网络安全架构

网络安全架构
2021/3/5
一．安全域
安全域
安全域是边界防护的基础
具有相同安全业务级别
统一的边界访问策略控制

通常将安全域分为

办公域
办公服务域
线上业务域1.2.3.等
开发域
测试域
对外服务域
外网

传统企业网络架构

典型安全域架构

金融行业安全域架构

思考
除了业务安全域，还有it本身的安全域，如：
VPN+SSH+RDP
管理网段+双网卡

二．安全域面临的挑战
企业广泛的采用纵深防御技术（defensin depth）和最小权限逻辑（least privilege）来进行企业网络安全管理
安全域隔离是实现这两个理念的基本方式
通过边界部署防火墙来实现可信网络与外部网络的隔离，内部不同安全级别划分安全域，域间通过防火墙实现隔离，并通过设置安全策略按需赋予访问权限

虚拟数据中心/私有云的特点
虚拟机数量较多，少则几百台，多则几千上万台，且不断增加
多分支机构，多业务部门使用，安全级别复杂
业务灵活多变，资源按需分配，变化随时发生（业务上下线，扩容，复制，漂移）

虚拟化+私有云是一种动态，便捷的解决方案
而传统安全域划分，要求主机或应用静态，固定
由此产生对立

所以我们新的安全域划分需要
识别应用或业务之间的关联
更加颗粒化，最小单位应用或端口，而非主机
策略在应用动态扩展时，能自动化扩展
安全策略需可视化
使用SDN（软件定义网络）配套管理