要求 IT 团队为每位用户更新权限。
应用�最小特权访问:采用最小特权原则,可根据用户和设备的角色授予其所需的访问权限,不多不少;即使账户遭到入侵,也能将横向移动降到最低。
自动化入职和离职权限回收:将网络访问与身份提供商同步,有助于保持权限为最新状态,并在用户离职或角色变更时自动移除或调整访问权限。
监控身份验证和访问活动:清晰的访问日志对于审计和网络安全至关重要,因为 IT 团队可以利用它们审查访问模式、识别可疑活动并发现策略漏洞。
定期审查分段策略:随着团队、设备、位置、应用程序和业务需求的变化,务必及时更新分段和访问规则。
应避免的常见网络分段错误
鉴于网络分段的重要性和安全性,务必要确保正确实施。不过,如果没有适当的规划和执行,细分也可能是一项复杂的工作,因此有几个错误需要特别注意。
常见错误包括:
依赖共享的 Wi-Fi 密码,这不仅会让用户访问难以追踪、责任难以落实,还会带来安全隐患;如果员工离开公司后密码没有更改,风险会进一步增加。
使用难以维护且需要手动更新的静态 VLAN 分配。
依赖 MAC 地址列表作为主要访问控制方法,而不是用户目录。
向访客、承包商或 BYOD 设备授予与员工相同的访问权限,这可能会使其能够访问包含敏感或专有信息的网络区段。
在用户离职或岗位变动时忘记移除访问权限。
在对网络进行分段时未定义清晰的访问规则,导致用户难以访问所需的网段。
允许未受管理的设备接入敏感网络,这会增加暴露风险并削弱访问�控制。
将细分视为一次性项目,而不是持续进行的过程。
缺少可显示哪些用户和设备访问了哪些网段的日志。
制定过于复杂、IT 团队无法维护的策略。
最终结论:强有力的分段需要强有力的访问管控
网络分段是帮助 IT 团队在其网络环境中建立清晰边界并减少不必要访问的有力工具。不过,这些边界必须通过身份管理、目录组和强大的身份验证来实施。
借助 Foxpass,IT 团队可以实施基于身份的网络分段,并更一致地管理访问权限。Foxpass 通过 RADIUS 身份验证使用动态 VLAN 分配,在 Wi-Fi、VPN 和有线网络中统一实施基于身份的访问控制和网络分段,保障网络安全并确保用户身份已验证。
想了解 Foxpass 如何通过网络分段和基于身份的访问管理来保护您的网络吗?立即开始免费试用。
