網絡分區是一種基本的預防性安全控制，可減少企業的攻擊面並阻止橫向移動。它使攻擊者的生活更具挑战性，因爲他們無法從互聯網直接訪問所有虛擬機(vm)。

而且，即使他們進入了企業網絡，如果防火牆和區域限制了內部網絡連接和流量，他們也無法從一個虛擬機快速跳轉到下一個虛擬機。然而，人工智能和IT自動化的興起挑战了一項基本的分區原則：階段。

階段如何影響網絡和網絡安全

开發區、測試區、預生產區域和生產區域，敏捷工程方法取代了老式的瀑布模型，但是階段仍然存在。一些IT部門有三個或只有兩個階段，一些談論集成測試或單元測試階段。目的是一樣的:

防止錯誤地在生產上進行實驗”，或者在沒有事先在測試安裝上進行測試的情況下故意修復生產問題。應用的運行穩定性對許多企業來說至關重要，因此不允許在生產中進行未經測試的更改。階段啓用並執行此原則。

● 限制存儲敏感數據的機器，例如，在开發和單元測試階段只允許合成或匿名數據。
● 阻礙橫向移動，尤其是從通常沒有得到完美保護的开發服務器到生產機器。

實際上，更大的網絡設計會區分內部和外部，即互聯網可達區域，並在互聯網和外部區域之間，放置Web應用防火牆和應用接口(API)管理解決方案。國家或業務單位是其他廣泛使用的分區維度。在非生產階段可能會採用相同或更簡單的分區概念。

這是傳統的設置。在過去的幾年裏，人工智能和IT自動化成爲人們關注的焦點，並帶來了變化。

IT自動化如何影響網絡分區

高可用性和快速編碼到部署周期，都需要數據中心的自動化。另外，自動化使管理員更有效率。與過去幾年的全職工作相比，如今安裝和設置軟件只需單擊一下即可完成，在過去，管理員需要處理20張軟盤。

如今的監控服務器有自動報警。如果需要手動幹預，他們會主動通知管理員。此外，CI/CD管道是標准的。然而，這些效率提升需要修改網絡分區概念。

監控和部署組件和CI/CD管道對網絡分區的影響

監控解決方案檢查VM和網絡組件的可用性，並尋找可能暗示安全事件的事件。我們可以將監控組件放置在生產區內的專用區域或完全單獨放置。顯然，如果這些應用按分區分开，則不太可能出現操作錯誤。此外，應該有選擇地打开防火牆，而不是只打开所有防火牆。

監控解決方案就是一個例子，其他解決方案屬於同一類別，例如，補丁管理或漏洞掃描。然而，雖然有可能規避此類解決方案的跨階段訪問，但根據定義，CI/CD管道是跨階段的。

首先，將代碼部署到本地筆記本電腦上，然後是測試服務器、集成環境，最後部署到生產環境。因此，CI/CD管道的純粹性質需要跨階段訪問。同樣，如果一個工具必須在所有階段部署和更改VM，則區域之間的防火牆不應完全拆除，而只能選擇性地爲該工具开放。

訓練人工智能模型和網絡分區

人工智能提出了將生產數據與开發活動分开的想法。訓練人工智能模型意味着運行算法，從數千個變量和數百萬個數據集中檢測依賴關系，這是不可能手工檢測的。

此培訓需要實際數據，盡管它可能不需要所有敏感數據，例如客戶姓名、地址和社會安全號碼。模型訓練的類似开發任務必須在生產數據上運行，因此必須在生產區域中運行。但是，一個獨立的人工智能和分析生產(子)區域是有意義的。人工智能通常意味着想要保持安全的大量數據，並將其與正常工作流程分开。

人工智能與自動化平台工程與舞台概念

IT自動化組件和人工智能訓練環境不同於正常應用工作負載。兩者都需要適應傳統的分區概念，以實現跨階段的連接。然而，區分生產實例和它們的工程是至關重要的。

人工智能平台的工程和自動化工具的監控遵循企業通常的工程方法。工程師首先在开發區工作，然後再將更改推廣到測試預生產和生產環境。在沒有特殊要求的情況下，經典規則適用於工程：僅連接到當前階段，不提供用於开發和早期測試的生產數據。

總而言之，盡管IT自動化相關工具和人工智能模型的訓練有少數例外，但傳統的分區和分段概念在20年代仍然存在。區域和階段的世界並沒有變得模糊，它變得越來越豐富多彩和復雜。

---

標題：2023年的網絡分區：人工智能和自動化如何改變事物

地址：https://www.utechfun.com/post/225868.html