网络分区是一种基本的预防性安全控制,可减少企业的攻击面并阻止横向移动。它使攻击者的生活更具挑战性,因为他们无法从互联网直接访问所有虚拟机(vm)。
而且,即使他们进入了企业网络,如果防火墙和区域限制了内部网络连接和流量,他们也无法从一个虚拟机快速跳转到下一个虚拟机。然而,人工智能和IT自动化的兴起挑战了一项基本的分区原则:阶段。
阶段如何影响网络和网络安全
开发区、测试区、预生产区域和生产区域,敏捷工程方法取代了老式的瀑布模型,但是阶段仍然存在。一些IT部门有三个或只有两个阶段,一些谈论集成测试或单元测试阶段。目的是一样的:
防止错误地在生产上进行实验”,或者在没有事先在测试安装上进行测试的情况下故意修复生产问题。应用的运行稳定性对许多企业来说至关重要,因此不允许在生产中进行未经测试的更改。阶段启用并执行此原则。
● 限制存储敏感数据的机器,例如,在开发和单元测试阶段只允许合成或匿名数据。
● 阻碍横向移动,尤其是从通常没有得到完美保护的开发服务器到生产机器。
实际上,更大的网络设计会区分内部和外部,即互联网可达区域,并在互联网和外部区域之间,放置Web应用防火墙和应用接口(API)管理解决方案。国家或业务单位是其他广泛使用的分区维度。在非生产阶段可能会采用相同或更简单的分区概念。
这是传统的设置。在过去的几年里,人工智能和IT自动化成为人们关注的焦点,并带来了变化。
IT自动化如何影响网络分区
高可用性和快速编码到部署周期,都需要数据中心的自动化。另外,自动化使管理员更有效率。与过去几年的全职工作相比,如今安装和设置软件只需单击一下即可完成,在过去,管理员需要处理20张软盘。
如今的监控服务器有自动报警。如果需要手动干预,他们会主动通知管理员。此外,CI/CD管道是标准的。然而,这些效率提升需要修改网络分区概念。
监控和部署组件和CI/CD管道对网络分区的影响
监控解决方案检查VM和网络组件的可用性,并寻找可能暗示安全事件的事件。我们可以将监控组件放置在生产区内的专用区域或完全单独放置。显然,如果这些应用按分区分开,则不太可能出现操作错误。此外,应该有选择地打开防火墙,而不是只打开所有防火墙。
监控解决方案就是一个例子,其他解决方案属于同一类别,例如,补丁管理或漏洞扫描。然而,虽然有可能规避此类解决方案的跨阶段访问,但根据定义,CI/CD管道是跨阶段的。
首先,将代码部署到本地笔记本电脑上,然后是测试服务器、集成环境,最后部署到生产环境。因此,CI/CD管道的纯粹性质需要跨阶段访问。同样,如果一个工具必须在所有阶段部署和更改VM,则区域之间的防火墙不应完全拆除,而只能选择性地为该工具开放。
训练人工智能模型和网络分区
人工智能提出了将生产数据与开发活动分开的想法。训练人工智能模型意味着运行算法,从数千个变量和数百万个数据集中检测依赖关系,这是不可能手工检测的。
此培训需要实际数据,尽管它可能不需要所有敏感数据,例如客户姓名、地址和社会安全号码。模型训练的类似开发任务必须在生产数据上运行,因此必须在生产区域中运行。但是,一个独立的人工智能和分析生产(子)区域是有意义的。人工智能通常意味着想要保持安全的大量数据,并将其与正常工作流程分开。
人工智能与自动化平台工程与舞台概念
IT自动化组件和人工智能训练环境不同于正常应用工作负载。两者都需要适应传统的分区概念,以实现跨阶段的连接。然而,区分生产实例和它们的工程是至关重要的。
人工智能平台的工程和自动化工具的监控遵循企业通常的工程方法。工程师首先在开发区工作,然后再将更改推广到测试预生产和生产环境。在没有特殊要求的情况下,经典规则适用于工程:仅连接到当前阶段,不提供用于开发和早期测试的生产数据。
总而言之,尽管IT自动化相关工具和人工智能模型的训练有少数例外,但传统的分区和分段概念在20年代仍然存在。区域和阶段的世界并没有变得模糊,它变得越来越丰富多彩和复杂。
文章版权声明
1 原创文章作者:唐宋元明清,如若转载,请注明出处: https://www.52hwl.com/81819.html
2 温馨提示:软件侵权请联系469472785#qq.com(三天内删除相关链接)资源失效请留言反馈
3 下载提示:如遇蓝奏云无法访问,请修改lanzous(把s修改成x)
4 免责声明:本站为个人博客,所有软件信息均来自网络 修改版软件,加群广告提示为修改者自留,非本站信息,注意鉴别