網路區隔是將網路劃分為多個區段或子網路的架構方法，每個區段或子網路都自成一個小型網路。因此，網路管理員可以按照精細政策控制子網路之間的流量。企業使用區隔來改善監控、提高效能、鎖定技術問題並 (最重要的是) 增強安全性。

透過網路區隔，網路安全人員可以使用強大的工具來防止未經授權的使用者 (無論是好奇的內部人員或惡意的攻擊者) 存取寶貴的資產，例如客戶的個人資訊、公司財務記錄和高度機密的智慧財產等等，也就是所謂的企業的「重要數據」。如今經常發現這些資產分佈在混合雲和多雲端環境中 - 公有雲、私有雲和軟體定義網路 (SDN)，需要保護所有這些環境免於遭受攻擊。若要瞭解網路區隔的安全用法，必須先考慮網路安全的信任概念。

信任假設

以往，網路架構師將使用者的安全策略界定於網路周邊，這是將外部世界與對於企業業務極為重要的數據相區隔的隱形線。在周邊內的人員以往被認為值得信任，因此不是威脅。因此，使用者存取資訊的能力幾乎不受任何侷限。

最近備受矚目的違規行為致使信任假設遭受質疑。一方面，內部人員確實可能是違規的根源，這些違規通常是無意造成，但有時是故意造成。此外，威脅滲透到周邊時，這些人員可以在網路中自由橫向移動，藉以存取任何數據、應用程式、資產或服務 (DAAS)。藉由幾乎不受阻礙的存取權限，攻擊者很容易就能夠竊取各種有價值的資產，通常在違規被發現之前就已經完成竊取 (見圖 1)。

圖 1：信任假設之下周邊內的橫向移動

零信任回應
由於假定信任固有的弱點，許多企業已經開始採用零信任策略。零信任預設假定沒有人值得信任，即使是已經在網路周邊之內的人員也是如此。零信任的原則是對於企業最關鍵、最有價值的 DAAS 建立「保護範圍」。因為這只包含對業務營運最關鍵的內容，所以保護範圍的規模等級遠小於整個網路周邊的攻擊範圍。

這就是網路區隔的功用。使用網路區隔之後，網路架構師可以在保護範圍周圍建構微型周邊，藉此形成第二道防線。在某些情況下，虛擬防火牆可以自動執行安全性佈建，藉以簡化區隔任務。無論區隔如何形成，授權使用者都可以存取保護範圍內的資產，而其他所有使用者預設禁止存取。

區隔對於攻擊者而言是壞消息，因為不同於以往的假定信任，僅滲透周邊不足以取得敏感資訊。無論是實體還是虛擬，微型周邊都可以防止威脅在網路內橫向移動，因此從根本上讓實現初始入侵的大量準備工作無法發揮作用 (見圖 2)。

圖 2：藉由零信任和網路區隔，周邊內部的移動受到限制

使用案例
企業可以將網路區隔用於各種應用程式，其中包括：

• 訪客無線網路：使用網路區隔之後，公司能夠以相對較小的風險為訪客和承包商提供 Wi-Fi 服務。某人使用訪客憑證登入後會進入微區隔，其中只提供網際網路連線，無法進行其他操作。
• 使用者群組存取：為了防止內部人員入侵，許多企業將各個內部部門劃分為單獨的子網路，這些子網路由授權的群組成員和完成工作所需的 DAAS 組成。子網路之間的存取受到嚴格控制。例如，工程人員試圖存取人力資源子網路將會觸發警示和調查。
• 公有雲安全性：雲端服務供應商一般必須保護雲端基礎結構，不過客戶必須負責保護通常在雲端基礎結構上執行的作業系統、平台、存取控制、數據、智慧財產、原始程式碼和面向客戶的內容。區隔是在公有雲和混合雲環境中隔離應用程式的有效方法。
• PCI DSS 合規性：網路管理員可以使用區隔將所有信用卡資訊隔離到安全區域 (基本上是保護範圍) 中，並建立規則，僅允許區域中的絕對最小合法流量，同時自動拒絕其他所有操作。這些隔離的區域通常是虛擬化 SDN，可以透過虛擬防火牆實現 PCI DSS 的合規性和區隔。

細節
可以實施網路區隔做為實體區隔或邏輯區隔。

顧名思義，實體區隔會將大型網路分解為一些小型子網路。實體或虛擬防火牆會做為子網路閘道，控制進出的流量。實體區隔相對容易管理，因為拓撲在架構中完全固定。

邏輯區隔使用兩種主要方法之一來建立子網路：虛擬區域網路 (VLAN) 或網路定址結構。基於 VLAN 的方法很容易實施，因為 VLAN 標籤會自動將流量傳送到適當的子網路。網路定址結構也同樣有效，不過需要對於網路理論有更深入的瞭解。邏輯區隔比實體區隔更有彈性，因為完全不需要佈線或元件的實體移動即可完成。自動佈建可以大幅簡化子網路的設定。

改用區隔架構有機會簡化防火牆政策的管理。新興的最佳實務是對於子網路存取控制以及威脅偵測和緩解使用單一整合式政策，而不是在網路的不同部分執行這些功能。這種方法可以縮小攻擊範圍，並增強企業的安全狀況。

按一下這裡，瞭解網路區隔的詳細資訊。