很多IT基礎(chǔ)架構(gòu)專業(yè)人士僅將微分段視為限制數(shù)據(jù)中心服務(wù)器、應(yīng)用程序和工作負載之間訪問的方法。然而，微分段已經(jīng)遠遠超出這種最初的能力，現(xiàn)在可為公司提供另一種接受零信任的方式。

為什么企業(yè)要采用微分段

現(xiàn)在企業(yè)面臨的一項嚴峻挑戰(zhàn)是如何防止攻擊者在越過安全邊界后在數(shù)據(jù)中心內(nèi)橫向移動。

我們在各種新聞中看到關(guān)于攻擊者破壞公司網(wǎng)絡(luò)的故事。一旦入侵企業(yè)網(wǎng)絡(luò)，攻擊者可以訪問任何東西而幾乎沒有任何障礙。對此，很多公司正在實施零信任，更具體地說，是微分段。這種方法使攻擊者難以在系統(tǒng)內(nèi)自由橫向移動。

這些年來微分段是如何發(fā)展的？

在早期，從網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施可擴展性的角度來看，微分段的功能有限。

VMware公司產(chǎn)品營銷高級總監(jiān)Vivek Bhandari表示，防止攻擊者在數(shù)據(jù)中心橫向移動的一種早期方法涉及通過第4層防火墻的物理或邏輯段。分段最初限制企業(yè)擴大流量的能力，因為流量都需要通過中央防火墻。分段的粒度性質(zhì)也意味著策略管理變得更加困難。

為了解決早期的微分段問題，供應(yīng)商開發(fā)了在網(wǎng)絡(luò)級別工作的軟件定義產(chǎn)品和平臺。例如，軟件定義的網(wǎng)絡(luò)平臺使防火墻可以處于管理程序級別。通過使用此級別的防火墻，管理員可以為所有虛擬機部署微分段。較新的微分段產(chǎn)品適用于第7層防火墻，可以在應(yīng)用程序和用戶ID級別進行保護。

通過虛擬化、分布式防火墻的精細訪問控制是打擊未經(jīng)授權(quán)的橫向移動的重大進步。然而，企業(yè)很快就想要一種方法以將他們的信任檢測和預(yù)防系統(tǒng) (IDSes/IPSes) 直接分發(fā)到虛擬機管理程序上。此外，他們還需要全系統(tǒng)模擬沙盒來檢測未知的零日威脅，因為這些威脅無法使用基于簽名的檢測技術(shù)進行識別。這使得IDS/IPS和網(wǎng)絡(luò)沙盒服務(wù)再次與集中式網(wǎng)絡(luò)安全設(shè)備分離，并置于虛擬機管理程序中。

為了成功部署微分段，管理員不應(yīng)該只是分段流量。根據(jù)Bhandari的說法，應(yīng)該監(jiān)控每個數(shù)據(jù)中心的流量，以確定異常行為是良性還是惡意。這導(dǎo)致微分段中添加了其他功能，例如沙盒數(shù)據(jù)中心工作負載。微分段還使策略能夠與工作負載相關(guān)聯(lián)，從而降低管理的復(fù)雜性，例如在服務(wù)器和數(shù)據(jù)中心之間移動工作負載。

雖然第7層防火墻、IPS/IDS 檢查和沙盒功能非常棒，但微分段的發(fā)展并沒有就此結(jié)束。由于高級持續(xù)威脅的風險越來越大，并且黑客有能力繞過多重網(wǎng)絡(luò)安全保護，微分段引入基于行為的分析。

較新的微分段產(chǎn)品和平臺通常提供網(wǎng)絡(luò)流量分析和網(wǎng)絡(luò)檢測和響應(yīng) (NDR)，使管理員能夠從任何地方收集和連接數(shù)據(jù)。由于人工智能和機器學(xué)習，NDR還可以在惡意活動在系統(tǒng)內(nèi)橫向移動之前識別它。

簡化現(xiàn)代微分段

為使微分段在企業(yè)中真正取得成功，它必須易于部署和管理。其中一種選擇是有效地對流量進行可視化和分類。企業(yè)應(yīng)尋找具有自動流量可見性以及發(fā)現(xiàn)和映射功能的平臺。

軟件定義技術(shù)繼續(xù)變得更加復(fù)雜。IT需要能夠識別、分析和映射現(xiàn)有的應(yīng)用程序流量。分析完成后，就該實施微分段策略。

對現(xiàn)代微分段感興趣的公司經(jīng)常會因為構(gòu)建每個工作流策略所需的努力而感到沮喪。但是有些工具可以簡化和自動化集成過程。