网络分段

什么是网络分段

网络分段是一种将网络划分为多个较小的段（区域）并控制段间通信的安全技术。其主要目的是防止横向移动 - - 当攻击者入侵网络中的一个系统后，阻止其扩展到其他段。

例如，将 Web 服务器、应用服务器和数据库服务器分别放置在不同的段中，仅允许它们之间的必要通信，这样即使 Web 服务器被入侵，攻击者也无法直接访问数据库服务器。

分段实现方法

• VLAN（虚拟局域网）：在第 2 层逻辑划分网络。即使在同一物理交换机上，不同 VLAN 之间的通信也必须经过路由器或三层交换机，可通过 ACL 进行访问控制
• 子网划分：将 IP 地址空间划分为子网，通过路由和安全组控制通信。在云环境（AWS VPC、Azure VNet）中，子网是分段的基本单位
• 防火墙区域：定义信任区域（DMZ、内部、外部），通过防火墙规则控制区域间流量。传统方法，但对边界防御仍然有效
• 软件定义分段：使用 SDN 控制器或云原生功能（AWS 安全组、Azure NSG）动态应用分段策略。比基于硬件的方法更灵活，能适应基础设施变化

微分段与零信任

传统分段在网络层面进行粗粒度划分，而微分段则在工作负载（服务器、容器、进程）层面进行细粒度的访问控制。

它是零信任架构的核心要素，从技术上实现了"即使在网络内部也不信任"的原则。具体来说，为每个工作负载定义通信策略，阻止所有未明确允许的通信。即使在同一子网内，服务器之间不必要的通信也会被拒绝。

基于 SDN 的分段与下一代方法

SDN（软件定义网络）将控制平面与数据平面分离，通过软件集中管理网络策略。与需要在各个设备上配置的传统 VLAN 和 ACL 不同，SDN 允许从控制器动态地在整个网络中应用分段策略。

• 服务网格：在微服务架构中，Istio 和 Linkerd 等服务网格在应用层实现微分段。双向 TLS (mTLS) 加密并认证所有服务间通信
• 基于身份的分段：基于工作负载身份而非 IP 地址控制访问。在 IP 地址频繁变化的动态环境（如容器和无服务器）中也能维持一致的策略

实施案例与效果评估

网络分段的效果可以从合规要求满足和事件损害局部化两个角度来衡量。

PCI DSS 合规：处理信用卡信息的系统要求 PCI DSS 在网络上隔离持卡人数据环境 (CDE)。适当的分段可以缩小 PCI DSS 审计范围，降低审计成本和合规所需的工作量。

事件损害局部化：当勒索软件感染一个段时，分段可以防止其扩散到其他段。实施了分段的组织报告称，与使用扁平网络的组织相比，损害范围和恢复时间显著减少。

常见误解

有了防火墙就不需要网络分段

防火墙是边界防御的一个要素，但无法防止扁平网络内部的横向移动。防火墙和分段是互补关系 - - 正确的设计是使用防火墙来控制段间通信。

分段越细安全性就越高

过度的分段会增加运维复杂性，并因规则管理错误而产生安全漏洞。重要的是根据业务需求和风险选择适当的粒度，在可管理的范围内设计分段。

传统分段与微分段的区别

相关术语