網(wǎng)絡分隔是減小數(shù)據(jù)中心網(wǎng)絡攻擊面的最佳實踐策略。就像輪船上的水密隔艙應能在船體受損時阻隔海水灌入一樣，網(wǎng)絡分隔也應將各類服務器和系統(tǒng)區(qū)隔在單獨區(qū)域中以限制入侵者或惡意軟件橫向移動，控制潛在的安全風險或破壞。

[[228269]]

從2013年對塔吉特百貨的攻擊到最近的Equifax數(shù)據(jù)泄露，人們普遍認為這些重大數(shù)據(jù)泄露的背后原因包括缺乏有效的網(wǎng)絡分隔。但是，盡管網(wǎng)絡分隔可強化企業(yè)的安全形勢，卻也增加了復雜性和開銷，尤其是對傳統(tǒng)現(xiàn)場數(shù)據(jù)中心而言。

在這些基于硬件的環(huán)境中，創(chuàng)建內(nèi)部區(qū)域通常意味著要安裝額外的防火墻設備來管理各個域之間的流量，而這些的設備的購置、安裝和維護是耗時耗財?shù)?。因此，傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡分隔往往流于只創(chuàng)建少數(shù)幾個域。

微分隔趨勢

最近，向采用軟件定義網(wǎng)絡(SDN)的虛擬數(shù)據(jù)中心的遷移，推動了內(nèi)部網(wǎng)絡分隔的采納。SDN的靈活性讓數(shù)據(jù)中心網(wǎng)絡得以進行高級細粒度區(qū)域劃分，被分成成百上千個微網(wǎng)絡都可以。以往代價高昂且難以實現(xiàn)的安全層級如今也可以輕易達到了。所以，去年ESG分析師喬·奧爾?？瞬趴梢猿錆M自信地說，有68%的企業(yè)采用某種形式的軟件微分隔技術遏制黑客在網(wǎng)絡上橫向探索，更便捷地保護他們的應用和數(shù)據(jù)。

但盡管SDN大大便利了網(wǎng)絡分隔的實現(xiàn)，想要達到有效微分隔卻也面臨2個主要挑戰(zhàn)：數(shù)據(jù)中心里到底在哪兒布置微區(qū)域間的邊界呢?怎樣設計和管理每個區(qū)域的安全策略呢?

各種應用想要正常工作，數(shù)據(jù)中心里的網(wǎng)絡和應用流量就需要跨越多區(qū)域安全控制措施。所以多個區(qū)域控制措施中的策略必須允許這些流量通過，否則應用就沒辦法發(fā)揮功用了。而網(wǎng)絡分隔越細，微區(qū)域越多，這些安全控制策略也就要越復雜，不然就無法支持在業(yè)務應用的同時還阻隔掉非法流量。

開始微分隔過程

不過，只要方法用對，上述挑戰(zhàn)都是可以解決的。起點就在于發(fā)現(xiàn)數(shù)據(jù)中心里的所有應用流量。想要做到這一點，使用流量發(fā)現(xiàn)引擎是個不錯的辦法。這個引擎要能發(fā)現(xiàn)并分組相互間有邏輯聯(lián)系的流量，比如共享IP地址的那些——共享IP地址代表著這些流量可能支持的是同一個業(yè)務應用。

此類信息不單單局限在IP地址上，設備標簽或相關應用名稱這些額外的數(shù)據(jù)也可以添加進來。這樣就能構建一張標記了數(shù)據(jù)中心里支持業(yè)務應用正確運行的流量、服務器和安全設備的完整視圖了。

設立區(qū)域邊界

有了這張視圖就可以創(chuàng)建分隔規(guī)劃，根據(jù)所支持的業(yè)務目的或應用來確定哪些服務器和系統(tǒng)應該放到哪個網(wǎng)絡區(qū)域。支持同一業(yè)務意圖或應用的服務器相互間的通信會很頻繁，往往會共享類似的數(shù)據(jù)流，應放入同一分隔區(qū)域以更好地互動。

規(guī)劃好后就可以在數(shù)據(jù)中心網(wǎng)絡上挑選最適合放置安全過濾器的地方了，用虛擬防火墻或其他安全控制措施為各個區(qū)域筑牢安全邊界。

在設置這些過濾設備或啟用虛擬化微分隔技術創(chuàng)建各區(qū)域間邊界時，一定要記得有些應用流量是需要跨越這些邊界的。跨邊界流量需設置顯式的規(guī)則來允許它們，否則就會被封，導致依賴這些流量的應用無法正常工作。所以，一旦引入過濾措施，必須確立各種流量的處置辦法。

設置邊界規(guī)則

想要明確是否需要添加或修改特定規(guī)則，明確這些規(guī)則應該怎么設置，就得去檢查最初的發(fā)現(xiàn)過程中識別出來的應用流量，弄清流量是否已經(jīng)流經(jīng)某現(xiàn)有安全控制了。如果給定應用流量當前未流經(jīng)任何安全控制，而你又想要創(chuàng)建一個新的網(wǎng)絡區(qū)域，那就得知道新區(qū)域的邊界設立起來后該未過濾的數(shù)據(jù)流會不會被封了。如果會被新邊界阻隔，那就得新設置一條顯式規(guī)則來允許該應用流量通過邊界。

如果給定流量已經(jīng)被安全控制措施過濾，那通常就沒必要在開始分隔網(wǎng)絡時再添加什么顯式規(guī)則了。這一判斷和設置過程可以不斷重復，直到你將網(wǎng)絡分隔成可以提供所需隔離及安全層次為止。

全面管理

微分隔規(guī)劃完成后，接下來的工作就是確保微分隔與網(wǎng)絡上的安全措施和諧相處了。應用流量需要無縫流經(jīng)SDN、現(xiàn)場設備和云環(huán)境，必須保證你的策略和規(guī)則支持該無縫流轉(zhuǎn)。

能夠全面管理SDN環(huán)境中所有安全控制及現(xiàn)有傳統(tǒng)現(xiàn)場防火墻的自動化解決方案，是達成應用流量無縫流轉(zhuǎn)的最有效方式。自動化解決方案可以確保支撐網(wǎng)絡分隔策略的那些安全策略能夠統(tǒng)一應用在整個網(wǎng)絡資產(chǎn)上，同時又能夠集中監(jiān)視管理，任何改動都能被跟蹤到，方便審計。

想要實現(xiàn)有效微分隔，必須經(jīng)過審慎的規(guī)劃和細致的配置。但一旦正確實現(xiàn)，微分隔將帶來更強的安全態(tài)勢和更高的業(yè)務敏捷度。有時候，確實是越細致越好。