微分段是在數(shù)據(jù)中心和云部署環(huán)境中創(chuàng)建安全區(qū)域的一種方法，讓公司可以將工作負(fù)載彼此隔離起來，并單獨(dú)加以保護(hù)。它旨在使網(wǎng)絡(luò)安全更細(xì)粒度化。

微分段vs VLAN、防火墻和ACL

網(wǎng)絡(luò)分段不是新技術(shù)。多年來，許多公司依賴防火墻、虛擬局域網(wǎng)(VLAN)和訪問控制列表(ACL)用于網(wǎng)絡(luò)分段。借助微分段，可以將策略應(yīng)用于各工作負(fù)載，從而提升抵御攻擊的能力。

ZK Research的創(chuàng)始人、美國《網(wǎng)絡(luò)世界》雜志的撰稿人Zeus Kerravala說：“VL??AN讓你可以實(shí)現(xiàn)非常粗糙的分段，而微分段讓你可以實(shí)現(xiàn)更細(xì)粒度化的分段。所以，只要你需要對(duì)流量進(jìn)行細(xì)粒度劃分，就能找到微分段的身影。”

軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)虛擬化的興起為微分段鋪平了道路。Kerravala說：“我們可以用軟件來完成任務(wù)，這一層與底層硬件相分離。這樣一來，微分段部署起來容易多了。”

微分段

微分段如何管理數(shù)據(jù)中心流量?

傳統(tǒng)防火墻、入侵防御系統(tǒng)(IPS)及其他安全系統(tǒng)旨在檢查和保護(hù)以南北方向進(jìn)入數(shù)據(jù)中心的流量。微分段讓公司得以更有效地控制在服務(wù)器之間傳輸?shù)脑絹碓蕉嗟臇|西方向或橫向流量，繞過了注重邊界的安全工具。如果出現(xiàn)安全威脅，微分段限制了黑客可能對(duì)網(wǎng)絡(luò)所作的橫向探測(cè)。

Kerravala說：“大多數(shù)公司把所有的高價(jià)值安全工具放在數(shù)據(jù)中心核心：防火墻和IPSes。所以南北方向的流量必須通過那些防火墻傳輸。如果以東西方向傳輸，它就繞過了那些安全工具。你可以在每個(gè)互連點(diǎn)搭建防火墻，但這么做需要非常高昂的成本，何況也不是很靈活。”

網(wǎng)絡(luò)或安全專業(yè)人士在推動(dòng)微分段?

微分段日漸受到追捧，但是誰應(yīng)該負(fù)責(zé)微分段方面仍存在問題。在大企業(yè)，網(wǎng)絡(luò)安全工程師可能主導(dǎo)這項(xiàng)工作。在小公司，負(fù)責(zé)安全和網(wǎng)絡(luò)運(yùn)營的團(tuán)隊(duì)可能主導(dǎo)部署微分段的工作。

Kerravala說：“我不知道是否真有一個(gè)小組負(fù)責(zé)微分段。我想這取決于你用它干什么。”他發(fā)現(xiàn)安全和網(wǎng)絡(luò)專業(yè)人員對(duì)微分段頗有興趣。

“我認(rèn)為，由于在大多數(shù)情況下它作為網(wǎng)絡(luò)覆蓋層來運(yùn)行，安全運(yùn)營團(tuán)隊(duì)很容易部署，然后在網(wǎng)絡(luò)上面運(yùn)行。我還看到網(wǎng)絡(luò)運(yùn)營人員也在這么做，以此確保物聯(lián)網(wǎng)設(shè)備安全。他們其實(shí)是微分段的兩大目標(biāo)群體。”

微分段的優(yōu)點(diǎn)和安全挑戰(zhàn)

借助微分段，IT專業(yè)人員可以針對(duì)不同類型的流量定制安全設(shè)置，制定策略，從而將工作負(fù)載之間的網(wǎng)絡(luò)和應(yīng)用程序流量限制于明確允許的那些對(duì)象。在這種零信任安全模式中，公司可以制定一個(gè)策略，規(guī)定醫(yī)療設(shè)備只能與其他醫(yī)療設(shè)備聯(lián)系。如果設(shè)備或工作負(fù)載移動(dòng)，安全策略和屬性隨之移動(dòng)。

目的在于減小網(wǎng)絡(luò)攻擊面：通過將分段規(guī)則運(yùn)用于工作負(fù)載或應(yīng)用程序，IT人員可以降低攻擊者從一個(gè)中招的工作負(fù)載或應(yīng)用程序轉(zhuǎn)移到另一個(gè)的風(fēng)險(xiǎn)。

另一個(gè)驅(qū)動(dòng)因素是運(yùn)營效率。訪問控制列表、路由規(guī)則和防火墻策略會(huì)變得很笨拙，并帶來龐大的管理開銷，使得策略在迅速變化的環(huán)境中難以擴(kuò)展起來。

微分段通常是用軟件完成的，這使得定義細(xì)粒度的網(wǎng)段更容易。借助微分段，IT人員還可以集中管理網(wǎng)絡(luò)分段策略，并減少所需的防火墻規(guī)則數(shù)量。

當(dāng)然，這并非易事――匯總多年來的防火墻規(guī)則和訪問控制列表，將它們轉(zhuǎn)變成可以在如今復(fù)雜的分布式企業(yè)環(huán)境中執(zhí)行的策略并不容易。

首先，搞清楚工作負(fù)載、應(yīng)用程序和環(huán)境之間的聯(lián)系就需要可見性，許多企業(yè)缺乏這種可見性。

Kerravala說：“分段面臨的一大挑戰(zhàn)就是，你得知道對(duì)什么進(jìn)行劃分。我的研究表明，50%的公司對(duì)于網(wǎng)絡(luò)上有什么IT設(shè)備基本上心里沒底。如果連網(wǎng)絡(luò)上有什么設(shè)備都不清楚，你怎么知道要?jiǎng)?chuàng)建哪種網(wǎng)段? 目前對(duì)數(shù)據(jù)中心流量缺乏可見性。”

原文標(biāo)題：What is microsegmentation? How getting granular improves network security，作者：Ann Bednarz