在數(shù)據(jù)中心邊界已消失殆盡的時代，傳統(tǒng)分隔已不足以應付各種情況。微隔離隨即登場。公司企業(yè)應如何充分利用該改進版安全架構(gòu)呢?

微隔離融合軟件定義網(wǎng)絡 (SDN) 和更好的虛擬化，打造出安全架構(gòu)最為基礎的技術之一，使安全人員得以在邊界逐漸模糊的世界中構(gòu)建清晰安全界限。

企業(yè)該如何最大程度地收獲微隔離帶來的好處呢?安全專家告訴你該做些什么。

微隔離是什么?

一直以來，網(wǎng)絡分隔都是廣受歡迎的隔離有價值受保護系統(tǒng)的常用方式。通過將網(wǎng)絡上敏感區(qū)域與不重要和防護不嚴的區(qū)域隔開，安全架構(gòu)師能夠阻止攻擊者在網(wǎng)絡上橫向移動和提權。分隔不僅可以減小成功攻擊的波及范圍，還能讓安全策略師將資金花在刀刃上，往風險最高的系統(tǒng)投入最多安全預算，而不用擔心攻擊者在低風險系統(tǒng)中占據(jù)橋頭堡的后果。

拘泥于傳統(tǒng)分隔的問題在于，該方法確實將網(wǎng)絡架構(gòu)師所謂的縱向流量，也就是進出數(shù)據(jù)中心的客戶端-服務器交互數(shù)據(jù)流，控制得非常好。但在混合云環(huán)境，數(shù)據(jù)中心邊界已消失殆盡，約 75% 到 80% 的企業(yè)流量都是橫向的，或者說，是服務器到服務器，在各應用之間的。

Firemon 技術聯(lián)盟副總裁 Tim Woods 稱：

SDN 和容器及無服務器功能等技術是真正的游戲規(guī)則改變者，讓分解工作負載資產(chǎn)、服務和應用至其自身微隔離變得更加可行，也更負擔得起。

Shield X 創(chuàng)始人兼首席研發(fā)官 Ratinder Paul Singh Ahuja 表示，過去，分隔需要重新路由硬件，這是個相當昂貴的人工過程。現(xiàn)在，網(wǎng)絡都已經(jīng)軟件定義了，可以很容易地隨云環(huán)境的經(jīng)常性變化自動完成。

從徹底映射數(shù)據(jù)流和架構(gòu)開始

說起成功微隔離部署中的最大攔路虎，安全專家首推可見性問題。分隔粒度越細，IT 部門越需要了解數(shù)據(jù)流，需要理解系統(tǒng)、應用和服務之間到底是怎樣相互溝通的。

Entrust Datacard 董事兼首席信息安全架構(gòu)師 Jarrod Stenberg 表示，你不僅需要知道有哪些數(shù)據(jù)流流經(jīng)你的路由網(wǎng)關，還需要具體追溯到單個主機，無論是實體主機還是虛擬主機。你必須擁有可供獲取此信息的基礎設施和工具，否則你的部署實現(xiàn)很可能失敗。

這就是為什么任何成功的微隔離都需要從徹底的發(fā)現(xiàn)和映射過程開始的原因。Stenberg 解釋道，作為該過程的一部分，公司企業(yè)應挖掘或編制自身應用的完備文檔，文檔可以支持未來所有微隔離決策，確保應用按既定方式運轉(zhuǎn)。

NCC Group 安全咨詢總監(jiān) Damon Small 表示，這種細致程度可能需要與供應商緊密合作，或者執(zhí)行詳細分析，確定哪里應該部署微隔離，以及如何在不引發(fā)生產(chǎn)中斷的情況下部署。

使用威脅建模來定義用例

一旦公司建立起機制獲取數(shù)據(jù)流可見性，這種理解就會開始帶來風險評估和威脅建模。然后評估和建模再反過來幫助公司確定微隔離的位置和粒度。

vArmour 產(chǎn)品及策略高級副總裁 Keith Stewart 稱：

思科 Duo Security 全球咨詢 CISO Dave Lewis 表示，在沒制定出詳細的行動計劃前，不要著手布置微隔離。因為微隔離以細粒度訪問控制實現(xiàn)，要求大量的盡職調(diào)查與對細節(jié)的關注。

WatchGuard Technologies 高級安全分析師 Marc Laliberte 表示，需要注意的一點是，微隔離可以多種不同技術方法實現(xiàn)，復雜程度也各不相同。

以業(yè)務需求進行平衡控制

威脅建模過程中，推進微隔離的策略師在設計微隔離時需時刻考慮到商業(yè)利益。

SAP NS2 CISO Ted Wagner 稱表示，全面鋪開的時候，分隔方案既要符合安全需求，也要提供必要的訪問權，讓應用和過程能無縫銜接，平滑工作。方案不能孤立設計或?qū)崿F(xiàn)，得經(jīng)過很多利益相關方的審查。

微隔離的成功需要安全部門與來自業(yè)務和 IT 的利益相關者協(xié)作，從一開始就深入了解所有這些流動中的應用和業(yè)務過程是怎么協(xié)同工作的。

Palo Alto Networks 全球系統(tǒng)工程高級副總裁 Scott Stevens 表示，有必要組建一支由企業(yè)主、網(wǎng)絡架構(gòu)師、IT 安全人員和應用架構(gòu)師組成的多樣化團隊來實現(xiàn)該過程。

打造一支全方位團隊還有助企業(yè)預先設立期望值，避開可能腰斬項目的那類政治問題。

思科的 Lewis 稱，實現(xiàn)微隔離的主要障礙存在于和業(yè)務部門之間的溝通。以前就常在出問題時聽人抱怨 “這肯定是防火墻弄的”。現(xiàn)在，微隔離成了內(nèi)部業(yè)務部門刻薄批評的對象。

采用階段式方法

專家建議，開始微隔離的公司企業(yè)理性對待微隔離項目推進速度。

Stevens 支招，從專注實用方法開始，而不是一來就搞大翻修。熟悉該過程的基本步驟：識別信息在公司中的流動方式，基于該信息流建立分隔的網(wǎng)絡，創(chuàng)建更新的安全策略，納入必需的安全功能，然后準備持續(xù)監(jiān)視和更新該網(wǎng)絡。

Entrust Datacard 的 Stenberg 建議采用一次處理一個應用的階段式方法。

Ericom Software CTO Nick Kael 表示，微隔離項目不僅應該分解成可管理的部分分階段實施，其部署過程也應設置能反映階段性進展的里程碑和度量指標。這些項目可能復雜且耗時，所以在過程中顯示進展很重要。

建立微隔離可持續(xù)性

隨著公司不斷往微隔離中引入更多資產(chǎn)，負責團隊需考慮長遠發(fā)展。正如 Woods 解釋的，微隔離不是“設置了就可以丟開不管”的策略。

這意味著，企業(yè)需設立長期機制以維持數(shù)據(jù)流的可見性，設置技術功能以靈活維護策略改變與實施要求。還意味著需清晰描述微隔離配置管理中各人都負責做些什么。

SAP NS2 的 Wagner 表示，微隔離管理的角色和責任同樣很重要。微隔離規(guī)則的改變應經(jīng)過審查，類似配置控制委員會這種運營和安全團隊可驗證變更適當性的地方。

同時，企業(yè)不想受人工審批和修改過程的掣肘。所以，應嘗試盡可能往維護過程中引入自動化。

Edgewise Networks 創(chuàng)始人兼 CEO Peter Smith 稱：

在策略方面，人類操作員將是最終決策者，但自動化應能幫助縮短審查所有東西的過程。

長遠看，實行微隔離的所有努力都能幫助企業(yè)大幅降低不可避免的安全入侵風險。微隔離在增加安全控制的同時，還保留了發(fā)揮現(xiàn)代工作流和混合基礎設施優(yōu)勢所必需的靈活性，而最終，無論你將其視為遵從最小權限原則還是實行零信任，微隔離都可幫助安全團隊以細粒度維持 IT 資產(chǎn)的保密性、完整性和可用性。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文