安全域推演术之六步推导法

引言

安全域概念源于运营商行业，随着企业服务的多样化发展和运营需要，业务系统种类越发庞杂，但业务系统部署缺少统一原则，访问控制策略相对松散，无法进行有效的安全防护。为了将具有相同安全防护要求的业务系统进行集中防护，就诞生了安全域。

安全域：网络中具有相同的安全保护需求、并相互信任的区域或网络实体的集合。

企业围绕安全域这个概念可以开展哪些方面的工作呢？

三个关键工作如下：

1、现状评估

2、安全域设计

3、安全域改造

完成上述三个关键工作，能达到如下效果：

1、了解现有网络安全域现状，设计出科学的网络安全域及访问控制策略；

2、将现有的应用迁移到合理的安全域并部署适当的访问控制策略；

3、指导新应用部署到合理的安全域并按照设计好的访问控制策略进行策略部署。

从一个项目视角展示流程如下：

从项目实施流程来看，核心的工作就在安全域设计。当然现状分析的结果是安全域设计的关键数据输入。安全域改造是安全域设计的落地实施。现状分析与安全域改造同等重要。本文重点讲解安全域设计部分中的安全域推导流程。

网络安全域推演之术——六步推导法

1、识别网络区域：根据应用系统类型，形成基于应用类型的网络区域。如应用类型包括：业务系统、办公系统、交易系统和管理系统，则可推导出网络区域包括：业务网、交易网、办公网、IT管理网；

2、拆分网络子区域：根据应用系统应用类型和应用架构，拆分出网络子区域，如：应用A接入层、应用A应用层及应用A数据层；（A代表一个应用）

3、推导二级域：区域内子区域整合形成区域二级域，区域间二级域整合形成安全域二级域；

4、推导一级域：将具有相同安全服务要求的二级域整合，形成安全域一级域；

5、识别安全域边界：梳理需要通讯的二级域访问关系，识别出安全域边界；

6、设计访问控制策略：根据安全域设计和安全域边界编制安全访问控制策略。

下面虚构一个简单的网络拓扑，推演出安全域并识别出网络边界。并且明确边界应当部署访问控制策略类别。

第一步

识别网络区域

根据业务类型，可推导出本企业网络区域为：办公内网、办公外网及业务网。用户包含：内部用户、移动办公用户和公众用户。

第二步

拆分子网络区域

根据应用系统三层（接入层、应用层和数据层）架构和用户类型，可以网络区域进行子区域拆分，例如：外网接入区、外网服务器区、业务接入区、业务应用区、业务数据区等。

第三步

二级域推导

将具有相同安全防护需求的网络子区域进行整合形成二级域。例如：业务应用区和业务数据区防护要求相近，整合成：业务服务域；外网接入区和外网DMZ服务器区防护要求相近，整合成：办公外网接入域。

第四步

一级域推导

将具有相同安全服务要求的二级域整合，形成安全域一级域。例如：所有的服务域安全防护要求相近，整合形成：服务域。所有的客户端域安全防护要求相近，整合形成：客户端域。从信任程度来看，内部服务器和客户端都是信任程度，与外部用户相连的接入域为半信任程度。信任程度有低向高访问需要采用相对严格的访问控制策略。

第五步

识别安全域边界

通过对访问数据流分析，可将边界进行整合，本文案例相对简单，不存在可整合边界。假设：业务接入域有外网接入区和第三方合作伙伴接入区，两类访问边界安全防护要求相近，可进行整合。

第六步

设计访问控制策略

访问控制策略部署之前，需要将访问控制策略进行分类设计，如下表所示，大类可划分为：服务器级别和客户端级别。大类下面再明确不同控制级别的访问控制策略类。

接下来，以二级域为互访对象，明确二级域之间的互访关系及应部署的访问控制策略类别。在策略类别原则指导下，编制具体的访问控制策略，并部署到访问控制设备上。

到此为止，本文开篇提到的三个效果，前两个已经可以通过安全域改造活动达成了。第三个效果需要管理流程和技术支撑表单才能完成。

‍1、了解现有网络安全域现状，设计出科学的网络安全域及访问控制策略；√

2、将现有的应用迁移到合理的安全域并部署适当的访问控制策略；√‍

3、指导新应用部署到合理的安全域并按照设计好的访问控制策略进行策略部署。

针对第三个效果，给出一个示例流程：

1、应用部门提供应用系统类型及用户类型，网络部门根据《安全域设计》文档给出分层部署建议；

2、应用部门根据部署建议，设计应用部署架构并将应用架构设计及应用系统内部和外部访问关系提交至网络部门；

3、网络部门根据《安全域设计》文档，结合应用部门提供的应用信息，确定应用各层级精确部署位置，即：部署到的二级域；

4、网络部门根据应用系统内部和外部访问关系，对照《安全域访问控制策略》文档，给出访问控制策略模板、策略类别和需要提供访问控制策略元素，如：访问源地址，访问源端口，目标地址，目标端口及协议；

5、应用部门填写访问控制策略模板后，提出应用部署和访问控制策略部署申请，网络部门负责实施。

趣味澄清

1、安全域不是网络区域，安全域强调的是安全防护需求，网络区域强调区域隔离；

2、安全域设计不等于网络架构分析，网络架构分析涉及面较大，非要扯上关系的话，安全域设计的合理性和访问控制策略有效性是网络架构分析关注的一部分；

3、安全域设计不是一次性工作，安全域需要根据应用架构的变化和安全事件的经验总结等因素，进行不断修正的；

4、所有的企业都需要安全域设计，目前大多数企业的网络都基本有安全域设计理念，欠缺的是安全策略管理与安全域设计的一致性，以及通过流程将应用与安全域打通的管理理念；

5、安全域设计过程中不要纠结于概念，可以借鉴本文的思路进行推导。下面给大家带来一段安全域的概念：

安全域要素包含用户域、应用域、支撑域、网络域和信任域。在安全域设计过程中，以应用域为主线，根据应用类型、用户类型和信任级别形成基础网络域。将具有相同安全需求的应用层级部署到相同安全子域。根据应用层各间和应用之间的访问需求，识别出网络边界。结合安全需求，整合网络边界并设计适当的访问控制策略。

安全要素

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP