微切分是一種安全性最佳實務,可幫助控管和限制組織資料中心或雲端環境中工作負載之間的網路存取。
切分這個做法並不是什麼新鮮事,IT 團隊對網路和應用程式進行切分已有很長一段時間了。例如,網路切分會將網路分割成多個區段以減少攻擊面,並確保如果個別網路段上的主機遭到破壞,其他網路段上的主機不會受到影響。
微切分的不同之處在於,資料或應用程式層級的分段細度。使用網路虛擬化技術而不是多個實體防火牆,IT 可以將網路分割為單獨的資料共享或工作負載,然後為每個共享或工作負載執行獨特且基於策略的安全控制。這基本上會在資料中心和雲端環境中形成非常特定的安全區域,從而提升組織的安全態勢並防禦攻擊,從而最大限度地減少了網路事件造成的總體影響。
如今,由於雲端越來越流行,微切分也變得越來越受歡迎——這需要絕對的資料和工作負載分離,以及統一的策略支援。在部署工作負載時,若標準界限安全性無法完全得到保護,它還可以提供額外的安全防護,例如容器。舉個例子,雲端原生工作負載通常具有動態 IP 位址,因此嘗試根據 IP 位址來建立規則將徒勞無功。
微切分如何運作?
傳統上,組織已經為其網路使用了邊界安全防護。這些安全通訊協定和裝置會監控客戶端和伺服器之間移動的流量,或是從外部來源傳輸到網路的資料,反之亦然。網路中的所有內容通常都是可信任的,資料可以在工作負載之間橫向傳輸,而無需仔細監控。
然而,隨著雲端的普及,一個組織的大部分流量現在都是橫向的,或是從工作負載到工作負載,而邊界安全性不會對其進行檢查。微切分可隔離這些工作負載,並套用策略和規則,來確定兩個工作負載是否應該能夠存取彼此的資料。
IT 管理員可以分隔網路上的工作負載,以減少或消除來自網路內部的旁路攻擊(而不是邊界攻擊)造成的任何損壞。也就是說,即使攻擊者能夠通過邊界安全性,系統仍然能夠抵禦伺服器到伺服器的威脅。
微切分的安全控制通常可分為三大主要類別:
- 軟體代理程式或其他以代理程式為基礎的解決方案 - IT 可以使用軟體代理程式來覆蓋被切分的工作負載和系統。其中有些解決方案會查看工作負載屬性,以確定如何隔離它們。其他解決方案則依賴於工作負載的內建防火牆。
- 基於網路的控制 - 這些控制利用實體或虛擬的網路基礎架構,例如軟體定義型網路(SDN)、交換機和負載平衡器來建立和實施策略。
- 內建雲端控制 - 在這個類別中,系統利用雲端服務供應商提供的原生控制,例如 AWS 的 Amazon Security Group 或內建防火牆。
什麼是零信任安全性?
微切分安全控制通常以最少特權和零信任架構(ZTA)為底層基礎。零信任安全模型消除了傳統安全方法中固有的隱式信任。這種隱式信任通常是為網路系統內的使用者提供,但現在普遍的零信任原則是讓使用者只能存取他們需要的系統、資訊和應用程式,並將他們與其他一切內容隔離開來。這限制了系統和應用程式之間不必要的資料橫向移動。
在零信任模型中,成功進入組織網路的前門或登入系統,不再是取得任何事物的免費通行證。使用者必須經過持續的鑑別和授權,才能存取系統內的特定資料和應用程式。
如今,零信任安全方法越來越普遍,這在一定程度上要歸功於三個重要因素:(1)各行各業的嚴重資料外洩事件急劇上升;(2)近年來向遠端和混合工作模式的轉變,以及;(3)將資源轉移到雲端,這有助於分散和擴散曾經由資料中心明確定義的安全界線。事實上,Gartner 估計到 2025 年,60% 的組織將採用該模型,而不是傳統的安全方法。
零信任 vs 微切分
許多專家將微切分視為零信任安全實務的核心技術,稱之為零信任網路存取(ZTNA)。這兩種安全方法連結在一起不可分割——實際上,微切分使零信任得以實現。工作負載以高粒度進行切分,零信任原則確保了在沒有盡責或強制鑑別和授權的情況下,任何人都不能存取這些工作負載。如果某個工作負載遭到入侵,組織仍然可以放心,因為該威脅不會橫向影響到其他工作負載、使用者和資源。
微切分有什麼優勢?
除了減少或防範組織系統內的橫向攻擊威脅之外,微切分還可以為 IT 提供更有益的洞察資訊,以瞭解哪些工作負載最需要保護。它還讓組織能夠:
減少攻擊面
組織的攻擊面是由每個可進入你的網路的點所組成。這些點稱為攻擊向量,它們可以包括從應用程式、API、密碼和使用者憑證、未加密資料到使用者本身等所有內容。
微切分可以將這些點中的每一個點彼此隔離,也就是說,如果攻擊者侵入系統,他們只能存取整個網路的一小部分。攻擊面已經縮小到每個微區段的大小。
微切分還為 IT 提供了詳細的、端對端的組織網路視圖,而不會影響效能或造成意外停機。透過使應用程式開發人員能夠在開發期間定義安全政策和控制項,它有助於防止僅僅由於應用程式部署或更新而產生新的漏洞。
更有效地遏制漏洞的蔓延
藉由微切分和詳細的政策,IT 和安全團隊可以更有效地監控資料在網路中的傳送。安全團隊還可以更快速有效地識別攻擊,並縮短減輕威脅或回應攻擊所需的時間。由於微區段彼此隔離,因此破壞被局限在受到入侵的單個微區段中,這代表漏洞不能橫向擴散並影響網路的其他區域。
更好地遵循管制要求
相較於保護那些不太重要的資訊,保護受管制的資料可能更具挑戰性,因為組織必須遵守許多關於如何儲存、存取、管理和使用這些資料的準則。微切分使組織能夠為單獨的工作負載建立和實施政策,從而使他們能夠更精細地控制資料的存取和使用方式。政策本身有助於實現合規,而與其他工作負載的隔離有助於確保更好地執行合規性要求。
簡化政策管理
有些微切分解決方案提供了內建工具,可幫助組織簡化政策管理。他們透過一些功能來實現這一點,這些功能可以自動查找網路上的應用程式,並根據應用程式或系統的作業方式推薦不同類型和層級的政策。
保護最關鍵的工作負載
對於組織的業務而言,有些工作負載比其他工作負載更為重要。藉助微切分的精細特性,IT 可以透過建立客製化的安全政策和由組織定義的控制項,來確保最重要和最有價值的工作負載能得到最強大的保護。
如何實施微切分?
隨著零信任和微切分變得越來越流行,實施的最佳實務也正在不斷興起。首先要記住的是,這是一個過程,你的組織需要評估是否已經準備好投入其中。
在實施之前,你的 IT 團隊應該大致熟悉並已經使用網路分段。你還應該有一個定義明確的安全政策,因為這將奠定你如何將網路資源彼此分隔的基礎。
這也可能需要一些時間,以進行一個全面的探索過程,並確保你能全方位地瞭解應用程式和網路流量。這意味著要弄清楚網路上正在執行哪些裝置、應用程式及其他工作負載,並確定每一個的資料流。
既然你已經知道網路中都有什麼,現在是時候決定各個工作負載的執行權限。這進而引發了需為每個微區段建立實際的政策。
當需要進行實際的微切分時,eSecurity Planet 的專家描述了四種主要方法:
- 網路架構 - 這種方法需要將網路架構增加 2 倍,也就是說,垂直整合硬體和軟體,以便更及時地瞭解和管理微切分基礎架構。此方法在資料中心環境中更有效。
- Hypervisor - Hypervisor 或虛擬機管理器也可以作為通過網路的資料流量的強制執行點。這種方法消除了在每台單獨機器上管理更新和修補軟體的繁瑣任務。
- 第三方端點保護 - 對於一些組織來說,將端點保護外包給第三方供應商是一個不錯的選擇。這種方法以代理程式為基礎,並可以實時保護政策。
- 新世代防火牆 - 被認為是最先進的實施方法,新世代防火牆提供了強大的保護,包括包括應用程式控制、侵入檢測與預防,以及深度封包檢查。最初,這種方法並非為用於雲端而設計,但現在防火牆有一些供應商提供防火牆即服務。
微切分使用案例
- 管理混合雲端 - 組織可以建立一致的安全控制和政策,不僅可以在資料中心,還可以在各種雲端平台上享受強大的保護。
- 生產和開發系統的分離 - 微切分不僅只是分隔了這兩個環境,它還允許建立隔離更加嚴格的政策。
- 增強敏感資料和資產的安全性 - 「軟」資產(包括機密的客戶和公司資訊以及智慧財產權)獲得了額外級別的保護,以防禦來自組織內部的不法分子。
- 事件回應 - 微切分可限制攻擊者的橫向移動,而大多數微切分解決方案具有內建的日誌記錄功能,可讓安全團隊更清楚地瞭解攻擊和後續行動。
總結
隨著雲端持續改變世界的業務營運方式,瞭解雲端安全性如何運作,並找到適當的工具和實務,來充分保護資料、應用程式、系統和其他資產,這些都比以往任何時候都更加重要。
微切分是雲端安全性的一個重要組成部分,它實現了零信任的安全方法,而且這種方法只會在未來幾年內變得越來越流行。
Nutanix 瞭解在雲端中保護資料和其他資產的挑戰。我們還採用了零信任安全模型,並提供一系列解決方案,協助組織減少攻擊面、遵守不斷演變的法規,以及更有效率地回應和預防資料外洩。
