Gartner最近更新了微分段评估因子文档(“HowtoUseEvaluationFactorstoSelectMicrosegmentationModels”。四种不同的微分段模型,但没有明确推荐哪个更好。任何了解此答案的人意味着要考虑每个模型的局限性,并认识到动态混合云数据中心的未来前景。很明显,一个解决方案模型高于其他模型,以前使用其他模型的供应商现在正在改变他们的技术使用方式应该是没有对这个模型感到惊讶:覆盖。但首先,解释为什么其他模型不适合大多数企业客户。本地云控制工具的不灵活性。该模型本质上是有限和不灵活的。即使对于仅使用单个虚拟机管理程序提供商的企业,此模型将它们绑定到一项服务中,因为当您更换供应商时,您不能简单地移动微细分策略。此外,虽然企业可能认为他们在一个IaaS服务器或虚拟机管理程序下工作,但供应商也可能在其他地方拥有服务器。事实上,过去支持微分段本地控制的供应商已经意识到客户正在转型,必须开发新的基于覆盖的产品。通常情况下,企业知道他们正在与多个云提供商和服务合作,并且需要一个可以在这种异构环境微分段策略中无缝工作的解决方案。第三方防火墙的不一致性该模型基于第三方供应商提供的虚拟防火墙。采用这种模式的企业往往受到网络层设计的制约,不得不改变网络拓扑结构。由于专有应用程序、加密或同一VLAN上的不可见和不受控制的流量,阻止了它们获得可见性。这种方法的一个已知问题是,由于依赖其他第三方基础设施,它会产生瓶颈。本质上,这种模型并没有构建跨不同架构的一致解决方案,也不能用于控制容器层。混合模式的复杂性结合以上两种模式,企业采用混合模式进行微观分离,尽量限制两种模式的某些缺点。为了使它们比原生控件更灵活,它们通常使用第三方防火墙进行南北向流量。在数据中心内部,您无需担心多云支持,原生控制东西向流量。然而,正如所讨论的,这两种解决方案甚至是串联的并且是最有限的。使用混合方法,您还会增加复杂而困难的设置和维护策略的额外问题。在面向未来的IT生态系统中,混合选项的可见性和控制是不可持续的,在该生态系统中,工作负载和应用程序在多个环境中旋转、自动化、自动扩展和迁移。企业需要一个运行良好的解决方案,而不是两个独立且受限的解决方案。了解覆盖模型-为聚焦微分段的未来构建的解决方案覆盖不是从不良模型拼凑而成的混合解决方案,而是从头开始构建的更强大且面向未来的解决方案。Gartner将覆盖模型描述为在工作负载本身上实施主机代理或软件的解决方案。使用代理到代理通信而不是网络分区。第三方防火墙的一个缺点是它们本身不具有可扩展性。相比之下,代理机构没有限制,可以根据您的需要进行扩展。借助覆盖,您的企业可以获得对复杂和动态环境的可见性,并深入了解流程层,包括面向未来的架构,例如容器技术。解决基础设施差异的解决方案,无论任何运营或基础设施环境如何,这意味着企业可以支持从裸机和云到虚拟或微服务或任何未来的技术。无覆盖模型-您的企业无法确定是否支持未来的用例并保持与反对者的竞争力。并非所有的叠加模型都是一样的显然,叠加是一种强大的技术模型和面向未来的微分段解决方案。这对于传统的访问列表式微分段以及实施更深层次的安全功能都是如此。不幸的是,并非每个供应商都会提供满足其功能的覆盖版本。利用覆盖解决方案的固有优势意味着您可以将代理放在正确的位置,设置以精细方式工作的通信策略。使用合适的供应商,您可以明智地选择放置代理的位置,使用上下文和流程级别的可见性一直到第7层。您的供应商还应该能够提供额外的功能,例如每个帐户、用户或哈希执行,都在同一个经纪人内。请记住,保护您的基础架构需要的不仅仅是微分段,还需要部署其他解决方案来降低风险并满足安全性和合规性要求。微分段已经从一个令人兴奋的新网络安全流行语变成了任何具有前瞻性思维的企业的重要风险降低策略。如果它在您2019年的待办事项清单上,请确保您做对了,并且不要成为无代理模型限制的牺牲品。
