網(wǎng)絡(luò)分隔是減小數(shù)據(jù)中心網(wǎng)絡(luò)攻擊面的最佳實(shí)踐策略。就像輪船上的水密隔艙應(yīng)能在船體受損時(shí)阻隔海水灌入一樣，網(wǎng)絡(luò)分隔也應(yīng)將各類服務(wù)器和系統(tǒng)區(qū)隔在單獨(dú)區(qū)域中以限制入侵者或惡意軟件橫向移動(dòng)，控制潛在的安全風(fēng)險(xiǎn)或破壞。

[[228269]]

從2013年對(duì)塔吉特百貨的攻擊到最近的Equifax數(shù)據(jù)泄露，人們普遍認(rèn)為這些重大數(shù)據(jù)泄露的背后原因包括缺乏有效的網(wǎng)絡(luò)分隔。但是，盡管網(wǎng)絡(luò)分隔可強(qiáng)化企業(yè)的安全形勢(shì)，卻也增加了復(fù)雜性和開(kāi)銷，尤其是對(duì)傳統(tǒng)現(xiàn)場(chǎng)數(shù)據(jù)中心而言。

在這些基于硬件的環(huán)境中，創(chuàng)建內(nèi)部區(qū)域通常意味著要安裝額外的防火墻設(shè)備來(lái)管理各個(gè)域之間的流量，而這些的設(shè)備的購(gòu)置、安裝和維護(hù)是耗時(shí)耗財(cái)?shù)?。因此，傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)分隔往往流于只創(chuàng)建少數(shù)幾個(gè)域。

微分隔趨勢(shì)

最近，向采用軟件定義網(wǎng)絡(luò)(SDN)的虛擬數(shù)據(jù)中心的遷移，推動(dòng)了內(nèi)部網(wǎng)絡(luò)分隔的采納。SDN的靈活性讓數(shù)據(jù)中心網(wǎng)絡(luò)得以進(jìn)行高級(jí)細(xì)粒度區(qū)域劃分，被分成成百上千個(gè)微網(wǎng)絡(luò)都可以。以往代價(jià)高昂且難以實(shí)現(xiàn)的安全層級(jí)如今也可以輕易達(dá)到了。所以，去年ESG分析師喬·奧爾希克才可以充滿自信地說(shuō)，有68%的企業(yè)采用某種形式的軟件微分隔技術(shù)遏制黑客在網(wǎng)絡(luò)上橫向探索，更便捷地保護(hù)他們的應(yīng)用和數(shù)據(jù)。

但盡管SDN大大便利了網(wǎng)絡(luò)分隔的實(shí)現(xiàn)，想要達(dá)到有效微分隔卻也面臨2個(gè)主要挑戰(zhàn)：數(shù)據(jù)中心里到底在哪兒布置微區(qū)域間的邊界呢?怎樣設(shè)計(jì)和管理每個(gè)區(qū)域的安全策略呢?

各種應(yīng)用想要正常工作，數(shù)據(jù)中心里的網(wǎng)絡(luò)和應(yīng)用流量就需要跨越多區(qū)域安全控制措施。所以多個(gè)區(qū)域控制措施中的策略必須允許這些流量通過(guò)，否則應(yīng)用就沒(méi)辦法發(fā)揮功用了。而網(wǎng)絡(luò)分隔越細(xì)，微區(qū)域越多，這些安全控制策略也就要越復(fù)雜，不然就無(wú)法支持在業(yè)務(wù)應(yīng)用的同時(shí)還阻隔掉非法流量。

開(kāi)始微分隔過(guò)程

不過(guò)，只要方法用對(duì)，上述挑戰(zhàn)都是可以解決的。起點(diǎn)就在于發(fā)現(xiàn)數(shù)據(jù)中心里的所有應(yīng)用流量。想要做到這一點(diǎn)，使用流量發(fā)現(xiàn)引擎是個(gè)不錯(cuò)的辦法。這個(gè)引擎要能發(fā)現(xiàn)并分組相互間有邏輯聯(lián)系的流量，比如共享IP地址的那些——共享IP地址代表著這些流量可能支持的是同一個(gè)業(yè)務(wù)應(yīng)用。

此類信息不單單局限在IP地址上，設(shè)備標(biāo)簽或相關(guān)應(yīng)用名稱這些額外的數(shù)據(jù)也可以添加進(jìn)來(lái)。這樣就能構(gòu)建一張標(biāo)記了數(shù)據(jù)中心里支持業(yè)務(wù)應(yīng)用正確運(yùn)行的流量、服務(wù)器和安全設(shè)備的完整視圖了。

設(shè)立區(qū)域邊界

有了這張視圖就可以創(chuàng)建分隔規(guī)劃，根據(jù)所支持的業(yè)務(wù)目的或應(yīng)用來(lái)確定哪些服務(wù)器和系統(tǒng)應(yīng)該放到哪個(gè)網(wǎng)絡(luò)區(qū)域。支持同一業(yè)務(wù)意圖或應(yīng)用的服務(wù)器相互間的通信會(huì)很頻繁，往往會(huì)共享類似的數(shù)據(jù)流，應(yīng)放入同一分隔區(qū)域以更好地互動(dòng)。

規(guī)劃好后就可以在數(shù)據(jù)中心網(wǎng)絡(luò)上挑選最適合放置安全過(guò)濾器的地方了，用虛擬防火墻或其他安全控制措施為各個(gè)區(qū)域筑牢安全邊界。

在設(shè)置這些過(guò)濾設(shè)備或啟用虛擬化微分隔技術(shù)創(chuàng)建各區(qū)域間邊界時(shí)，一定要記得有些應(yīng)用流量是需要跨越這些邊界的?？邕吔缌髁啃柙O(shè)置顯式的規(guī)則來(lái)允許它們，否則就會(huì)被封，導(dǎo)致依賴這些流量的應(yīng)用無(wú)法正常工作。所以，一旦引入過(guò)濾措施，必須確立各種流量的處置辦法。

設(shè)置邊界規(guī)則

想要明確是否需要添加或修改特定規(guī)則，明確這些規(guī)則應(yīng)該怎么設(shè)置，就得去檢查最初的發(fā)現(xiàn)過(guò)程中識(shí)別出來(lái)的應(yīng)用流量，弄清流量是否已經(jīng)流經(jīng)某現(xiàn)有安全控制了。如果給定應(yīng)用流量當(dāng)前未流經(jīng)任何安全控制，而你又想要?jiǎng)?chuàng)建一個(gè)新的網(wǎng)絡(luò)區(qū)域，那就得知道新區(qū)域的邊界設(shè)立起來(lái)后該未過(guò)濾的數(shù)據(jù)流會(huì)不會(huì)被封了。如果會(huì)被新邊界阻隔，那就得新設(shè)置一條顯式規(guī)則來(lái)允許該應(yīng)用流量通過(guò)邊界。

如果給定流量已經(jīng)被安全控制措施過(guò)濾，那通常就沒(méi)必要在開(kāi)始分隔網(wǎng)絡(luò)時(shí)再添加什么顯式規(guī)則了。這一判斷和設(shè)置過(guò)程可以不斷重復(fù)，直到你將網(wǎng)絡(luò)分隔成可以提供所需隔離及安全層次為止。

全面管理

微分隔規(guī)劃完成后，接下來(lái)的工作就是確保微分隔與網(wǎng)絡(luò)上的安全措施和諧相處了。應(yīng)用流量需要無(wú)縫流經(jīng)SDN、現(xiàn)場(chǎng)設(shè)備和云環(huán)境，必須保證你的策略和規(guī)則支持該無(wú)縫流轉(zhuǎn)。

能夠全面管理SDN環(huán)境中所有安全控制及現(xiàn)有傳統(tǒng)現(xiàn)場(chǎng)防火墻的自動(dòng)化解決方案，是達(dá)成應(yīng)用流量無(wú)縫流轉(zhuǎn)的最有效方式。自動(dòng)化解決方案可以確保支撐網(wǎng)絡(luò)分隔策略的那些安全策略能夠統(tǒng)一應(yīng)用在整個(gè)網(wǎng)絡(luò)資產(chǎn)上，同時(shí)又能夠集中監(jiān)視管理，任何改動(dòng)都能被跟蹤到，方便審計(jì)。

想要實(shí)現(xiàn)有效微分隔，必須經(jīng)過(guò)審慎的規(guī)劃和細(xì)致的配置。但一旦正確實(shí)現(xiàn)，微分隔將帶來(lái)更強(qiáng)的安全態(tài)勢(shì)和更高的業(yè)務(wù)敏捷度。有時(shí)候，確實(shí)是越細(xì)致越好。