微分段是在數據中心和云部署環境中創建安全區域的一種方法，讓公司可以將工作負載彼此隔離起來，并單獨加以保護。它旨在使網絡安全更細粒度化。

微分段vs VLAN、防火墻和ACL

網絡分段不是新技術。多年來，許多公司依賴防火墻、虛擬局域網(VLAN)和訪問控制列表(ACL)用于網絡分段。借助微分段，可以將策略應用于各工作負載，從而提升抵御攻擊的能力。

ZK Research的創始人、美國《網絡世界》雜志的撰稿人Zeus Kerravala說：“VL??AN讓你可以實現非常粗糙的分段，而微分段讓你可以實現更細粒度化的分段。所以，只要你需要對流量進行細粒度劃分，就能找到微分段的身影。”

軟件定義網絡和網絡虛擬化的興起為微分段鋪平了道路。Kerravala說：“我們可以用軟件來完成任務，這一層與底層硬件相分離。這樣一來，微分段部署起來容易多了。”

微分段

微分段如何管理數據中心流量?

傳統防火墻、入侵防御系統(IPS)及其他安全系統旨在檢查和保護以南北方向進入數據中心的流量。微分段讓公司得以更有效地控制在服務器之間傳輸的越來越多的東西方向或橫向流量，繞過了注重邊界的安全工具。如果出現安全威脅，微分段限制了黑客可能對網絡所作的橫向探測。

Kerravala說：“大多數公司把所有的高價值安全工具放在數據中心核心：防火墻和IPSes。所以南北方向的流量必須通過那些防火墻傳輸。如果以東西方向傳輸，它就繞過了那些安全工具。你可以在每個互連點搭建防火墻，但這么做需要非常高昂的成本，何況也不是很靈活。”

網絡或安全專業人士在推動微分段?

微分段日漸受到追捧，但是誰應該負責微分段方面仍存在問題。在大企業，網絡安全工程師可能主導這項工作。在小公司，負責安全和網絡運營的團隊可能主導部署微分段的工作。

Kerravala說：“我不知道是否真有一個小組負責微分段。我想這取決于你用它干什么。”他發現安全和網絡專業人員對微分段頗有興趣。

“我認為，由于在大多數情況下它作為網絡覆蓋層來運行，安全運營團隊很容易部署，然后在網絡上面運行。我還看到網絡運營人員也在這么做，以此確保物聯網設備安全。他們其實是微分段的兩大目標群體。”

微分段的優點和安全挑戰

借助微分段，IT專業人員可以針對不同類型的流量定制安全設置，制定策略，從而將工作負載之間的網絡和應用程序流量限制于明確允許的那些對象。在這種零信任安全模式中，公司可以制定一個策略，規定醫療設備只能與其他醫療設備聯系。如果設備或工作負載移動，安全策略和屬性隨之移動。

目的在于減小網絡攻擊面：通過將分段規則運用于工作負載或應用程序，IT人員可以降低攻擊者從一個中招的工作負載或應用程序轉移到另一個的風險。

另一個驅動因素是運營效率。訪問控制列表、路由規則和防火墻策略會變得很笨拙，并帶來龐大的管理開銷，使得策略在迅速變化的環境中難以擴展起來。

微分段通常是用軟件完成的，這使得定義細粒度的網段更容易。借助微分段，IT人員還可以集中管理網絡分段策略，并減少所需的防火墻規則數量。

當然，這并非易事――匯總多年來的防火墻規則和訪問控制列表，將它們轉變成可以在如今復雜的分布式企業環境中執行的策略并不容易。

首先，搞清楚工作負載、應用程序和環境之間的聯系就需要可見性，許多企業缺乏這種可見性。

Kerravala說：“分段面臨的一大挑戰就是，你得知道對什么進行劃分。我的研究表明，50%的公司對于網絡上有什么IT設備基本上心里沒底。如果連網絡上有什么設備都不清楚，你怎么知道要創建哪種網段? 目前對數據中心流量缺乏可見性。”

原文標題：What is microsegmentation? How getting granular improves network security，作者：Ann Bednarz