面對企業中愈演愈烈的網絡安全問題，“微分段”作為一種新興的安全技術出現，它將數據中心劃分為邏輯單元并采用高級安全策略進行管理。我們在《解讀微分段》文章中介紹了什么是微分段，以及它的優勢。

然而，任何事物都有兩面性。在實際應用中，IT專業人士還需要注意微分段的一些預設置條件以及潛在的陷阱。本文將繼續介紹如何應用微分段，以及在應用過程中需要注意的問題，以幫助管理員避免錯誤的發生。

使用微分段

與常規虛擬化一樣，部署微分段的方法并不唯一。在大多數情況下，使用新技術包如軟件定義的網絡、虛擬防火墻等，將現有的遺留基礎設施及保護機制進行系統性地擴張。但采用微分段技術需要考慮幾個問題。

第一個問題就是可見性。潛在的采納者必須對進出數據中心的網絡流量以及通信模式有深入的理解。這往往需要分析工具能夠識別流量模式以及重要的相互關系——采用人工方式將正確的服務以及防火墻策略映射給單個工作負載幾乎是不可能實現的。例如，分析工具能夠發現具備通用特性的相關工作負載集合，比如位于同一個物理子網中的工作負載;并能夠識別共享服務比如組織的域名系統(DNS)。分析工具還應該能夠識別不通應用之間的相互關系和潛在易受攻擊的網絡區域，以及網絡效率低下的原因(比如發卡)。

分析模型構成了新安全規則以及微分段策略的基礎，同時將可能會打破重要關系的錯誤以及疏忽降至最低。類似地，策略定義及編排系統對創建微分段所需要的策略并將其推送給基礎設施是至關重要的。6Connect公司的Sclafani指出，并非所有應用都適合采用微分段策略。仔細檢查并評估分析模型有助于在部署微分段之前暴露可能存在問題的工作負載或者網絡元素。

接下來，使用零信任方式，即完全鎖定通信來部署安全規則以及策略，并在整個微分段部署過程中遵循零信任原則。網絡間的通信基于之前的分析結果有選擇性地通過。這是確保應用連通性及安全性的最佳實踐。

定期重復該過程。分析流量并提取規則并非一蹴而就，但應該經常開展持續性檢查以確保工作負載及策略沒有發生出乎意料的改變，而且任何新的分析結果(可能是由于新應用或者流量模式的改變)可以被用于調整微分段規則。

上述所有注意事項都明確強調了要選擇適用于微分段的hypervisor及工具。一家體育用品零售商的IT主管說：“我們實現了SDN層與需要被虛擬化的物理層之間的交互。你需要一款理解SDN以及物理層的工具。你還需要一款適用于云團隊、存儲團隊、網絡團隊及運營的工具。”

VMware與Palo Alto Networks就微分段戰略建立了和合作伙伴關系，將NSX與hypervisor平臺(vSphere)以及管理工具比(vCenter)協作。同時，Cisco通過其以應用程序為中心的基礎設施(Application CentricInfrastructure，ACI)來支持微分段。另外市場上還存在一些第三方工具，如Arkin的Visibility Platform能夠為微分段的規劃、分析、監控以及故障診斷提供幫助，CA Spectrum工具能夠用于管理物理、虛擬、云環境以及網絡虛擬化。

微分段注意事項

微分段是一個很強大的概念，將為新興的軟件定義的環境提供更好的安全性與敏捷性，但微分段并不能解決所有的網絡問題。企業與IT管理員在計劃采用該技術之前必須權衡微分段部署帶來的一些潛在的負面影響。

復雜性可能是最大的陷阱。“建立應用行為模型以及正確的防火墻規則可能變得很復雜，”Arkin Net公司的市場主管Mahesh Kumar說，“粒度過小會變得難于管理，粒度過大可能達不到目標。”此外有必要將所有工作負載——即使是空閑或已關閉的虛擬機考慮在內。否則空閑工作負載上線后可能被鎖定無法正常通信。問題復雜化肯定會導致企業應用面臨潛在的連通性及可用性問題。

一致性引發了另一個問題。由于微分段將安全策略及規則分配給工作負載，這些策略以及規則遵從一致的準則是很重要的。在沒有指導方針或者最佳實踐情況下，策略在工作負載之間或不同位置發生轉換也是有可能的。一致性問題可能導致性能或可用性問題，給排除故障帶來了挑戰。

用于部署微分段而增加的管理與控制層可能會影響網絡及應用性能。Kumar的觀點與6connect的Sclafani類似，可能并非所有的應用都適合微分段——尤其是對低延遲和性能敏感的應用(比如實時交易工具)。

最后不要忽視微分段給組織帶來的影響，其往往跨越計算、網絡以及安全領域。不同的團隊可能要做出影響安全性的改變，這可能會導致通信故障、沖突以及來自傳統團隊的反對。因此不同團隊之間進行互動并達成一致的理解對于微分段的長期應用及成功至關重要。一家體育用品零售商的IT主管說：“人們需要時間來理解微分段，你需要用非常規方式思考，樂于接受新觀點，還需要組織培訓。”