微分段架构有何不同.docxVIP

微分段架构有何不同 John Edwards 尽管周界防御在过去几年里有了一系列的改进，但企业不能再仅仅依靠周界防御来抵御网络攻击了。微分段技术把IT环境划分为可控制的分区，帮助采用者安全地隔离工作负载，使网络保护更加细化，从而直接解决了未经授权的横向移动攻击的难题。随着网络攻击者不断尝试新的方法来躲避安全措施，在IT环境中到处破坏，微分段已成为主流。 微分段技术的工作原理 不要望文生义。微分段技术实际上是从注重性能和管理的网络分段技术向前迈出的一大步。微分段专门设计用于解决关键的网络保护问题，从而降低风险，使安全部门能够适应不断变化的IT环境的需求。 信息安全专家在过去20年的大部分时间里关注的是实施各种类型的零信任技术。瞻博网络公司的技术安全负责人Trevor Pott说：“微分段采用了一种‘简单按钮的方式来实现，配有自动化和编排工具，以及能提供详细报告和图表的完善的用户界面。”他补充说：“我们再也没有借口不去做我们20年前就该做的事情了。” 微分段采用一种单一的中央策略将安全措施分发给每个独立的系统。网络安全提供商OPAQ的首席技术官Tom Cross解释说：“这一技术进步使得能够在整个企业网络中实施更精细的策略，而不仅仅是在周界防御上。这种方法是必要的，这既是因为周界防御安全有时会失败，也是因为云的采用导致网络周界变得更容易被渗透。” 微分段仍然依赖于传统的网络安全技术，例如，访问控制网络。IT服务提供商Entrust Solutions公司的IT总监兼网络安全专家Brad Willman表示：“让微分段与众不同的是，这些安全方法适用于网络中的各个工作负载。” 很多企业都被微分段的分区结构所吸引。（参见相关报道：为什么3家企业选择了微分段技术）IT咨询公司Kelser的高级咨询工程师Andrew Tyler介绍说：“微分段技术是一种策略，它不仅可以防止数据泄露，而且如果出现了泄露，它能够将泄露限制在网络非常小的部分，从而显著减少了数据泄露带来的损害。” 各种微分段方法 Cross建議，狡猾的攻击者在试图破坏企业资源时遵循一个多步骤的过程，因此基础设施防御者应该考虑在每个步骤都建立控制机制。他说：“Mimikatz和Bloodhound等工具为虎作伥，为攻击者提供了丰富的功能，导致系统之间的内部横向移动攻击在最近的事件中起到了关键作用。微分段技术可以阻断攻击者在内部网络中的传播路径，从而帮助防御者击败这些攻击方法。” 重要的是要记住，微分段不仅仅是一种面向数据中心的技术。Cross说：“很多安全事件都是起源于终端用户工作站，这是因为员工点击了网络钓鱼链接，或者他们的系统被其他方式攻破了。从最初的感染点开始，攻击者开始向整个企业网络扩散。他解释说：“微分段平台应该能够通过一个控制台，在数据中心、云工作负载和终端用户工作站上执行策略。它还应该能够阻止攻击在这些环境中传播。” 与很多新兴技术一样，供应商正在以不同的方式来实现微分段化。三种传统的微监控类型是主机代理分段、管理程序分段和网络分段。 ·主机代理分段。这类微分段依赖于位于端点中的代理。所有数据流都是可见的，并被转发到中央管理器，这种方法可以帮助简化发现具有挑战性的协议或者加密数据流的工作。通常认为主机代理技术是一种高效的微分段方法。软件开发和IT服务初创公司Mulytic Labs的首席技术官David Johnson说：“由于受感染的设备是主机，一个好的主机策略甚至可以阻止问题进入网络。然而，它要求所有主机安装软件，带来了旧版操作系统和老系统的问题。” ·管理程序分段。在这类微分段技术下，所有数据流都要流经管理程序。Johnson解释道：“管理程序能够监控数据流意味着可以使用现有的防火墙，还可以在日常操作中，随着实例的移动，将策略移动到新的管理程序中。”一个缺点是，管理程序分段通常不适用于云环境，也不适用于容器和裸金属。他建议说：“这在某些情况下是有用的，在适用的情况下，是非常有利的。” ·网络分段。这种方法基本上是对现状的扩展，采用了基于访问控制列表（ACL）和其他经过时间检验的方法进行分段。Johnson说：“这是迄今为止最简单的途径，因为大部分网络专业人员都熟悉这种方法。然而，如果网络分段过大，可能违背了微网段的初衷，导致大型数据中心管理起来既复杂又昂贵。” 当购买微分段工具时，重要的是要记住，并非所有产品都完全符合三个基本类别中的任何一个。很多供应商正在研究提供弹性网络微分段的新方法和改进方法，例如，机器学习和人工智能监控等。在打算采用某种微分段产品之前，一定要仔细询问供应商其技术的具体方法，以及是否需要考虑任何特殊的兼容性或者操作要求。 也有缺