1. 远程访问的网络安全

1.1. 如果不考虑远程访问企业网络的安全问题，那么任何网络分段规划都是不完整的

1.2. 即使你的公司没有在家办公的员工，也有可能在某个时候会有员工出差，需要远程访问公司的资源

1.3. 不仅需要考虑你的分段计划，还需要考虑可以评估远程系统的网络访问控制系统

1.3.1. 具有最新的补丁程序1.3.2. 已启用反恶意软件1.3.3. 启用了个人防火墙1.3.4. 系统合规的安全策略

1.4. 如果用户试图从一个被认为是恶意环境的地理位置连接，则应该限制网络访问

1.5. 使用的网络访问控制(Network Access Control，NAC)系统更为常见

1.5.1. NAC不仅负责验证远程设备的当前运行状况，还负责通过允许源设备只与位于企业内部的预定义资源进行通信来执行软件级分段1.5.2. 增加了一个额外的分段和安全选项1.5.3. 通常是在你希望限制用户在远程访问系统时的访问类型的情况下使用的

1.6. 对于远程访问用户来说，首选的方法之一是使用802.1X或兼容之

1.7. 云服务的优势在于，即使你不想在整个组织中实施MFA，仍然可以利用Azure中的有条件访问功能将MFA的范围限定为仅适用于VPN用户

1.8. 要有一个隔离网络来隔离那些不符合访问网络资源的最低要求的计算机

1.8.1. 该隔离网络应该有修正服务，以扫描计算机并应用适当的补救措施，使该计算机能够获得对公司网络的访问

1.9. 站点到站点VPN

1.9.1. 对于拥有远程位置的组织来说，一种常见的情况是在公司主网络和远程网络之间拥有安全的专用通信通道，这通常是通过站点到站点VPN来实现的1.9.2. 在规划网络分段时，你必须考虑此场景，以及这种连接会如何对你的网络产生影响1.9.3. 每个分支机构在防火墙中都有一套规则，这意味着当站点到站点VPN连接建立后，远程分支机构将无法访问整个总部的主网络，只能访问部分网段1.9.4. 在规划站点到站点VPN时，请确保使用“需要知道”原则，并且只允许访问真正需要的内容

2. 虚拟网络分段

2.1. 无论是物理网络还是虚拟网络，设计网络时都必须嵌入安全性

2.2. 在规划虚拟网络分段时，必须首先访问虚拟化平台以查看哪些功能可用

2.2.1. 核心原则与平台无关

2.3. 虚拟交换机内存在隔离，换句话说，来自一个虚拟网络的流量不会被另一个虚拟网络看到

2.3.1. 每个虚拟网络都可以有自己的子网，虚拟网络中的所有虚拟机都可以相互通信，但不会遍历其他虚拟网络2.3.2. 需要具有多个虚拟网络适配器的路由器（它可以是启用了路由服务的VM），每个虚拟网络一个

2.4. 安全检查

2.4.1. 网络数据包检测2.4.2. 防火墙2.4.3. 网络数据包过滤器2.4.4. 扩展的优势在于，可以在将数据包传输到其他网络之前对其进行检查，这对你的整体网络安全战略非常有利

2.5. 源于一台虚拟机的流量可以穿越到物理网络，并到达连接到公司网络的另一台主机

2.5.1. 务必始终认为，虽然流量在虚拟网络中是隔离的，但如果定义了到其他网络的网络路由，数据包仍将被送到目的地

2.6. 虚拟交换机中启用功能

2.6.1. MAC地址欺骗：这可以防止从欺骗地址发出的恶意流量2.6.2. DHCP防护：这可以防止虚拟机充当或响应DHCP服务器2.6.3. 路由器防护：这可以防止虚拟机发布路由器广告和重定向信息2.6.4. 端口ACL（访问控制列表）：这允许你根据MAC或IP地址配置特定的访问控制列表

3. 零信任网络

3.1. 零信任的整个理念是要驳斥存在“可信网络”的旧思维

3.1.1. 在过去，大多数网络地图都是通过使用边界、内部网络（也被称为可信网络）和外部网络（也被称为不可信网络）创建

3.2. 零信任网络的方法基本上意味着：所有的网络，不管是内部还是外部，都是不值得信任的

3.2.1. 所有的网络从本质上讲都可以被认为是一个充满敌意的地方，攻击者可能已经盘踞在其中3.2.2. 需要假设威胁是存在的，而不考虑其位置，并且用户的凭据可能会被泄露，这意味着攻击者可能已经在你的网络里面了3.2.3. 零信任网络更像是一种网络安全的概念和方法，而不是一种技术

3.3. 零信任网络比供应商出售的技术更广泛

3.4. NIST SP-800-207是一个重要的文档，它采用了一种厂商无关的方法，在规划零信任网络时，应该将它考虑在内

3.5. 实施零信任网络的一种常见方式是利用设备和用户的信任声明来获得对公司数据的访问

3.5.1. 既然你不能信任任何网络，那么边界本身就变得不像过去那么重要了，身份就成了需要保护的主要边界

3.6. 组件

3.6.1. 身份提供者3.6.2. 设备目录3.6.3. 条件策略3.6.4. 利用这些属性来授予或拒绝对资源的访问代理

3.7. 最大优点在于，当一个用户从某一地点和某一设备登录时，可能无法访问某一特定资源，而如果同一用户使用另一设备并从另一地点登录时，就可以访问

3.7.1. 基于这些属性的动态信任概念增强了基于访问特定资源的环境的安全性3.7.2. 完全改变了传统网络架构中使用的固定安全层

3.8. 规划采用零信任网络

3.8.1. 零信任网络的实施通常需要几个月的时间才能完全实现3.8.2. 问题3.8.2.1. 谁应该有权访问定义的应用程序集？3.8.2.2. 这些用户将如何访问此应用程序？3.8.2.3. 此应用程序如何与后端服务器通信？3.8.2.4. 这是云原生应用程序吗？3.8.2.4.1. 如果是，此应用程序如何进行身份验证？3.8.2.5. 设备位置是否会影响数据访问？3.8.2.5.1. 如果是，如何做到？3.8.3. 第一步是确定你的资产，如数据、应用程序、设备和服务3.8.3.1. 正是这些资产将帮助你定义事务流程，换句话说，确定这些资产将如何进行通信3.8.3.2. 当务之急是了解跨资产访问背后的历史，并建立定义这些资产之间的流量的新规则3.8.4. 明确验证，这意味着你应该检查访问请求的所有相关方面，而不是假定请求是可信的3.8.4.1. 分析所有对象，包括身份、端点、网络和资源，然后应用威胁情报(Threat Intelligence，TI)来评估每个访问请求的背景3.8.5. 需要确定流量、条件以及最终确定信任的界限3.8.6. 定义将积极监测这些资产和通信的系统3.8.6.1. 目的不仅是为了审核，也是为了检测3.8.6.2. 如果有恶意活动发生，你必须尽快意识到这一情况3.8.7. 在实施阶段，你需要处理供应商的术语和采用零信任网络模型的技术3.8.7.1. 每个供应商可能有不同的解决方案，当你有一个异构环境时，你需要确保不同的部分可以协同工作来实现这一模式

4. 混合云网络安全

4.1. 要与云计算建立某种连接，第一步是实施混合云

4.2. 站点到站点的VPN有额外的成本，需要额外的维护

4.2.1. 另一个选择是使用一个直接到云的路由，如Azure ExpressRoute

4.3. 云虚拟网络将是你要管理的新事物

4.4. 建议列表可能会根据你在Azure、企业内部、AWS或GCP中的工作负载而有所不同

4.5. 无论你使用的是哪些云服务提供商，对于混合场景进行某种形式的网络安全评估都是非常重要的，在混合场景中，你必须将本地网络与云基础设施集成

4.6. 云网络可见性

4.6.1. 一个常见的安全错误是没有正确规划云端网络架构4.6.1.1. 用户开始配置新的虚拟机，只是给这些虚拟机分配地址，而没有规划分段，这样往往让计算机广泛暴露在互联网上4.6.2. Microsoft Defender for Cloud的一个功能，可以帮助暴露在互联网上的虚拟机加固传入的流量4.6.2.1. 自适应网络加固功能利用机器学习来了解更多关于传入流量的信息，随着时间的推移（通常，模型需要两周的时间来了解网络流量模式），它将根据该学习周期向你建议一个控制访问列表4.6.2.2. 自适应网络加固(Adaptive Network Hardening)建议支持以下端口：22、3389、21、23、445、4333、3306、1433、1434、53、20、5985、5986、5432、139、66和11284.6.2.3. 自适应网络加固是面向虚拟机的互联网网络安全组规则的一部分