如今，很多企業正在快速將其數據中心業務從內部部署設施遷移到更具可擴展性、虛擬化和混合云基礎設施。其安全專家正試圖保證業務安全，尋找解決方案來保護在這些動態、異構環境中運行的關鍵任務應用程序和工作負載。

[[255559]]

當邊界不斷變化時，傳統基于網絡的邊界安全性不再有效。從日常新聞報道來看，網絡攻擊者似乎在隨意突破外圍防御。進入網絡內部后，它們將融入東西方向流量，橫向擴散，并尋找漏洞。無防護應用程序跨越各種裸機服務器、虛擬機和容器，是攻擊者的目標，并共同構成巨大的攻擊面。

轉向微分段

安全專家和分析師越來越多地將微分段作為保護數據中心資產和實施“零信任”安全模型的最佳實踐解決方案。微分段涉及圍繞單個或邏輯分組的應用程序設置粒度安全策略。這些策略規定哪些應用程序可以相互通信，哪些不能相互通信。而任何未經授權的通信嘗試不僅會被阻止，還會觸發入侵者可能存在的警報。

分析機構Gartner公司已將微分段作為十大優先安全項目之一，特別是那些希望能夠查看和控制數據中心內流量的組織，進一步指出其目標是阻止數據中心攻擊的橫向擴散。

鑒于人們對微分段的關注，為什么沒有得到更廣泛的應用呢?一些誤解讓安全人員猶豫不決。其中一個原因是大型企業只能投入大量安全專業人員來實施和管理微分段項目。另一個原因是，這是一個“全有或全無”的命題，要求在一個單一的大型項目中保護最后的資產，這是在連續應用程序部署的DevOps環境中幾乎是不可能完成的任務。

重要的是拋開這些誤解，并從已成功將微分段納入其IT運營的企業中吸取教訓是很重要的。這些組織采取了分階段的方法，最初側重于一些易于定義目標的可管理項目。通過微細分可以解決的常見挑戰包括：

• 合規性。微分段的關鍵驅動因素，SWIFT、PCI、GDPR、HIPAA等監管法規和標準經常指定某些流程必須與一般網絡流量分離。
• DevOps。開發、測試或質量保證環境中的應用程序需要與生產環境中的應用程序分開。
• 限制從外部用戶或物聯網設備訪問數據中心資產或服務。
• 從一般企業系統中分離運行高度敏感設備的系統(例如醫院中的醫療設備)。
• 將最關鍵的應用程序與不太關鍵的應用程序分開。

通過建立優先級的層次結構并從小規模開始，企業可以獲得一些“快速獲勝”，并開始在相當短的時間內看到切實的結果。

微分段解決方案的基本屬性

為了使微分段既有效又實用，它需要滿足某些基本要求。這些包括：

• 流程級可見性：缺乏可見性通常是組織遇到的第一個絆腳石——他們無法看到數據中心正在運行的所有內容。獲得全面可見性是識別應用程序的邏輯分組以進行分段的必要先決條件。
• 與平臺無關的性能：當應用程序在異構環境中遷移時，管理其通信的策略必須能夠遵循它們，并在任何地方保護它們。
• 標簽：正確分類或標記資產以準備監控和策略創建的能力是基礎。要在動態環境中利用自動擴展功能，請考慮在工作負載向上或向下擴展時自動應用標簽的標簽方法。
• 靈活的創建策略：運營人員應該能夠創建自定義層次結構，以便輕松創建復合規則，了解不同的利益相關者希望以不同方式組織和創建規則。
• 自動化：該解決方案還應允許自動化策略創建、修改和管理的大部分過程，以便在部署新工作負載時，它們會自動分配到適當的微分段和策略中。

實施過程

微分段的實施一般可分為七個階段：

• 發現和識別：查找并識別其數據中心中運行的所有應用程序。流程級別可見性在這里至關重要。
• 依賴關系映射：確定哪些應用程序需要能夠相互通信。借助圖形可視化和繪圖工具，可以大大加快這一過程。
• 對規則的應用程序進行分組：了解應用程序依賴性后，開始將它們放入邏輯組，以創建安全策略。避免過度分段(具有太多離散分組)或分段不足(創建如此廣泛的組會使策略缺乏精確性)。
• 創建策略或規則：在定義邏輯分組后，可以為每個定義的組創建、測試和優化策略。
• 部署：實施策略。
• 監控和執行：解決方案應該能夠監控每個端口和所有東西方向流量的異常情況。違反政策應自動觸發威脅攔截和遏制的執行機制。

實施微分段并不是一個簡單的決定，這需要組織的承諾。然而，通過采用具有特定近期目標的分階段、分層方法，企業可以立即開始看到關鍵優先級的價值，并且隨著用戶獲得該過程的經驗，其學習曲線將很快變平。

最重要的是，組織可以充分利用云計算支持的業務敏捷性和效率，并充分降低妥協風險。