云时代网络边界管理面临的挑战

首先是业务网络量庞大，我们维护着集团几百个IDC机房和办公网络，每天还要处理海量的业务访问需求。不仅如此，同时我们还要兼顾整个集团和第三方合作公司，他们也要访问我们的机房数据。这时候运营这个庞大网络就会带来一些安全问题，比如如何配置一些安全策略，才能把安全风险掌控在可控范围之内。

网络访问过程中，每个人都有不同角色。

运维管理人员，他对整个网络的访问可能需要相对来说比较高的权限。比如可能需要一些远程管理端口等等，这些端口对于非运维人员来说是非常危险的端口，因为一旦被黑客攻入这些端口，相当于他掌握了整台服务器权限。所以这些端口是否应该对外开放，应该开放给哪些人，才能比较安全的把整个服务器安全风险降到可控的范围之内。这些都是安全部门需要考虑面对的问题。

另外是业务使用人员，他们需要的权限比较小。比如只是单独浏览一些界面，或者其他访问权限。这些权限只需要简单的访问控制放行，这些部门审计相对来说比较少一些，但是他们的需求可能是最急迫的。比如可能非常急迫需要访问一个页面填写一些数据，运维人员还可能有一些现场的运维活动，需要非常紧迫的开通一些访问权限。如何能够在短时间内满足业务关键的需求，并且能够在相对安全的环境下及时执行这些安全需求。这些都是网络安全运维人员亟待解决的问题。

在网络入口管理实现严格的管控和审批制度，包括办公终端接入、测试机接入、WEB服务上线以及移动办公接入。

公司移动办公接入都要接入一些权限比较低的网络，只允许一些经过安全审查的PC或者服务器接入生产网络。

安全域相对来说是整个安全防护体系中比较核心的部分，只有划分比较完整清晰明了的安全域，才能知道防护重点在哪里，才知道如何划分集团之间访问权限，不同安全域之间需要不同的安全策略来进行访问控制。

所有安全域应该划分安全等级。另外还可以使用黑白名单的方式，进行安全域访问控制管理。同时网络边界可以使用一些传统网络上的防护措施，比如对协议上做一些标识，实现整个网络访问控制的流畅性，如TCP established，以及其他一些访问权限，可以加到网络出口上，实现比较好的单向访问控制。

开放有限IP和端口。在传统运维环境中，很多运维人员没有必备的安全意识，就像一些业务人员申请开通运行着自己所负责业务服务器的访问权限。这些需求在传统网络工程师眼中是再正常不过的需求，却常常隐藏着安全风险，他真的需要这个服务器所有端口吗？就算服务器是这个人申请的，是这个人所属的业务，其实他的业务仅仅占用了这个服务器上的有限端口，很多高危端口是他的业务不需要的。因此只给用户开放他有限的访问端口，这样的话可以最小化攻击面，并且能有效防止黑客和别有用心的人对信任域渗透。

安全域体系中有一个思想是非常重要的，按需开通，最小权限的原则。只有这样才能实现将内网攻击面最小化和实现集中式的管理。

纵横数据新上的美国站群服务器8C 现货
限量特价 速定! cn2限量一人3台
E5 16G 1T 8C 232IP
E5*2 32G 1T 8C 232IP
E5*2 32G 2T 8C 232IP
E5*2 32G 3T 8C 232IP
美国站群服务器 美国高防御服务器 欢迎在线客服 艾娜QQ 3164055976 482986990