2023年的网络分区：人工智能和自动化如何改变事物

　　网络分区是一种基本的预防性安全控制，可减少企业的攻击面并阻止横向移动。它使攻击者的生活更具挑战性，因为他们无法从互联网直接访问所有虚拟机(vm)。

　　而且，即使他们进入了企业网络，如果防火墙和区域限制了内部网络连接和流量，他们也无法从一个虚拟机快速跳转到下一个虚拟机。然而，人工智能和IT自动化的兴起挑战了一项基本的分区原则：阶段。

　　阶段如何影响网络和网络安全

　　开发区、测试区、预生产区域和生产区域，敏捷工程方法取代了老式的瀑布模型，但是阶段仍然存在。一些IT部门有三个或只有两个阶段，一些谈论集成测试或单元测试阶段。目的是一样的:

　　防止错误地在生产上进行实验”，或者在没有事先在测试安装上进行测试的情况下故意修复生产问题。应用的运行稳定性对许多企业来说至关重要，因此不允许在生产中进行未经测试的更改。阶段启用并执行此原则。

　　● 限制存储敏感数据的机器，例如，在开发和单元测试阶段只允许合成或匿名数据。

　　● 阻碍横向移动，尤其是从通常没有得到完美保护的开发服务器到生产机器。

　　实际上，更大的网络设计会区分内部和外部，即互联网可达区域，并在互联网和外部区域之间，放置Web应用防火墙和应用接口(API)管理解决方案。国家或业务单位是其他广泛使用的分区维度。在非生产阶段可能会采用相同或更简单的分区概念。

　　这是传统的设置。在过去的几年里，人工智能和IT自动化成为人们关注的焦点，并带来了变化。

　　IT自动化如何影响网络分区

　　高可用性和快速编码到部署周期，都需要数据中心的自动化。另外，自动化使管理员更有效率。与过去几年的全职工作相比，如今安装和设置软件只需单击一下即可完成，在过去，管理员需要处理20张软盘。

　　如今的监控服务器有自动报警。如果需要手动干预，他们会主动通知管理员。此外，CI/CD管道是标准的。然而，这些效率提升需要修改网络分区概念。

　　监控和部署组件和CI/CD管道对网络分区的影响

　　监控解决方案检查VM和网络组件的可用性，并寻找可能暗示安全事件的事件。我们可以将监控组件放置在生产区内的专用区域或完全单独放置。显然，如果这些应用按分区分开，则不太可能出现操作错误。此外，应该有选择地打开防火墙，而不是只打开所有防火墙。

　　监控解决方案就是一个例子，其他解决方案属于同一类别，例如，补丁管理或漏洞扫描。然而，虽然有可能规避此类解决方案的跨阶段访问，但根据定义，CI/CD管道是跨阶段的。

　　首先，将代码部署到本地笔记本电脑上，然后是测试服务器、集成环境，最后部署到生产环境。因此，CI/CD管道的纯粹性质需要跨阶段访问。同样，如果一个工具必须在所有阶段部署和更改VM，则区域之间的防火墙不应完全拆除，而只能选择性地为该工具开放。

　　训练人工智能模型和网络分区

　　人工智能提出了将生产数据与开发活动分开的想法。训练人工智能模型意味着运行算法，从数千个变量和数百万个数据集中检测依赖关系，这是不可能手工检测的。

　　此培训需要实际数据，尽管它可能不需要所有敏感数据，例如客户姓名、地址和社会安全号码。模型训练的类似开发任务必须在生产数据上运行，因此必须在生产区域中运行。但是，一个独立的人工智能和分析生产(子)区域是有意义的。人工智能通常意味着想要保持安全的大量数据，并将其与正常工作流程分开。

　　人工智能与自动化平台工程与舞台概念

　　IT自动化组件和人工智能训练环境不同于正常应用工作负载。两者都需要适应传统的分区概念，以实现跨阶段的连接。然而，区分生产实例和它们的工程是至关重要的。

　　人工智能平台的工程和自动化工具的监控遵循企业通常的工程方法。工程师首先在开发区工作，然后再将更改推广到测试预生产和生产环境。在没有特殊要求的情况下，经典规则适用于工程：仅连接到当前阶段，不提供用于开发和早期测试的生产数据。

　　总而言之，尽管IT自动化相关工具和人工智能模型的训练有少数例外，但传统的分区和分段概念在20年代仍然存在。区域和阶段的世界并没有变得模糊，它变得越来越丰富多彩和复杂。