微分段利用虚拟化技术在网络中创建越来越详细的安全区域。微分段通过应用高度集中的安全策略,简单识别 IP 地址转换为仅根据用户身份和角色授予用户访问他们需要的应用程序和数据的权限。然后安全成为个人用户,限制了网络中危险的水平移动。这些策略可以通过位置和设备进一步细化,这是一种考虑当前安全风险的自适应方法。这是零信任的核心技术,即没有人应该被信任或授予比他们需要更多的访问权限。
一、微分段及其作用
微分段是一种网络安全技术,它帮助安全架构师合理地将数据中心划分为不同的安全段,然后参考每个工作负来定义安全控制。
是微分段,使 IT 行业可以利用网络虚拟化技术在数据中心部署不同的安全策略。该方法不需要安装多个防火墙。微分段也用于保护企业网络中的虚拟机(VM)。
由于微分段中的安全策略应用于单个网络,它起到了抵御攻击的作用。微分段利用网络虚拟化技术在所有数据中心和云部署中创建细粒度安全区域,隔离单个工作负载,使其安全。
微分段为组织提供了许多好处:
- 减少攻击面:微分段限制了攻击者在网络中横向移动的能力,最终减少了潜在的攻击面。
- 威胁检测和响应:即使采用了优化的安全实践,漏洞也是不可避免的。然而,微分段可以显著提高威胁检测和响应时间。当检测到非法策略时,微分段工具可以产生实时报警,甚至防止未经批准的活动。
- 监管合规性:微分段可创建专门存储监管数据(通常是通用数据保护条例)(GDPR) (CCPA)客户的个人身份信息 (PII))细分可以加强组织的监管和合规情况)。然后,我们可以为这些细分市场创造一种以合规为重点的战略。这也极大地简化了审计过程。
二、零信任及其作用
零信任是保护网络、应用程序和环境中所有访问的综合方法。由于应用程序是现代业务的核心,因此促进生产力和收入;保护整个应用程序堆栈或工作负荷至关重要。该组织正在部署比以前更多的工作负荷,并在多云环境中运行更多的位置。由于当今的敌对威胁,传统的安全方法难以提供全面的保护。“不信任,验证一切”企业安全的零信任方法是必要的,而不是可选的。
今天的安全团队需要考虑 API、无论位于云、数据中心还是其他虚拟化环境中的任何位置,微服务或容器的安全访问他们需要注意如何分段访问,识别恶意行为,以遏制漏洞,防止水平移动。
这是如何以有意义的方式实施的?零信任是一种方式,但就像很多事情一样“细节中的魔鬼”同样。将零信任概念付诸实践的一种常见方法是利用微分段来实现它“不信任,验证所有模型”。
三、传统技术问题
防火墙等传统安全工具虚拟专用网络和网络访问控制 (NAC),它们都有局限性,因为它们主要关注网络外围的保护。安全团队一直认为,最大的威胁来自网络外部的攻击。但这种方法忽略了内部威胁——以及黑客最终进入网络时可能造成的损害。
对于客户,远程工作接入和物联网 (IoT) 设备网络边缘活动的增加使网络安全复杂。边缘流量促使组织将数据处理从数据中心转移到网络边缘。这提高了数据中心的安全性和响应性——但将这些问题转移到网络边缘需要一种新的安全方法。在这方面,边缘安全已经成为一个新的流行词,其核心是零信任的概念。
3.1不能基于IP云安全策略
云本地开发可能会挑战传统的企业政策,部分原因是环境不断变化的性质。云工作负载跨位置移动,应用程序中的例子可以在几秒钟内随着需求和容器的波动而动态扩展——这使得验证成为一个严重的问题。
在这些环境下,许多企业习惯于基于 IP 的安全性很快就会变得难以管理。 引入了混合和多云环境IP 域的转移,因为容器工作负载可以在一小时内复制、重新安排和重新托管。微服务可以通过 HTTP/gRPC 访问的 API 开放,使 IP 地址无关紧要。为了实现端到端的可见性,管理员必须跨各种环境 IP 流拼接在一起,在规模上变得不可行。
由于 IP 地址不再像以前那样持久,因此不能依靠它们准确识别云中的工作负载,因此不能用于遵循零信任最佳实践的安全策略。
四、基于零信任安全验证用户和设备的身份
零信任框架依赖于“不相信任何事情,验证一切”概念。这意味着,在允许访问任何应用程序或存储数据之前,组织必须验证和授权连接到网络的每个用户和设备。“最低权限”认识到太多的信任是一个漏洞。
如果恶意行为者获得对网络的访问权限,以边界为中心的安全工具无法阻止他们通过网络横向移动,从而使他们能够访问应用程序和数据。这种横向移动特别危险,因为这种高级持续威胁是最灾难性的数据泄露事件的幕后推手。零信任保护跨网络内所有应用程序和环境的访问。
那么,安全团队如何验证通过网络传输的大量用户和设备的身份呢?关键是创建软件定义的分段,并使用微分段在粒度级别定义安全策略。
五、基于微分段的网络隔离和工作负荷
在历史上,组织使用网络分段来确保安全,这是一种基于硬件的技术。这些网段使用传统的参数工具(例如网络建造或防火墙,以提供南北安全——数据进入或离开网络的流动。
另一方面,微分段保护东西向或横向流量(网络中的数据流)。这包括从服务器到服务器、应用程序到服务器和从网络到服务器的连接。通过创建安全性microsegments细粒度策略控制单个工作负载,微分段提供中和软件定义段之间的完全交通控制。
5.1 网络分段和微分段
网络分段与微分段的一个常见类比是,网络分段作为围绕网络城堡的围墙和护城河。微分段作为保护城堡墙上每扇门和通道的守护者。两者都需要,但微分段是保护您最有价值数据的缺失部分。
5.2 网络分段问题
网络分段背后的理论与零信任形成鲜明对比,因为它只涉及授权对网络的初始访问。这意味着一旦连接到访问权限,它可以信任它可以在整个网络或至少网络中自由传输。
网络分段的另一个问题是它依赖于提供有限控制的网络段的粗略策略。现代混合和云网络中的软件定义段需要为每个段设置数千个粗略的策略,以实现一些水平流量保护。随着新资源和用户不断向网络添加,这远远超出了合理管理的范围。
持续威胁 在高级(APT)在这种情况下,缺乏全面、详细的策略来保护水平流量是一个特别大的问题。在这些情况下,攻击者使用窃取的证据来访问网络。如果没有零信任框架,攻击者可以导航期未被发现的网络,绘制组织系统,创建高度定制的恶意软件来收集敏感数据。零信任和微分段是为了防止 APT 在整个网络中公开传播的关键新步骤。
六、基于零信任和微分段减少攻击面
通过隔离环境和分割工作负荷,利用微分段的零信任框架限制从可能损坏的工作负荷到另一个工作负荷的运动,大大降低了网络的整体攻击面。一旦微分段,细粒度的安全策略可以应用于工作负荷,直到单台机器、用户或应用程序。这些策略可以根据现实世界的结构定义,如用户组、访问组和网络组,并可以跨越多个应用程序或设备。
6.1 如何分配策略
在设备水平上,该策略可以根据设备的功能分配一些限制,以便只有需要访问关键应用程序和资源的设备才能获得授权。这些设备也可以相互隔离,所以它们不能通信,除非它们被授权。设备也可以根据位置(如咖啡店和公司网络)和设备本身的安全性进行限制,这可能不是所有的安全更新和补丁都是最新的。
策略也可以基于源身份,这是微分段相对于以往分段方法的另一个优势。网络分段只能告诉你分段之间通信的信息是什么,微分段可以查明要求通信的资源的身份,无论是服务器、应用程序、主机还是用户。这提供了更精细的分段,只允许其身份在授予适当权限的资源之间通信。
有了全面的微分段解决方案,任何不能通过战略参数验证的连接都将被阻止获得访问权限。微分段不仅可以防止水平移动,还可以为安全团队提供所有网络流量的高度可见性和上下文。这使得团队能够快速识别恶意和违规行为,从而改善事件响应和补救。