什么是微分段？

微分段为企业或机构带来许多优势，包括：

• 减少攻击面： 通过将网络分解成更小的部分，微分段可以减少攻击面，使攻击者更难以访问关键资产。 
• 改进的违规控制： 如果发生违规行为，微分段可限制攻击者在网络中移动的能力，以帮助遏制攻击的影响。 通过隔离受影响的网络区域，微分段可以防止恶意软件或其他恶意活动的传播，从而减少违规造成的潜在损害。 
• 更强的法规遵从性： 许多监管框架要求组织实施强大的访问控制和安全措施来保护敏感数据。 通过确保只有授权用户和应用才能访问敏感资源，微分段可以帮助组织证明符合监管标准。 
• 简化策略管理： 微分段可以将安全策略应用于网络的特定部分，从而简化策略管理。 这在大型或复杂的网络中特别有用，因为管理每个单独的设备或用户的策略可能具有挑战性。 

如果没有适当的规划和实施，微分段可能会给网络性能和安全带来挑战。

• 性能下降。 微分段会使网络监控和管理变得更加复杂，而网络分段过于精细或应用过多的安全策略可能会影响网络流量模式并限制网络性能。 将安全策略应用于每个段会给网络带来额外的开销，从而导致延迟和网络性能下降。
• 安全漏洞。 虽然微分段是一种强大的安全技术，但需要正确配置策略以确保所有流量都得到正确过滤和允许/拒绝。 错误配置和不一致的策略实施可能会导致安全漏洞、合法流量受阻和潜在的漏洞。

组织应该仔细规划其微分段策略，包括分段的数量和大小、要应用的安全策略以及对网络流量模式的影响。 应进行适当的测试和监控，以确保微分段不会对网络性能产生负面影响或引入安全漏洞。

微分段使组织能够在其网络内创建安全区域或段，从而对网络流量进行精细控制并最大限度地减少攻击面。 然后使用策略和控制来保护每个段，只允许授权的流量在段之间流动。

微分段通常使用软件定义网络 (SDN) 来实现，这使得能够创建独立于物理网络基础设施的虚拟网络。 每个网络段都使用定义允许进出该段的流量类型的策略进行保护。 例如，可以使用访问控制列表 (ACL) 来控制哪些用户或设备可以访问每个段。 入侵检测和预防系统 (IDPS) 可用于检测和阻止每个段内的恶意活动。 加密可用于保护在段之间移动的数据。

微分段提供了对网络流量的细粒度可见性和控制，使得识别未经授权的流量和潜在的安全漏洞并对安全事件做出快速响应变得更加容易。

微分段控制主要有三种类型。

基于代理的微分段控制使用安装在端点（例如服务器、工作站或其他网络设备）上的软件代理来执行网络分段策略。 该代理持续监控并执行特定于该端点的策略，并可通过管理控制台进行集中管理，从而简化整个组织网络的配置和部署策略。

基于网络的微分段控制使用 SDN 创建虚拟网络段，每个网络段都有自己的一组安全策略和控制。 这些虚拟段彼此隔离，从而限制了攻击者进行横向移动的可能性。 策略和控制是在网络层而不是端点层实施的。 这使得根据多种因素（包括用户身份、应用类型和网络位置）对网络流量进行细分成为可能。

原生云微分段控制是专为云环境设计的。 他们使用云原生安全功能，例如网络安全组和虚拟私有云来创建虚拟网络段并实施安全策略。 这些控制利用云平台的本机安全功能来提供在所有云实例中自动实施的细粒度的安全策略。

组织可以根据其特定需求和目标选择实施一种或多种类型的微分段。 常见的微分段类型包括以下几种。

application程序细分

应用分段通过创建安全策略来控制对特定应用资源（例如数据库、API 和 Web 服务器）的访问，从而保护单个应用，有助于防止未授权访问和数据泄露。 它还允许组织实施最小特权访问控制，确保用户和应用只能访问执行其特定功能所需的资源。

层级划分

层级分割可保护应用堆栈的不同层级，例如 Web 层、应用层和数据库层，以防止攻击者在应用堆栈内横向移动并访问敏感数据或资源。

环境分割

通过保护网络内的不同环境或区域（例如开发、测试和生产环境），组织可以对这些环境实施严格的访问控制，并确保只有授权用户和应用才能访问敏感数据和资源。

容器分割

容器隔离可保护容器化环境中的单个容器或容器组，减少攻击面并有助于防止攻击者在容器环境内横向移动。 如果没有适当的分段，容器可能会访问彼此的数据和配置文件，从而导致安全漏洞。

容器分段最佳实践

• 容器隔离。 使用 Docker 或 Kubernetes 等技术确保容器与主机系统以及同一系统上的其他容器隔离。 这可以防止容器访问其指定范围之外的资源。
• 网络分段。 使用网络分段来限制容器与其他网络资源之间的通信。 这涉及为每个容器创建单独的网络并配置防火墙规则以允许或拒绝容器之间的流量并确保只允许授权的通信。
• 基于角色的访问控制。 实施基于角色的访问控制（RBAC），确保只有授权用户才能访问和修改容器及相关资源。 可以实现 Kubernetes RBAC 等 RBAC 框架来定义和强制执行用户角色和权限。
• 图像签名。 使用图像签名来确保仅使用受信任的图像来创建容器。 数字签名可以帮助防止容器镜像被篡改或更改。
• 运行时保护。 使用运行时保护来检测并应对容器运行时的安全威胁。 运行时安全代理和漏洞扫描器等工具可以监视容器是否有受到攻击的迹象，并采取适当的措施来降低风险。

云安全中的用户细分

• RBAC根据用户的职责和访问需求将用户分配到特定的角色或组。 每个角色都与一组适合该角色的权限和访问控制相关联。 RBAC 确保用户只能访问完成工作所需的资源和数据。
• 多重身份验证 (MFA)要求用户提供两种或更多种形式的身份验证，然后才被授予访问系统或应用的权限。 这可以包括密码、安全令牌、一次性访问代码或生物特征数据。 MFA 是防止未授权访问云资源的有效方法，尤其是与 RBAC 结合使用时。
• 持续监控包括定期分析用户活动和系统日志以发现可疑行为或潜在的安全威胁。 它可以通过向安全团队发出超出用户正常访问模式或行为的活动警报来帮助识别异常行为。
• 职责分离确保没有任何单个用户可以完全控制关键流程或系统。 将用户划分为不同的角色和职责可降低欺诈或错误的风险，并确保敏感操作由多名员工执行。
• 定期访问审查包括例行评估用户对系统和应用的访问，以确保用户只能访问他们需要的资源。 访问审查可以帮助识别和删除不必要的访问权限，从而降低未授权访问的风险。

工作负载是微分段的一个重要方面，因为它们是在网络上运行的计算或处理单位。 工作负载可以是需要相互通信才能正常运行的应用、服务或流程。 微分段在工作负载级别提供细粒度的安全控制，允许组织隔离特定工作负载并保护其免受潜在威胁。 通过划分工作负载，组织可以限制潜在的攻击面，防止威胁的横向移动，并根据每个工作负载实施安全策略。

工作负载可以具有依赖关系，这意味着它们与网络环境中的不同应用和服务具有关系和交互。 了解依赖关系对于有效的微分段策略非常重要，因为对一个application或服务的访问变化可能会影响其他应用和服务的性能或安全性。 在实施微分段之前，应该映射依赖关系。 

边界或网络安全和微分段是两种不同的安全策略，分别应对网络安全的不同方面。边界安全通过限制来自外部的网络访问保护网络边界（通常在网络边缘），从而提供抵御外部威胁的第一道防线。边界安全会检查是否有试图穿越安全边界的“北南向”（客户端到服务器）流量并阻止恶意流量。边界安全通常通过防火墙、入侵检测和防御系统以及 VPN 等技术实现。

而微分段则侧重于网络的内部安全，微分段将网络划分为较小网段或区域，并对每个网段使用精细的安全控制。这使企业能控制网络内的“东西向”横向流量，并在应用或工作负载层面减少潜在的攻击面。

网络分段和微分段都可以提高网络安全性和性能，但它们有着根本的不同。 传统的网络分段（有时称为宏分段）涉及根据功能或位置将网络划分为更大的段。 它通常关注进出网络的“南北”（客户端到服务器）流量。  

微分段将网络划分为更小的部分并对其应用独特的安全策略，对东西向网络访问提供更精细的控制，并能够实施零信任访问控制。 微分段在单个工作负载或应用级别而不是网络级别应用安全策略。

防火墙策略是定义组织的防火墙如何允许或拒绝网络不同段之间或网络与 Internet 之间的流量的规则。 防火墙策略是决定如何允许或拒绝这些段和层之间的流量的规则。 

防火墙根据预定义的规则过滤流量来控制网络访问。 虽然防火墙可用于控制各段之间的访问，但微分段将网络划分为更小的段，并对每个段应用独特的安全策略。 这提供了更精细的网络访问控制，允许组织限制对特定应用和服务的访问。 

虚拟网络在物理网络基础设施内运行，但使用软件通过安全网络连接计算机、虚拟机和服务器或虚拟服务器。 这与传统的物理网络模型（硬件和电缆连接网络系统）不同。 虚拟网络可用于在更大的网络中创建隔离的环境，从而允许组织对特定的应用或服务进行微分段。  

微分段可以帮助组织更好地保护其网络中的应用和数据免受潜在威胁，因为它限制了攻击者可用的攻击面。 此外，微分段可以提供更高的网络流量可见性和控制力，从而更容易识别和应对安全事件。

F5 提供的产品和服务可以帮助组织在其网络中实施和管理微分段和其他安全控制。 了解 F5 如何在公共云和混合云、数据中心和边缘站点之间提供简单、安全的连接。 了解F5 如何提供应用层安全网络和自动化云网络配置以提高运营效率