微分隔(或称微隔离)是在数据中心和云部署中创建安全域的一种方法,可以起到隔离工作负载并进行个别防护的效果,其目标就是实现更细粒度的网络安全。
微分隔与VLAN、防火墙和ACL的对比
网络分隔并不是新鲜概念。公司企业多年来都在依靠防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)分隔各类网络。而微分隔模式下,策略可以应用到单个工作负载上,达到更高的攻击抗性。
市场研究公司 ZK Research 创始人称:“ VLAN实现粗粒度的分隔,微分隔则使你能够进行更细粒度的分隔。所以,在需要深入隔离流量的时候,微分隔是你的不二选择。”
软件定义网络和网络虚拟化的兴起为微分隔铺平了道路。这两种技术令企业可以在硬件无关的软件层上工作,更容易部署分隔。
微分隔如何管理数据中心流量
传统防火墙、入侵防护系统(IPS)和其他安全系统是纵向检测并保护流进数据中心的流量的。微分隔让公司企业对绕过边界防护工具流窜在服务器之间的横向通信有了更多的控制。
大多数公司将所有高价值安全工具安置在数据中心核心部位。纵向流量便不得不流经这些防火墙和IPS。但如果流量是横向的,这些安全工具就会被绕过,起不到防护作用。当然,也可以在所有连接点放置防火墙,但这么做的成本必然很高,而且还缺乏敏捷性。
谁来主抓微分隔?
微分隔正呈上升趋势,但到底谁来主管微分隔却还有些问题。大型企业里,网络安全工程师可能会是微分隔工作主管。小型企业中,涉及安全和网络运营的团队或许会主抓微分隔部署工作。
未必会一个专门的团队来管微分隔。是否建立那么一支队伍取决于企业怎么使用微分隔。
因为大多数情况下微分隔类似于覆盖在网络上的叠加层,所以安全团队很容易在网络上部署并运营微分隔。不过,网络运营团队也会使用微分隔,比如说,作为IoT设备的防护措施。安全团队和网络运营团队就是企业中微分隔的主要受众。
微分隔的好处和安全挑战
有了微分隔,IT人员就可以为不同类型的流量定制相应的安全设置,创建规则限制网络和应用流量只流向明确许可的位置。比如说,在这种零信任安全模型下,公司可以设置一条规则,声明医疗设备仅可与其他医疗设备通信,不能通联其他类型的设备。而如果某设备或工作负载发生了迁移,该安全策略和属性随之迁移。
应用微分隔的目标是要减小网络攻击界面。在工作负载或应用程序层级采用微分隔规则,IT部门就可以减少攻击者从已攻破工作负载或应用程序上感染其他工作负载或应用的风险。
微分隔的另一个好处就是可以提升运营效率。访问控制列表、路由规则和防火墙策略会变得大而无当,增加很多管理开销,很难在快速变化的环境中灵活扩展。
微分隔通常是在软件层进行,便于定义细粒度的隔离。IT可以集中网络分隔策略,减少所需的防火墙规则数量。
当然,这不是能一蹴而就的。整合经年累月的防火墙规则和访问控制列表,并转译成可在当今复杂分布式企业环境中应用的策略,可不是件容易的事。
首先,梳理出工作负载、应用和环境之间的连接,就需要对整个企业环境的可见性。而可见性正是很多企业所欠缺的。
微分隔应用上的一大挑战就是必须清楚哪些东西是需要分隔的。有研究表明,50%的公司都不确定自己网络上有哪些IT设备。如果连网络上有哪些设备都不知道,你又怎么知道该创建哪种分隔呢?太多公司都缺乏对数据中心流量的可见性。