很多IT基础架构专业人士仅将微分段视为限制数据中心服务器、应用程序和工作负载之间访问的方法。然而,微分段已经远远超出这种最初的能力,现在可为公司提供另一种接受零信任的方式。
为什么企业要采用微分段
现在企业面临的一项严峻挑战是如何防止攻击者在越过安全边界后在数据中心内横向移动。
我们在各种新闻中看到关于攻击者破坏公司网络的故事。一旦入侵企业网络,攻击者可以访问任何东西而几乎没有任何障碍。对此,很多公司正在实施零信任,更具体地说,是微分段。这种方法使攻击者难以在系统内自由横向移动。
这些年来微分段是如何发展的?
在早期,从网络安全和基础设施可扩展性的角度来看,微分段的功能有限。
VMware公司产品营销高级总监Vivek Bhandari表示,防止攻击者在数据中心横向移动的一种早期方法涉及通过第4层防火墙的物理或逻辑段。分段最初限制企业扩大流量的能力,因为流量都需要通过中央防火墙。分段的粒度性质也意味着策略管理变得更加困难。
为了解决早期的微分段问题,供应商开发了在网络级别工作的软件定义产品和平台。例如,软件定义的网络平台使防火墙可以处于管理程序级别。通过使用此级别的防火墙,管理员可以为所有虚拟机部署微分段。较新的微分段产品适用于第7层防火墙,可以在应用程序和用户ID级别进行保护。
通过虚拟化、分布式防火墙的精细访问控制是打击未经授权的横向移动的重大进步。然而,企业很快就想要一种方法以将他们的信任检测和预防系统 (IDSes/IPSes) 直接分发到虚拟机管理程序上。此外,他们还需要全系统模拟沙盒来检测未知的零日威胁,因为这些威胁无法使用基于签名的检测技术进行识别。这使得IDS/IPS和网络沙盒服务再次与集中式网络安全设备分离,并置于虚拟机管理程序中。
为了成功部署微分段,管理员不应该只是分段流量。根据Bhandari的说法,应该监控每个数据中心的流量,以确定异常行为是良性还是恶意。这导致微分段中添加了其他功能,例如沙盒数据中心工作负载。微分段还使策略能够与工作负载相关联,从而降低管理的复杂性,例如在服务器和数据中心之间移动工作负载。
虽然第7层防火墙、IPS/IDS 检查和沙盒功能非常棒,但微分段的发展并没有就此结束。由于高级持续威胁的风险越来越大,并且黑客有能力绕过多重网络安全保护,微分段引入基于行为的分析。
较新的微分段产品和平台通常提供网络流量分析和网络检测和响应 (NDR),使管理员能够从任何地方收集和连接数据。由于人工智能和机器学习,NDR还可以在恶意活动在系统内横向移动之前识别它。
简化现代微分段
为使微分段在企业中真正取得成功,它必须易于部署和管理。其中一种选择是有效地对流量进行可视化和分类。企业应寻找具有自动流量可见性以及发现和映射功能的平台。
软件定义技术继续变得更加复杂。IT需要能够识别、分析和映射现有的应用程序流量。分析完成后,就该实施微分段策略。
对现代微分段感兴趣的公司经常会因为构建每个工作流策略所需的努力而感到沮丧。但是有些工具可以简化和自动化集成过程。