微分段架構有何不同

John Edwards

盡管周界防御在過去幾年里有了一系列的改進，但企業不能再僅僅依靠周界防御來抵御網絡攻擊了。微分段技術把IT環境劃分為可控制的分區，幫助采用者安全地隔離工作負載，使網絡保護更加細化，從而直接解決了未經授權的橫向移動攻擊的難題。隨著網絡攻擊者不斷嘗試新的方法來躲避安全措施，在IT環境中到處破壞，微分段已成為主流。

微分段技術的工作原理

不要望文生義。微分段技術實際上是從注重性能和管理的網絡分段技術向前邁出的一大步。微分段專門設計用于解決關鍵的網絡保護問題，從而降低風險，使安全部門能夠適應不斷變化的IT環境的需求。

信息安全專家在過去20年的大部分時間里關注的是實施各種類型的零信任技術。瞻博網絡公司的技術安全負責人Trevor Pott說：“微分段采用了一種‘簡單按鈕的方式來實現，配有自動化和編排工具，以及能提供詳細報告和圖表的完善的用戶界面?！彼a充說：“我們再也沒有借口不去做我們20年前就該做的事情了?！?/p>

微分段采用一種單一的中央策略將安全措施分發給每個獨立的系統。網絡安全提供商OPAQ的首席技術官Tom Cross解釋說：“這一技術進步使得能夠在整個企業網絡中實施更精細的策略，而不僅僅是在周界防御上。這種方法是必要的，這既是因為周界防御安全有時會失敗，也是因為云的采用導致網絡周界變得更容易被滲透。”

微分段仍然依賴于傳統的網絡安全技術，例如，訪問控制網絡。IT服務提供商Entrust Solutions公司的IT總監兼網絡安全專家Brad Willman表示：“讓微分段與眾不同的是，這些安全方法適用于網絡中的各個工作負載。”

很多企業都被微分段的分區結構所吸引。（參見相關報道：為什么3家企業選擇了微分段技術）IT咨詢公司Kelser的高級咨詢工程師Andrew Tyler介紹說：“微分段技術是一種策略，它不僅可以防止數據泄露，而且如果出現了泄露，它能夠將泄露限制在網絡非常小的部分，從而顯著減少了數據泄露帶來的損害?！?h3>各種微分段方法

Cross建議，狡猾的攻擊者在試圖破壞企業資源時遵循一個多步驟的過程，因此基礎設施防御者應該考慮在每個步驟都建立控制機制。他說：“Mimikatz和Bloodhound等工具為虎作倀，為攻擊者提供了豐富的功能，導致系統之間的內部橫向移動攻擊在最近的事件中起到了關鍵作用。微分段技術可以阻斷攻擊者在內部網絡中的傳播路徑，從而幫助防御者擊敗這些攻擊方法?！?p>

重要的是要記住，微分段不僅僅是一種面向數據中心的技術。Cross說：“很多安全事件都是起源于終端用戶工作站，這是因為員工點擊了網絡釣魚鏈接，或者他們的系統被其他方式攻破了。從最初的感染點開始，攻擊者開始向整個企業網絡擴散。他解釋說：“微分段平臺應該能夠通過一個控制臺，在數據中心、云工作負載和終端用戶工作站上執行策略。它還應該能夠阻止攻擊在這些環境中傳播?！?/p>

與很多新興技術一樣，供應商正在以不同的方式來實現微分段化。三種傳統的微監控類型是主機代理分段、管理程序分段和網絡分段。

·主機代理分段。這類微分段依賴于位于端點中的代理。所有數據流都是可見的，并被轉發到中央管理器，這種方法可以幫助簡化發現具有挑戰性的協議或者加密數據流的工作。通常認為主機代理技術是一種高效的微分段方法。軟件開發和IT服務初創公司Mulytic Labs的首席技術官David Johnson說：“由于受感染的設備是主機，一個好的主機策略甚至可以阻止問題進入網絡。然而，它要求所有主機安裝軟件，帶來了舊版操作系統和老系統的問題。”

·管理程序分段。在這類微分段技術下，所有數據流都要流經管理程序。Johnson解釋道：“管理程序能夠監控數據流意味著可以使用現有的防火墻，還可以在日常操作中，隨著實例的移動，將策略移動到新的管理程序中。”一個缺點是，管理程序分段通常不適用于云環境，也不適用于容器和裸金屬。他建議說：“這在某些情況下是有用的，在適用的情況下，是非常有利的。”

·網絡分段。這種方法基本上是對現狀的擴展，采用了基于訪問控制列表（ACL）和其他經過時間檢驗的方法進行分段。Johnson說：“這是迄今為止最簡單的途徑，因為大部分網絡專業人員都熟悉這種方法。然而，如果網絡分段過大，可能違背了微網段的初衷，導致大型數據中心管理起來既復雜又昂貴?！?/p>

當購買微分段工具時，重要的是要記住，并非所有產品都完全符合三個基本類別中的任何一個。很多供應商正在研究提供彈性網絡微分段的新方法和改進方法，例如，機器學習和人工智能監控等。在打算采用某種微分段產品之前，一定要仔細詢問供應商其技術的具體方法，以及是否需要考慮任何特殊的兼容性或者操作要求。

也有缺點

盡管微分段技術有很多優點，但也帶來了一些采用和操作上的難題。第一次部署起來可能特別麻煩。Tyler警告說：“實施微分段會造成顛覆。取決于正在使用的應用程序，可能會遇到不支持或者不能支持微分段的關鍵業務功能?！?/p>

另一個潛在的障礙是定義滿足每一內部系統需求的策略。對于某些采用者來說，這可能是一個復雜而且耗時的過程，因為在定義策略并權衡其影響時，內部會出現不同的意見。Cross觀察到：“在很多企業中，對于任何內部控制的例外情況，都會有反對意見?！?/p>

當高敏感度資產和低敏感度資產同時存在于同一安全邊界內時，重要的一點是，一定要知道需要哪些端口和協議才能保證網絡通信正常，以及在哪個方向上進行通信。實施不當會導致網絡意外中斷。NCC集團北美分公司技術總監Damon Small表示：“此外，要注意，實施必要的變革可能得停機，因此，仔細的規劃非常重要?！?/p>

微分段技術廣泛支持運行Linux、Windows和MacOS等流行操作系統的環境。然而，對于使用大型機或者其他老舊技術的企業來說，情況并非如此。Cross警告說：“他們可能會發現，微分段軟件不適用于這些平臺?！?h3>微分段入門

要成功地部署微分段技術，必須詳細了解網絡體系結構以及所支持的系統和應用程序。Small解釋說：“具體來說，企業應該知道系統之間是怎樣通信的，這樣才能正常工作。要想知道通信細節，可能需要與供應商密切合作，或者進行詳細分析，以確定應將微分段放置在何處，以及怎樣放置才不會導致生產中斷?！?/p>

啟動微分段計劃的最佳方法是制訂詳細的資產管理計劃。Pott說：“如果不知道網絡上有什么，也想不出好方法對這些系統進行分類，那就無法對怎樣分割網絡做出合理的決定?！?/p>

一旦資產發現、分類和管理自動化問題得到解決，那么，IT環境就可以進行微分段了。Pott建議：“現在，是時候去和供應商談判了，就總體擁有成本、集成功能、可擴展性和可伸縮性提出一些有針對性的問題。”

Cross觀察到，微分段平臺的效果取決于它所執行的策略。他說：“對于用戶來說，重要的是要考慮攻擊者在攻擊環境時可能遵循的流程，并確保他們的策略關閉了最有價值的通道。一些簡單的規則可以將內部網絡上的Windows網絡、RDP服務和SSH的使用范圍縮小到需要它們的具體用戶，從而在不干擾業務流程的情況下抵御流行的攻擊技術?！?/p>

原文網址

https：//www.networkworld.com/article/3537672/microsegmentation-architecture-choices-and-how-they-differ.html