我在网络团队、安全团队和用户之间看到的最大摩擦点之一是围绕网络隔离的想法。例如,网络团队希望隔离 VLAN 后面的每个人,例如,用户甚至无法浏览安全工具的 IP 地址。原因是,如果一切都是隔离的,那么这会限制该敏感设备受到攻击的潜在风险。相反,安全团队中的用户会觉得这很麻烦,因为如果他们需要 VPN 进入并在晚上查看事件,他们需要使用跳转盒,因为他们无法从他们所属的 VLAN 访问接口。
我想知道的是人们通常如何处理“安全性”和可用性之间的这种冲突。对我来说,我宁愿应用程序执行身份验证,而不是依赖某人所在的 VLAN。
对于你的第一点,当然有太多的隔离这样的事情。然而,我不同意这里已经过时或毫无意义的答案。隔离不同的网络,也许是更大的整体的特定部分,这一点很重要。
考虑到网络防火墙是堡垒主机。它通常运行一个非常精简的操作系统并用于单一功能。通常很少有用户被委托访问,并且更改通常也使用诸如 rancid 之类的东西自动备份。
这提供了两件事。一个是对这些设备所做的任何更改的书面记录,通常是在受控条件下进行的。第二,它可以使攻击者更难访问他们所追求的数据。如果一台机器只能联系其 VLAN 中的系统,它可能无法直接访问您的重要数据。如果所有内容都在一个存储桶中,那么单个受感染的主机会立即成为针对您所有关键基础设施的枢纽。如果你有分割,这可能会变得更加困难。
至于如何处理它,您必须平衡网络分段的可用性和实施成本与所涉及数据的价值。如果您是一个大型组织,可能会因违规而造成重大财务损失,那么网络隔离很可能是有意义的。我通常建议使用具有 2 因素身份验证的跳转主机来限制对生产环境的任何访问,以及具有此访问权限的一小部分角色。
您对访问控制机制应该存在的位置是绝对正确的:应用内。
一些OWASP 十大措辞在这里为您服务:
不要依赖欺骗性凭据作为唯一的身份验证形式,例如 IP 地址或地址范围掩码、DNS 或反向 DNS 查找、引荐来源标头或类似内容
然而,在一些默认安全不是常态的传统网络中,隔离可以允许随着时间的推移持续改进 DMZ 和 iSMS 控制。我认为这类网络应该被关闭、关闭和遗忘——但更换成本和业务需求往往另有规定。这通常是一个明确的指标,表明业务、IT 和服务/变更管理不一致,组织应该聘请新的 CIO 或更换现有的 CIO。
使用 VLAN 隔离只会防止随意的黑客攻击。专业黑客不会受到 VLAN 隔离的严重阻碍。因此,给员工带来的不便可能远远大于 VLAN 提供的任何安全性。
不幸的是,您在这里处理的是“安全幻觉”心理,因此没有太多工作要做。