微分段架构有何不同

　　尽管周界防御在过去几年里有了一系列的改进，但企业不能再仅仅依靠周界防御来抵御网络攻击了。微分段技术把IT环境划分为可控制的分区，帮助采用者安全地隔离工作负载，使网络保护更加细化，从而直接解决了未经授权的横向移动攻击的难题。随着网络攻击者不断尝试新的方法来躲避安全措施，在IT环境中到处破坏，微分段已成为主流。

　　微分段技术的工作原理

　　不要望文生义。微分段技术实际上是从注重性能和管理的网络分段技术向前迈出的一大步。微分段专门设计用于解决关键的网络保护问题，从而降低风险，使安全部门能够适应不断变化的IT环境的需求。

　　信息安全专家在过去20年的大部分时间里关注的是实施各种类型的零信任技术。瞻博网络公司的技术安全负责人Trevor Pott说：“微分段采用了一种‘简单按钮的方式来实现，配有自动化和编排工具，以及能提供详细报告和图表的完善的用户界面。”他补充说：“我们再也没有借口不去做我们20年前就该做的事情了。”

　　微分段采用一种单一的中央策略将安全措施分发给每个独立的系统。网络安全提供商OPAQ的首席技术官Tom Cross解释说：“这一技术进步使得能够在整个企业网络中实施更精细的策略，而不仅仅是在周界防御上。这种方法是必要的，这既是因为周界防御安全有时会失败，也是因为云的采用导致网络周界变得更容易被渗透。”

　　微分段仍然依赖于传统的网络安全技术，例如，访问控制网络。IT服务提供商Entrust Solutions公司的IT总监兼网络安全专家Brad Willman表示：“让微分段与众不同的是，这些安全方法适用于网络中的各个工作负载。”

　　很多企业都被微分段的分区结构所吸引。（参见相关报道：为什么3家企业选择了微分段技术）IT咨询公司Kelser的高级咨询工程师Andrew Tyler介绍说：“微分段技术是一种策略，它不仅可以防止数据泄露，而且如果出现了泄露，它能够将泄露限制在网络非常小的部分，从而显著减少了数据泄露带来的损害。”

　　各种微分段方法

　　Cross建議，狡猾的攻击者在试图破坏企业资源时遵循一个多步骤的过程，因此基础设施防御者应该考虑在每个步骤都建立控制机制。他说：“Mimikatz和Bloodhound等工具为虎作伥，为攻击者提供了丰富的功能，导致系统之间的内部横向移动攻击在最近的事件中起到了关键作用。微分段技术可以阻断攻击者在内部网络中的传播路径，从而帮助防御者击败这些攻击方法。”

　　重要的是要记住，微分段不仅仅是一种面向数据中心的技术。Cross说：“很多安全事件都是起源于终端用户工作站，这是因为员工点击了网络钓鱼链接，或者他们的系统被其他方式攻破了。从最初的感染点开始，攻击者开始向整个企业网络扩散。他解释说：“微分段平台应该能够通过一个控制台，在数据中心、云工作负载和终端用户工作站上执行策略。它还应该能够阻止攻击在这些环境中传播。”

　　与很多新兴技术一样，供应商正在以不同的方式来实现微分段化。三种传统的微监控类型是主机代理分段、管理程序分段和网络分段。

　　·主机代理分段。这类微分段依赖于位于端点中的代理。所有数据流都是可见的，并被转发到中央管理器，这种方法可以帮助简化发现具有挑战性的协议或者加密数据流的工作。通常认为主机代理技术是一种高效的微分段方法。软件开发和IT服务初创公司Mulytic Labs的首席技术官David Johnson说：“由于受感染的设备是主机，一个好的主机策略甚至可以阻止问题进入网络。然而，它要求所有主机安装软件，带来了旧版操作系统和老系统的问题。”

　　·管理程序分段。在这类微分段技术下，所有数据流都要流经管理程序。Johnson解释道：“管理程序能够监控数据流意味着可以使用现有的防火墙，还可以在日常操作中，随着实例的移动，将策略移动到新的管理程序中。”一个缺点是，管理程序分段通常不适用于云环境，也不适用于容器和裸金属。他建议说：“这在某些情况下是有用的，在适用的情况下，是非常有利的。”

　　·网络分段。这种方法基本上是对现状的扩展，采用了基于访问控制列表（ACL）和其他经过时间检验的方法进行分段。Johnson说：“这是迄今为止最简单的途径，因为大部分网络专业人员都熟悉这种方法。然而，如果网络分段过大，可能违背了微网段的初衷，导致大型数据中心管理起来既复杂又昂贵。”

　　当购买微分段工具时，重要的是要记住，并非所有产品都完全符合三个基本类别中的任何一个。很多供应商正在研究提供弹性网络微分段的新方法和改进方法，例如，机器学习和人工智能监控等。在打算采用某种微分段产品之前，一定要仔细询问供应商其技术的具体方法，以及是否需要考虑任何特殊的兼容性或者操作要求。

　　也有缺点

　　尽管微分段技术有很多优点，但也带来了一些采用和操作上的难题。第一次部署起来可能特别麻烦。Tyler警告说：“实施微分段会造成颠覆。取决于正在使用的应用程序，可能会遇到不支持或者不能支持微分段的关键业务功能。”

　　另一个潜在的障碍是定义满足每一内部系统需求的策略。对于某些采用者来说，这可能是一个复杂而且耗时的过程，因为在定义策略并权衡其影响时，内部会出现不同的意见。Cross观察到：“在很多企业中，对于任何内部控制的例外情况，都会有反对意见。”

　　当高敏感度资产和低敏感度资产同时存在于同一安全边界内时，重要的一点是，一定要知道需要哪些端口和协议才能保证网络通信正常，以及在哪个方向上进行通信。实施不当会导致网络意外中断。NCC集团北美分公司技术总监Damon Small表示：“此外，要注意，实施必要的变革可能得停机，因此，仔细的规划非常重要。”

　　微分段技术广泛支持运行Linux、Windows和MacOS等流行操作系统的环境。然而，对于使用大型机或者其他老旧技术的企业来说，情况并非如此。Cross警告说：“他们可能会发现，微分段软件不适用于这些平台。”

　　微分段入门

　　要成功地部署微分段技术，必须详细了解网络体系结构以及所支持的系统和应用程序。Small解释说：“具体来说，企业应该知道系统之间是怎样通信的，这样才能正常工作。要想知道通信细节，可能需要与供应商密切合作，或者进行详细分析，以确定应将微分段放置在何处，以及怎样放置才不会导致生产中断。”

　　启动微分段计划的最佳方法是制订详细的资产管理计划。Pott说：“如果不知道网络上有什么，也想不出好方法对这些系统进行分类，那就无法对怎样分割网络做出合理的决定。”

　　一旦资产发现、分类和管理自动化问题得到解决，那么，IT环境就可以进行微分段了。Pott建议：“现在，是时候去和供应商谈判了，就总体拥有成本、集成功能、可扩展性和可伸缩性提出一些有针对性的问题。”

　　Cross观察到，微分段平台的效果取决于它所执行的策略。他说：“对于用户来说，重要的是要考虑攻击者在攻击环境时可能遵循的流程，并确保他们的策略关闭了最有价值的通道。一些简单的规则可以将内部网络上的Windows网络、RDP服务和SSH的使用范围缩小到需要它们的具体用户，从而在不干扰业务流程的情况下抵御流行的攻击技术。”

　　John Edwards