虚拟网络安全措施可阻止企业网络访问威胁

2019-10-23 17:28:56 云杰通信 102


如果网络只能在策略阐明的地方进行连接,则可以避免大多数网络安全问题。IT级别上太多的安全工具和策略最多只能提供响应式安全性。更加积极主动的措施意味着更安全的网络,这将意味着更安全的IT。

直到最近,虚拟网络仍像虚拟LAN或专用网络一样,几乎没有出现安全问题。诸如云,软件定义的WAN(SD-WAN)服务,软件定义的网络和容器虚拟网络之类的更新选项创建了第二个网络,与旧模型足够不同,我们必须仔细研究其安全性为了确保它是有益的而不是新的风险。

虚拟网络安全措施可阻止企业网络访问威胁

请遵循这三个虚拟网络安全措施,以确保网络不会对整个企业造成风险。

1.连接策略和地址验证

虚拟网络基于真实网络,通常是IP网络,例如IP VPN或Internet。每个虚拟端点也是一个真实的网络端点,可以从下面的真实网络或端点跳入或攻击虚拟网络。认为虚拟网络覆盖将解决安全问题是错误的。真正的网络仍然必须得到保护。

通常,提高虚拟网络安全性意味着在子网之间创建转发策略。在IP网络中,所有用户和资源都是通过具有自己定义的地址范围的子网连接的。如果这些子网仅应支持与某些其他子网的连接,请使用过滤策略在子网边界强制实施这些限制。

虚拟网络安全性中的另一个重要元素是对数据包执行源地址验证,以防止欺骗。IP网络中的每个数据包都将起源于子网,并且每个子网成员的地址都是从一系列地址中分配的。如果子网的网关设备检查数据包的源地址以确保它在子网范围内,则可以大大降低通过欺骗进行入侵的风险。

2.网络之间的安全网关访问

一个相关的安全点是虚拟网络的入口安全性-保护网络和子网之间的网关点。

虚拟网络通常在许多地方可以让用户访问互联网等外部资源,而外部用户可以访问虚拟网络资源。必须通过一个或多个虚拟网络网关显式提供此连接,这些网关必须强制执行访问策略以确保不会在那些连接点进行未经授权的连接。组织的虚拟网络和Internet之间的开放连接可能会成为黑客进入大型企业网络的入口点。

虚拟网络中只有已定义的访问点才能在虚拟网络外部进行通信。任何在虚拟网络中另一点尝试直接连接到外部的尝试都应被视为违反安全性,并且有可能遭到黑客,恶意软件或拒绝服务攻击。

3.连接访问控制

重要的是要注意,限制与外部的通信不会消除对虚拟网络访问安全性的需求,匝道连接策略旨在防止入侵者进入,而不是使用户处于排队状态。更具体的连接策略控制对于防止网络用户恶意或无意泄漏数据至关重要。在提供的连接安全性功能方面,虚拟网络的实现差异很大。对于SD-WAN尤其如此,它可以通过添加MPLS不可用或部署成本太高的站点来扩展MPLS VPN。正确的SD-WAN实施可以大大改善连接策略控制,进而提高整个网络的安全性。

但是,大多数SD-WAN实施不提供增量连接安全性功能,这意味着用户将必须为SD-WAN下方(即底层IP网络中)的网络流量提供连接和访问控制规则。大约15%的SD-WAN提供特定的连接策略控制,只有少数提供针对所有流量的显式会话和连接控制。

虚拟网络级别的显式连接控制是网络和IT安全性的最重要进步。现在,大多数网络安全机制都将重点放在使入侵者远离网络上,这对于有权使用网络并选择滥用它的人没有帮助-即内部威胁。通过显式连接控制,企业可以定义他们认为有效的用户和资源会话,所有其他连接将被禁止。显式连接控制取代了允许的连接,即现有IP网络的前提。尽管某些用户可能会认为预先确定有效连接的范围很麻烦,但在安全管理中始终需要这样的操作。通常可以通过按角色或子网对用户和资源进行分类来完成任务,从而减少了需要定义的规则数量。

要使用连接安全性功能,组织应确保不要过度泛化而削弱它们。如果规则允许两个子网的所有成员之间建立连接,然后扩大每个子网中的对象或范围,则组织可能会无意间造成安全漏洞。