微分段是一種允許應用程序在虛擬化網絡環境后面的自己的安全區域中運行的技術。通過純軟件的安全方法,微分段消除了對基于硬件的防火墻的需求。由于它在工作負載和流程級別上設置和實施安全策略,微分段即使在網絡遷移或重新配置的情況下也能使安全持久。
什么是微分段?
微分段是網絡虛擬化的一個主要賣點,它通過在傳統物理網絡之上運行的邏輯虛擬網絡來抽象網絡服務。微分段對隔離的強調意味著在數據中心和云環境后面運行的物理網絡中的任何重組都不會影響虛擬化工作負載,從而使它們能夠在安全策略保持不變的情況下運行。即使工作負載在域之間移動,安全策略仍然存在。這種持久的安全性是微分段的主要特征和優勢。
在傳統網絡中,安全與硬件相關,從防火墻到各個工作站。在操作上,安全性是在服務器和訪問它們的客戶端之間實現的。如果網絡發生變化,則需要重新配置安全策略。否則,安全性可能會崩潰,網絡也會受到威脅。此外,在網絡中出現安全漏洞的情況下,由于同類安全區域,廣泛破壞的可能性會被放大。上述缺點解釋了為什么傳統網絡架構在數據中心環境和云平臺中往往效果不佳。
如何使用微分段配置安全性?
通過微分段,可以根據應用程序及其工作負載、使用這些工作負載的位置以及這些工作負載需要訪問的數據來配置安全性。安全策略可以這樣設置,只要工作負載試圖違反策略中規定的規則運行,它的網絡訪問就會被關閉。同樣的功能可以向下擴展到進程級別,從而允許在網絡安全中實現更精細的粒度。在操作上,微分段最適合在服務器到服務器和訪問它們的應用程序之間流動的流量。這使其成為數據中心和云平臺的理想選擇。
確保您的組織在實施微分段時不依賴于任何特定供應商。您的方法應該適用于物理服務器、虛擬機和云提供商,而不管供應商是什么。通過確保平臺獨立性,當您的組織擴展其網絡時,與其他供應商的集成變得更加容易。
微分段的用例
微分段對于具有安全性和合規性意識的組織、通用開發和生產系統很有用。用例如下所述:
軟資產安全
需要保護客戶信息、員工信息、財務數據和知識產權等軟資產。微分段提供了額外的安全層,可保護軟資產免受惡意操作和滲漏。
開發和生產系統
將開發和測試環境分開并不一定能防止開發人員從生產數據庫中獲取客戶信息等粗心行為。微分段通過限制開發和測試環境之間的連接性來進行嚴格的分離。
事件響應
微分段還可以防止威脅在段之間移動并提供日志信息。這使其成為事件響應和查明安全問題的完美解決方案。
混合云管理
微分段還允許您跨多個數據中心和服務提供商實施統一的安全策略,從而保護跨越多個混合云部署的應用程序。
PCI合規性
支付卡行業 (PCI) 合規性要求組織安全地處理信用卡信息,從而減少敏感持卡人信息的數據泄露。網絡分段是實現它的方法,使 PCI 合規性成為一個很好的用例。
醫療機構
醫療保健組織應保護個人健康信息 (PHI) 以符合網絡安全合規框架,關鍵安全控制是實現這一目標的一種方式。微分段、準確映射、敏感系統隔離和網絡連接控制有助于實現與醫療保健相關的合規性目標。
微分段和網絡分段之間的差異
隨著數據中心不斷從物理向虛擬、從企業向云發展,它們面臨的安全挑戰也在不斷增加。近年來,從網絡分段演變而來的微分段已成為應對安全挑戰的替代解決方案。雖然網絡分段和微分段可能具有提高網絡安全性的相同目標,但它們之間存在顯著差異,如下表所示:
| 特征 | 網絡分割 | 微分段 |
| 定義 | 網絡分段將網絡劃分為多個子網或網段,每個子網作為自己的網段。 | 微分段以隔離和保護工作負載的方式將數據中心和云環境劃分為不同的區域。 |
| 實施方式 | 通常,組織可以使用虛擬局域網 (VLAN)、訪問控制列表 (ACL) 和防火墻規則來實施安全策略。 | 雖然通過傳統網絡技術可以實現微分段,但大多數組織使用軟件定義網絡 (SDN) 來定義和管理跨多個工作負載的安全性。 |
| 政策 | 它使用課程政策。它基于邊界防御的概念,使用子網、VLAN、端口、協議來區分來自網絡不同部分的流量。組織使用課程策略來防止威脅從外部網絡向內部網絡的南北移動。 | 它使用精細策略。IT 管理員可以通過為更敏感的工作負載創建特定策略來加強安全性。通過利用精細策略,組織可以防止威脅在內部網絡中橫向移動(東西向)。 |
| 政策執行 | 策略在 VLAN 和子網上實施。 | 策略在虛擬機 (VM) 和主機上實施。 |
| 管理與控制 | 集中管理不是強制性的。 | 管理是集中的。這最大限度地減少了在多個主機中管理安全性的開銷。 |
| 網絡虛擬化 | 網絡虛擬化不是強制性的。組織仍然可以使用傳統的網絡技術來實現安全性。 | 通過 SDN 必須進行網絡虛擬化。 |
微分段的好處
憑借其針對工作負載和流程級別設置的細粒度安全功能,微分段使組織能夠實現以下目標:
最大入侵檢測
工作負載提供有限的攻擊面,使其非常適合用于數據中心的各種部署模型。防止未經授權訪問工作負載范圍之外的任何內容。當應用程序被添加到環境中時,對策略進行必要的調整,從而使網絡保持安全。
改進的損壞控制
將隔離的工作負載作為安全區域,安全漏洞造成的損害是有限的。就其本質而言,在工作負載級別設置的安全策略限制了在入侵情況下來自攻擊向量的潛在破壞性橫向移動。如果有任何違反安全策略的行為,可以通過實時警報輕松捕獲,從而使管理員可以相應地調整安全策略。
靈活、“恰到好處”的安全策略
通過在工作負載級別實施安全策略,無論數據中心位于何處,都可以在過于嚴格和過于開放的安全性之間取得平衡。由于工作負載現在是安全背后的主要驅動力,因此可以按照員工仍然能夠在需要時不受限制地自由操作的方式構建它們。在需要更高安全性的地方,例如關鍵應用程序,可以相應地配置適用的工作負載。
加強監管合規
微分段提供了一種方法,可以將受法規(例如 HIPAA、GDPR 和 PCI)約束的數據段與基礎架構的其余部分隔離開來。可以對這些隔離的部分進行嚴格控制,允許它們根據需要通過審計。因此,即使越來越多的組織越來越多地將數據存儲的物理控制轉移到云平臺,也能確保合規性。
