摘要:重要的是拋開這些誤解�,并從已成功將微分段納入其運(yùn)營(yíng)的企業(yè)中吸取教訓(xùn)是很重要的��。實(shí)施微分段并不是一個(gè)簡(jiǎn)單的決定��,這需要組織的承諾�����。
如今����,很多企業(yè)正在快速將其數(shù)據(jù)中心業(yè)務(wù)從內(nèi)部部署設(shè)施遷移到更具可擴(kuò)展性���、虛擬化和混合云基礎(chǔ)設(shè)施�。其安全專家正試圖保證業(yè)務(wù)安全�����,尋找解決方案來(lái)保護(hù)在這些動(dòng)態(tài)、異構(gòu)環(huán)境中運(yùn)行的關(guān)鍵任務(wù)應(yīng)用程序和工作負(fù)載����。
當(dāng)邊界不斷變化時(shí),傳統(tǒng)基于網(wǎng)絡(luò)的邊界安全性不再有效��。從日常新聞報(bào)道來(lái)看�����,網(wǎng)絡(luò)攻擊者似乎在隨意突破外圍防御����。進(jìn)入網(wǎng)絡(luò)內(nèi)部后,它們將融入東西方向流量��,橫向擴(kuò)散�,并尋找漏洞。無(wú)防護(hù)應(yīng)用程序跨越各種裸機(jī)服務(wù)器����、虛擬機(jī)和容器,是攻擊者的目標(biāo)��,并共同構(gòu)成巨大的攻擊面��。
轉(zhuǎn)向微分段
安全專家和分析師越來(lái)越多地將微分段作為保護(hù)數(shù)據(jù)中心資產(chǎn)和實(shí)施“零信任”安全模型的最佳實(shí)踐解決方案。微分段涉及圍繞單個(gè)或邏輯分組的應(yīng)用程序設(shè)置粒度安全策略��。這些策略規(guī)定哪些應(yīng)用程序可以相互通信��,哪些不能相互通信���。而任何未經(jīng)授權(quán)的通信嘗試不僅會(huì)被阻止�,還會(huì)觸發(fā)入侵者可能存在的警報(bào)�。
分析機(jī)構(gòu)Gartner公司已將微分段作為十大優(yōu)先安全項(xiàng)目之一,特別是那些希望能夠查看和控制數(shù)據(jù)中心內(nèi)流量的組織��,進(jìn)一步指出其目標(biāo)是阻止數(shù)據(jù)中心攻擊的橫向擴(kuò)散���。
鑒于人們對(duì)微分段的關(guān)注�,為什么沒(méi)有得到更廣泛的應(yīng)用呢���?一些誤解讓安全人員猶豫不決。其中一個(gè)原因是大型企業(yè)只能投入大量安全專業(yè)人員來(lái)實(shí)施和管理微分段項(xiàng)目���。另一個(gè)原因是����,這是一個(gè)“全有或全無(wú)”的命題,要求在一個(gè)單一的大型項(xiàng)目中保護(hù)最后的資產(chǎn)��,這是在連續(xù)應(yīng)用程序部署的DevOps環(huán)境中幾乎是不可能完成的任務(wù)�。
重要的是拋開這些誤解,并從已成功將微分段納入其IT運(yùn)營(yíng)的企業(yè)中吸取教訓(xùn)是很重要的��。這些組織采取了分階段的方法��,最初側(cè)重于一些易于定義目標(biāo)的可管理項(xiàng)目���。通過(guò)微細(xì)分可以解決的常見(jiàn)挑戰(zhàn)包括:
合規(guī)性����。微分段的關(guān)鍵驅(qū)動(dòng)因素����,SWIFT、PCI����、GDPR、HIPAA等監(jiān)管法規(guī)和標(biāo)準(zhǔn)經(jīng)常指定某些流程必須與一般網(wǎng)絡(luò)流量分離���。
DevOps�。開發(fā)、測(cè)試或質(zhì)量保證環(huán)境中的應(yīng)用程序需要與生產(chǎn)環(huán)境中的應(yīng)用程序分開����。
限制從外部用戶或物聯(lián)網(wǎng)設(shè)備訪問(wèn)數(shù)據(jù)中心資產(chǎn)或服務(wù)。
從一般企業(yè)系統(tǒng)中分離運(yùn)行高度敏感設(shè)備的系統(tǒng)(例如醫(yī)院中的醫(yī)療設(shè)備)��。
將最關(guān)鍵的應(yīng)用程序與不太關(guān)鍵的應(yīng)用程序分開����。
通過(guò)建立優(yōu)先級(jí)的層次結(jié)構(gòu)并從小規(guī)模開始,企業(yè)可以獲得一些“快速獲勝”����,并開始在相當(dāng)短的時(shí)間內(nèi)看到切實(shí)的結(jié)果。
微分段解決方案的基本屬性
為了使微分段既有效又實(shí)用�����,它需要滿足某些基本要求�。這些包括:
流程級(jí)可見(jiàn)性:缺乏可見(jiàn)性通常是組織遇到的第一個(gè)絆腳石——他們無(wú)法看到數(shù)據(jù)中心正在運(yùn)行的所有內(nèi)容。獲得全面可見(jiàn)性是識(shí)別應(yīng)用程序的邏輯分組以進(jìn)行分段的必要先決條件����。
與平臺(tái)無(wú)關(guān)的性能:當(dāng)應(yīng)用程序在異構(gòu)環(huán)境中遷移時(shí)��,管理其通信的策略必須能夠遵循它們,并在任何地方保護(hù)它們��。
標(biāo)簽:正確分類或標(biāo)記資產(chǎn)以準(zhǔn)備監(jiān)控和策略創(chuàng)建的能力是基礎(chǔ)���。要在動(dòng)態(tài)環(huán)境中利用自動(dòng)擴(kuò)展功能�����,請(qǐng)考慮在工作負(fù)載向上或向下擴(kuò)展時(shí)自動(dòng)應(yīng)用標(biāo)簽的標(biāo)簽方法�����。
靈活的創(chuàng)建策略:運(yùn)營(yíng)人員應(yīng)該能夠創(chuàng)建自定義層次結(jié)構(gòu)��,以便輕松創(chuàng)建復(fù)合規(guī)則���,了解不同的利益相關(guān)者希望以不同方式組織和創(chuàng)建規(guī)則。
自動(dòng)化:該解決方案還應(yīng)允許自動(dòng)化策略創(chuàng)建�、修改和管理的大部分過(guò)程,以便在部署新工作負(fù)載時(shí)����,它們會(huì)自動(dòng)分配到適當(dāng)?shù)奈⒎侄魏筒呗灾小?/p>
實(shí)施過(guò)程
微分段的實(shí)施一般可分為七個(gè)階段:
發(fā)現(xiàn)和識(shí)別:查找并識(shí)別其數(shù)據(jù)中心中運(yùn)行的所有應(yīng)用程序。流程級(jí)別可見(jiàn)性在這里至關(guān)重要。
依賴關(guān)系映射:確定哪些應(yīng)用程序需要能夠相互通信���。借助圖形可視化和繪圖工具�����,可以大大加快這一過(guò)程����。
對(duì)規(guī)則的應(yīng)用程序進(jìn)行分組:了解應(yīng)用程序依賴性后�����,開始將它們放入邏輯組��,以創(chuàng)建安全策略�。避免過(guò)度分段(具有太多離散分組)或分段不足(創(chuàng)建如此廣泛的組會(huì)使策略缺乏精確性)。
創(chuàng)建策略或規(guī)則:在定義邏輯分組后���,可以為每個(gè)定義的組創(chuàng)建���、測(cè)試和優(yōu)化策略。
部署:實(shí)施策略�����。
監(jiān)控和執(zhí)行:解決方案應(yīng)該能夠監(jiān)控每個(gè)端口和所有東西方向流量的異常情況。違反政策應(yīng)自動(dòng)觸發(fā)威脅攔截和遏制的執(zhí)行機(jī)制���。
實(shí)施微分段并不是一個(gè)簡(jiǎn)單的決定,這需要組織的承諾�。然而,通過(guò)采用具有特定近期目標(biāo)的分階段�、分層方法,企業(yè)可以立即開始看到關(guān)鍵優(yōu)先級(jí)的價(jià)值��,并且隨著用戶獲得該過(guò)程的經(jīng)驗(yàn)�����,其學(xué)習(xí)曲線將很快變平�。
最重要的是,組織可以充分利用云計(jì)算支持的業(yè)務(wù)敏捷性和效率��,并充分降低妥協(xié)風(fēng)險(xiǎn)����。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/5369.html
