微分段是一种在应用程序层将网络划分为单独区段的技术,以提高安全性并减少泄露的影响。
阅读本文后,您将能够:
复制文章链接
微分段将网络分成小的、离散的部分,每个部分都有自己的安全策略并单独访问。微分段的目标是在不影响网络其余部分的情况下,通过将威胁和泄露限制在遭入侵的部分来提高网络安全性。
大型船舶的甲板下方通常被分成多个舱室,每个舱室都不透水,并且可以与其他舱室隔离开来。这样,即使一个舱室因漏水而被水填满,其余舱室仍保持干燥,船仍能漂浮。网络微分段的概念与此类似:网络的一个部分可能会遭到入侵,但它可以很容易地与网络的其余部分隔离开来。
微分段是Zero Trust 架构的一个关键组成部分。该架构假定任何进入、离开或在网络内移动的流量都可能是一种威胁。微分段可以在威胁传播之前将其隔离,从而防止横向移动。
组织可以对本地数据中心和云计算部署(任何运行工作负载的地方)进行微分段。服务器、虚拟机、容器和微服务都可以以这种方式进行分段,每个都有自己的安全策略。
微分段可以在网络中极其精细的级别发生,一直到隔离单个工作负载(而不是隔离应用程序、设备或网络),“工作负载”是使用一定量内存和 CPU 的任何程序或应用程序。
对网络进行微分段的技术略有不同。但一些关键原则几乎始终适用:
微分段解决方案了解在网络上发送流量的应用程序。微分段提供哪些应用程序在相互通信以及网络流量如何在它们之间流动的背景信息。这是使微分段不同于使用虚拟局域网 (VLAN) 或其他网络层方法划分网络的一个方面。
微分段是通过软件配置的。分段是虚拟的,因此管理员无需调整路由器、交换机或其他网络设备即可实施。
大多数微分段解决方案使用下一代防火墙 (NGFW) 来隔离它们的分段。与传统防火墙不同,NGFW 具有应用程序感知能力,使它们能够在应用程序层分析网络流量,而不仅仅是网络和传输层。
此外,基于云的防火墙可用于微分段云计算部署。一些云托管提供商使用其内置的防火墙服务提供此功能。
如果需要,管理员可以为每个工作负载自定义安全策略。一种工作负载可以允许广泛访问,而另一种工作负载可以受到高度限制,具体取决于给定工作负载的重要性及其处理的数据。一个工作负载可以接受来自一系列端点的 API 查询;另一个可能只与特定服务器通信。
典型的网络日志记录提供网络和传输层信息,例如端口和 IP 地址。微分段还提供应用程序和工作负载背景信息。通过监控所有网络流量并添加应用程度背景信息,组织可以在其网络中始终如一地应用分段和安全策略。这也提供了根据需要调整安全策略所需的信息。
微分段可防止威胁在整个网络中传播,从而限制网络攻击造成的损害。攻击者的访问权限有限,他们可能无法访问机密数据。
例如,在微分段数据中心中运行工作负载的网络可能包含数十个独立的安全区域。有权访问一个区域的用户需要对其他每个区域的单独授权。这最大限度地降低了权限升级(当用户拥有过多访问权限时)和内部威胁(当用户有意或无意地损害机密数据的安全性时)的风险。
再举一个例子,假设一个容器有一个漏洞。攻击者通过恶意代码利用此漏洞,现在可以更改容器内的数据。在仅受边界保护的网络中,攻击者可以横向移动到网络的其他部分,提升权限,并最终提取或更改非常有价值的数据。在微分段网络中,如果不找到单独的入口点,攻击者很可能无法这样做。
Zero Trust 是一种网络安全理念和方法,它假定威胁已经存在于安全环境的内部和外部。许多组织正在采用 Zero Trust 架构,以防止攻击并将成功攻击造成的损害降至最低。
虽然微分段是Zero Trust 策略的关键组成部分,但它并不是唯一的组成部分。其他Zero Trust 原则包括:
要了解 Cloudflare 如何帮助组织实施这些组件,请阅读有关 Cloudflare Zero Trust 平台的信息。