引言： 分割對(duì)企業(yè)來說可謂生死攸關(guān)。在數(shù)據(jù)中心內(nèi)部實(shí)施微分割的好處是可以減少惡意黑客通信和遷移所造成的攻擊面。通過封鎖所有未授權(quán)的通信，很多探測活動(dòng)就可以受到限制，從而使得惡意黑客在數(shù)據(jù)中心的橫向擴(kuò)展更加困難。

如果我們能夠從過去幾年的關(guān)于安全損害的報(bào)告中學(xué)到點(diǎn)東西的話，那就是攻擊者或惡意黑客在數(shù)據(jù)中心的大量活動(dòng)（不僅訪問關(guān)鍵資產(chǎn)，而且能夠幾乎自由地在數(shù)據(jù)中心活動(dòng)卻不被發(fā)現(xiàn)）給企業(yè)造成重大危害。任何企業(yè)都何以通過如下方法來應(yīng)對(duì)這種挑戰(zhàn)：更好地對(duì)其內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)中心的運(yùn)維進(jìn)行分割。這是到目前為止多數(shù)IT和安全團(tuán)隊(duì)尚未采取的關(guān)鍵策略。即使在今天，很多企業(yè)的大量的網(wǎng)絡(luò)安全花費(fèi)和關(guān)注仍集中在外圍。事實(shí)上，分割對(duì)企業(yè)來說可謂生死攸關(guān)。

那么，為什么企業(yè)還沒有著手解決這個(gè)問題？為什么不像黑客一樣思考并采取行動(dòng)呢？

事實(shí)上，基于傳統(tǒng)網(wǎng)絡(luò)技術(shù)（交換機(jī)、路由器、防火墻等）的微分割雖然仍有價(jià)值，卻給數(shù)據(jù)中心的運(yùn)維增加了復(fù)雜性和風(fēng)險(xiǎn)。甚至有些大型企業(yè)擁有上百萬條基于IP地址的防火墻規(guī)則，這使得其安全策略極其復(fù)雜而脆弱。

難道我們不能從黑客那兒學(xué)到點(diǎn)兒什么嗎？惡意黑客并非突然間一下子就獵取企業(yè)的數(shù)據(jù)中心，而是只需要找一個(gè)漏洞，并由此“開疆拓土”。這意味著，大分割的有效性是很有限的。還有別的方法將分割更貼近應(yīng)用程序，甚至更貼近物理的或虛擬的服務(wù)器，這種方法對(duì)于減少內(nèi)部人員威脅和橫向攻擊的擴(kuò)散都扮演著重要角色。如果一個(gè)負(fù)載或應(yīng)用受到了損害，而其它應(yīng)用并沒有很好的分離，惡意黑客就可以快速地遷移。只有將分割細(xì)化到負(fù)載或應(yīng)用程序級(jí)才能防止或減少這種攻擊。

由于應(yīng)用程序日益分布化，且具有動(dòng)態(tài)性、異構(gòu)性、混合性，這種問題就尤為嚴(yán)重。簡言之，許多N層的現(xiàn)代應(yīng)用不再是簡單地在一臺(tái)服務(wù)器上發(fā)揮功能。筆者曾見到一個(gè)應(yīng)用程序跨幾個(gè)數(shù)據(jù)中心，對(duì)于這樣的一個(gè)應(yīng)用程序，如何用一個(gè)防火墻來保護(hù)？

內(nèi)部分割方法必須適應(yīng)環(huán)境變化，并且增加了新的計(jì)算模態(tài)(例如，Linux容器等只需運(yùn)行幾秒鐘就可以完成一個(gè)過程)的動(dòng)態(tài)屬性。這種內(nèi)部分割方法必須在混合環(huán)境中實(shí)施， 從而使得IT可以充分利用無法真正控制的物理基礎(chǔ)架構(gòu)。

在數(shù)據(jù)中心內(nèi)部實(shí)施微分割的好處是可以減少惡意黑客通信和遷移所造成的攻擊面。通過封鎖所有未授權(quán)的通信，很多探測活動(dòng)就可以受到限制，從而使得惡意黑客在數(shù)據(jù)中心的橫向擴(kuò)展更加困難。