什么是微分段？

微分段是一种管理工作负载之间网络访问的安全方法。通过微分段，管理员可以管理安全策略，根据最低特权原则和零信任限制流量。企业使用微分段来减少攻击面、改善泄露遏制能力并加强监管合规性。

微分段详解

微分段是指一种安全方法，涉及将网络划分为多个网段，并根据网段的要求对每个网段应用安全控制。

采用网络虚拟化技术的微分段软件可用于在云部署中创建区域。这些细粒度的安全区可隔离工作负载，通过定制的特定工作负载策略单独确保它们的安全。同样，网络中的每个虚拟机 (VM) 都可以通过精确的安全控制得到保护，直至应用程序级别。

微分段为工作负载或应用程序带来的精细安全控制对于在同一服务器或虚拟机上运行多个应用程序的现代云环境来说非常宝贵。企业可以将安全控制应用于单个工作负载和应用程序，而不是为服务器制定单一的安全策略。

图 1：微分段将网络划分为多个网段，基于零信任限制流量。

什么是工作负载？

工作负载可以广泛地定义为运行应用程序所需的资源和进程。主机、虚拟机和容器是工作负载的几个例子。

公司可以跨数据中心、混合云和多云环境运行工作负载。根据业务需求，大多数企业的应用程序越来越多地分布在不同的云原生计算架构中。

超越周边安全

周边安全是大多数企业网络安全控制的重要组成部分。网络安全设备（例如网络防火墙）检查穿过安全边界的“南北向”（客户端到服务器）流量并阻止不良流量。周边内的资产是隐式信任的，这意味着“东西向”（工作负载到工作负载）流量可能会未经检查就通过。

图 2：“南北向”（客户端到服务器）流量与“东西向”（工作负载到工作负载）流量

对于大多数企业来说，东西向通信构成了数据中心和云流量模式的大部分，而以周边为重点的防御无法看到东西向流量。鉴于这些因素，恶意行为者会借此机会在工作负载之间横向移动。

网络在工作负载之间创建可靠的路径，并确定两个端点是否可以相互访问。微分段创建隔离并确定两个端点是否应该相互访问。通过最低特权访问实施分段可以减少横向移动的范围并遏制数据泄露。

图 3：微分段可以帮助您隔离攻击。

网络分段挑战

网络分段是一种将网络划分为多个更小的网段的方法。这有利于性能和安全：

• 性能：将网络细分为更小的子网和 VLAN 可减少广播数据包的范围并提高网络性能。
• 安全：网络安全团队可以将访问控制列表 (ACL) 应用于 VLAN 和子网，将计算机隔离在不同网段上。如果发生数据泄露，ACL 可以防止威胁传播到其他网段。

利用网络分段实现安全目的会带来挑战。分段需求并不总是与网络架构相匹配。重新构建网络或重新配置 VLAN 和子网来满足分段要求既困难又耗时。

图 4：网络分段 – 使用 VLAN 和子网 – 是一种经过证明可以通过分解网络广播域来提供最佳网络性能的方法。

微分段的工作原理

微分段，也称为零信任或基于身份的分段，无需重新架构即可满足分段要求。安全团队可以隔离网络中的工作负载，限制恶意横向移动的影响。微分段控制可以分为三类：

• 基于代理的解决方案对工作负载使用软件代理，并对各个主机和容器实施细粒度隔离。基于代理的解决方案可以利用内置基于主机的防火墙或根据工作负载身份或属性获得隔离能力。
• 基于网络的分段控制依赖于网络基础设施。这种风格利用物理和虚拟设备（例如负载均衡器、交换机、软件定义网络 (SDN) 和覆盖网络）来实施策略。
• 原生云控制利用云服务提供商中嵌入的功能（例如，Amazon 安全组、Azure 防火墙或 Google Cloud 防火墙）。

微分段凭借三个关键原则：可视性、细粒度安全性和动态适应性，帮助在私有云和公有云之间提供一致的安全性。

微分段解决方案应该提供对数据中心和云内外所有网络流量的可视性。虽然监控流量的方法有很多，但最有效的措施是查看与工作负载情境（例如云、应用程序、编排器）相结合的流量，而不是仅包含 IP 地址和端口的日志。

精细安全意味着网络管理员可以通过为关键应用程序创建特定策略来加强和精确定位安全性。目标是通过精确控制进出特定工作负载的流量的策略来防止威胁的横向移动，例如每周工资核算运行或人力资源数据库更新。

微分段为动态环境提供保护。例如，容器和 Kubernetes 等云原生架构可以在短短几秒钟内启动和关闭。分配给云工作负载的 IP 地址是短暂的，使得基于 IP 的规则管理变得不可能。通过微分段，安全策略以身份或属性（env=prod、app=hrm 等）而不是网络构造（例如，10.100.0.10 tcp/80）来表达。应用程序或基础设施的更改会实时触发安全策略的自动修订，无需人工干预。

微分段的类型

微分段为动态环境提供保护。例如，容器和 Kubernetes 等云原生架构可以在短短几秒钟内启动和关闭。分配给云工作负载的 IP 地址是短暂的，使得基于 IP 的规则管理变得不可能。通过微分段，安全策略以身份或属性（env=prod、app=hrm 等）而不是网络构造（例如，10.100.0.10 tcp/80）来表达。应用程序或基础设施的更改会实时触发安全策略的自动修订，无需人工干预。

容器分段

容器分段涉及将容器彼此隔离以及与主机系统隔离，提高安全性并减少攻击面。容器化是一种广泛使用的技术，允许多个应用程序或服务在单个主机系统上的单独容器中运行。但是，如果没有适当的分段，容器可能会访问彼此的数据和配置文件，这可能会导致安全漏洞。

容器分段最佳实践

• 容器隔离：每个容器应与同一主机系统上运行的其他容器相隔离，以防止未经授权的访问。这可以使用 Docker 和 Kubernetes 等提供内置隔离机制的容器技术来实现。
• 网络分段：可以使用网络分段技术将容器彼此分段。这涉及为每个容器创建单独的网络并配置防火墙规则以允许或拒绝容器之间的流量。
• 基于角色的访问控制：基于角色的访问控制 (RBAC) 可用于根据用户角色和权限定义不同容器的访问策略。这有助于确保容器只能由授权的用户和进程访问。
• 映像签名：可以对容器映像进行数字签名，以确保仅在生产中部署受信任的映像。这有助于防止容器映像被篡改或更改，从而降低安全漏洞的风险。
• 运行时防护：运行时防护工具可用于监视容器活动并检测可能表明存在安全泄露的异常。这些工具可以帮助实时检测和防止攻击，从而改善容器化环境的安全态势。

容器分段有助于确保容器化应用和服务的安全。通过隔离容器和应用访问控制策略，企业可以减少攻击面并防止对敏感数据和资源进行未经授权的访问。容器分段应作为整体安全战略的一部分来实现，其中就包括联网安全、访问控制和运行时防护。

云安全中的用户细分

云安全中的用户细分涉及根据企业内的不同角色和职责划分用户访问权限，以确保用户只能访问履行自己的工作职能所需的资源。用户细分可减少攻击面，因为只有授权用户才能接触敏感数据和资源。

由于云环境是动态的且变化迅速，因此用户细分是全面云安全战略的关键组成部分。以下是云安全中用户细分的一些关键考量：

• 基于角色的访问控制 (RBAC)：RBAC 涉及创建和定义角色的权限，然后根据工作职能将用户分配到适当的角色。这种方法确保用户只能访问履行自己的工作职能所需的资源，从而降低意外或故意泄露数据的风险。
• 多因素身份验证 (MFA)：MFA 要求用户提供不止一种形式的身份验证才能访问资源。这可以包括密码、安全令牌或生物识别数据。MFA 是防止未经授权访问云资源的有效方法，特别是与 RBAC 结合使用时。
• 持续监控：持续监控用户活动对于实时检测和响应安全事故至关重要。这涉及分析日志数据和用户行为以识别威胁和漏洞。
• 职责分离：职责分离涉及在多个用户之间划分职责，以防止任何一个用户对系统或进程拥有过多的控制权。这降低了欺诈或错误的风险，并确保敏感操作由多个用户执行。
• 定期访问审查：定期访问审查涉及定期审查用户访问权利和权限，以确保它们仍然是必要的。访问审查可以帮助识别和消除不必要的访问权限，从而降低未经授权访问的风险。

通过实施 RBAC、MFA、持续监控、职责分离和定期访问审查，企业可以增强自身的云安全态势并防范不断变化的威胁，减少攻击面并防止对敏感数据和资源进行未经授权的访问。

微分段的好处

采用微分段的企业可以实现切实的好处。具体来说：

• 减小攻击面：微分段提供了对完整网络环境的可视性，而不会减慢开发或创新。应用程序开发人员可以在开发周期的早期集成安全策略定义，并确保应用程序部署或更新都不会创造新的攻击媒介。这在快速发展的 DevOps 世界中尤为重要。
• 改进漏洞遏制：微分段使安全团队能够根据预定义的策略监控网络流量，并缩短响应和补救数据泄露的时间。
• 更强的监管合规性：使用微分段，监管官员可以创建策略，将受监管的系统与基础设施的其余部分隔离开来。对与受监管系统的通信进行细粒度控制，可降低违规使用的风险。
• 简化策略管理：转向微分段网络或零信任安全模型提供了简化策略管理的机会。一些微分段解决方案提供基于学习的应用程序行为的自动化应用程序发现和策略建议。

微分段用例

微分段的用例范围非常广泛，而且还在不断扩大。以下是一些有代表性的例子：

• 开发和生产系统：在理想的情况下，企业会谨慎地将开发和测试环境与生产系统分开。然而，这些措施可能无法防止粗心的活动，例如开发人员从生产数据库中获取客户信息用于测试。微分段可以通过精细地限制两个环境之间的连接来强制实施更严格的分离。
• 软资产安全：公司有巨大的财务和声誉动机来保护“软”资产，例如机密的客户和员工信息、知识产权以及公司财务数据。微分段增加了另一个级别的安全性，防止泄露和其他可能导致停机和干扰业务运营的恶意行为。
• 混合云管理：微分段可以为跨多个云的应用程序提供无缝保护，并在多个数据中心和云服务提供商组成的混合环境中实施统一的安全策略。
• 事故响应：如前所述，微分段限制了威胁的横向移动和泄露的影响。此外，微分段解决方案还提供日志信息，帮助事故响应团队更好地了解攻击战术和遥测，协助查明特定应用程序的策略违规。

微分段常见问题解答

网络分段和微分段有什么不同吗？

虽然网络分段和微分段都有助于提高网络安全性和性能，但它们在基础方面有所不同。传统的网络分段侧重于进出网络的南北向流量，并使用 VLAN、防火墙、路由器和其他设备来实现。这些设备可以配置为在网络级别强制实施安全策略，例如访问控制列表 (ACL) 或防火墙规则。

另一方面，微分段侧重于东西向流量，通常使用基于软件的安全解决方案来实现，例如基于管理程序的防火墙或端点保护平台 (EPP)。微分段在单个工作负载或应用程序级别而不是在网络级别应用安全策略。

什么是防火墙策略？

防火墙策略定义企业的防火墙应如何处理某些 IP 地址和地址范围的入站和出站网络流量。策略可能侧重于用户身份、网络活动、应用程序以及 IP 地址。

什么是虚拟网络？

虚拟网络使用软件通过互联网连接计算机、虚拟机 (VM) 和服务器或虚拟服务器 — 这与通过硬件和线缆锚定到某个位置的传统物理网络形成鲜明对比。

什么是应用程序依赖性？

应用程序依赖性是指软件、应用程序、服务器和其他组件相互依赖来执行其功能。为确保服务不中断，应在迁移到云、将组件移动到新的云环境或实施微分段之前映射应用程序的依赖关系。