各种规模的公司快速采用云服务可以带来许多业务优势,尤其是提高敏捷性和降低IT基础架构成本。然而,随着IT环境变得更加异构和地理分布,许多组织发现他们的安全攻击面呈指数级增长。随着越来越多的企业采用一体式架构风格方法来部署应用程序和更广泛的基础设施自动化,IT基础设施变革步伐的加快加剧了这一挑战。系统强化、主动漏洞管理、强大的访问控制和网络分段等长期安全实践在减少安全团队攻击面的过程中继续发挥重要作用。但是,由于多种原因,这些措施在混合云环境中已不再足够。首先,虽然这些实践仍然相关,但它们几乎无法解释主要的攻击面增长,例如云采用和容器引入的新应用程序部署模型。此外,很难跨混合云基础架构一致地实施这些实践,因为它们通常与特定的本地或云环境相关联。最后,随着应用程序部署模型变得更加分布式和动态化,它使组织面临更大的未经批准的横向移动风险。随着东/西流量的增长,仅基于网络的分段过于粗略,无法阻止攻击者利用开放端口和服务来扩大其攻击足迹并找到可利用的漏洞。这些现实导致许多安全主管和行业专家将微分段作为战略重点。实施包括可见性功能和流程级策略控制在内的整体微分段方法是在云转型IT基础架构时减少攻击面的最有效方法。此外,由于微分段是在工作负载级别而不是基础架构级别实施的,因此它可以跨混合云基础架构一致地实施,并随着环境变化或工作负载重新定位而无缝适应。可视化攻击面安全团队可以采取的减少攻击面的最有益步骤之一是深入了解其应用程序基础架构的功能及其随时间的演变情况。通过对攻击面的详细了解,安全团队可以更有效地实施新的控制措施以减小其规模。使用微分段解决方案可视化环境使安全团队更容易识别任何危害指标并评估他们当前的潜在暴露状态。此过程应包括可视化各个应用程序(及其依赖项)、系统、网络和流程,以明确定义预期行为并确定可以应用额外控制以减少攻击面的区域。微分段减少攻击面随着越来越多的应用程序工作负载转移到公共云和混合云架构,现有的攻击面减少工作通常存在问题的一个领域是横向移动检测和预防。更多的分布式应用程序架构增加了许多数据中心和云环境中的“东/西”流量。虽然大部分流量是合法的,但能够在这些环境中广泛通信的可信资产是攻击者的有吸引力的目标。随着网络边界的传统概念变得不那么重要,它们也更容易获得。当资产受到损害时,攻击者通常采取的第一步是调查和分析受损害资产周围的环境,寻找更高价值的目标,并试图将横向移动与合法应用程序和网络活动结合起来。微分段解决方案可以帮助安全团队创建细化策略,通过以下方式帮助抵御此类攻击:在应用程序中细分层;围绕具有特定合规性或监管要求的资产创建明确的安全边界;在您的基础架构中实施通用的企业安全策略和最佳实践。这些措施和其他类似措施会减缓或阻止攻击者横向移动的努力。如果有效实施,微分段将在整个基础架构中更广泛地应用最小特权原则,即使它从数据中心扩展到一个或多个云平台。即使IT基础架构不断发展和多样化,通过对应用程序和流程的深度治理来防止横向移动也会减少可用的攻击面。超越网络攻击面的进程级控制使安全团队能够真正将他们的安全策略与特定的应用程序逻辑和监管要求结合起来,而不是仅仅通过基础设施的视角来查看它们。这种应用程序感知是微分段减少攻击面的关键因素。将非常具体的进程级流列入白名单的细粒度策略可以更有效地减少攻击面,聪明的攻击者可以通过利用具有可信IP地址的系统或在允许的端口中混合攻击来规避攻击面。多操作系统、多环境方法的重要性随着向混合云环境过渡的加速,企业很容易忽视这种变化在多大程度上扩大了他们的攻击面。新的物理环境、平台和应用程序部署方法创造了许多新的潜在风险领域。除了提供更精细的控制之外,微分段为希望减少攻击面的企业提供的另一个好处是它支持跨多个操作系统和部署环境的统一安全模型。当政策侧重于特定流程和流程而不是基础设施组件时,它们可以应用于本地和云托管资源的任意组合,甚至可以在特定工作负载在数据中心和一个或多个云之间移动时保持一致。与依赖特定环境或平台的点安全产品相比,这是一个主要优势,因为即使环境变得更大和更加异构,它也能最大限度地减少攻击面。选择微分段平台时,重要的是要验证该解决方案是否可以跨基础架构无缝运行,没有任何环境或特定于平台的依赖性。这包括验证Windows和Linux之间的控制级别是否一致,以及不依赖不具备必要灵活性的内置操作系统防火墙。虽然向云或混合云IT基础设施的过渡确实有可能引入新的安全风险,但管理良好的微分段方法是高度精细的,与底层基础设施隔离,具有更多的基础设施多样性和复杂性引入应用程序感知可以实际上减少了攻击面。
