Gartner最近更新了微分段評估因子文檔(“如何使用評估因子來選擇微隔離模型”。

微隔離的四種不同模型，但沒有明確建議哪種更適合。了解這一點的答案意味著要考慮每個模型的局限性，并認識到動態混合云數據中心的未來前景。很明顯一個解決方案模型高于其他解決方案，以前使用其他模型的供應商現在正在改變他們的技術使用應該不足為奇這個型號：覆蓋。

但首先，解釋下為什么其他模型不適合大多數企業客戶。

本機云控制的不靈活性

本機模型使用隨虛擬化平臺，虛擬機管理程序或基礎架構提供的工具。該模型本質上是有限且不靈活的。即使對于僅使用單個虛擬機管理程序提供商的企業，此模型也將它們綁定到一個服務中，因為當您切換提供商時，不能簡單地移動微隔離策略。此外，雖然企業可能認為他們在一個IaaS服務器或虛擬機管理程序下工作，但提供商也可能在其他地方也有服務器。現實情況是，過去支持Native控件進行微分段的供應商已經意識到客戶正在轉型并且必須開發新的基于覆蓋的產品。

更常見的是，企業知道他們正在與多個云提供商和服務合作，并且需要一種可以在這種異構環境中無縫工作的微細分策略。

第三方防火墻的不一致性

此模型基于第三方供應商提供的虛擬防火墻。使用此模型的企業通常會受到網絡層設計限制，因此不得不改變其網絡拓撲。由于專有應用程序，加密或同一VLAN上的不可見和不受控制的流量，可以防止它們獲得可見性。

此方法的一個已知問題是由于依賴其他第三方基礎架構而產生瓶頸。從本質上講，此模型不是跨不同體系結構的一致解決方案，也不能用于控制容器層。

混合模型的復雜性

上述兩種模型的組合，使用混合模型進行微隔離的企業試圖僅限制兩種模型的一些缺點。為了使它們比原生控件更具靈活性，它們通常使用第三方防火墻進行南北交通。在數據中心內部，您不必擔心多云支持，本機控制可用于東西向流量。

然而，正如所討論的，這兩種解決方案，即使是串聯的，也是最有限的。通過混合方法，您還將添加復雜而艱巨的設置和維護策略的額外問題。混合選擇的可見性和控制在面向未來的IT生態系統中是不可持續的，其中工作負載和應用程序在多個環境中進行了旋轉，自動化，自動擴展和遷移。企業需要一種運行良好的解決方案，而不是兩種單獨的并且限制在一起的解決方案。

了解覆蓋模型 - 為未來的聚焦微隔離而構建的解決方案

覆蓋不是從不好的模型中拼湊出來的混合解決方案，而是從頭開始構建一個更強大且面向未來的解決方案。Gartner將覆蓋模型描述為一種解決方案，其中對工作負載本身實施主機代理或軟件。使用代理到代理通信而不是網絡分區。

第三方防火墻的一個負面因素是它們天生就是不可擴展的。相比之下，代理商沒有受限制的限制，使其可以根據您的需求進行擴展。

借助覆蓋，您的企業可以在復雜而動態的環境中獲得可見性，并且可以深入了解流程層，包括面向未來的架構，如容器技術。可以解決基礎架構差異的解決方案，覆蓋與任何運營或基礎架構環境無關，這意味著企業可以支持從裸機和云到虛擬或微服務或接下來的任何技術。沒有覆蓋模型 - 您的企業無法確定是否支持未來的用例并保持與反對者的競爭力。

并非所有覆蓋模型都是平等的

很明顯，覆蓋是強大的技術模型，也是一款面向未來的微分段解決方案。傳統的訪問列表式微分段以及實現更深層次的安全功能都是如此。

不幸的是，并非每個供應商都會提供覆蓋的版本，滿足其功能。利用覆蓋解決方案的固有優勢意味著您可以將代理放在正確的位置，設置以精細方式工作的通信策略。使用合適的供應商，您可以明智地選擇代理的放置位置，使用上下文和流程級別的可見性一直到第7層。您的供應商還應該能夠提供額外的功能，例如按帳戶，用戶或哈希執行，都在同一個代理商內。

請記住，保護基礎架構不僅需要微分段，還需要部署其他解決方案，以降低風險并滿足安全性和合規性要求。

對于任何具有前瞻性思維的企業而言，微隔離已經從一個令人興奮的網絡安全新流行詞轉變為一個重要的風險降低策略。如果它在2019年的待辦事項列表中，請確保您做得正確，并且不要成為無代理模型限制的犧牲品。