John Edwards

盡管周界防御在過去幾年里有了一系列的改進(jìn)，但企業(yè)不能再僅僅依靠周界防御來抵御網(wǎng)絡(luò)攻擊了。微分段技術(shù)把IT環(huán)境劃分為可控制的分區(qū)，幫助采用者安全地隔離工作負(fù)載，使網(wǎng)絡(luò)保護(hù)更加細(xì)化，從而直接解決了未經(jīng)授權(quán)的橫向移動(dòng)攻擊的難題。隨著網(wǎng)絡(luò)攻擊者不斷嘗試新的方法來躲避安全措施，在IT環(huán)境中到處破壞，微分段已成為主流。

微分段技術(shù)的工作原理

不要望文生義。微分段技術(shù)實(shí)際上是從注重性能和管理的網(wǎng)絡(luò)分段技術(shù)向前邁出的一大步。微分段專門設(shè)計(jì)用于解決關(guān)鍵的網(wǎng)絡(luò)保護(hù)問題，從而降低風(fēng)險(xiǎn)，使安全部門能夠適應(yīng)不斷變化的IT環(huán)境的需求。

信息安全專家在過去20年的大部分時(shí)間里關(guān)注的是實(shí)施各種類型的零信任技術(shù)。瞻博網(wǎng)絡(luò)公司的技術(shù)安全負(fù)責(zé)人Trevor Pott說：“微分段采用了一種‘簡單按鈕的方式來實(shí)現(xiàn)，配有自動(dòng)化和編排工具，以及能提供詳細(xì)報(bào)告和圖表的完善的用戶界面。”他補(bǔ)充說：“我們?cè)僖矝]有借口不去做我們20年前就該做的事情了?！?/p>

微分段采用一種單一的中央策略將安全措施分發(fā)給每個(gè)獨(dú)立的系統(tǒng)。網(wǎng)絡(luò)安全提供商OPAQ的首席技術(shù)官Tom Cross解釋說：“這一技術(shù)進(jìn)步使得能夠在整個(gè)企業(yè)網(wǎng)絡(luò)中實(shí)施更精細(xì)的策略，而不僅僅是在周界防御上。這種方法是必要的，這既是因?yàn)橹芙绶烙踩袝r(shí)會(huì)失敗，也是因?yàn)樵频牟捎脤?dǎo)致網(wǎng)絡(luò)周界變得更容易被滲透。”

微分段仍然依賴于傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，例如，訪問控制網(wǎng)絡(luò)。IT服務(wù)提供商Entrust Solutions公司的IT總監(jiān)兼網(wǎng)絡(luò)安全專家Brad Willman表示：“讓微分段與眾不同的是，這些安全方法適用于網(wǎng)絡(luò)中的各個(gè)工作負(fù)載?！?/p>

很多企業(yè)都被微分段的分區(qū)結(jié)構(gòu)所吸引。（參見相關(guān)報(bào)道：為什么3家企業(yè)選擇了微分段技術(shù)）IT咨詢公司Kelser的高級(jí)咨詢工程師Andrew Tyler介紹說：“微分段技術(shù)是一種策略，它不僅可以防止數(shù)據(jù)泄露，而且如果出現(xiàn)了泄露，它能夠?qū)⑿孤断拗圃诰W(wǎng)絡(luò)非常小的部分，從而顯著減少了數(shù)據(jù)泄露帶來的損害?！?h3>各種微分段方法

Cross建議，狡猾的攻擊者在試圖破壞企業(yè)資源時(shí)遵循一個(gè)多步驟的過程，因此基礎(chǔ)設(shè)施防御者應(yīng)該考慮在每個(gè)步驟都建立控制機(jī)制。他說：“Mimikatz和Bloodhound等工具為虎作倀，為攻擊者提供了豐富的功能，導(dǎo)致系統(tǒng)之間的內(nèi)部橫向移動(dòng)攻擊在最近的事件中起到了關(guān)鍵作用。微分段技術(shù)可以阻斷攻擊者在內(nèi)部網(wǎng)絡(luò)中的傳播路徑，從而幫助防御者擊敗這些攻擊方法?！?p>

重要的是要記住，微分段不僅僅是一種面向數(shù)據(jù)中心的技術(shù)。Cross說：“很多安全事件都是起源于終端用戶工作站，這是因?yàn)閱T工點(diǎn)擊了網(wǎng)絡(luò)釣魚鏈接，或者他們的系統(tǒng)被其他方式攻破了。從最初的感染點(diǎn)開始，攻擊者開始向整個(gè)企業(yè)網(wǎng)絡(luò)擴(kuò)散。他解釋說：“微分段平臺(tái)應(yīng)該能夠通過一個(gè)控制臺(tái)，在數(shù)據(jù)中心、云工作負(fù)載和終端用戶工作站上執(zhí)行策略。它還應(yīng)該能夠阻止攻擊在這些環(huán)境中傳播?！?/p>

與很多新興技術(shù)一樣，供應(yīng)商正在以不同的方式來實(shí)現(xiàn)微分段化。三種傳統(tǒng)的微監(jiān)控類型是主機(jī)代理分段、管理程序分段和網(wǎng)絡(luò)分段。

·主機(jī)代理分段。這類微分段依賴于位于端點(diǎn)中的代理。所有數(shù)據(jù)流都是可見的，并被轉(zhuǎn)發(fā)到中央管理器，這種方法可以幫助簡化發(fā)現(xiàn)具有挑戰(zhàn)性的協(xié)議或者加密數(shù)據(jù)流的工作。通常認(rèn)為主機(jī)代理技術(shù)是一種高效的微分段方法。軟件開發(fā)和IT服務(wù)初創(chuàng)公司Mulytic Labs的首席技術(shù)官David Johnson說：“由于受感染的設(shè)備是主機(jī)，一個(gè)好的主機(jī)策略甚至可以阻止問題進(jìn)入網(wǎng)絡(luò)。然而，它要求所有主機(jī)安裝軟件，帶來了舊版操作系統(tǒng)和老系統(tǒng)的問題?！?/p>

·管理程序分段。在這類微分段技術(shù)下，所有數(shù)據(jù)流都要流經(jīng)管理程序。Johnson解釋道：“管理程序能夠監(jiān)控?cái)?shù)據(jù)流意味著可以使用現(xiàn)有的防火墻，還可以在日常操作中，隨著實(shí)例的移動(dòng)，將策略移動(dòng)到新的管理程序中。”一個(gè)缺點(diǎn)是，管理程序分段通常不適用于云環(huán)境，也不適用于容器和裸金屬。他建議說：“這在某些情況下是有用的，在適用的情況下，是非常有利的?！?/p>

·網(wǎng)絡(luò)分段。這種方法基本上是對(duì)現(xiàn)狀的擴(kuò)展，采用了基于訪問控制列表（ACL）和其他經(jīng)過時(shí)間檢驗(yàn)的方法進(jìn)行分段。Johnson說：“這是迄今為止最簡單的途徑，因?yàn)榇蟛糠志W(wǎng)絡(luò)專業(yè)人員都熟悉這種方法。然而，如果網(wǎng)絡(luò)分段過大，可能違背了微網(wǎng)段的初衷，導(dǎo)致大型數(shù)據(jù)中心管理起來既復(fù)雜又昂貴?！?/p>

當(dāng)購買微分段工具時(shí)，重要的是要記住，并非所有產(chǎn)品都完全符合三個(gè)基本類別中的任何一個(gè)。很多供應(yīng)商正在研究提供彈性網(wǎng)絡(luò)微分段的新方法和改進(jìn)方法，例如，機(jī)器學(xué)習(xí)和人工智能監(jiān)控等。在打算采用某種微分段產(chǎn)品之前，一定要仔細(xì)詢問供應(yīng)商其技術(shù)的具體方法，以及是否需要考慮任何特殊的兼容性或者操作要求。

也有缺點(diǎn)

盡管微分段技術(shù)有很多優(yōu)點(diǎn)，但也帶來了一些采用和操作上的難題。第一次部署起來可能特別麻煩。Tyler警告說：“實(shí)施微分段會(huì)造成顛覆。取決于正在使用的應(yīng)用程序，可能會(huì)遇到不支持或者不能支持微分段的關(guān)鍵業(yè)務(wù)功能?！?/p>

另一個(gè)潛在的障礙是定義滿足每一內(nèi)部系統(tǒng)需求的策略。對(duì)于某些采用者來說，這可能是一個(gè)復(fù)雜而且耗時(shí)的過程，因?yàn)樵诙x策略并權(quán)衡其影響時(shí)，內(nèi)部會(huì)出現(xiàn)不同的意見。Cross觀察到：“在很多企業(yè)中，對(duì)于任何內(nèi)部控制的例外情況，都會(huì)有反對(duì)意見?！?/p>

當(dāng)高敏感度資產(chǎn)和低敏感度資產(chǎn)同時(shí)存在于同一安全邊界內(nèi)時(shí)，重要的一點(diǎn)是，一定要知道需要哪些端口和協(xié)議才能保證網(wǎng)絡(luò)通信正常，以及在哪個(gè)方向上進(jìn)行通信。實(shí)施不當(dāng)會(huì)導(dǎo)致網(wǎng)絡(luò)意外中斷。NCC集團(tuán)北美分公司技術(shù)總監(jiān)Damon Small表示：“此外，要注意，實(shí)施必要的變革可能得停機(jī)，因此，仔細(xì)的規(guī)劃非常重要?！?/p>

微分段技術(shù)廣泛支持運(yùn)行Linux、Windows和MacOS等流行操作系統(tǒng)的環(huán)境。然而，對(duì)于使用大型機(jī)或者其他老舊技術(shù)的企業(yè)來說，情況并非如此。Cross警告說：“他們可能會(huì)發(fā)現(xiàn)，微分段軟件不適用于這些平臺(tái)。”

微分段入門

要成功地部署微分段技術(shù)，必須詳細(xì)了解網(wǎng)絡(luò)體系結(jié)構(gòu)以及所支持的系統(tǒng)和應(yīng)用程序。Small解釋說：“具體來說，企業(yè)應(yīng)該知道系統(tǒng)之間是怎樣通信的，這樣才能正常工作。要想知道通信細(xì)節(jié)，可能需要與供應(yīng)商密切合作，或者進(jìn)行詳細(xì)分析，以確定應(yīng)將微分段放置在何處，以及怎樣放置才不會(huì)導(dǎo)致生產(chǎn)中斷?！?/p>

啟動(dòng)微分段計(jì)劃的最佳方法是制訂詳細(xì)的資產(chǎn)管理計(jì)劃。Pott說：“如果不知道網(wǎng)絡(luò)上有什么，也想不出好方法對(duì)這些系統(tǒng)進(jìn)行分類，那就無法對(duì)怎樣分割網(wǎng)絡(luò)做出合理的決定?！?/p>

一旦資產(chǎn)發(fā)現(xiàn)、分類和管理自動(dòng)化問題得到解決，那么，IT環(huán)境就可以進(jìn)行微分段了。Pott建議：“現(xiàn)在，是時(shí)候去和供應(yīng)商談判了，就總體擁有成本、集成功能、可擴(kuò)展性和可伸縮性提出一些有針對(duì)性的問題。”

Cross觀察到，微分段平臺(tái)的效果取決于它所執(zhí)行的策略。他說：“對(duì)于用戶來說，重要的是要考慮攻擊者在攻擊環(huán)境時(shí)可能遵循的流程，并確保他們的策略關(guān)閉了最有價(jià)值的通道。一些簡單的規(guī)則可以將內(nèi)部網(wǎng)絡(luò)上的Windows網(wǎng)絡(luò)、RDP服務(wù)和SSH的使用范圍縮小到需要它們的具體用戶，從而在不干擾業(yè)務(wù)流程的情況下抵御流行的攻擊技術(shù)。”

原文網(wǎng)址

https：//www.networkworld.com/article/3537672/microsegmentation-architecture-choices-and-how-they-differ.html