什么是微分段（Microsegmentation）？

边界或网络安全和微分段是两种不同的安全策略，分别应对网络安全的不同方面。边界安全通过限制来自外部的网络访问保护网络边界（通常在网络边缘），从而提供抵御外部威胁的第一道防线。边界安全会检查是否有试图穿越安全边界的“北南向”（客户端到服务器）流量并阻止恶意流量。边界安全通常通过防火墙、入侵检测和防御系统以及 VPN 等技术实现。

而微分段则侧重于网络的内部安全，微分段将网络划分为较小网段或区域，并对每个网段使用精细的安全控制。这使企业能控制网络内的“东西向”横向流量，并在应用或工作负载层面减少潜在的攻击面。

如果未正确规划和实施，微分段会给网络性能和安全带来挑战。

• 性能下降。微分段可能导致网络监控和管理更加复杂，而将网络分得太细或使用太多安全策略可能影响网络流量模式、限制网络性能。此外，将安全策略应用于每个网段会在网络上产生额外开销，这可能导致延迟和网络性能变慢。
• 安全漏洞。虽然微分段是一种强大的安全技术，但需要正确配置策略才能确保妥当过滤和允许/拒绝所有流量。错误配置和不一致的策略实施会导致安全漏洞、合法流量受阻和潜在漏洞。

企业应仔细规划自己的微分段策略，包括网段的数量和大小、要使用的安全策略，以及对网络流量模式的影响。此外，企业应进行适当的测试和监控，以确保微分段不会对网络性能产生负面影响或引起安全漏洞。

通过微分段，企业能在其网络中创建安全区域或网段，从而对网络流量进行精细控制、尽量减少攻击面。接着，通过使用安全策略和控制措施，仅允许获授权流量在网段之间流动，各网段会受到保护。

微分段通常使用软件定义网络 (SDN) 来实现，SDN 能创建独立于物理网络基础设施的虚拟网络。通过使用策略明确允许流入和流出网段的流量类型，各网段的安全都受到保障。例如，可以使用访问控制列表 (ACL) 来决定可访问各网段的用户或设备；可以使用入侵检测和防御系统 (IDPS) 来检测和阻止各网段内的恶意活动；可以使用加密来保护在网段之间流动的数据。

微分段提供对网络流量的精细可视化和控制，因此会更容易识别未授权流量和潜在安全漏洞，并对安全事件作出快速响应。

微分段控制措施主要分为三类。

基于代理的微分段控制措施使用安装在服务器、工作站或其他网络设备等端点上的软件代理来实施网络分段策略。代理持续监控、实施针对端点的具体策略，而代理可通过管理控制台集中管理，这会简化整个组织网络的配置和部署策略。

基于网络的微分段控制措施使用 SDN 创建虚拟网段，每个网段都有自己的一套安全策略和控制措施。这些虚拟网段相互隔离，从而限制攻击者横向移动的可能性。策略和控制措施在网络层面实施，而非在端点层面实施。因此，微分段就能根据多种因素（包括用户身份、应用类型和网络位置）对网络流量分段。

云原生微分段控制措施专为云环境设计。它们使用网络安全组、虚拟私有云等云原生安全功能，以创建虚拟网段、实施安全策略。这些控制措施利用云平台的原生安全功能，提供在所有云实例中自动实施的精细安全策略。

组织可根据自己的具体需求和目标，选择实施一种或多种类型的微分段。常见的微分段包括以下几种类型。

应用分段

应用分段通过制定安全策略，控制对特定应用资源（如数据库、API 和 Web 服务器）的访问来保护各应用，从而防止未授权访问和数据泄露。应用分段还允许组织执行最低权限访问控制，确保用户和应用只能访问执行特定任务所需资源。

层级分段

层级分段能保护 Web 层、应用层、数据库层等应用堆栈的不同层级，以防止攻击者在应用堆栈内横向移动并访问敏感数据或资源。

环境分段

保护网络中的不同环境或区域，如开发、测试和生产环境，使企业能够对这些环境实施严格的访问控制，并确保仅获授权用户和应用能访问敏感数据和资源。

容器分段

容器分段能保护容器化环境中的单个容器或容器组，从而减少攻击面，防止攻击者在容器环境中横向移动。如果没有适当分段，容器可能访问彼此的数据和配置文件，从而引起安全漏洞。

容器分段最佳实践

• 容器隔离。使用 Docker 或 Kubernetes 等技术，确保容器与主机系统和同一系统上的其他容器隔离。这可以防止容器访问其指定范围外的资源。
• 网络分段。使用网络分段可限制容器和其他网络资源之间的通信。这涉及到为每个容器创建单独的网络，以及配置防火墙规则来允许或拒绝容器之间的通信，确保只允许获授权通信。
• 基于角色的访问控制。实施基于角色的访问控制 (RBAC)，确保仅获授权用户才能访问和修改容器及相关资源。可实施 Kubernetes RBAC 等 RBAC 框架，以明确和强制执行用户角色和权限。
• 镜像签名。使用镜像签名可确保只有受信任的镜像可用于创建容器。数字签名有助于防止容器镜像被篡改或改变。
• 运行时保护。使用运行时保护可检测和应对容器运行时的安全威胁。诸如运行时安全代理和漏洞扫描器等工具可监控容器是否有遭破坏的迹象，并采取适当的行动来减轻风险。

云安全中的用户细分

• 基于角色的访问控制（RBAC）根据用户的职责和访问需求将其分配到特定的角色或组别。每个角色都与一组适合该角色的权限和访问控制相关联。RBAC 确保用户只能访问工作所需资源和数据。
• 多重身份验证 (MFA) 规定，要获得系统或应用的访问权限，用户必须进行两种或更多形式的身份验证，包括密码、安全令牌、一次性访问代码或生物识别数据。MFA 可有效防止对云资源的未授权访问，与 RBAC 结合时尤其如此。
• 持续监控包括定期分析用户活动和系统日志，以确定是否有可疑行为或潜在安全威胁。通过提醒安全团队注意不属于用户正常访问模式或行为的活动，持续监控有助于识别异常行为。
• 职责分离确保没有任何一个员工能完全控制一个关键流程或系统。将员工用户分成不同的角色、赋予其不同职责能减少出现欺诈或错误的风险，以及确保由多个员工执行敏感操作。
• 定期的访问权限审查包括例行评估用户对系统和应用的访问权限，以确保用户只能访问自己需要的资源。访问权限审查有助于识别和删除不必要的访问权限，从而减轻未授权访问的风险。

微分段为企业或机构带来许多优势，包括：

• 减少攻击面：通过将网络分解成更小的网段，微分段能减少攻击面，使攻击者更难获得关键资产的访问权限。
• 改进漏洞控制：在出现漏洞时，微分段能通过限制攻击者在网络中的移动能力来防止攻击的影响蔓延。通过隔离网络中受影响的区域，微分段可防止恶意软件或其他恶意活动的传播，从而减少漏洞造成的潜在损害。
• 加强监管合规性：许多监管框架要求企业或机构实施强大的访问控制和安全措施，以保护敏感数据。通过确保仅获授权用户和应用能访问敏感资源，微分段能帮助公司或机构证明符合监管标准。
• 简化策略管理：微分段可通过允许安全策略应用于特定网段来简化策略管理。这在大型或复杂网络中特别有帮助，因为在这些网络中，为每个设备或用户管理策略可谓一项挑战。

问：网络分段与微分段有何不同？

答：网络分段和微分段都能提高网络安全性和性能，但在本质上是不同的。传统的网络分段（有时称为宏观分段）是根据功能或位置将网络划分为较大网段，通常侧重于进出网络的“北南向”（客户端到服务器）流量。

微分段则将网络划分为较小网段，对这些网段使用独特的安全策略，从而对东西向网络访问提供更精细的控制，且能强制实施零信任访问控制。微分段在单个工作负载或应用层面而非网络层面应用安全策略。

问：什么是应用依赖性？

答：应用依赖性是指联网环境中不同应用和服务之间的关系和交互。了解应用依赖性对于有效实施微分段策略非常重要，因为一项应用或服务的访问权限变化可能影响其他应用和服务的性能或安全性。在实施微分段之前，应该对应用依赖性进行映射。

问：什么是防火墙策略？

答：防火墙策略是一套规则，用以确定企业或机构的防火墙如何允许或拒绝流量在网络的不同网段之间或网络与互联网之间传递。防火墙策略明确如何允许或拒绝流量在这些网段和层级之间流动。

问：防火墙与微分段有何不同？

答：防火墙根据预定规则过滤流量，以控制对网络的访问。防火墙可用于控制网段之间的访问，而微分段则将网络分为较小网段，并对每个网段使用独特的安全策略。这对网络访问提供更精细的控制，允许企业或机构限制对特定应用和服务的访问。

问：什么是虚拟网络？

答：虚拟网络在物理网络基础设施内运行，但使用软件在安全网络上连接计算机、虚拟机和服务器或虚拟服务器。这与传统的物理网络模式不同，物理网络模式是用硬件和电缆连接网络系统。虚拟网络可用于在较大网络内创建隔离环境，允许企业或机构对特定应用或服务进行微分段。

微分段能帮助企业或机构更好地保护其网络中的应用和数据免受潜在的威胁，因为微分段会限制攻击者可用的攻击面。此外，微分段能对网络流量提供更强可视化和控制力，从而更容易识别和响应安全事件。

F5 提供的产品和服务能帮助企业或机构在其网络中实施和管理微分段等安全控制。了解 F5 如何在公有云和混合云、数据中心和边缘站点提供简单、安全的连接。探索 F5 如何提供应用层安全网络连接和自动云网络预配来提高运营效率