微分段使用虚拟化技术在网络中创建越来越细化的安全区域。通过应用高度集中的安全策略,微分段将安全性从简单地识别IP地址转变为根据用户的身份和角色仅授予用户访问他们需要的应用程序和数据的权限。然后,安全性就落到了个人用户身上,限制了网络内危险的横向移动。这些策略可以根据位置和设备进一步细化,这是一种考虑当前安全风险的自适应方法。这是零信任的核心技术,即任何人都不应该被信任或被授予比他们需要更多的访问权限。1.微分段及其作用微分段是一种网络安全技术,可以帮助安全架构师将数据中心合理划分为每个工作负载级别的不同安全段,然后我们参考每个工作负载定义安全控制。正是微分段使得IT行业能够借助网络虚拟化技术在数据中心内部部署不同的安全策略。此方法不需要安装多个防火墙。微分段还用于保护策略驱动的企业网络中的虚拟机(VM)。由于微分段中的安全策略应用于单个网络,因此它起到防御攻击的作用。微分段使用网络虚拟化技术在所有数据中心和云部署中创建精细的安全区域,隔离和保护各个工作负载。微分段为组织提供了许多好处:减少攻击面:微分段限制了攻击者在网络中横向移动的能力,最终减少了潜在的攻击面。威胁检测和响应:即使采用优化的安全实践,漏洞也是不可避免的。但是微分段可以显着提高威胁检测和响应时间。当检测到策略违规时,微分段工具可以生成实时警报,甚至可以阻止未经批准的活动。法规遵从性:微分段可以通过创建专门存储受监管数据的细分来实现,通常是受《通用数据保护条例》(GDPR)和《加州消费者隐私法》(CCPA)等法律保护的客户个人身份信息(PII),以加强组织的合规状况)。然后可以为这些细分创建以合规为中心的策略。这也大大简化了审计过程。2.零信任及其作用零信任是一种保护对网络、应用程序和环境的所有访问的综合方法。因为应用程序是现代业务的核心,可以提高生产力和收入;确保整个应用程序堆栈或工作负载的安全至关重要。组织正在部署比以往更多的工作负载,并在不同的多云环境中的更多地方运行它们。传统的安全方法难以提供全面的保护,当今的敌对威胁环境加剧了这一问题。“什么都不信任,什么都验证”企业安全的零信任方法变得必要,而不是可有可无。今天的安全团队需要考虑安全访问应用程序中的API、微服务或访问数据库的容器,无论它位于云、数据中心或其他虚拟化环境中的哪个位置。他们需要专注于分段访问和识别恶意行为,以遏制漏洞并防止横向移动。这是如何以有意义的方式实施的?零信任是一种方法,但就像许多事情一样,“细节决定成败”。将零信任理念付诸实践的一种常见方法是将微分段用于“不信任,验证一切模型”。3.传统技术存在的问题防火墙、虚拟专用网络和网络访问控制(NAC)等传统安全工具有其局限性,因为它们主要侧重于保护网络边界。安全团队历来将最大的威胁确定为来自网络外部的攻击。但这种方法忽略了内部威胁——以及黑客如果最终获得网络访问权可能造成的破坏。客户网络边缘活动的增加、远程工作访问和物联网(IoT)设备使网络安全形势变得复杂。边缘流量正在推动组织将数据处理从数据中心转移到网络边缘。这提高了数据中心的安全性和响应能力——但将这些问题转移到网络边缘需要新的安全方法。作为回应,边缘安全已经成为一个新的流行语,其核心是零信任的概念。3.1无法采用基于IP的云安全策略云原生开发可以挑战传统的企业策略,部分原因是环境的不断变化。云工作负载跨位置移动,应用程序中的实例可以随着需求波动和容器在几秒钟内来来去去而动态扩展——这使得验证成为一个严重的问题。在这些环境中,许多企业习惯的基于IP的安全性很快就会变得难以管理。混合云和多云环境引入了IP域转移,因为可以在一小时内复制、重新安排和重新托管容器化工作负载。微服务通过可通过HTTP/gRPC访问的API公开,从而使IP地址变得无关紧要。为了实现端到端的可见性,管理员必须将跨多个环境的IP流拼接在一起,这在规模上变得不可行。由于IP地址不再像以前那样持久,因此不能依赖它们来准确识别云中的工作负载,从而使它们无法用于遵循零信任最佳实践的安全策略。4.基于零信任安全认证用户和设备零信任框架依赖于“不信任任何东西,验证一切”的理念。这意味着组织必须在允许访问任何应用程序或存储的数据之前,对连接到网络的每个用户和设备(内部或外部)进行身份验证和授权。这种“最小特权”访问方法认识到过多的信任是一个漏洞。如果恶意行为者获得了网络访问权限,以边界为中心的安全工具无法阻止他们在网络中横向移动,从而允许他们访问应用程序和数据。这种横向移动特别危险,因为这种高级持续威胁是最灾难性数据泄露的背后原因。零信任保护网络内所有应用程序和环境的访问。那么,安全团队如何对穿越网络的大量用户和设备进行身份验证?一个关键是创建软件定义的分段并使用微分段在粒度级别为它们定义安全策略。5.用于网络隔离和工作负载的微分段从历史上看,组织使用网络分段来确保安全,这是一种在基于硬件的环境中创建子网的技术。这些网段是使用传统的、以参数为中心的工具(例如网络或防火墙)构建的,以提供南北向安全性——数据流入或流出网络。另一方面,微分段为东西向或横向流量(网络内的数据流)提供保护。这包括网络中的服务器到服务器、应用程序到服务器和网络到服务器的连接。通过为单个工作负载创建具有细粒度策略控制的安全微分段,微分段提供了对软件定义分段内部和之间流量的完全控制。5.1网络分段和微分段网络分段和微分段之间的一个常见类比是网络分段充当网络城堡周围的墙和护城河。微分段充当守卫,保护城堡墙壁内的每一扇门和每一条通道。两者都是必需的,但微分段是可以保护您最有价值的数据的缺失部分。5.2网络分段的问题网络分段背后的理论与零信任形成鲜明对比,因为它只涉及授权对网络的初始访问。这意味着一旦连接被授予访问权限,就可以信任它在网络中自由传输,或者至少在该网段中传输。网络分段的另一个问题是它依赖于对网络分段提供有限控制的粗粒度策略。现代混合网络和云网络中的软件定义网段需要每个网段有数千个粗粒度策略,以实现一些横向流量保护。随着新的资源和用户不断添加到网络中,这远远超出了合理的管理范围。在高级持续性威胁(APT)的情况下,缺乏全面、详细的策略来保护横向流量是一个特别大的问题。在这些情况下,攻击者使用窃取的凭据来访问网络。如果没有零信任框架,攻击者可以在很长一段时间内在未被发现的情况下浏览网络,映射组织的系统并创建高度定制的恶意软件来收集敏感数据。零信任和微分段是防止APT在网络中公开传播的关键新步骤。6.基于零信任和微分段的攻击面减少通过隔离环境和分段工作负载,使用微分段的零信任框架通过限制从一个可能受损的工作负载移动到另一个来大大减少整体网络流量。攻击面。一旦进行了微分段,细粒度的安全策略就可以应用于工作负载,细化到单个机器、用户或应用程序。这些策略可以根据现实世界的构造来定义,例如用户组、访问组和网络组,并且可以跨多个应用程序或设备应用。6.1如何分配策略在设备级别,策略可用于根据设备的能力为设备分配某些限制,以便只有需要访问关键应用程序和资源的设备才能获得授权。这些设备也可以相互隔离,因此除非获得授权,否则它们无法通信。设备也可以根据位置(例如咖啡店与公司网络)以及设备本身的安全性进行限制,这些设备可能没有所有安全更新和补丁都是最新的。策略也可以基于源标识,这是微分段相对于以前的分段方法的另一个优势。网络分段只能告诉您哪些信息在分段之间进行通信,而微分段可以查明请求通信的资源的身份,无论它是服务器、应用程序、主机还是用户。这提供了更精细的分段,仅允许其身份已被授予适当权限的资源之间进行通信。借助全面的微分段解决方案,任何无法通过策略参数验证的连接都会被阻止获得访问权限。微分段不仅可以防止横向移动,还可以为安全团队提供所有网络流量的高度可见性和上下文。这使团队能够快速识别恶意行为和违规行为,从而改进事件响应和补救措施。
