各種規(guī)模的公司快速采用云服務，可以帶來許多商業(yè)利益，尤其是提高靈活性和降低IT基礎架構成本。但是，隨著IT環(huán)境在性質上變得更加異構和地理分布，許多組織看到他們的安全攻擊面呈指數(shù)級增長。隨著越來越多的企業(yè)采用一體化架構風格的應用程序部署方法和更廣泛的基礎架構自動化，IT基礎架構變更速度加快，這一挑戰(zhàn)更加復雜。

如系統(tǒng)強化，主動漏洞管理，強大的訪問控制和網(wǎng)絡分段等長期安全實踐繼續(xù)在安全團隊的減少攻擊面的過程中發(fā)揮重要作用。但是，由于多種原因，這些措施在混合云環(huán)境中已不再足夠。

首先，盡管這些實踐仍然具有相關性，但它們對于云計算采用和容器引入的新應用程序部署模型等重大攻擊面增長沒有什么作用。此外，很難在混合云基礎架構中一致地實施這些實踐，因為它們通常與特定的內部部署或云環(huán)境相關聯(lián)。最后，隨著應用程序部署模型變得更加分散和動態(tài)，它使組織面臨更大的未經(jīng)批準的橫向移動風險。隨著東/西流量的增長，僅基于網(wǎng)絡的分段太過粗糙，無法阻止攻擊者利用開放端口和服務來擴展其攻擊足跡并找到可利用的漏洞。

這些現(xiàn)實正在引導許多安全管理人員和行業(yè)專家將微隔離作為戰(zhàn)略重點。實施包含可視化功能和流程級策略控制的整體微隔離方法是在云轉換IT基礎架構時減少攻擊面的最有效方法。此外，由于微隔離是在工作負載級別而不是在基礎架構級別執(zhí)行的，因此可以在整個混合云基礎架構中一致地實施，并隨著環(huán)境變化或工作負載重新定位而無縫適應。

可視化攻擊面

安全團隊可以采取的減少攻擊面的最有益的步驟之一是深入了解其應用程序基礎架構的功能以及它如何隨著時間的推移而發(fā)展。通過詳細了解攻擊面，安全團隊可以更有效地實施新控件以減小其大小。

使用微隔離解決方案可視化環(huán)境使安全團隊更容易識別任何妥協(xié)指標并評估其當前的潛在暴露狀態(tài)。此過程應包括可視化各個應用程序(及其依賴項)，系統(tǒng)，網(wǎng)絡和流程，以明確定義預期行為，并確定可應用其他控制以減少攻擊面的區(qū)域。

微隔離減少攻擊面

隨著越來越多的應用程序工作負載轉移到公共云和混合云架構，現(xiàn)有攻擊面減少工作經(jīng)常出現(xiàn)問題的一個領域是橫向移動檢測和預防。更多分布式應用程序架構增加了許多數(shù)據(jù)中心和云環(huán)境中“東/西”流量的數(shù)量。雖然大部分流量都是合法的，但能夠在這些環(huán)境中廣泛通信的可信資產(chǎn)是攻擊者的有吸引力的目標。隨著傳統(tǒng)的網(wǎng)絡邊界概念變得不那么重要，它們也更容易被訪問。

當資產(chǎn)遭到入侵時，攻擊者經(jīng)常采取的第一步是調查和分析受損資產(chǎn)周圍的環(huán)境，尋找更高價值的目標，并嘗試將橫向移動與合法的應用程序和網(wǎng)絡活動相結合。

微隔離解決方案可以幫助安全團隊創(chuàng)建精細策略，從而幫助抵御此類攻擊：

• 相互細分應用程序;
• 在應用程序中細分層;
• 圍繞具有特定合規(guī)性或法規(guī)要求的資產(chǎn)創(chuàng)建明確的安全邊界;
• 在整個基礎架構中實施一般的企業(yè)安全策略和最佳實踐。

這些措施和其他類似措施減緩或阻止了攻擊者橫向移動的努力。當有效實施時，微隔離在整個基礎架構中更廣泛地應用最小特權原則，即使它從數(shù)據(jù)中心擴展到一個或多個云平臺。

通過對應用程序和流程進行深入治理來防止橫向移動，即使在IT基礎架構不斷發(fā)展和多樣化的情況下，也可以減少可用的攻擊面。

超越網(wǎng)絡攻擊面

流程級控制允許安全團隊真正使其安全策略與特定的應用程序邏輯和法規(guī)要求保持一致，而不是僅僅通過基礎架構鏡頭查看它們。

這種應用意識是微隔離減少攻擊面的關鍵因素。將非常具體的流程級流列入白名單的細微策略在減少攻擊面方面更有效，聰明的攻擊者可以通過利用具有可信IP地址的系統(tǒng)或在允許的端口中混合攻擊來規(guī)避。

多操作系統(tǒng)，多環(huán)境方法的重要性

隨著向混合云環(huán)境的過渡加速，企業(yè)很容易忽視這種變化在多大程度上放大了攻擊面的大小。新的物理環(huán)境，平臺和應用程序部署方法創(chuàng)建了許多潛在風險的新領域。

除了提供更精細的控制之外，微隔離為尋求減少攻擊面的企業(yè)提供的另一個好處是，它實現(xiàn)了跨越多個操作系統(tǒng)和部署環(huán)境的統(tǒng)一安全模型。當策略側重于特定流程和流而非基礎架構組件時，它們可以應用于本地和云托管資源的任何組合，甚至在特定工作負載在數(shù)據(jù)中心與一個或多個云平臺之間移動時保持一致。與依賴于特定環(huán)境或平臺的點安全產(chǎn)品相比，這是一個主要優(yōu)勢，因為即使環(huán)境變得更大和更異構，它也可以最小化攻擊面。

在選擇微隔離平臺時，重要的是驗證解決方案可以在整個基礎架構中無縫工作，而無需任何特定于環(huán)境或平臺的依賴關系。這包括驗證Windows和Linux之間的控制級別是否一致，并且不依賴于內置操作系統(tǒng)防火墻，這些防火墻不具備必要的靈活性。

雖然向云或混合云IT基礎架構的轉型確實有可能引入新的安全風險，但是管理良好的微隔離方法是高度精細的，與底層基礎設施隔離，隨著更多基礎設施的多樣性和復雜性的引入，應用程序感知實際上可以減少攻擊面。