在數(shù)據(jù)中心邊界已消失殆盡的時(shí)代，傳統(tǒng)分隔已不足以應(yīng)付各種情況。微隔離隨即登場(chǎng)。公司企業(yè)應(yīng)如何充分利用該改進(jìn)版安全架構(gòu)呢?

微隔離融合軟件定義網(wǎng)絡(luò) (SDN) 和更好的虛擬化，打造出安全架構(gòu)最為基礎(chǔ)的技術(shù)之一，使安全人員得以在邊界逐漸模糊的世界中構(gòu)建清晰安全界限。

企業(yè)該如何最大程度地收獲微隔離帶來的好處呢?安全專家告訴你該做些什么。

微隔離是什么?

一直以來，網(wǎng)絡(luò)分隔都是廣受歡迎的隔離有價(jià)值受保護(hù)系統(tǒng)的常用方式。通過將網(wǎng)絡(luò)上敏感區(qū)域與不重要和防護(hù)不嚴(yán)的區(qū)域隔開，安全架構(gòu)師能夠阻止攻擊者在網(wǎng)絡(luò)上橫向移動(dòng)和提權(quán)。分隔不僅可以減小成功攻擊的波及范圍，還能讓安全策略師將資金花在刀刃上，往風(fēng)險(xiǎn)最高的系統(tǒng)投入最多安全預(yù)算，而不用擔(dān)心攻擊者在低風(fēng)險(xiǎn)系統(tǒng)中占據(jù)橋頭堡的后果。

拘泥于傳統(tǒng)分隔的問題在于，該方法確實(shí)將網(wǎng)絡(luò)架構(gòu)師所謂的縱向流量，也就是進(jìn)出數(shù)據(jù)中心的客戶端-服務(wù)器交互數(shù)據(jù)流，控制得非常好。但在混合云環(huán)境，數(shù)據(jù)中心邊界已消失殆盡，約 75% 到 80% 的企業(yè)流量都是橫向的，或者說，是服務(wù)器到服務(wù)器，在各應(yīng)用之間的。

Firemon 技術(shù)聯(lián)盟副總裁 Tim Woods 稱：

SDN 和容器及無服務(wù)器功能等技術(shù)是真正的游戲規(guī)則改變者，讓分解工作負(fù)載資產(chǎn)、服務(wù)和應(yīng)用至其自身微隔離變得更加可行，也更負(fù)擔(dān)得起。

Shield X 創(chuàng)始人兼首席研發(fā)官 Ratinder Paul Singh Ahuja 表示，過去，分隔需要重新路由硬件，這是個(gè)相當(dāng)昂貴的人工過程?，F(xiàn)在，網(wǎng)絡(luò)都已經(jīng)軟件定義了，可以很容易地隨云環(huán)境的經(jīng)常性變化自動(dòng)完成。

從徹底映射數(shù)據(jù)流和架構(gòu)開始

說起成功微隔離部署中的最大攔路虎，安全專家首推可見性問題。分隔粒度越細(xì)，IT 部門越需要了解數(shù)據(jù)流，需要理解系統(tǒng)、應(yīng)用和服務(wù)之間到底是怎樣相互溝通的。

Entrust Datacard 董事兼首席信息安全架構(gòu)師 Jarrod Stenberg 表示，你不僅需要知道有哪些數(shù)據(jù)流流經(jīng)你的路由網(wǎng)關(guān)，還需要具體追溯到單個(gè)主機(jī)，無論是實(shí)體主機(jī)還是虛擬主機(jī)。你必須擁有可供獲取此信息的基礎(chǔ)設(shè)施和工具，否則你的部署實(shí)現(xiàn)很可能失敗。

這就是為什么任何成功的微隔離都需要從徹底的發(fā)現(xiàn)和映射過程開始的原因。Stenberg 解釋道，作為該過程的一部分，公司企業(yè)應(yīng)挖掘或編制自身應(yīng)用的完備文檔，文檔可以支持未來所有微隔離決策，確保應(yīng)用按既定方式運(yùn)轉(zhuǎn)。

NCC Group 安全咨詢總監(jiān) Damon Small 表示，這種細(xì)致程度可能需要與供應(yīng)商緊密合作，或者執(zhí)行詳細(xì)分析，確定哪里應(yīng)該部署微隔離，以及如何在不引發(fā)生產(chǎn)中斷的情況下部署。

使用威脅建模來定義用例

一旦公司建立起機(jī)制獲取數(shù)據(jù)流可見性，這種理解就會(huì)開始帶來風(fēng)險(xiǎn)評(píng)估和威脅建模。然后評(píng)估和建模再反過來幫助公司確定微隔離的位置和粒度。

vArmour 產(chǎn)品及策略高級(jí)副總裁 Keith Stewart 稱：

思科 Duo Security 全球咨詢 CISO Dave Lewis 表示，在沒制定出詳細(xì)的行動(dòng)計(jì)劃前，不要著手布置微隔離。因?yàn)槲⒏綦x以細(xì)粒度訪問控制實(shí)現(xiàn)，要求大量的盡職調(diào)查與對(duì)細(xì)節(jié)的關(guān)注。

WatchGuard Technologies 高級(jí)安全分析師 Marc Laliberte 表示，需要注意的一點(diǎn)是，微隔離可以多種不同技術(shù)方法實(shí)現(xiàn)，復(fù)雜程度也各不相同。

以業(yè)務(wù)需求進(jìn)行平衡控制

威脅建模過程中，推進(jìn)微隔離的策略師在設(shè)計(jì)微隔離時(shí)需時(shí)刻考慮到商業(yè)利益。

SAP NS2 CISO Ted Wagner 稱表示，全面鋪開的時(shí)候，分隔方案既要符合安全需求，也要提供必要的訪問權(quán)，讓應(yīng)用和過程能無縫銜接，平滑工作。方案不能孤立設(shè)計(jì)或?qū)崿F(xiàn)，得經(jīng)過很多利益相關(guān)方的審查。

微隔離的成功需要安全部門與來自業(yè)務(wù)和 IT 的利益相關(guān)者協(xié)作，從一開始就深入了解所有這些流動(dòng)中的應(yīng)用和業(yè)務(wù)過程是怎么協(xié)同工作的。

Palo Alto Networks 全球系統(tǒng)工程高級(jí)副總裁 Scott Stevens 表示，有必要組建一支由企業(yè)主、網(wǎng)絡(luò)架構(gòu)師、IT 安全人員和應(yīng)用架構(gòu)師組成的多樣化團(tuán)隊(duì)來實(shí)現(xiàn)該過程。

打造一支全方位團(tuán)隊(duì)還有助企業(yè)預(yù)先設(shè)立期望值，避開可能腰斬項(xiàng)目的那類政治問題。

思科的 Lewis 稱，實(shí)現(xiàn)微隔離的主要障礙存在于和業(yè)務(wù)部門之間的溝通。以前就常在出問題時(shí)聽人抱怨 “這肯定是防火墻弄的”?，F(xiàn)在，微隔離成了內(nèi)部業(yè)務(wù)部門刻薄批評(píng)的對(duì)象。

采用階段式方法

專家建議，開始微隔離的公司企業(yè)理性對(duì)待微隔離項(xiàng)目推進(jìn)速度。

Stevens 支招，從專注實(shí)用方法開始，而不是一來就搞大翻修。熟悉該過程的基本步驟：識(shí)別信息在公司中的流動(dòng)方式，基于該信息流建立分隔的網(wǎng)絡(luò)，創(chuàng)建更新的安全策略，納入必需的安全功能，然后準(zhǔn)備持續(xù)監(jiān)視和更新該網(wǎng)絡(luò)。

Entrust Datacard 的 Stenberg 建議采用一次處理一個(gè)應(yīng)用的階段式方法。

Ericom Software CTO Nick Kael 表示，微隔離項(xiàng)目不僅應(yīng)該分解成可管理的部分分階段實(shí)施，其部署過程也應(yīng)設(shè)置能反映階段性進(jìn)展的里程碑和度量指標(biāo)。這些項(xiàng)目可能復(fù)雜且耗時(shí)，所以在過程中顯示進(jìn)展很重要。

建立微隔離可持續(xù)性

隨著公司不斷往微隔離中引入更多資產(chǎn)，負(fù)責(zé)團(tuán)隊(duì)需考慮長(zhǎng)遠(yuǎn)發(fā)展。正如 Woods 解釋的，微隔離不是“設(shè)置了就可以丟開不管”的策略。

這意味著，企業(yè)需設(shè)立長(zhǎng)期機(jī)制以維持?jǐn)?shù)據(jù)流的可見性，設(shè)置技術(shù)功能以靈活維護(hù)策略改變與實(shí)施要求。還意味著需清晰描述微隔離配置管理中各人都負(fù)責(zé)做些什么。

SAP NS2 的 Wagner 表示，微隔離管理的角色和責(zé)任同樣很重要。微隔離規(guī)則的改變應(yīng)經(jīng)過審查，類似配置控制委員會(huì)這種運(yùn)營(yíng)和安全團(tuán)隊(duì)可驗(yàn)證變更適當(dāng)性的地方。

同時(shí)，企業(yè)不想受人工審批和修改過程的掣肘。所以，應(yīng)嘗試盡可能往維護(hù)過程中引入自動(dòng)化。

Edgewise Networks 創(chuàng)始人兼 CEO Peter Smith 稱：

在策略方面，人類操作員將是最終決策者，但自動(dòng)化應(yīng)能幫助縮短審查所有東西的過程。

長(zhǎng)遠(yuǎn)看，實(shí)行微隔離的所有努力都能幫助企業(yè)大幅降低不可避免的安全入侵風(fēng)險(xiǎn)。微隔離在增加安全控制的同時(shí)，還保留了發(fā)揮現(xiàn)代工作流和混合基礎(chǔ)設(shè)施優(yōu)勢(shì)所必需的靈活性，而最終，無論你將其視為遵從最小權(quán)限原則還是實(shí)行零信任，微隔離都可幫助安全團(tuán)隊(duì)以細(xì)粒度維持 IT 資產(chǎn)的保密性、完整性和可用性。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文