什么是网络安全“微隔离”技术
“微隔离”就是把一个无结构无边界的网络分成好多逻辑上的微小网段,以确保每一个网段上只有一个计算资源,而所有需要进出这个微网段的流量都需要经过访问控制设备。就是在一个没有任何访问控制能力的网络中,创造出一个全面可控的零信任网络,从而让每一个资源都可以被逻辑地与其他资源隔离开。
简而言之,“微隔离”是在数据中心和云部署中创建安全区域的一种方式,目的是让网络安全更具粒度化。
通过该技术,IT专家们可以为不同种类的数据流定义做特别的安全设置,创建特殊的安全策略来限制各种工作流之间的网络和应用流。
在不受信任的安全模式中,公司可以创建一种策略,比如,设定医疗设备只能与医疗设备交换数据。而一旦有设备或工作负载出现改变,安全策略和属性都会随之改变。
其目的是降低网络攻击界面:把隔离规则应用到工作负载或应用中,IT人员就可以减少黑客从一个工作负载区或应用进入另一个的风险。
微隔离技术正在颠覆防火墙
事实上,颠覆防火墙的其实不是微隔离,而是云计算。
随着云计算、虚拟化技术的快速发展,越来越多企业将数据与业务迁移到云计算环境。包含有敏感数据和业务的云计算工作负载,在云环境下网络边界变得模糊。
面对云环境下的安全防护需求,传统防火墙、WAF、IPS 等端点安全和网络安全手段显得力不从心。
IP地址不再具备资源的标识信息价值,而是作为一个通信用的临时性变量而存在。那么,以IP地址为基本元语的防火墙失去了最核心的功能,以逻辑标识为基本元语的微隔离则开始流行。微隔离要解决的是数据中心内部,任意两个点之间的业务关系与访问控制问题。
微隔离是零信任网络的基础构建。
前面对零信任专门做过介绍。
插入零信任文章链接。
微隔离主要有五步工作法包括:定义、分析、设计、防护和持续监控五个步骤。本质上就是一个对特定业务系统进行全面业务分析,并基于业务设计出一个适合本企业环境和要求的零信任网络架构,并基于此实现全面的白名单访问控制的过程。
微隔离技术是最早的一种对零信任这个概念的具体技术实现。微隔离要实现的核心能力就是两条,数据中心内工作负载之间的流量可视以及访问控制。领先的微隔离产品,能够做在十万点级别的数据中心内做到容器间流量的识别与访问控制,甚至能做到基于进程的访问控制,这个细粒度正是零信任所要求的。
上一篇: 高考出分了,想读信息安全的看这篇就够了