安全隔離 (Segmentation) 通過將數(shù)據(jù)中心和園區(qū)網(wǎng)絡(luò)或云劃分為較小的隔離段來限制攻擊在組織內(nèi)部橫向移動的能力，被廣泛認(rèn)為是網(wǎng)絡(luò)安全的優(yōu)秀實踐之一。

早在 2017 年，Gartner 就將微隔離 (Micro Segmentation) 評為 11 個最值得關(guān)注的安全技術(shù)之一，但是兩年多以后，隔離技術(shù)在企業(yè)信息安全體系中的應(yīng)用卻并不如預(yù)期的火爆。

盡管近年來重大數(shù)據(jù)泄漏事件連綿不斷，但目前很少有企業(yè)通過安全分段/隔離 (Segmentation) 來防止違規(guī)行為的擴散。根據(jù) Illumio 的調(diào)查報告，受訪的 300 名 IT 專業(yè)人員中，目前只有 19% 的人已經(jīng)實施安全隔離相關(guān)解決方案。

安全隔離的現(xiàn)狀：防火墻是道坎

根據(jù) Forrester Research 的《Forrester Wave™：零信任擴展生態(tài)系統(tǒng)平臺提供商》(2019年第四季度)報告，通過基于邊界的安全防御體系和傳統(tǒng)防火墻防止漏洞的日子已經(jīng)一去不復(fù)返?？鐢?shù)據(jù)中心和多云環(huán)境移動的動態(tài)工作負載的復(fù)雜性日益增加。大量新漏洞和黑客攻擊風(fēng)險以及勒索軟件和惡意軟件爆發(fā)等針對性威脅，暴露了傳統(tǒng)安全模型的不足。

Forrester Wave™：零信任擴展生態(tài)系統(tǒng)平臺市場雷達圖 2019四季度

Forrester 的報告強調(diào)，零信任的策略重點是通過微隔離來防止攻擊者的橫向移動。從結(jié)構(gòu)上講，零信任要求跨環(huán)境細分，以隔離威脅并限制破壞的影響。

雖然 Akamai、CISCO、Palo Alto Networks 等廠商圍繞零信任框架和概念提供了豐富的產(chǎn)品和平臺方案，但是阻礙零信任(以及微隔離)方案實施的主要障礙并非技術(shù)和框架成熟度。

調(diào)查顯示，雖然約有 25% 的企業(yè)安全部門正在積極計劃隔離項目，但超過一半的人根本沒有采取隔離措施或計劃在接下來的六個月內(nèi)提供類似保護。

報告指出，盡管組織意識到發(fā)生安全事件的可能性很高，但他們并未利用隔離技術(shù)，因為實施起來太困難且成本很高，尤其是在企業(yè)已經(jīng)部署防火墻的情況下，阻止了隔離技術(shù)的廣泛采用。

報告也給出了一些積極的數(shù)據(jù)：目前有 45% 的受訪者正在進行一項隔離項目或計劃在未來六個月內(nèi)開始至少一個隔離項目。

在計劃隔離項目的人員中，調(diào)查發(fā)現(xiàn)，盡管防火墻實施速度慢，適應(yīng)性差，工作復(fù)雜且不適合 “零信任” 框架，但仍有 81% 的受訪者將利用防火墻實施隔離項目。

防火墻的缺點

大多數(shù)公司仍然頑固地選擇防火墻來防護邊界安全性，但是大多數(shù)公司都提到用防火墻實現(xiàn)和管理隔離項目的成本很高。68% 的受訪者為確保防火墻的初始資本支出預(yù)算而苦苦掙扎，另有 66% 的受訪者認(rèn)為確保持續(xù)的運營支出預(yù)算具有挑戰(zhàn)性。

防火墻的大小和復(fù)雜性也會給組織帶來問題。受訪者平均部署和調(diào)整防火墻以進行隔離的時間為一到三個月。

此外，超過三分之二的受訪者承認(rèn)，防火墻部署前難以測試規(guī)則，從而更容易意外地錯誤配置規(guī)則并破壞應(yīng)用程序。不管這些事故有多少，依然有 57% 的人將變更所引發(fā)的潛在風(fēng)險視為不停止使用防火墻的主要原因。

隔離 (Segmentation) 實際上是零信任等安全框架的基礎(chǔ)。根據(jù) Forrester Research 的 “零信任” 報告：

保衛(wèi)企業(yè)邊界不再是一種有效的策略。零信任方案通過 microcore，微隔離和深度可視化定位和隔離威脅，給企業(yè)安全人員提供一個識別威脅、減緩?fù){的系統(tǒng)性方法。

基于主機的安全隔離有更好的成本效益和可靠性

基于主機的安全隔離是成本效益和可靠性更好的隔離方法，并且在保護數(shù)據(jù)中心和云生態(tài)系統(tǒng)免受橫向攻擊數(shù)據(jù)泄露的影響方面更加有效。由于基于主機的安全隔離是基于軟件的，并且與網(wǎng)絡(luò)無關(guān)，因此它具有以下幾個重要優(yōu)點：

優(yōu)點：

• 至少比防火墻高 200% 的成本效益。
• 部署速度比防火墻快四到六倍。
• 與防火墻相比，規(guī)則最多減少 90%。
• 易于在部署之前進行測試，并且可以在數(shù)小時內(nèi)進行更新。
• 降低應(yīng)用程序和服務(wù)中斷的風(fēng)險。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文