经常使用微分段缩小横向攻打
很多IT基础架构专业人士仅将微分段视为限度数据核心主机、运行程序和上班负载之间访问的方法。但是,微分段曾经远远超出这种最后的才干,如今可为公司提供另一种接受零信赖的形式。
为什么企业要驳回微分段
如今企业面临的一项严格应战是如何防止攻打者在越过安保边界后在数据核心内横向移动。
咱们在各种资讯中看到对于攻打者破坏公司网络的故事。一旦入侵企业网络,攻打者可以访问任何物品而简直没有任何阻碍。对此,很多公司正在实施零信赖,更详细地说,是微分段。这种方法使攻打者难以在系统内自在横向移动。
这些年来微分段是如何开展的?
在早期,从网络安保和基础设备可扩展性的角度来看,微分段的配置有限。
VMware公司产品营销初级总监VivekBhandari示意,防止攻打者在数据核心横向移动的一种早期方法触及经过第4层防火墙的物理或逻辑段。分段最后限度企业扩展流量的才干,由于流量都须要经过中央防火墙。分段的粒度性质也象征着战略治理变得愈加艰巨。
为了处置早期的微分段疑问,供应商开发了在网络级别上班的软件定义产品敌对台。例如,软件定义的网络平台使防火墙可以处于治理程序级别。经过经常使用此级别的防火墙,治理员可以为一切虚构机部署微分段。较新的微分段产品实用于第7层防火墙,可以在运行程序和用户ID级别启动包全。
经过虚构化、散布式防火墙的精细访问控制是打击未经授权的横向移动的严重提高。但是,企业很快就想要一种方法以将他们的信赖检测和预防系统(IDSes/IPSes)间接散发到虚构机治理程序上。此外,他们还须要全系统模拟沙盒来检测未知的零日要挟,由于这些要挟不可经常使用基于签名的检测技术启动识别。这使得IDS/IPS和网络沙盒服务再次与集中式网络安保设备分别,并置于虚构机治理程序中。
为了成功部署微分段,治理员不应该只是分段流量。依据Bhandari的说法,应该监控每个数据核心的流量,以确定异常行为是良性还是恶意。这造成微分段中增加了其余配置,例如沙盒数据核心上班负载。微分段还使战略能够与上班负载关系联,从而降落治理的复杂性,例如在主机和数据核心之间移动上班负载。
只管第7层防火墙、IPS/IDS审核和沙盒配置十分棒,但微分段的开展并没有就此完结。由于初级继续要挟的危险越来越大,并且黑客有才干绕过多重网络安保包全,微分段引入基于行为的剖析。
较新的微分段产品敌对台通常提供网络流量剖析和网络检测和照应(NDR),使治理员能够从任何中央搜集和衔接数据。由于人工智能和机器学习,NDR还可以在恶意优惠在系统内横向移动之前识别它。
简化现代微分段
为使微分段在企业中真正取得成功,它肯定易于部署和治理。其中一种选用是有效地对流量启动可视化和分类。企业应寻觅具备智能流量可见性以及发现和映射配置的平台。
软件定义技术继续变得愈加复杂。IT须要能够识别、剖析和映射现有的运行程序流量。剖析成功后,就该实施微分段战略。
对现代微分段感兴味的公司经常会由于构建每个上班流战略所需的致力而感到丧气。但是有些工具可以简化和智能化集成环节。