盡管在過去幾年中企業(yè)安全架構(gòu)進行了一系列改進，但有一個重要轉(zhuǎn)型已經(jīng)達成共識，那就是企業(yè)不能僅依靠外圍邊界的“馬其頓防線”來阻止網(wǎng)絡(luò)攻擊者。通過將IT環(huán)境劃分為可控的細分區(qū)間——即所謂的“微隔離”，能有效解決未經(jīng)授權(quán)的橫向移動的挑戰(zhàn)，使企業(yè)能夠安全地隔離工作負載，實現(xiàn)細粒度的網(wǎng)絡(luò)保護。

如今，網(wǎng)絡(luò)攻擊者正在不斷嘗試繞過安全措施的新方法，因此能夠有效阻斷橫向移動的微隔離已成為主流安全技術(shù)之一。

微隔離與SDP和零信任架構(gòu)的關(guān)系

一個典型的基于SDP/微隔離框架的零信任架構(gòu)

提到微隔離，我們有必要先回顧一下零信任架構(gòu)的概念。零信任是一個全新的安全機制和構(gòu)想，即所有資產(chǎn)都必須先經(jīng)過身份驗證和授權(quán)，然后才能啟動與另一資產(chǎn)的通信。SDP是一種零信任實現(xiàn)框架，通過使用微隔離在資產(chǎn)之間創(chuàng)建信任關(guān)系，將零信任安全性概念應用于網(wǎng)絡(luò)中。SDP可以作為有效的網(wǎng)絡(luò)安全控制措施，使組織更能抵御傳統(tǒng)的網(wǎng)絡(luò)安全攻擊。因此，微隔離是基于SDP實現(xiàn)零信任架構(gòu)的重要技術(shù)，但是與很多新興技術(shù)一樣，SDP也有很多實現(xiàn)方法和路徑，不同的企業(yè)需要根據(jù)自身需求以及不同方法的優(yōu)缺點來選擇適合自己的道路。

微隔離的工作原理

微隔離不僅是網(wǎng)絡(luò)性能和管理分段技術(shù)所邁出的一步，也是專門為解決關(guān)鍵網(wǎng)絡(luò)安全問題而設(shè)計的，可以降低風險并使安全性能夠適應不斷變化的IT環(huán)境。

過去二十年間，信息安全專家們已經(jīng)大量探討了零信任技術(shù)的各種實施方案和潛在問題。瞻博網(wǎng)絡(luò)(Juniper)技術(shù)安全負責人Trevor Pott認為：“微隔離是'安全簡化'的實現(xiàn)，”它擁有自動化和編排工具，提供詳細報告和復雜的圖形用戶界面。他補充說：“如今，我們不再有任何借口不去做我們20年前就應該做的事情。”

微隔離通過單個中央策略將安全性實施分配到每個單獨的系統(tǒng)。網(wǎng)絡(luò)安全提供商OPAQ的首席技術(shù)官湯姆·克羅斯(Tom Cross)解釋說：“微隔離使整個企業(yè)網(wǎng)絡(luò)(而不只是在邊界)可以執(zhí)行精細的安全策略。”“這種方法是必要的，因為外圍安全有時會失敗，并且因為云計算的應用普及，網(wǎng)絡(luò)外圍正變得千瘡百孔。”

微隔離仍然依靠傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，例如訪問控制網(wǎng)絡(luò)。IT服務提供商Entrust Solutions的IT主管兼網(wǎng)絡(luò)安全專家Brad Willman表示：“微隔離的獨特之處在于，這些(傳統(tǒng))安全方法適用于微隔離網(wǎng)絡(luò)中的各個工作負載。”

微隔離已經(jīng)吸引了許多企業(yè)和機構(gòu)的關(guān)注。IT咨詢公司Kelser的高級咨詢工程師Andrew Tyler認為：“微隔離是一種策略，它不僅可以防止數(shù)據(jù)泄露，而且還可以通過將泄露限制在網(wǎng)絡(luò)的一個局部來極大地減少破壞(如果發(fā)生)。”

不同的微隔離方法

Cross建議，技術(shù)高明的攻擊者在嘗試滲透企業(yè)資源時會采用多個步驟，因此基礎(chǔ)架構(gòu)防御者應考慮在每個步驟上建立控制措施。他說：“系統(tǒng)之間的內(nèi)部橫向化移動在最近的安全事件中起了關(guān)鍵作用，諸如Mimikatz和Bloodhound之類的工具為攻擊者提供了豐富的功能。”“微隔離可以有效切斷防御者在內(nèi)部網(wǎng)絡(luò)中傳播的潛在路徑，使防御者能夠有效破壞攻擊行動。”

需要重點指出的是，微隔離不僅是面向數(shù)據(jù)中心的技術(shù)。Cross說：“許多安全事件始于最終用戶工作站，因為員工單擊釣魚鏈接，或者他們的系統(tǒng)受到其他方式的破壞。”從最初的感染點開始，攻擊者可以流竄到整個企業(yè)網(wǎng)絡(luò)。他解釋說：“微隔離平臺應該能夠通過單個控制臺在數(shù)據(jù)中心，云工作負載和最終用戶工作站上實施策略。”“它還應該能夠阻止攻擊在任何這些環(huán)境中的橫向傳播。”

與許多新興技術(shù)一樣，安全供應商正從各個方向著手實現(xiàn)微隔離方案。三種傳統(tǒng)的微隔離類型是基于主機代理的微隔離，基于虛擬機監(jiān)控程序和網(wǎng)絡(luò)隔離。

(1) 基于主機代理。這種微隔離類型依賴位于端點中的代理。所有數(shù)據(jù)流都是可見的并將其中繼到中央管理器，這種方法可以減輕發(fā)現(xiàn)挑戰(zhàn)性協(xié)議或加密流量的麻煩。主機代理技術(shù)通常被認為是一種高效的微隔離方法。“由于受感染的設(shè)備是主機，因此良好的主機策略甚至可以阻止問題進入網(wǎng)絡(luò)，”軟件開發(fā)和IT服務初創(chuàng)公司Mulytic Labs的CTO David Johnson說道。但是，它要求所有主機都安裝軟件，“對遺留操作系統(tǒng)和舊系統(tǒng)可能并不友好”。

(2) 基于虛擬機監(jiān)控程序。使用這種微隔離，所有流量都流經(jīng)管理程序。Johnson解釋說：“監(jiān)視虛擬機管理程序流量的能力意味著人們可以使用現(xiàn)有的防火墻，并且可以根據(jù)日常運營實例的需要將策略轉(zhuǎn)移至新的虛擬機管理程序。”這種方法的缺點是虛擬機管理程序分段通常不適用于云環(huán)境、容器或裸機。他建議說：“在能夠派上用場的場景中，基于虛擬機監(jiān)控程序的方法非常有效。”

(3) 網(wǎng)絡(luò)隔離。這種方法基本上是對現(xiàn)有安全架構(gòu)的擴展，它基于訪問控制列表(ACL)和其他經(jīng)過時間檢驗的方法進行細分。約翰遜說：“到目前為止，這是最簡單的方法，因為大多數(shù)網(wǎng)絡(luò)專業(yè)人員都熟悉這種方法。”“但是，大型網(wǎng)絡(luò)段可能無法實現(xiàn)微隔離，并且這種做法在大型數(shù)據(jù)中心中管理起來可能既復雜又昂貴。”

在購買微隔離工具時，重要的是要記住，并非所有微隔離產(chǎn)品都能很好地適合這三個基本類別。許多供應商正在探索提供彈性網(wǎng)絡(luò)微隔離的新方法和改進的方法，例如機器學習和AI 監(jiān)控。在投入任何特定的微隔離產(chǎn)品之前，請確保詳細了解供應商的特定技術(shù)方法，以及是否與企業(yè)自身的架構(gòu)和運營要求存在兼容性問題。

微隔離的缺點

盡管優(yōu)點一大堆，但微隔離也帶來了一些應用和操作方面的挑戰(zhàn)。當有供應商向你兜售“一鍵式”解決方案的時候，企業(yè)安全主管尤其需要警惕，因為微隔離的初始部署通常會特別麻煩。Tyler警告說：“實施微隔離對有些業(yè)務和應用可能會具有破壞性。”“您可能會發(fā)現(xiàn)一些不支持微隔離的關(guān)鍵業(yè)務功能和應用打嗝。”

另一個潛在的絆腳石是制定解決每個內(nèi)部系統(tǒng)需求的策略。對于很多企業(yè)而言，這可能是一個復雜且耗時的過程，因為在重新權(quán)衡和定義IT政策及其含義時，可能會發(fā)生內(nèi)部斗爭。Cross觀察到：“在大多數(shù)組織中，任何對內(nèi)部控制的觸動都會阻力重重。”

當高敏感度資產(chǎn)和低敏感度資產(chǎn)同時存在于同一安全邊界內(nèi)時，了解不同網(wǎng)絡(luò)通信所需匹配的端口和協(xié)議(以及方向)是很重要的。實施不當會導致網(wǎng)絡(luò)意外中斷。NCC集團北美公司技術(shù)總監(jiān)，關(guān)鍵基礎(chǔ)設(shè)施防御專家達蒙·斯莫爾(Damon Small)表示：“此外，請記住，實施微隔離所需的更改可能需要停機，因此精心計劃很重要。” 。

微隔離技術(shù)一般都支持各種流行操作系統(tǒng)(例如Linux、Windows和MacOS)環(huán)境。但對于使用大型機或其他舊技術(shù)的組織而言，微隔離技術(shù)的兼容性并不樂觀。Cross警告說：“他們可能發(fā)現(xiàn)微隔離軟件不適用于這些遺留平臺。”

微隔離入門

要成功部署微隔離，必須對網(wǎng)絡(luò)體系結(jié)構(gòu)以及受支持的系統(tǒng)和應用程序有詳細的了解。Small指出：“具體來說，企業(yè)應該知道系統(tǒng)之間如何通信。”“具體可能需要與供應商緊密合作或進行詳細分析，以確定應將微隔離放置在何處以及如何以不中斷生產(chǎn)的方式來放置微分段。”

啟動微隔離計劃的最佳方法是制定詳細的資產(chǎn)管理計劃。Pott說：“在全面掌握網(wǎng)絡(luò)資產(chǎn)并設(shè)計出一些方法對這些系統(tǒng)進行分類之前，您無法對如何分割網(wǎng)絡(luò)做出理性的決定。”

解決了資產(chǎn)發(fā)現(xiàn)、分類和管理自動化問題后，IT環(huán)境才算是為微隔離準備就緒。Pott建議說：“現(xiàn)在，安全主管們是時候到安全廠商那里購物了，并提出很多有關(guān)總擁有成本，集成能力，可擴展性的尖銳問題。”

Cross觀察到，微隔離平臺的性能取決于執(zhí)行策略。他說：“用戶需要了解攻擊者的攻擊環(huán)節(jié)和步驟，并確保其策略能切斷最有價值的途徑，這一點很重要。”“一些簡單的規(guī)則可以將Windows Networking、RDP服務和SSH在內(nèi)部網(wǎng)絡(luò)上的使用范圍縮小到特定用戶，從而可以抵御流行的攻擊技術(shù)，而不會干擾業(yè)務流程。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文