微分段是在创建数据中心和云部署的安全区,使公司从彼此隔离工作负荷的方法,并分别将其固定。雷竞技电脑网站它的目的是使网络安全更精细。
微分段对的VLAN,防火墙和ACL
网络分段是不是新的。公司依靠防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)为网络细分多年。通过微分割,可以将策略应用于各个工作负载,以获得更大的攻击抵抗力。
“哪里VLAN可让您做的非常粗粒度的分割,微分段让你做更细粒度的分割。所以,你需要的地方坐下来的流量粒度划分,这就是你会发现它,”分析师Zeus Kerravala的创始人ZK研究和贡献者网络世界。有个足球雷竞技app
软件定义网络和网络虚拟化的兴起铺平了微分段的方式。“我们可以做的事情在软件中,这是一个从底层硬件分离层,” Kerravala表示说,‘这使得分割更容易部署。’
微分割如何管理数据中心流量雷竞技电脑网站
传统的防火墙、入侵防御系统(IPS)和其他安全系统被设计用来检查和保护从南北方向进入数据中心的流量。雷竞技电脑网站微区隔使公司能够更好地控制服务器之间不断增长的东西或横向通信,从而绕过以边界为中心的安全工具。如果发生入侵,微分割限制了黑客对网络的潜在横向探索。
“大多数公司把所有的高价值的安全工具,在数据中心的核心:防火墙,IPSes。雷竞技电脑网站这样一来,移动通信南北必须穿过这些防火墙。如果它的移动东西,它绕过这些安全工具,”克拉瓦拉说。“你可以把防火墙了在每一个连接点,但是这将是非常昂贵的。它也不太敏捷“。
网络或安全专家推动微细分吗?
微分段势头良好,但仍有关于谁应该拥有它的问题。在大型企业,网络安全工程师可能导致的努力。在规模较小的公司,涉及安全和网络操作的团队可能会带头微分段部署。
“我不知道是否真的有一个组织负责这件事。我认为这取决于你用它来做什么,”Kerravala说。他看到了来自安全和网络专业人士的兴趣。
"I think because it operates as a network overlay, in most cases, it’s easy for security operations to deploy and then run it over the top of the network. And I see network operations people doing it too, as a way to secure IoT devices, for example. Those are really the two primary audiences.”
微分割的好处和安全挑战
通过微区隔,IT专业人员可以根据不同类型的流量调整安全设置,创建将工作负载之间的网络和应用程序流限制在明确允许的范围内的策略。在这种零信任安全模型中,公司可以设置一个策略,例如,声明医疗设备只能与其他医疗设备通信。如果设备或工作负载移动,安全策略和属性也随之移动。
我们的目标是减少网络攻击面:通过应用切分规则下到工作量或应用程序,它可以降低攻击者从一个妥协的工作量或应用程序移动到另一个的风险。
另一个驱动器是运作效率。访问控制列表,路由规则和防火墙策略可以得到笨拙,引进了大量的管理开销,在快速变化的环境使得很难形成规模的政策。
微分段在软件中,这使得它更容易界定细粒度段典型的做法。而随着微分段,它可以工作集中网络分段政策和减少所需的防火墙规则的数量。
诚然,这是不小的任务 - 这不会是容易巩固多年的防火墙规则和访问控制列表,并将其转化成可在当今复杂的分布式企业环境中实施的策略。
对于初学者来说,映射工作负载,应用和环境之间的连接需要知名度,很多企业缺乏。
“市场细分面临的一大挑战是,你必须知道该细分什么。我的研究显示,50%的公司对他们知道网络上有什么IT设备几乎没有信心。如果你甚至不知道网络上有什么设备,你怎么知道要创建什么样的段?缺乏对数据中心流的可见性,”Kerravala说。雷竞技电脑网站