微分隔是什么?細粒度如何提升網絡安全
微分隔(或稱微隔離)是在數據中心和云部署中創建安全域的一種方法,可以起到隔離工作負載并進行個別防護的效果,其目標就是實現更細粒度的網絡安全。
微分隔與VLAN、防火墻和ACL的對比
網絡分隔并不是新鮮概念。公司企業多年來都在依靠防火墻、虛擬局域網(VLAN)和訪問控制列表(ACL)分隔各類網絡。而微分隔模式下,策略可以應用到單個工作負載上,達到更高的攻擊抗性。
市場研究公司 ZK Research 創始人稱:“ VLAN實現粗粒度的分隔,微分隔則使你能夠進行更細粒度的分隔。所以,在需要深入隔離流量的時候,微分隔是你的不二選擇。”
軟件定義網絡和網絡虛擬化的興起為微分隔鋪平了道路。這兩種技術令企業可以在硬件無關的軟件層上工作,更容易部署分隔。
微分隔如何管理數據中心流量
傳統防火墻、入侵防護系統(IPS)和其他安全系統是縱向檢測并保護流進數據中心的流量的。微分隔讓公司企業對繞過邊界防護工具流竄在服務器之間的橫向通信有了更多的控制。
大多數公司將所有高價值安全工具安置在數據中心核心部位。縱向流量便不得不流經這些防火墻和IPS。但如果流量是橫向的,這些安全工具就會被繞過,起不到防護作用。當然,也可以在所有連接點放置防火墻,但這么做的成本必然很高,而且還缺乏敏捷性。
誰來主抓微分隔?
微分隔正呈上升趨勢,但到底誰來主管微分隔卻還有些問題。大型企業里,網絡安全工程師可能會是微分隔工作主管。小型企業中,涉及安全和網絡運營的團隊或許會主抓微分隔部署工作。
未必會一個專門的團隊來管微分隔。是否建立那么一支隊伍取決于企業怎么使用微分隔。
因為大多數情況下微分隔類似于覆蓋在網絡上的疊加層,所以安全團隊很容易在網絡上部署并運營微分隔。不過,網絡運營團隊也會使用微分隔,比如說,作為IoT設備的防護措施。安全團隊和網絡運營團隊就是企業中微分隔的主要受眾。
微分隔的好處和安全挑戰
有了微分隔,IT人員就可以為不同類型的流量定制相應的安全設置,創建規則限制網絡和應用流量只流向明確許可的位置。比如說,在這種零信任安全模型下,公司可以設置一條規則,聲明醫療設備僅可與其他醫療設備通信,不能通聯其他類型的設備。而如果某設備或工作負載發生了遷移,該安全策略和屬性隨之遷移。
應用微分隔的目標是要減小網絡攻擊界面。在工作負載或應用程序層級采用微分隔規則,IT部門就可以減少攻擊者從已攻破工作負載或應用程序上感染其他工作負載或應用的風險。
微分隔的另一個好處就是可以提升運營效率。訪問控制列表、路由規則和防火墻策略會變得大而無當,增加很多管理開銷,很難在快速變化的環境中靈活擴展。
微分隔通常是在軟件層進行,便于定義細粒度的隔離。IT可以集中網絡分隔策略,減少所需的防火墻規則數量。
當然,這不是能一蹴而就的。整合經年累月的防火墻規則和訪問控制列表,并轉譯成可在當今復雜分布式企業環境中應用的策略,可不是件容易的事。
首先,梳理出工作負載、應用和環境之間的連接,就需要對整個企業環境的可見性。而可見性正是很多企業所欠缺的。
微分隔應用上的一大挑戰就是必須清楚哪些東西是需要分隔的。有研究表明,50%的公司都不確定自己網絡上有哪些IT設備。如果連網絡上有哪些設備都不知道,你又怎么知道該創建哪種分隔呢?太多公司都缺乏對數據中心流量的可見性。
