如何使用微分段保护云中的工作负载

如今，很多企业正在快速将其数据中心业务从内部部署设施迁移到更具可扩展性、虚拟化和混合云基础设施。其安全专家正试图保证业务安全，寻找解决方案来保护在这些动态、异构环境中运行的关键任务应用程序和工作负载。

[[255559]]

当边界不断变化时，传统基于网络的边界安全性不再有效。从日常新闻报道来看，网络攻击者似乎在随意突破外围防御。进入网络内部后，它们将融入东西方向流量，横向扩散，并寻找漏洞。无防护应用程序跨越各种裸机服务器、虚拟机和容器，是攻击者的目标，并共同构成巨大的攻击面。

转向微分段

安全专家和分析师越来越多地将微分段作为保护数据中心资产和实施“零信任”安全模型的最佳实践解决方案。微分段涉及围绕单个或逻辑分组的应用程序设置粒度安全策略。这些策略规定哪些应用程序可以相互通信，哪些不能相互通信。而任何未经授权的通信尝试不仅会被阻止，还会触发入侵者可能存在的警报。

分析机构Gartner公司已将微分段作为十大优先安全项目之一，特别是那些希望能够查看和控制数据中心内流量的组织，进一步指出其目标是阻止数据中心攻击的横向扩散。

鉴于人们对微分段的关注，为什么没有得到更广泛的应用呢?一些误解让安全人员犹豫不决。其中一个原因是大型企业只能投入大量安全专业人员来实施和管理微分段项目。另一个原因是，这是一个“全有或全无”的命题，要求在一个单一的大型项目中保护最后的资产，这是在连续应用程序部署的DevOps环境中几乎是不可能完成的任务。

重要的是抛开这些误解，并从已成功将微分段纳入其IT运营的企业中吸取教训是很重要的。这些组织采取了分阶段的方法，最初侧重于一些易于定义目标的可管理项目。通过微细分可以解决的常见挑战包括：

• 合规性。微分段的关键驱动因素，SWIFT、PCI、GDPR、HIPAA等监管法规和标准经常指定某些流程必须与一般网络流量分离。
• DevOps。开发、测试或质量保证环境中的应用程序需要与生产环境中的应用程序分开。
• 限制从外部用户或物联网设备访问数据中心资产或服务。
• 从一般企业系统中分离运行高度敏感设备的系统(例如医院中的医疗设备)。
• 将最关键的应用程序与不太关键的应用程序分开。

通过建立优先级的层次结构并从小规模开始，企业可以获得一些“快速获胜”，并开始在相当短的时间内看到切实的结果。

微分段解决方案的基本属性

为了使微分段既有效又实用，它需要满足某些基本要求。这些包括：

• 流程级可见性：缺乏可见性通常是组织遇到的第一个绊脚石——他们无法看到数据中心正在运行的所有内容。获得全面可见性是识别应用程序的逻辑分组以进行分段的必要先决条件。
• 与平台无关的性能：当应用程序在异构环境中迁移时，管理其通信的策略必须能够遵循它们，并在任何地方保护它们。
• 标签：正确分类或标记资产以准备监控和策略创建的能力是基础。要在动态环境中利用自动扩展功能，请考虑在工作负载向上或向下扩展时自动应用标签的标签方法。
• 灵活的创建策略：运营人员应该能够创建自定义层次结构，以便轻松创建复合规则，了解不同的利益相关者希望以不同方式组织和创建规则。
• 自动化：该解决方案还应允许自动化策略创建、修改和管理的大部分过程，以便在部署新工作负载时，它们会自动分配到适当的微分段和策略中。

实施过程

微分段的实施一般可分为七个阶段：

• 发现和识别：查找并识别其数据中心中运行的所有应用程序。流程级别可见性在这里至关重要。
• 依赖关系映射：确定哪些应用程序需要能够相互通信。借助图形可视化和绘图工具，可以大大加快这一过程。
• 对规则的应用程序进行分组：了解应用程序依赖性后，开始将它们放入逻辑组，以创建安全策略。避免过度分段(具有太多离散分组)或分段不足(创建如此广泛的组会使策略缺乏精确性)。
• 创建策略或规则：在定义逻辑分组后，可以为每个定义的组创建、测试和优化策略。
• 部署：实施策略。
• 监控和执行：解决方案应该能够监控每个端口和所有东西方向流量的异常情况。违反政策应自动触发威胁拦截和遏制的执行机制。

实施微分段并不是一个简单的决定，这需要组织的承诺。然而，通过采用具有特定近期目标的分阶段、分层方法，企业可以立即开始看到关键优先级的价值，并且随着用户获得该过程的经验，其学习曲线将很快变平。

最重要的是，组织可以充分利用云计算支持的业务敏捷性和效率，并充分降低妥协风险。