网络安全(一)| 企业网络(Enterprise networking)
网络是一组相互连接的计算机,而企业网络就是这样一个为满足大型企业的需求而构建的组。企业网络由局域网 (LAN) 组成,局域网又连接到广域网 (WAN) 和云。
在企业环境中,数据中心、分支机构、公共和私有云、物联网 (IoT) 设备以及组织的个人员工都需要可靠的网络连接。这些连接让企业能够交换数据、运行业务流程并分析网络上发生的事情——从本质上讲,网络使运行业务成为可能。
与互联网不同,企业网络并非对所有想连接的人开放。企业网络将连接限制在特定的用户、设备和设施。它们通常使用虚拟专用网络 (VPN) 或传输层安全性 (TLS) 加密对通过它们的数据进行加密。
企业网络也因其规模而不同于其他类型的网络。一般人可以访问家庭 LAN,通过单个路由器将一些设备连接到互联网。但企业运行的内部网络将数千台设备相互连接并连接到互联网。
企业网络运作方式
多年来,企业网络的主要关注点是将所有人和物连接到本地自托管的集中式数据中心,在该数据中心保存数据并运行应用程序。这种访问是通过将用户和设备连接到公司办公室的 LAN 来提供的。每个办公室的 LAN 通过大型企业 WAN 连接到其他办公室,通常通过专用的多协议标签交换 (MPLS) 路由构建。
企业网络基础设施由物理设备组成,它们通过以太网电缆和 WiFi 信号的组合相互连接并连接到个人计算机、打印机和物联网设备。使用的网络设备包括:
- 路由器将数据从一个网络发送到另一个网络,实现网络到网络的连接和互联网访问。
- 交换机将网络内的数据转发给各个设备。
- 网关使用多种协议,在不同的网络之间以及在 OSI 模型的多个层之间提供连接。
- 防火墙处理进出网络的所有流量,以阻止潜在攻击。
- 负载平衡器在数据中心的多个服务器之间分配网络流量,以确保没有服务器过载(负载平衡器可以为 Web 应用程序做同样的事情)。
- VPN 服务器建立和终止 VPN 连接,提供对内部网络的安全访问。
通常情况下,连接到企业网络需要连接到 VPN。VPN 加密用户和 VPN 服务器之间的流量,此时用户可以访问内部 LAN。
企业网络的发展变化历程
如今的企业网络与几年前企业网络的运作方式大不相同。云迁移和新的安全挑战相结合,使得上述企业网络模型不适合现代企业的需求,尽管许多组织仍在使用它。
如今的员工可能从办公室内部和外部连接到网络。他们连接到云和企业内部的数据中心(混合云模型),或者只连接到云。这使得集中式网络基础设施效率低下,因为网络成为进出云的流量的瓶颈。
此外,上述许多硬件设备现在都可以作为软件或作为虚拟化云服务。对于使用基于硬件的基础设施的网络,如要扩大规模,则需要购买和激活更多的硬件。但对于使用基于软件的基础设施(如 SD-WAN)的网络,使用便宜的商品硬件即可扩大规模,而无需特定于供应商的硬件。而且,使用云基础设施扩大规模(例如,如果使用 NaaS),就像从云供应商处购买更多服务一样简单。
在所有这些不断发展的趋势下,一个高效、现代的企业网络架构可能看起来更像是这样:
全球研究和咨询公司 Gartner 创造了安全访问服务边缘 (SASE) 一词来描述这种新的网络模型。在 SASE 中,网络服务与安全服务紧密集成,网络访问不再集中在少数几个物理位置。
SASE 将几种技术和服务纳入一个平台:
- 软件定义的广域网 (SD-WAN):除了 MPLS 外,SD-WAN 还允许使用几种不同的连接方法。
- 安全 Web 网关 (SWG):SWG 可以过滤掉 Web 流量中的威胁,无论员工从哪里连接。
- 防火墙即服务 (FWaaS):FWaaS 是一种基于云的防火墙,取代了传统企业网络使用的基于硬件的旧防火墙。
- 云访问安全代理 (CASB):CASB 结合了基于云的应用程序和基础设施的几个安全功能。
- 零信任网络访问 (ZTNA):ZTNA 通过不断地验证用户和设备,以及仅基于需求允许访问,来防止数据泄露。
这些技术加在一起,使有效的当代企业网络成为可能。然而,如今的大多数企业仍然夹在新旧模式之间,因此市场全面采用 SASE 尚需时日。
由于许多企业仍然部分依赖于传统的本地基础设施,因此他们需要确保实施一个可以与传统数据中心和云一起使用的 SASE 平台。