很多IT基礎(chǔ)架構(gòu)專業(yè)人士?jī)H將微分段視為限制數(shù)據(jù)中心服務(wù)器、應(yīng)用程序和工作負(fù)載之間訪問(wèn)的方法。然而，微分段已經(jīng)遠(yuǎn)遠(yuǎn)超出這種最初的能力，現(xiàn)在可為公司提供另一種接受零信任的方式。

為什么企業(yè)要采用微分段

現(xiàn)在企業(yè)面臨的一項(xiàng)嚴(yán)峻挑戰(zhàn)是如何防止攻擊者在越過(guò)安全邊界后在數(shù)據(jù)中心內(nèi)橫向移動(dòng)。

我們?cè)诟鞣N新聞中看到關(guān)于攻擊者破壞公司網(wǎng)絡(luò)的故事。一旦入侵企業(yè)網(wǎng)絡(luò)，攻擊者可以訪問(wèn)任何東西而幾乎沒(méi)有任何障礙。對(duì)此，很多公司正在實(shí)施零信任，更具體地說(shuō)，是微分段。這種方法使攻擊者難以在系統(tǒng)內(nèi)自由橫向移動(dòng)。

這些年來(lái)微分段是如何發(fā)展的？

在早期，從網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施可擴(kuò)展性的角度來(lái)看，微分段的功能有限。

VMware公司產(chǎn)品營(yíng)銷高級(jí)總監(jiān)Vivek Bhandari表示，防止攻擊者在數(shù)據(jù)中心橫向移動(dòng)的一種早期方法涉及通過(guò)第4層防火墻的物理或邏輯段。分段最初限制企業(yè)擴(kuò)大流量的能力，因?yàn)榱髁慷夹枰ㄟ^(guò)中央防火墻。分段的粒度性質(zhì)也意味著策略管理變得更加困難。

為了解決早期的微分段問(wèn)題，供應(yīng)商開發(fā)了在網(wǎng)絡(luò)級(jí)別工作的軟件定義產(chǎn)品和平臺(tái)。例如，軟件定義的網(wǎng)絡(luò)平臺(tái)使防火墻可以處于管理程序級(jí)別。通過(guò)使用此級(jí)別的防火墻，管理員可以為所有虛擬機(jī)部署微分段。較新的微分段產(chǎn)品適用于第7層防火墻，可以在應(yīng)用程序和用戶ID級(jí)別進(jìn)行保護(hù)。

通過(guò)虛擬化、分布式防火墻的精細(xì)訪問(wèn)控制是打擊未經(jīng)授權(quán)的橫向移動(dòng)的重大進(jìn)步。然而，企業(yè)很快就想要一種方法以將他們的信任檢測(cè)和預(yù)防系統(tǒng) (IDSes/IPSes) 直接分發(fā)到虛擬機(jī)管理程序上。此外，他們還需要全系統(tǒng)模擬沙盒來(lái)檢測(cè)未知的零日威脅，因?yàn)檫@些威脅無(wú)法使用基于簽名的檢測(cè)技術(shù)進(jìn)行識(shí)別。這使得IDS/IPS和網(wǎng)絡(luò)沙盒服務(wù)再次與集中式網(wǎng)絡(luò)安全設(shè)備分離，并置于虛擬機(jī)管理程序中。

為了成功部署微分段，管理員不應(yīng)該只是分段流量。根據(jù)Bhandari的說(shuō)法，應(yīng)該監(jiān)控每個(gè)數(shù)據(jù)中心的流量，以確定異常行為是良性還是惡意。這導(dǎo)致微分段中添加了其他功能，例如沙盒數(shù)據(jù)中心工作負(fù)載。微分段還使策略能夠與工作負(fù)載相關(guān)聯(lián)，從而降低管理的復(fù)雜性，例如在服務(wù)器和數(shù)據(jù)中心之間移動(dòng)工作負(fù)載。

雖然第7層防火墻、IPS/IDS 檢查和沙盒功能非常棒，但微分段的發(fā)展并沒(méi)有就此結(jié)束。由于高級(jí)持續(xù)威脅的風(fēng)險(xiǎn)越來(lái)越大，并且黑客有能力繞過(guò)多重網(wǎng)絡(luò)安全保護(hù)，微分段引入基于行為的分析。

較新的微分段產(chǎn)品和平臺(tái)通常提供網(wǎng)絡(luò)流量分析和網(wǎng)絡(luò)檢測(cè)和響應(yīng) (NDR)，使管理員能夠從任何地方收集和連接數(shù)據(jù)。由于人工智能和機(jī)器學(xué)習(xí)，NDR還可以在惡意活動(dòng)在系統(tǒng)內(nèi)橫向移動(dòng)之前識(shí)別它。

簡(jiǎn)化現(xiàn)代微分段

為使微分段在企業(yè)中真正取得成功，它必須易于部署和管理。其中一種選擇是有效地對(duì)流量進(jìn)行可視化和分類。企業(yè)應(yīng)尋找具有自動(dòng)流量可見性以及發(fā)現(xiàn)和映射功能的平臺(tái)。

軟件定義技術(shù)繼續(xù)變得更加復(fù)雜。IT需要能夠識(shí)別、分析和映射現(xiàn)有的應(yīng)用程序流量。分析完成后，就該實(shí)施微分段策略。

對(duì)現(xiàn)代微分段感興趣的公司經(jīng)常會(huì)因?yàn)闃?gòu)建每個(gè)工作流策略所需的努力而感到沮喪。但是有些工具可以簡(jiǎn)化和自動(dòng)化集成過(guò)程。