盡管在過去幾年中企業(yè)安全架構(gòu)進(jìn)行了一系列改進(jìn)，但有一個(gè)重要轉(zhuǎn)型已經(jīng)達(dá)成共識，那就是企業(yè)不能僅依靠外圍邊界的“馬其頓防線”來阻止網(wǎng)絡(luò)攻擊者。通過將IT環(huán)境劃分為可控的細(xì)分區(qū)間——即所謂的“微隔離”，能有效解決未經(jīng)授權(quán)的橫向移動的挑戰(zhàn)，使企業(yè)能夠安全地隔離工作負(fù)載，實(shí)現(xiàn)細(xì)粒度的網(wǎng)絡(luò)保護(hù)。

如今，網(wǎng)絡(luò)攻擊者正在不斷嘗試?yán)@過安全措施的新方法，因此能夠有效阻斷橫向移動的微隔離已成為主流安全技術(shù)之一。

微隔離與SDP和零信任架構(gòu)的關(guān)系

一個(gè)典型的基于SDP/微隔離框架的零信任架構(gòu)

提到微隔離，我們有必要先回顧一下零信任架構(gòu)的概念。零信任是一個(gè)全新的安全機(jī)制和構(gòu)想，即所有資產(chǎn)都必須先經(jīng)過身份驗(yàn)證和授權(quán)，然后才能啟動與另一資產(chǎn)的通信。SDP是一種零信任實(shí)現(xiàn)框架，通過使用微隔離在資產(chǎn)之間創(chuàng)建信任關(guān)系，將零信任安全性概念應(yīng)用于網(wǎng)絡(luò)中。SDP可以作為有效的網(wǎng)絡(luò)安全控制措施，使組織更能抵御傳統(tǒng)的網(wǎng)絡(luò)安全攻擊。因此，微隔離是基于SDP實(shí)現(xiàn)零信任架構(gòu)的重要技術(shù)，但是與很多新興技術(shù)一樣，SDP也有很多實(shí)現(xiàn)方法和路徑，不同的企業(yè)需要根據(jù)自身需求以及不同方法的優(yōu)缺點(diǎn)來選擇適合自己的道路。

微隔離的工作原理

微隔離不僅是網(wǎng)絡(luò)性能和管理分段技術(shù)所邁出的一步，也是專門為解決關(guān)鍵網(wǎng)絡(luò)安全問題而設(shè)計(jì)的，可以降低風(fēng)險(xiǎn)并使安全性能夠適應(yīng)不斷變化的IT環(huán)境。

過去二十年間，信息安全專家們已經(jīng)大量探討了零信任技術(shù)的各種實(shí)施方案和潛在問題。瞻博網(wǎng)絡(luò)(Juniper)技術(shù)安全負(fù)責(zé)人Trevor Pott認(rèn)為：“微隔離是'安全簡化'的實(shí)現(xiàn)，”它擁有自動化和編排工具，提供詳細(xì)報(bào)告和復(fù)雜的圖形用戶界面。他補(bǔ)充說：“如今，我們不再有任何借口不去做我們20年前就應(yīng)該做的事情?！?/p>

微隔離通過單個(gè)中央策略將安全性實(shí)施分配到每個(gè)單獨(dú)的系統(tǒng)。網(wǎng)絡(luò)安全提供商OPAQ的首席技術(shù)官湯姆·克羅斯(Tom Cross)解釋說：“微隔離使整個(gè)企業(yè)網(wǎng)絡(luò)(而不只是在邊界)可以執(zhí)行精細(xì)的安全策略?！薄斑@種方法是必要的，因?yàn)橥鈬踩袝r(shí)會失敗，并且因?yàn)?a href="http://m.makelele.cn/v/tag/475/" target="_blank">云計(jì)算的應(yīng)用普及，網(wǎng)絡(luò)外圍正變得千瘡百孔。”

微隔離仍然依靠傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，例如訪問控制網(wǎng)絡(luò)。IT服務(wù)提供商Entrust Solutions的IT主管兼網(wǎng)絡(luò)安全專家Brad Willman表示：“微隔離的獨(dú)特之處在于，這些(傳統(tǒng))安全方法適用于微隔離網(wǎng)絡(luò)中的各個(gè)工作負(fù)載?！?/p>

微隔離已經(jīng)吸引了許多企業(yè)和機(jī)構(gòu)的關(guān)注。IT咨詢公司Kelser的高級咨詢工程師Andrew Tyler認(rèn)為：“微隔離是一種策略，它不僅可以防止數(shù)據(jù)泄露，而且還可以通過將泄露限制在網(wǎng)絡(luò)的一個(gè)局部來極大地減少破壞(如果發(fā)生)?！?/p>

不同的微隔離方法

Cross建議，技術(shù)高明的攻擊者在嘗試滲透企業(yè)資源時(shí)會采用多個(gè)步驟，因此基礎(chǔ)架構(gòu)防御者應(yīng)考慮在每個(gè)步驟上建立控制措施。他說：“系統(tǒng)之間的內(nèi)部橫向化移動在最近的安全事件中起了關(guān)鍵作用，諸如Mimikatz和Bloodhound之類的工具為攻擊者提供了豐富的功能?！薄拔⒏綦x可以有效切斷防御者在內(nèi)部網(wǎng)絡(luò)中傳播的潛在路徑，使防御者能夠有效破壞攻擊行動?！?/p>

需要重點(diǎn)指出的是，微隔離不僅是面向數(shù)據(jù)中心的技術(shù)。Cross說：“許多安全事件始于最終用戶工作站，因?yàn)閱T工單擊釣魚鏈接，或者他們的系統(tǒng)受到其他方式的破壞?！睆淖畛醯母腥军c(diǎn)開始，攻擊者可以流竄到整個(gè)企業(yè)網(wǎng)絡(luò)。他解釋說：“微隔離平臺應(yīng)該能夠通過單個(gè)控制臺在數(shù)據(jù)中心，云工作負(fù)載和最終用戶工作站上實(shí)施策略?！薄八€應(yīng)該能夠阻止攻擊在任何這些環(huán)境中的橫向傳播。”

與許多新興技術(shù)一樣，安全供應(yīng)商正從各個(gè)方向著手實(shí)現(xiàn)微隔離方案。三種傳統(tǒng)的微隔離類型是基于主機(jī)代理的微隔離，基于虛擬機(jī)監(jiān)控程序和網(wǎng)絡(luò)隔離。

(1) 基于主機(jī)代理。這種微隔離類型依賴位于端點(diǎn)中的代理。所有數(shù)據(jù)流都是可見的并將其中繼到中央管理器，這種方法可以減輕發(fā)現(xiàn)挑戰(zhàn)性協(xié)議或加密流量的麻煩。主機(jī)代理技術(shù)通常被認(rèn)為是一種高效的微隔離方法?！坝捎谑芨腥镜脑O(shè)備是主機(jī)，因此良好的主機(jī)策略甚至可以阻止問題進(jìn)入網(wǎng)絡(luò)，”軟件開發(fā)和IT服務(wù)初創(chuàng)公司Mulytic Labs的CTO David Johnson說道。但是，它要求所有主機(jī)都安裝軟件，“對遺留操作系統(tǒng)和舊系統(tǒng)可能并不友好”。

(2) 基于虛擬機(jī)監(jiān)控程序。使用這種微隔離，所有流量都流經(jīng)管理程序。Johnson解釋說：“監(jiān)視虛擬機(jī)管理程序流量的能力意味著人們可以使用現(xiàn)有的防火墻，并且可以根據(jù)日常運(yùn)營實(shí)例的需要將策略轉(zhuǎn)移至新的虛擬機(jī)管理程序?！边@種方法的缺點(diǎn)是虛擬機(jī)管理程序分段通常不適用于云環(huán)境、容器或裸機(jī)。他建議說：“在能夠派上用場的場景中，基于虛擬機(jī)監(jiān)控程序的方法非常有效?！?/p>

(3) 網(wǎng)絡(luò)隔離。這種方法基本上是對現(xiàn)有安全架構(gòu)的擴(kuò)展，它基于訪問控制列表(ACL)和其他經(jīng)過時(shí)間檢驗(yàn)的方法進(jìn)行細(xì)分。約翰遜說：“到目前為止，這是最簡單的方法，因?yàn)榇蠖鄶?shù)網(wǎng)絡(luò)專業(yè)人員都熟悉這種方法。”“但是，大型網(wǎng)絡(luò)段可能無法實(shí)現(xiàn)微隔離，并且這種做法在大型數(shù)據(jù)中心中管理起來可能既復(fù)雜又昂貴?！?/p>

在購買微隔離工具時(shí)，重要的是要記住，并非所有微隔離產(chǎn)品都能很好地適合這三個(gè)基本類別。許多供應(yīng)商正在探索提供彈性網(wǎng)絡(luò)微隔離的新方法和改進(jìn)的方法，例如機(jī)器學(xué)習(xí)和AI 監(jiān)控。在投入任何特定的微隔離產(chǎn)品之前，請確保詳細(xì)了解供應(yīng)商的特定技術(shù)方法，以及是否與企業(yè)自身的架構(gòu)和運(yùn)營要求存在兼容性問題。

微隔離的缺點(diǎn)

盡管優(yōu)點(diǎn)一大堆，但微隔離也帶來了一些應(yīng)用和操作方面的挑戰(zhàn)。當(dāng)有供應(yīng)商向你兜售“一鍵式”解決方案的時(shí)候，企業(yè)安全主管尤其需要警惕，因?yàn)槲⒏綦x的初始部署通常會特別麻煩。Tyler警告說：“實(shí)施微隔離對有些業(yè)務(wù)和應(yīng)用可能會具有破壞性?！薄澳赡軙l(fā)現(xiàn)一些不支持微隔離的關(guān)鍵業(yè)務(wù)功能和應(yīng)用打嗝?！?/p>

另一個(gè)潛在的絆腳石是制定解決每個(gè)內(nèi)部系統(tǒng)需求的策略。對于很多企業(yè)而言，這可能是一個(gè)復(fù)雜且耗時(shí)的過程，因?yàn)樵谥匦聶?quán)衡和定義IT政策及其含義時(shí)，可能會發(fā)生內(nèi)部斗爭。Cross觀察到：“在大多數(shù)組織中，任何對內(nèi)部控制的觸動都會阻力重重?！?/p>

當(dāng)高敏感度資產(chǎn)和低敏感度資產(chǎn)同時(shí)存在于同一安全邊界內(nèi)時(shí)，了解不同網(wǎng)絡(luò)通信所需匹配的端口和協(xié)議(以及方向)是很重要的。實(shí)施不當(dāng)會導(dǎo)致網(wǎng)絡(luò)意外中斷。NCC集團(tuán)北美公司技術(shù)總監(jiān)，關(guān)鍵基礎(chǔ)設(shè)施防御專家達(dá)蒙·斯莫爾(Damon Small)表示：“此外，請記住，實(shí)施微隔離所需的更改可能需要停機(jī)，因此精心計(jì)劃很重要?！?。

微隔離技術(shù)一般都支持各種流行操作系統(tǒng)(例如Linux、Windows和MacOS)環(huán)境。但對于使用大型機(jī)或其他舊技術(shù)的組織而言，微隔離技術(shù)的兼容性并不樂觀。Cross警告說：“他們可能發(fā)現(xiàn)微隔離軟件不適用于這些遺留平臺?！?/p>

微隔離入門

要成功部署微隔離，必須對網(wǎng)絡(luò)體系結(jié)構(gòu)以及受支持的系統(tǒng)和應(yīng)用程序有詳細(xì)的了解。Small指出：“具體來說，企業(yè)應(yīng)該知道系統(tǒng)之間如何通信?！薄熬唧w可能需要與供應(yīng)商緊密合作或進(jìn)行詳細(xì)分析，以確定應(yīng)將微隔離放置在何處以及如何以不中斷生產(chǎn)的方式來放置微分段?！?/p>

啟動微隔離計(jì)劃的最佳方法是制定詳細(xì)的資產(chǎn)管理計(jì)劃。Pott說：“在全面掌握網(wǎng)絡(luò)資產(chǎn)并設(shè)計(jì)出一些方法對這些系統(tǒng)進(jìn)行分類之前，您無法對如何分割網(wǎng)絡(luò)做出理性的決定?！?/p>

解決了資產(chǎn)發(fā)現(xiàn)、分類和管理自動化問題后，IT環(huán)境才算是為微隔離準(zhǔn)備就緒。Pott建議說：“現(xiàn)在，安全主管們是時(shí)候到安全廠商那里購物了，并提出很多有關(guān)總擁有成本，集成能力，可擴(kuò)展性的尖銳問題。”

Cross觀察到，微隔離平臺的性能取決于執(zhí)行策略。他說：“用戶需要了解攻擊者的攻擊環(huán)節(jié)和步驟，并確保其策略能切斷最有價(jià)值的途徑，這一點(diǎn)很重要?！薄耙恍┖唵蔚囊?guī)則可以將Windows Networking、RDP服務(wù)和SSH在內(nèi)部網(wǎng)絡(luò)上的使用范圍縮小到特定用戶，從而可以抵御流行的攻擊技術(shù)，而不會干擾業(yè)務(wù)流程。”