微分段是什么?細粒度化如何增強網(wǎng)絡(luò)安全?
微分段是在數(shù)據(jù)中心和云部署環(huán)境中創(chuàng)建安全區(qū)域的一種方法,讓公司可以將工作負(fù)載彼此隔離起來,并單獨加以保護。它旨在使網(wǎng)絡(luò)安全更細粒度化。
微分段vs VLAN、防火墻和ACL
網(wǎng)絡(luò)分段不是新技術(shù)。多年來,許多公司依賴防火墻、虛擬局域網(wǎng)(VLAN)和訪問控制列表(ACL)用于網(wǎng)絡(luò)分段。借助微分段,可以將策略應(yīng)用于各工作負(fù)載,從而提升抵御攻擊的能力。
ZK Research的創(chuàng)始人、美國《網(wǎng)絡(luò)世界》雜志的撰稿人Zeus Kerravala說:“VL??AN讓你可以實現(xiàn)非常粗糙的分段,而微分段讓你可以實現(xiàn)更細粒度化的分段。所以,只要你需要對流量進行細粒度劃分,就能找到微分段的身影。”
軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)虛擬化的興起為微分段鋪平了道路。Kerravala說:“我們可以用軟件來完成任務(wù),這一層與底層硬件相分離。這樣一來,微分段部署起來容易多了。”
微分段
微分段如何管理數(shù)據(jù)中心流量?
傳統(tǒng)防火墻、入侵防御系統(tǒng)(IPS)及其他安全系統(tǒng)旨在檢查和保護以南北方向進入數(shù)據(jù)中心的流量。微分段讓公司得以更有效地控制在服務(wù)器之間傳輸?shù)脑絹碓蕉嗟臇|西方向或橫向流量,繞過了注重邊界的安全工具。如果出現(xiàn)安全威脅,微分段限制了黑客可能對網(wǎng)絡(luò)所作的橫向探測。
Kerravala說:“大多數(shù)公司把所有的高價值安全工具放在數(shù)據(jù)中心核心:防火墻和IPSes。所以南北方向的流量必須通過那些防火墻傳輸。如果以東西方向傳輸,它就繞過了那些安全工具。你可以在每個互連點搭建防火墻,但這么做需要非常高昂的成本,何況也不是很靈活。”
網(wǎng)絡(luò)或安全專業(yè)人士在推動微分段?
微分段日漸受到追捧,但是誰應(yīng)該負(fù)責(zé)微分段方面仍存在問題。在大企業(yè),網(wǎng)絡(luò)安全工程師可能主導(dǎo)這項工作。在小公司,負(fù)責(zé)安全和網(wǎng)絡(luò)運營的團隊可能主導(dǎo)部署微分段的工作。
Kerravala說:“我不知道是否真有一個小組負(fù)責(zé)微分段。我想這取決于你用它干什么。”他發(fā)現(xiàn)安全和網(wǎng)絡(luò)專業(yè)人員對微分段頗有興趣。
“我認(rèn)為,由于在大多數(shù)情況下它作為網(wǎng)絡(luò)覆蓋層來運行,安全運營團隊很容易部署,然后在網(wǎng)絡(luò)上面運行。我還看到網(wǎng)絡(luò)運營人員也在這么做,以此確保物聯(lián)網(wǎng)設(shè)備安全。他們其實是微分段的兩大目標(biāo)群體。”
微分段的優(yōu)點和安全挑戰(zhàn)
借助微分段,IT專業(yè)人員可以針對不同類型的流量定制安全設(shè)置,制定策略,從而將工作負(fù)載之間的網(wǎng)絡(luò)和應(yīng)用程序流量限制于明確允許的那些對象。在這種零信任安全模式中,公司可以制定一個策略,規(guī)定醫(yī)療設(shè)備只能與其他醫(yī)療設(shè)備聯(lián)系。如果設(shè)備或工作負(fù)載移動,安全策略和屬性隨之移動。
目的在于減小網(wǎng)絡(luò)攻擊面:通過將分段規(guī)則運用于工作負(fù)載或應(yīng)用程序,IT人員可以降低攻擊者從一個中招的工作負(fù)載或應(yīng)用程序轉(zhuǎn)移到另一個的風(fēng)險。
另一個驅(qū)動因素是運營效率。訪問控制列表、路由規(guī)則和防火墻策略會變得很笨拙,并帶來龐大的管理開銷,使得策略在迅速變化的環(huán)境中難以擴展起來。
微分段通常是用軟件完成的,這使得定義細粒度的網(wǎng)段更容易。借助微分段,IT人員還可以集中管理網(wǎng)絡(luò)分段策略,并減少所需的防火墻規(guī)則數(shù)量。
當(dāng)然,這并非易事――匯總多年來的防火墻規(guī)則和訪問控制列表,將它們轉(zhuǎn)變成可以在如今復(fù)雜的分布式企業(yè)環(huán)境中執(zhí)行的策略并不容易。
首先,搞清楚工作負(fù)載、應(yīng)用程序和環(huán)境之間的聯(lián)系就需要可見性,許多企業(yè)缺乏這種可見性。
Kerravala說:“分段面臨的一大挑戰(zhàn)就是,你得知道對什么進行劃分。我的研究表明,50%的公司對于網(wǎng)絡(luò)上有什么IT設(shè)備基本上心里沒底。如果連網(wǎng)絡(luò)上有什么設(shè)備都不清楚,你怎么知道要創(chuàng)建哪種網(wǎng)段? 目前對數(shù)據(jù)中心流量缺乏可見性。”
原文標(biāo)題:What is microsegmentation? How getting granular improves network security,作者:Ann Bednarz
責(zé)任編輯:任我行
