网络分区是一种基本的预防性安全控制,可减少企业的攻击面并阻止横向移动。它使攻击者的生活更具挑战性,因为他们无法从互联网直接访问所有虚拟机(vm)。
而且,即使他们进入了企业网络,如果防火墙和区域限制了内部网络连接和流量,他们也无法从一个虚拟机快速跳转到下一个虚拟机。然而,人工智能和IT自动化的兴起挑战了一项基本的分区原则:阶段。
阶段如何影响网络和网络安全
开发区、测试区、预生产区域和生产区域,敏捷工程方法取代了老式的瀑布模型,但是阶段仍然存在。一些IT部门有三个或只有两个阶段,一些谈论集成测试或单元测试阶段。目的是一样的:
防止错误地在生产上进行实验”,或者在没有事先在测试安装上进行测试的情况下故意修复生产问题。应用的运行稳定性对许多企业来说至关重要,因此不允许在生产中进行未经测试的更改。阶段启用并执行此原则。
● 限制存储敏感数据的机器,例如,在开发和单元测试阶段只允许合成或匿名数据。
● 阻碍横向移动,尤其是从通常没有得到完美保护的开发服务器到生产机器。
实际上,更大的网络设计会区分内部和外部,即互联网可达区域,并在互联网和外部区域之间,放置Web应用防火墙和应用接口(API)管理解决方案。国家或业务单位是其他广泛使用的分区维度。在非生产阶段可能会采用相同或更简单的分区概念。
这是传统的设置。在过去的几年里,人工智能和IT自动化成为人们关注的焦点,并带来了变化。
IT自动化如何影响网络分区
高可用性和快速编码到部署周期,都需要数据中心的自动化。另外,自动化使管理员更有效率。与过去几年的全职工作相比,如今安装和设置软件只需单击一下即可完成,在过去,管理员需要处理20张软盘。
如今的监控服务器有自动报警。如果需要手动干预,他们会主动通知管理员。此外,CI/CD管道是标准的。然而,这些效率提升需要修改网络分区概念。
监控和部署组件和CI/CD管道对网络分区的影响
监控解决方案检查VM和网络组件的可用性,并寻找可能暗示安全事件的事件。我们可以将监控组件放置在生产区内的专用区域或完全单独放置。显然,如果这些应用按分区分开,则不太可能出现操作错误。此外,应该有选择地打开防火墙,而不是只打开所有防火墙。
监控解决方案就是一个例子,其他解决方案属于同一类别,例如,补丁管理或漏洞扫描。然而,虽然有可能规避此类解决方案的跨阶段访问,但根据定义,CI/CD管道是跨阶段的。
首先,将代码部署到本地笔记本电脑上,然后是测试服务器、集成环境,最后部署到生产环境。因此,CI/CD管道的纯粹性质需要跨阶段访问。同样,如果一个工具必须在所有阶段部署和更改VM,则区域之间的防火墙不应完全拆除,而只能选择性地为该工具开放。
训练人工智能模型和网络分区
人工智能提出了将生产数据与开发活动分开的想法。训练人工智能模型意味着运行算法,从数千个变量和数百万个数据集中检测依赖关系,这是不可能手工检测的。
此培训需要实际数据,尽管它可能不需要所有敏感数据,例如客户姓名、地址和社会安全号码。模型训练的类似开发任务必须在生产数据上运行,因此必须在生产区域中运行。但是,一个独立的人工智能和分析生产(子)区域是有意义的。人工智能通常意味着想要保持安全的大量数据,并将其与正常工作流程分开。
人工智能与自动化平台工程与舞台概念
IT自动化组件和人工智能训练环境不同于正常应用工作负载。两者都需要适应传统的分区概念,以实现跨阶段的连接。然而,区分生产实例和它们的工程是至关重要的。
人工智能平台的工程和自动化工具的监控遵循企业通常的工程方法。工程师首先在开发区工作,然后再将更改推广到测试预生产和生产环境。在没有特殊要求的情况下,经典规则适用于工程:仅连接到当前阶段,不提供用于开发和早期测试的生产数据。
总而言之,尽管IT自动化相关工具和人工智能模型的训练有少数例外,但传统的分区和分段概念在20年代仍然存在。区域和阶段的世界并没有变得模糊,它变得越来越丰富多彩和复杂。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。