如今,很多企业正在快速将其数据中心业务从内部部署设施迁移到更具可扩展性、虚拟化和混合云基础设施。其安全专家正试图保证业务安全,寻找解决方案来保护在这些动态、异构环境中运行的关键任务应用程序和工作负载。
当边界不断变化时,传统基于网络的边界安全性不再有效。从日常新闻报道来看,网络攻击者似乎在随意突破外围防御。进入网络内部后,它们将融入东西方向流量,横向扩散,并寻找漏洞。无防护应用程序跨越各种裸机服务器、虚拟机和容器,是攻击者的目标,并共同构成巨大的攻击面。
转向微分段
安全专家和分析师越来越多地将微分段作为保护数据中心资产和实施“零信任”安全模型的最佳实践解决方案。微分段涉及围绕单个或逻辑分组的应用程序设置粒度安全策略。这些策略规定哪些应用程序可以相互通信,哪些不能相互通信。而任何未经授权的通信尝试不仅会被阻止,还会触发入侵者可能存在的警报。
分析机构Gartner公司已将微分段作为十大优先安全项目之一,特别是那些希望能够查看和控制数据中心内流量的组织,进一步指出其目标是阻止数据中心攻击的横向扩散。
鉴于人们对微分段的关注,为什么没有得到更广泛的应用呢?一些误解让安全人员犹豫不决。其中一个原因是大型企业只能投入大量安全专业人员来实施和管理微分段项目。另一个原因是,这是一个“全有或全无”的命题,要求在一个单一的大型项目中保护最后的资产,这是在连续应用程序部署的DevOps环境中几乎是不可能完成的任务。
重要的是抛开这些误解,并从已成功将微分段纳入其IT运营的企业中吸取教训是很重要的。这些组织采取了分阶段的方法,最初侧重于一些易于定义目标的可管理项目。通过微细分可以解决的常见挑战包括:
合规性。微分段的关键驱动因素,SWIFT、PCI、GDPR、HIPAA等监管法规和标准经常指定某些流程必须与一般网络流量分离。
DevOps。开发、测试或质量保证环境中的应用程序需要与生产环境中的应用程序分开。
限制从外部用户或物联网设备访问数据中心资产或服务。
从一般企业系统中分离运行高度敏感设备的系统(例如医院中的医疗设备)。
将最关键的应用程序与不太关键的应用程序分开。
通过建立优先级的层次结构并从小规模开始,企业可以获得一些“快速获胜”,并开始在相当短的时间内看到切实的结果。
