當邊界不斷變化時,傳統(tǒng)基于網(wǎng)絡的邊界安全性不再有效。從日常新聞報道來看,網(wǎng)絡攻擊者似乎在隨意突破外圍防御。進入網(wǎng)絡內(nèi)部后,它們將融入東西方向流量,橫向擴散,并尋找漏洞。無防護應用程序跨越各種裸機服務器、虛擬機和容器,是攻擊者的目標,并共同構(gòu)成巨大的攻擊面。
轉(zhuǎn)向微分段
安全專家和分析師越來越多地將微分段作為保護數(shù)據(jù)中心資產(chǎn)和實施“零信任”安全模型的最佳實踐解決方案。微分段涉及圍繞單個或邏輯分組的應用程序設置粒度安全策略。這些策略規(guī)定哪些應用程序可以相互通信,哪些不能相互通信。而任何未經(jīng)授權的通信嘗試不僅會被阻止,還會觸發(fā)入侵者可能存在的警報。
分析機構(gòu)Gartner公司已將微分段作為十大優(yōu)先安全項目之一,特別是那些希望能夠查看和控制數(shù)據(jù)中心內(nèi)流量的組織,進一步指出其目標是阻止數(shù)據(jù)中心攻擊的橫向擴散。
鑒于人們對微分段的關注,為什么沒有得到更廣泛的應用呢?一些誤解讓安全人員猶豫不決。其中一個原因是大型企業(yè)只能投入大量安全專業(yè)人員來實施和管理微分段項目。另一個原因是,這是一個“全有或全無”的命題,要求在一個單一的大型項目中保護最后的資產(chǎn),這是在連續(xù)應用程序部署的DevOps環(huán)境中幾乎是不可能完成的任務。
重要的是拋開這些誤解,并從已成功將微分段納入其IT運營的企業(yè)中吸取教訓是很重要的。這些組織采取了分階段的方法,最初側(cè)重于一些易于定義目標的可管理項目。通過微細分可以解決的常見挑戰(zhàn)包括:
•合規(guī)性。微分段的關鍵驅(qū)動因素,SWIFT、PCI、GDPR、HIPAA等監(jiān)管法規(guī)和標準經(jīng)常指定某些流程必須與一般網(wǎng)絡流量分離。
•DevOps。開發(fā)、測試或質(zhì)量保證環(huán)境中的應用程序需要與生產(chǎn)環(huán)境中的應用程序分開。
•限制從外部用戶或物聯(lián)網(wǎng)設備訪問數(shù)據(jù)中心資產(chǎn)或服務。
•從一般企業(yè)系統(tǒng)中分離運行高度敏感設備的系統(tǒng)(例如醫(yī)院中的醫(yī)療設備)。
•將最關鍵的應用程序與不太關鍵的應用程序分開。
通過建立優(yōu)先級的層次結(jié)構(gòu)并從小規(guī)模開始,企業(yè)可以獲得一些“快速獲勝”,并開始在相當短的時間內(nèi)看到切實的結(jié)果。
微分段解決方案的基本屬性
為了使微分段既有效又實用,它需要滿足某些基本要求。這些包括:
•流程級可見性:缺乏可見性通常是組織遇到的第一個絆腳石——他們無法看到數(shù)據(jù)中心正在運行的所有內(nèi)容。獲得全面可見性是識別應用程序的邏輯分組以進行分段的必要先決條件。
•與平臺無關的性能:當應用程序在異構(gòu)環(huán)境中遷移時,管理其通信的策略必須能夠遵循它們,并在任何地方保護它們。
•標簽:正確分類或標記資產(chǎn)以準備監(jiān)控和策略創(chuàng)建的能力是基礎。要在動態(tài)環(huán)境中利用自動擴展功能,請考慮在工作負載向上或向下擴展時自動應用標簽的標簽方法。
•靈活的創(chuàng)建策略:運營人員應該能夠創(chuàng)建自定義層次結(jié)構(gòu),以便輕松創(chuàng)建復合規(guī)則,了解不同的利益相關者希望以不同方式組織和創(chuàng)建規(guī)則。
•自動化:該解決方案還應允許自動化策略創(chuàng)建、修改和管理的大部分過程,以便在部署新工作負載時,它們會自動分配到適當?shù)奈⒎侄魏筒呗灾小?/div>
實施過程
微分段的實施一般可分為七個階段:
•發(fā)現(xiàn)和識別:查找并識別其數(shù)據(jù)中心中運行的所有應用程序。流程級別可見性在這里至關重要。
•依賴關系映射:確定哪些應用程序需要能夠相互通信。借助圖形可視化和繪圖工具,可以大大加快這一過程。
•對規(guī)則的應用程序進行分組:了解應用程序依賴性后,開始將它們放入邏輯組,以創(chuàng)建安全策略。避免過度分段(具有太多離散分組)或分段不足(創(chuàng)建如此廣泛的組會使策略缺乏精確性)。
•創(chuàng)建策略或規(guī)則:在定義邏輯分組后,可以為每個定義的組創(chuàng)建、測試和優(yōu)化策略。
•部署:實施策略。
•監(jiān)控和執(zhí)行:解決方案應該能夠監(jiān)控每個端口和所有東西方向流量的異常情況。違反政策應自動觸發(fā)威脅攔截和遏制的執(zhí)行機制。
實施微分段并不是一個簡單的決定,這需要組織的承諾。然而,通過采用具有特定近期目標的分階段、分層方法,企業(yè)可以立即開始看到關鍵優(yōu)先級的價值,并且隨著用戶獲得該過程的經(jīng)驗,其學習曲線將很快變平。
最重要的是,組織可以充分利用云計算支持的業(yè)務敏捷性和效率,并充分降低妥協(xié)風險。
關鍵字:云計算
京公網(wǎng)安備 11010502049343號