微分隔(或稱微隔離)是在數(shù)據(jù)中心和云部署中創(chuàng)建安全域的一種方法，可以起到隔離工作負載并進行個別防護的效果，其目標就是實現(xiàn)更細粒度的網(wǎng)絡安全。

微分隔與VLAN、防火墻和ACL的對比
網(wǎng)絡分隔并不是新鮮概念。公司企業(yè)多年來都在依靠防火墻、虛擬局域網(wǎng)(VLAN)和訪問控制列表(ACL)分隔各類網(wǎng)絡。而微分隔模式下，策略可以應用到單個工作負載上，達到更高的攻擊抗性。
市場研究公司 ZK Research 創(chuàng)始人稱：“ VLAN實現(xiàn)粗粒度的分隔，微分隔則使你能夠進行更細粒度的分隔。所以，在需要深入隔離流量的時候，微分隔是你的不二選擇。”
軟件定義網(wǎng)絡和網(wǎng)絡虛擬化的興起為微分隔鋪平了道路。這兩種技術令企業(yè)可以在硬件無關的軟件層上工作，更容易部署分隔。
微分隔如何管理數(shù)據(jù)中心流量
傳統(tǒng)防火墻、入侵防護系統(tǒng)(IPS)和其他安全系統(tǒng)是縱向檢測并保護流進數(shù)據(jù)中心的流量的。微分隔讓公司企業(yè)對繞過邊界防護工具流竄在服務器之間的橫向通信有了更多的控制。
大多數(shù)公司將所有高價值安全工具安置在數(shù)據(jù)中心核心部位。縱向流量便不得不流經(jīng)這些防火墻和IPS。但如果流量是橫向的，這些安全工具就會被繞過，起不到防護作用。當然，也可以在所有連接點放置防火墻，但這么做的成本必然很高，而且還缺乏敏捷性。
誰來主抓微分隔?
微分隔正呈上升趨勢，但到底誰來主管微分隔卻還有些問題。大型企業(yè)里，網(wǎng)絡安全工程師可能會是微分隔工作主管。小型企業(yè)中，涉及安全和網(wǎng)絡運營的團隊或許會主抓微分隔部署工作。
未必會一個專門的團隊來管微分隔。是否建立那么一支隊伍取決于企業(yè)怎么使用微分隔。
因為大多數(shù)情況下微分隔類似于覆蓋在網(wǎng)絡上的疊加層，所以安全團隊很容易在網(wǎng)絡上部署并運營微分隔。不過，網(wǎng)絡運營團隊也會使用微分隔，比如說，作為IoT設備的防護措施。安全團隊和網(wǎng)絡運營團隊就是企業(yè)中微分隔的主要受眾。
微分隔的好處和安全挑戰(zhàn)
有了微分隔，IT人員就可以為不同類型的流量定制相應的安全設置，創(chuàng)建規(guī)則限制網(wǎng)絡和應用流量只流向明確許可的位置。比如說，在這種零信任安全模型下，公司可以設置一條規(guī)則，聲明醫(yī)療設備僅可與其他醫(yī)療設備通信，不能通聯(lián)其他類型的設備。而如果某設備或工作負載發(fā)生了遷移，該安全策略和屬性隨之遷移。
應用微分隔的目標是要減小網(wǎng)絡攻擊界面。在工作負載或應用程序層級采用微分隔規(guī)則，IT部門就可以減少攻擊者從已攻破工作負載或應用程序上感染其他工作負載或應用的風險。
微分隔的另一個好處就是可以提升運營效率。訪問控制列表、路由規(guī)則和防火墻策略會變得大而無當，增加很多管理開銷，很難在快速變化的環(huán)境中靈活擴展。
微分隔通常是在軟件層進行，便于定義細粒度的隔離。IT可以集中網(wǎng)絡分隔策略，減少所需的防火墻規(guī)則數(shù)量。
當然，這不是能一蹴而就的。整合經(jīng)年累月的防火墻規(guī)則和訪問控制列表，并轉譯成可在當今復雜分布式企業(yè)環(huán)境中應用的策略，可不是件容易的事。
首先，梳理出工作負載、應用和環(huán)境之間的連接，就需要對整個企業(yè)環(huán)境的可見性。而可見性正是很多企業(yè)所欠缺的。
微分隔應用上的一大挑戰(zhàn)就是必須清楚哪些東西是需要分隔的。有研究表明，50%的公司都不確定自己網(wǎng)絡上有哪些IT設備。如果連網(wǎng)絡上有哪些設備都不知道，你又怎么知道該創(chuàng)建哪種分隔呢?太多公司都缺乏對數(shù)據(jù)中心流量的可見性。