网络防御的基石之一是通过将敏感数据从网络的其他部分分割开来来保护它们。你最后一次看到有几百扇门通向外面的城堡是什么时候?他们不是这样建造的,因为要阻止一群拿着剑和大石头的人杀人已经够难的了,而且你也不用守着所有的门。
保护网络也没有太大的不同,它被认为是一种良好的安全做法,可以阻止对不使用或不应该使用的应用程序和服务的访问。对这些受保护的应用程序和系统进行细分是第一步。随着PCI数据安全标准(DSS) 2.0在10月份的发布,细分比以往任何时候都更加重要,特别是在考虑虚拟化技术时。
PCI并不特别要求在DSS的12个部分中的任何一个部分进行分割,但它提到了从PCI角度定义“范围”的重要性。如果持卡人数据与用户、打印机、摄像机和其他网络设备通过相同的网络基础设施发送,则必须考虑这些设备是否符合PCI。显然,这会使PCI审计极其困难和昂贵。对持卡人数据进行分割,以及处理该数据的系统,可以防止敏感流量与网络的其他部分混合,从而减少需要检查和审计的内容。减少PCI的范围也会降低审计成本,因为花在检查“无关的”设备和系统上的时间更少。
划分流量的方法有很多种;最常见和最基本的方法是通过使用简单的vlan。访问规则可以在交换机和路由器上实现,以实现策略分段。此外,VRF(虚拟路由和转发)作为一种通过创建具有自己的路由表和寻址结构的独立运行的“虚拟”网络来分割流量的方式正变得越来越流行。虚拟化网络可以大大减少PCI审计的范围,而无需进行大量的重新架构。
一些组织也选择部署NAC作为一种方法来分割和验证网络。这种类型的设计将提供一个逻辑网络覆盖层,不仅允许身份验证和基于角色的访问,而且还允许安全策略评估和策略违规的补救。防火墙也经常被用来在网络边界之间提供分割和访问控制。除了阻断不符合策略要求的流量外,防火墙还可以与IPS结合,检测应用流量的恶意活动,提供对端口和地址级别以外的网络的可见性。在开发满足法规遵循需求的策略时,您永远不会有太多的选择。
无论您如何分段网络,分段您必须为了满足PCI角色而不打断您的脖子审计您的ip启用的自动植物浇水设备。在我们这个庞大而古老的无边界网络世界中,网络的物理边有个足球雷竞技app缘可能正在被侵蚀,但划分信任网络区域的需求丝毫没有减少。您对数据如何在网络中流动的考虑越多,审计就越简单,在满足合规要求时压力也就越小。谁知道呢,如果您真的做得很好,您的PCI审计员甚至可能会给您一颗金星!那么,今天如何解决市场细分问题呢?请在下面的评论中分享你的想法。