微分隔(或稱微隔離)是在數(shù)據(jù)中心和云部署中創(chuàng)建安全域的一種方法，可以起到隔離工作負(fù)載并進行個別防護的效果，其目標(biāo)就是實現(xiàn)更細(xì)粒度的網(wǎng)絡(luò)安全。

[[220506]]

微分隔與VLAN、防火墻和ACL的對比

網(wǎng)絡(luò)分隔并不是新鮮概念。公司企業(yè)多年來都在依靠防火墻、虛擬局域網(wǎng)(VLAN)和訪問控制列表(ACL)分隔各類網(wǎng)絡(luò)。而微分隔模式下，策略可以應(yīng)用到單個工作負(fù)載上，達到更高的攻擊抗性。

市場研究公司 ZK Research 創(chuàng)始人稱：“ VLAN實現(xiàn)粗粒度的分隔，微分隔則使你能夠進行更細(xì)粒度的分隔。所以，在需要深入隔離流量的時候，微分隔是你的不二選擇。”

軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)虛擬化的興起為微分隔鋪平了道路。這兩種技術(shù)令企業(yè)可以在硬件無關(guān)的軟件層上工作，更容易部署分隔。

微分隔如何管理數(shù)據(jù)中心流量

傳統(tǒng)防火墻、入侵防護系統(tǒng)(IPS)和其他安全系統(tǒng)是縱向檢測并保護流進數(shù)據(jù)中心的流量的。微分隔讓公司企業(yè)對繞過邊界防護工具流竄在服務(wù)器之間的橫向通信有了更多的控制。

大多數(shù)公司將所有高價值安全工具安置在數(shù)據(jù)中心核心部位?？v向流量便不得不流經(jīng)這些防火墻和IPS。但如果流量是橫向的，這些安全工具就會被繞過，起不到防護作用。當(dāng)然，也可以在所有連接點放置防火墻，但這么做的成本必然很高，而且還缺乏敏捷性。

誰來主抓微分隔?

微分隔正呈上升趨勢，但到底誰來主管微分隔卻還有些問題。大型企業(yè)里，網(wǎng)絡(luò)安全工程師可能會是微分隔工作主管。小型企業(yè)中，涉及安全和網(wǎng)絡(luò)運營的團隊或許會主抓微分隔部署工作。

未必會一個專門的團隊來管微分隔。是否建立那么一支隊伍取決于企業(yè)怎么使用微分隔。

因為大多數(shù)情況下微分隔類似于覆蓋在網(wǎng)絡(luò)上的疊加層，所以安全團隊很容易在網(wǎng)絡(luò)上部署并運營微分隔。不過，網(wǎng)絡(luò)運營團隊也會使用微分隔，比如說，作為IoT設(shè)備的防護措施。安全團隊和網(wǎng)絡(luò)運營團隊就是企業(yè)中微分隔的主要受眾。

微分隔的好處和安全挑戰(zhàn)

有了微分隔，IT人員就可以為不同類型的流量定制相應(yīng)的安全設(shè)置，創(chuàng)建規(guī)則限制網(wǎng)絡(luò)和應(yīng)用流量只流向明確許可的位置。比如說，在這種零信任安全模型下，公司可以設(shè)置一條規(guī)則，聲明醫(yī)療設(shè)備僅可與其他醫(yī)療設(shè)備通信，不能通聯(lián)其他類型的設(shè)備。而如果某設(shè)備或工作負(fù)載發(fā)生了遷移，該安全策略和屬性隨之遷移。

應(yīng)用微分隔的目標(biāo)是要減小網(wǎng)絡(luò)攻擊界面。在工作負(fù)載或應(yīng)用程序?qū)蛹壊捎梦⒎指粢?guī)則，IT部門就可以減少攻擊者從已攻破工作負(fù)載或應(yīng)用程序上感染其他工作負(fù)載或應(yīng)用的風(fēng)險。

微分隔的另一個好處就是可以提升運營效率。訪問控制列表、路由規(guī)則和防火墻策略會變得大而無當(dāng)，增加很多管理開銷，很難在快速變化的環(huán)境中靈活擴展。

微分隔通常是在軟件層進行，便于定義細(xì)粒度的隔離。IT可以集中網(wǎng)絡(luò)分隔策略，減少所需的防火墻規(guī)則數(shù)量。

當(dāng)然，這不是能一蹴而就的。整合經(jīng)年累月的防火墻規(guī)則和訪問控制列表，并轉(zhuǎn)譯成可在當(dāng)今復(fù)雜分布式企業(yè)環(huán)境中應(yīng)用的策略，可不是件容易的事。

首先，梳理出工作負(fù)載、應(yīng)用和環(huán)境之間的連接，就需要對整個企業(yè)環(huán)境的可見性。而可見性正是很多企業(yè)所欠缺的。

微分隔應(yīng)用上的一大挑戰(zhàn)就是必須清楚哪些東西是需要分隔的。有研究表明，50%的公司都不確定自己網(wǎng)絡(luò)上有哪些IT設(shè)備。如果連網(wǎng)絡(luò)上有哪些設(shè)備都不知道，你又怎么知道該創(chuàng)建哪種分隔呢?太多公司都缺乏對數(shù)據(jù)中心流量的可見性。