在数据中心边界已经消失的时代,传统的隔离已经不够用了。然后微隔离开始发挥作用。公司如何才能充分利用这种改进后的安全架构?微分段结合了软件定义网络(SDN)和更好的虚拟化,以创建最基本的安全技术之一。创建清晰的安全边界。企业如何最大限度地发挥微分段的优势?安全专家告诉您该怎么做。什么是微分段?长期以来,网络分段一直是隔离有价值的受保护系统的流行和常用方法。通过将网络的敏感区域与不重要和防御薄弱的区域隔离开来,安全架构师可以防止攻击者在网络上横向移动和提升权限。分段不仅可以减少成功攻击的传播,还可以让安全策略师明智地花钱,将最多的安全预算花在风险最高的系统上,而不必担心攻击者会在风险较低的系统中获得桥头堡。坚持传统分离的问题在于,该方法确实很好地管理了网络架构师所说的垂直流量,即进出数据中心的客户端-服务器交互流。但在混合云环境中,数据中心边界已经消失,大约75%到80%的企业流量是水平的,或者说服务器到服务器,在应用程序之间。Firemon技术联盟副总裁TimWoods表示:“随着我们进入数字化转型、云优先战略和混合企业时代,创建更小控制区域以确保数据安全的能力至关重要。”这从额外的分离开始——将其视为更小、更受控制的区域,但随着虚拟化采用的增长,这种分离现在可以一直深入到单个工作负载。SDN和容器以及无服务器功能等技术是真正的游戏规则改变者,使将工作负载资产、服务和应用程序分解为它们自己的微隔离变得更加可行和负担得起。ShieldX创始人兼首席研发官RatinderPaulSinghAhuja表示,过去,分离需要对硬件进行重新布线,这是一个相当昂贵的人工过程。网络现在是软件定义的,并且可以随着云环境中的反复变化轻松实现自动化。从数据流和架构的全面映射开始当谈到成功微分段部署的最大障碍时,安全专家将可见性放??在首位。分离的粒度越细,IT部门就越需要了解数据流以及系统、应用程序和服务如何相互通信。EntrustDatacard总监兼首席信息安全架构师JarrodStenberg表示,您不仅需要了解流经路由网关的流量,还需要深入了解各个主机,无论是物理主机还是虚拟主机。您必须拥有获取此信息的基础架构和工具,否则您的实施很可能会失败。这就是为什么任何成功的微分段都需要从彻底的发现和映射过程开始。Stenberg解释说,作为这个过程的一部分,组织应该彻底挖掘或记录他们的应用程序,这可以支持任何未来的微分段决策并确保应用程序按预期运行。NCCGroup安全咨询总监DamonSmall表示,这种粒度级别可能需要与供应商密切合作,或进行详细分析以确定微分段应该部署在哪里,以及如何在不导致生产中断的情况下进行部署。使用威胁建模来定义用例一旦公司建立了获得数据流可见性的机制,这种理解就会开始导致风险评估和威胁建模。然后,评估和建模反过来帮助公司确定微细分的位置和粒度。vArmour产品和战略高级副总裁KeithStewart说:有了这种理解,你就会开始认识到你的环境或你的“爆炸半径”中的风险。攻击者可以从哪里渗透到网络中?用户数据库等关键资产是否在爆炸半径内?只要你能标记高风险区域,你就可以开始部署微分段控制来应对这些风险。CiscoDuoSecurity全球咨询CISODaveLewis表示,如果没有详细的行动计划,不要开始微分段。由于微分段是通过细粒度的访问控制实现的,因此需要大量的尽职调查和对细节的关注。必须非常重视在微分离之前进行适当的规划。要知道你需要分开什么。WatchGuardTechnologies的高级安全分析师MarcLaliberte表示,需要注意的一件事是,微分段可以通过多种不同的技术方式实施,具有不同程度的复杂性。从一开始的计划就应该包括定义您的威胁模型和确定适合您的微分段形式。安全投资应基于公司及其应用程序面临的风险,以及一次成功的攻击可能造成的损害。平衡控制与业务需求在威胁建模过程中,促进微分段的战略家在设计微分段时需要牢记业务利益。SAPNS2CISOTedWagner表示,当全面推出时,分离方案不仅要满足安全要求,还要提供必要的访问权限,让应用程序和流程能够无缝连接并顺利工作。解决方案不能孤立地设计或实施,必须由许多利益相关者进行审查。微分段的成功需要安全性与来自业务和IT的利益相关者协作,以便从一开始就深入了解所有这些流动的应用程序和业务流程如何协同工作。PaloAltoNetworks全球系统工程高级副总裁ScottStevens说,组建一个由企业主、网络架构师、IT安全人员和应用程序架构师组成的多元化团队是实现这一过程所必需的。建立一个全面发展的团队还可以帮助公司预先设定期望,避免那种可以让项目半途而废的政治。根据Cisco的Lewis的说法,实现微分段的主要障碍是与业务部门的沟通。我曾经听到人们在出现问题时抱怨“这一定是防火墙造成的”。微隔离现在是内部业务部门尖刻批评的主题。专家建议,启动微隔离的企业应理性对待微隔离项目的进展。史蒂文斯的建议是从注重实用的方法开始,而不是一来就进行大修。熟悉该过程的基本步骤:确定信息在公司中的流动方式,基于该信息流建立隔离网络,创建包含所需安全功能的更新安全策略,然后准备持续监控和更新该网络。EntrustDatacard的Stenberg建议采用分阶段的方法,一次一个应用程序。这使您可以专注于高优先级目标,完全锁定它们,同时保留对网络上其他所有内容的单独控制。为了控制粒度,应根据正在处理和存储的数据的敏感性,根据需要访问的人员对资产进行分组。EricomSoftware的CTONickKael表示,微隔离项目不仅要分解成可管理的部分并分阶段实施,部署过程也应该设置能够反映阶段性进展的里程碑和指标。这些项目可能既复杂又耗时,因此展示过程中的进展非常重要。建立微分段的可持续性随着公司继续将更多资产引入微分段,负责的团队需要从长远考虑。正如Woods所解释的那样,微观隔离并不是一种“一劳永逸”的策略。这意味着企业需要建立长效机制来维护数据流的可见性,并设置技术功能来灵活维护政策变化和实施要求。它还意味着清楚地描述每个人在微隔离配置管理中负责做什么。SAPNS2的Wagner说,微分段管理的角色和职责也很重要。应审查对微分段规则的更改,例如配置控制板,运营和安全团队可以在其中验证更改的适当性。同时,企业不希望陷入手动审批和修订流程的泥潭。因此,尽量在维护过程中引入自动化。EdgewiseNetworks的创始人兼首席执行官彼得史密斯表示:微细分所需的许多耗时费力的任务现在可以通过机器学习实现自动化,包括弄清楚应用程序如何相互通信,确定提供的规则集以最少的人数实现最大的覆盖面,持续监测。跟上变化,尤其是在云环境中。在战略方面,人类操作员将是最终的决策者,但自动化应该有助于缩短审查一切的过程。从长远来看,所有实施微隔离的努力都可以帮助企业大大降低不可避免的安全漏洞风险。微分段增加了??安全控制,同时保留了利用现代工作流和混合基础架构所需的灵活性,最终,无论您将其视为遵循最小特权原则还是实践零信任,微分段都可以帮助安全团队维护机密性、完整性和细化IT资产的可用性。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
