安全域推演之術

引言

安全域概念源於運營商行業，隨著企業服務的多樣化發展和運營需要，業務系統種類越發龐雜，但業務系統部署缺少統一原則，訪問控制策略相對鬆散，無法進行有效的安全防護。為了將具有相同安全防護要求的業務系統進行集中防護，就誕生了安全域。

安全域：網路中具有相同的安全保護需求、並相互信任的區域或網路實體的集合。

企業圍繞安全域這個概念可以開展哪些方面的工作呢？

三個關鍵工作如下：

1、現狀評估

2、安全域設計

3、安全域改造

完成上述三個關鍵工作，能達到如下效果：

1、了解現有網路安全域現狀，設計出科學的網路安全域及訪問控制策略；

2、將現有的應用遷移到合理的安全域並部署適當的訪問控制策略；

3、指導新應用部署到合理的安全域並按照設計好的訪問控制策略進行策略部署。

從一個項目視角展示流程如下：

滑動可查看完整圖片

從項目實施流程來看，核心的工作就在安全域設計。當然現狀分析的結果是安全域設計的關鍵數據輸入。安全域改造是安全域設計的落地實施。現狀分析與安全域改造同等重要。本文重點講解安全域設計部分中的安全域推導流程。

網路安全域推演之術—六步推導法

1、識別網路區域：根據應用系統類型，形成基於應用類型的網路區域。如應用類型包括：業務系統，辦公系統，交易系統和管理系統，則可推導出網路區域包括：業務網，交易網，辦公網，IT管理網;

2、拆分網路子區域：根據應用系統用類型和應用架構，拆分出網路子區域，如：應用A接入層，應用A應用層及應用A數據層;（A代表一個應用）

3、推導二級域：區域內子區域整合形成區域內「區域二級域」，區域間二級域整合形成安全域二級域;

4、推導一級域：將具有相同安全服務要求的二級域整合，形成安全域一級域;

5、識別安全域邊界：梳理需要通訊的二級域訪問關係，識別出安全域邊界;

6、設計訪問控制策略：根據安全域設計和安全域邊界編製安全訪問控制策略。

下面虛構一個簡單的網路拓撲，推演出安全域並識別出網路邊界。並且明確邊界應當部署訪問控制策略類別。

第一步

識別網路區域

根據業務類型，可推導出本企業網路區域為：辦公內網，辦公外網及業務網。用戶包含四類：內部用戶，移動辦公用戶和公眾用戶。

第二步

拆分子網路區域

根據應用系統三層（接入層，應用層和數據層）架構和用戶類型，可以網路區域進行子區域拆分，例如：外網接入區，外網伺服器區，業務接入區，業務應用區，業務數據區等。

第三步

二級域推導

將具有相同安全防護需求的網路子區域進行整合形成二級域。例如：業務應用區和業務數據區防護要求相近，整合成：業務服務域；外網接入區和外網DMZ伺服器區防護要求相近，整合成：辦公外網接入域。

第四步

一級域推導

將具有相同安全服務要求的二級域整合，形成安全域一級域。例如：所有的服務域安全防護要求相近，整合形成：服務域。所有的客戶端域安全防護要求相近，整合形成：客戶端域。從信任程度來看，內部伺服器和客戶端都是信任程度，與外部用戶相連的接入域為半信任程度。信任程度有低向高訪問需要採用相對嚴格的訪問控制策略。

第五步

識別安全域邊界

通過對訪問數據流分析，可將邊界進行整合，本文案例相對簡單，不存在可整合邊界。假設：業務接入域有外網接入區和第三方合作夥伴接入區，兩類訪問邊界安全防護要求相近，可進行整合。

第六步

設計訪問控制策略

訪問控制策略部署之前，需要將訪問控制策略進行分類設計，如下表所示，大類可劃分為：伺服器級別和客戶端級別。大類下面再明確不同控制級別的訪問控制策略類。

接下來，以二級域為互訪對象，明確二級域之間的互訪關係及應部署的訪問控制策略類別。在策略類別原則指導下，編製具體的訪問控制策略，並部署到訪問控制設備上。

到此為止，本文開篇提到的三個效果，前兩個已經可以通過安全域改造活動達成了。第三個效果需要管理流程和技術支撐表單才能完成。

1、了解現有網路安全域現狀，設計出科學的網路安全域及訪問控制策略；

2、將現有的應用遷移到合理的安全域並部署適當的訪問控制策略；

3、指導新應用部署到合理的安全域並按照設計好的訪問控制策略進行策略部署。

針對第三個效果，給出一個示例流程：

1、應用部門提供應用系統類型及用戶類型，網路部門根據《安全域設計》文檔給出分層部署建議；

2、應用部門根據部署建議，設計應用部署架構並將應用架構設計及應用系統內部和外部訪問關係提交至網路部門；

3、網路部門根據《安全域設計》文檔，結合應用部門提供的應用信息，確定應用各層級精確部署位置，即：部署到的二級域；

4、網路部門根據應用系統內部和外部訪問關係，對照《安全域訪問控制策略》文檔，給出訪問控制策略模板，明策略類別和需要提供訪問控制策略元素，如：訪問源地址，訪問源埠，目標地址，目標埠及協議；

5、應用部門填寫訪問控制策略模板後，提出應用部署和訪問控制策略部署申請，網路部門負責實施。

趣味澄清

1、安全域不是網路區域，安全域強調的是安全防護需求，網路區域強調區域隔離；

2、安全域設計不等於網路架構分析，網路架構分析涉及面較大，非要扯上關係的話，安全域設計的合理性和訪問控制策略有效性是網路架構分析關注的一部分；

3、安全域設計不是一次性工作，安全域需要根據應用架構的變化和安全事件的經驗總結等因素，進行不斷修正的；

4、所有的企業都需要安全域設計，目前大多數企業的網路都基本有安全域設計理念，欠缺的是安全策略管理與安全域設計的一致性，以及通過流程將應用與安全域打通的管理理念；

5、安全域設計過程中不要糾結於概念，可以借鑒本文的思路進行推導。下面給大家帶來一段安全域的概念：

安全域要素包含用戶域、應用域、支撐域、網路域和信任域。在安全域設計過程中，以應用域為主線，根據應用類型、用戶類型和信任級別形成基礎網路域。將具有相同安全需求的應用層級部署到相同安全子域。根據應用層各間和應用之間的訪問需求，識別出網路邊界。結合安全需求，整合網路邊界並設計適當的訪問控制策略。

安全要素

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！