2个问题的思考,1、网络安全区域划分的必要性;2、网络管控的粒度在哪里?
第一个问题:网络安全区域划分的必要性
由于资金、网络规模、管理方便等历史原因,网络安全分区总是不那么合理。往往一个区域混杂多种流量,各个流量相互影响,容易由于某个业务遭受攻击连带影响到其他业务。当规模不断扩大时,就像一个隐形炸弹,管理人员光是梳理楚流量都要耗费大量的精力,甚至有时候由于人员变动,没有人分得清楚流量间的关系,给后续的运维带来非常大的成本。一旦发生故障将要耗费大量的时间排错。网络设计宗旨:越简单越好。
近期处理接收的事务,其中一个,由于网络管理设备数量少,于是设计上并无独立的网络管理区。管理区直接下挂在业务区与防火墙的互联网段上。表面看起来为了一两台设备单独分一个区域出来实在是浪费,但是实际上问题很严重;第一,业务受到外部攻击或者内部系统漏洞导致流量飙升,需要紧急处理时,由于管理区域和业务区混用,导致了管理区受到最直接的影响,完全瘫痪不可用,一旦管理区域不受控,整个网络简直束手无策。此处管理区分为:1、指网管、跳板机等设备区;2、服务器管理口区
另外互联网段仅用于设备互联不应该用于其他业务或者管理用途,混用会导致网段迁移困难重重。
第二个问题:网络管控的粒度在哪里
同样由于各种历史原因,有些安全要求高的区域(如:研发)需要单独分区但是实际上并没有分区,依靠交换机的ACL等策略实现管控。此种做法存在很大问题,首先ACL是无状态化的,为了A能到B,那必定也导致了A/B完全互通。且交换机做到的只是非常粗暴的放行与否,本身并无什么日志审计功能,所以导致策略往往是不断叠加而无法轻易删除,一旦量上去了,负载也就上去了,管理难度也非常大。网络的管控应该是粗化的不应该细致到每天管控一个个IP,一个个主机之间的权限。
总结:项目改造方案首先需要思考2个问题,
1、数据压力从何而来?为什么需要改造?
2、改造的方案实现的是真正解决问题还是仅仅把压力转移,拆了东墙补西墙?有没有起到本质上的变化?
3、简明的网络才是最好的网络,需要做到安全分区、IP地址连续可汇总、具备一定灵活性。
网络安全区域划分&&网络管控粒度思考