微分段在网络中创建特定的小型安全区域,从而限制对资源的访问、增强安全性。
微分段是一种安全策略,涉及将网络划分各种小型网段,以提高安全性。各个网段或工作负载相互隔离,从而在数据中心和云部署中创建越来越精细的安全区,而这些安全区可受到单独保护。
通过隔离工作负载和应用,微分段能减少潜在的攻击面、限制安全漏洞的影响。通过微分段,管理员还能管理安全策略,这些安全策略能根据最低权限和零信任原则限制流量。此外,微分段还能增强网络流量可视化,更好地控制网络流量。
工作负载是在网络上运行的计算或处理单元,是微分段的一个重要方面。工作负载可以是应用、服务或进程,它们需要相互通信才能正常运行。微分段在工作负载层面提供了精细的安全控制,使组织能隔离特定工作负载,保护工作负载免受潜在威胁。通过对工作负载分段,组织能限制潜在攻击面、防止威胁横向移动,以及根据工作负载类型实施安全策略。
边界或网络安全和微分段是两种不同的安全策略,分别应对网络安全的不同方面。边界安全通过限制来自外部的网络访问保护网络边界(通常在网络边缘),从而提供抵御外部威胁的第一道防线。边界安全会检查是否有试图穿越安全边界的“北南向”(客户端到服务器)流量并阻止恶意流量。边界安全通常通过防火墙、入侵检测和防御系统以及 VPN 等技术实现。
而微分段则侧重于网络的内部安全,微分段将网络划分为较小网段或区域,并对每个网段使用精细的安全控制。这使企业能控制网络内的“东西向”横向流量,并在应用或工作负载层面减少潜在的攻击面。
如果未正确规划和实施,微分段会给网络性能和安全带来挑战。
企业应仔细规划自己的微分段策略,包括网段的数量和大小、要使用的安全策略,以及对网络流量模式的影响。此外,企业应进行适当的测试和监控,以确保微分段不会对网络性能产生负面影响或引起安全漏洞。
通过微分段,企业能在其网络中创建安全区域或网段,从而对网络流量进行精细控制、尽量减少攻击面。接着,通过使用安全策略和控制措施,仅允许获授权流量在网段之间流动,各网段会受到保护。
微分段通常使用软件定义网络 (SDN) 来实现,SDN 能创建独立于物理网络基础设施的虚拟网络。通过使用策略明确允许流入和流出网段的流量类型,各网段的安全都受到保障。例如,可以使用访问控制列表 (ACL) 来决定可访问各网段的用户或设备;可以使用入侵检测和防御系统 (IDPS) 来检测和阻止各网段内的恶意活动;可以使用加密来保护在网段之间流动的数据。
微分段提供对网络流量的精细可视化和控制,因此会更容易识别未授权流量和潜在安全漏洞,并对安全事件作出快速响应。
微分段控制措施主要分为三类。
基于代理的微分段控制措施使用安装在服务器、工作站或其他网络设备等端点上的软件代理来实施网络分段策略。代理持续监控、实施针对端点的具体策略,而代理可通过管理控制台集中管理,这会简化整个组织网络的配置和部署策略。
基于网络的微分段控制措施使用 SDN 创建虚拟网段,每个网段都有自己的一套安全策略和控制措施。这些虚拟网段相互隔离,从而限制攻击者横向移动的可能性。策略和控制措施在网络层面实施,而非在端点层面实施。因此,微分段就能根据多种因素(包括用户身份、应用类型和网络位置)对网络流量分段。
云原生微分段控制措施专为云环境设计。它们使用网络安全组、虚拟私有云等云原生安全功能,以创建虚拟网段、实施安全策略。这些控制措施利用云平台的原生安全功能,提供在所有云实例中自动实施的精细安全策略。
组织可根据自己的具体需求和目标,选择实施一种或多种类型的微分段。常见的微分段包括以下几种类型。
应用分段
应用分段通过制定安全策略,控制对特定应用资源(如数据库、API 和 Web 服务器)的访问来保护各应用,从而防止未授权访问和数据泄露。应用分段还允许组织执行最低权限访问控制,确保用户和应用只能访问执行特定任务所需资源。
层级分段
层级分段能保护 Web 层、应用层、数据库层等应用堆栈的不同层级,以防止攻击者在应用堆栈内横向移动并访问敏感数据或资源。
环境分段
保护网络中的不同环境或区域,如开发、测试和生产环境,使企业能够对这些环境实施严格的访问控制,并确保仅获授权用户和应用能访问敏感数据和资源。
容器分段
容器分段能保护容器化环境中的单个容器或容器组,从而减少攻击面,防止攻击者在容器环境中横向移动。如果没有适当分段,容器可能访问彼此的数据和配置文件,从而引起安全漏洞。
容器分段最佳实践
云安全中的用户细分
微分段为企业或机构带来许多优势,包括:
问:网络分段与微分段有何不同?
答:网络分段和微分段都能提高网络安全性和性能,但在本质上是不同的。传统的网络分段(有时称为宏观分段)是根据功能或位置将网络划分为较大网段,通常侧重于进出网络的“北南向”(客户端到服务器)流量。
微分段则将网络划分为较小网段,对这些网段使用独特的安全策略,从而对东西向网络访问提供更精细的控制,且能强制实施零信任访问控制。微分段在单个工作负载或应用层面而非网络层面应用安全策略。
问:什么是应用依赖性?
答:应用依赖性是指联网环境中不同应用和服务之间的关系和交互。了解应用依赖性对于有效实施微分段策略非常重要,因为一项应用或服务的访问权限变化可能影响其他应用和服务的性能或安全性。在实施微分段之前,应该对应用依赖性进行映射。
问:什么是防火墙策略?
答:防火墙策略是一套规则,用以确定企业或机构的防火墙如何允许或拒绝流量在网络的不同网段之间或网络与互联网之间传递。防火墙策略明确如何允许或拒绝流量在这些网段和层级之间流动。
问:防火墙与微分段有何不同?
答:防火墙根据预定规则过滤流量,以控制对网络的访问。防火墙可用于控制网段之间的访问,而微分段则将网络分为较小网段,并对每个网段使用独特的安全策略。这对网络访问提供更精细的控制,允许企业或机构限制对特定应用和服务的访问。
问:什么是虚拟网络?
答:虚拟网络在物理网络基础设施内运行,但使用软件在安全网络上连接计算机、虚拟机和服务器或虚拟服务器。这与传统的物理网络模式不同,物理网络模式是用硬件和电缆连接网络系统。虚拟网络可用于在较大网络内创建隔离环境,允许企业或机构对特定应用或服务进行微分段。
手册
解决方案概况