微分割的好處

引言： 分割對企業(yè)來說可謂生死攸關(guān)。在數(shù)據(jù)中心內(nèi)部實施微分割的好處是可以減少惡意黑客通信和遷移所造成的攻擊面。通過封鎖所有未授權(quán)的通信，很多探測活動就可以受到限制，從而使得惡意黑客在數(shù)據(jù)中心的橫向擴展更加困難。

如果我們能夠從過去幾年的關(guān)于安全損害的報告中學(xué)到點東西的話，那就是攻擊者或惡意黑客在數(shù)據(jù)中心的大量活動（不僅訪問關(guān)鍵資產(chǎn)，而且能夠幾乎自由地在數(shù)據(jù)中心活動卻不被發(fā)現(xiàn)）給企業(yè)造成重大危害。任何企業(yè)都何以通過如下方法來應(yīng)對這種挑戰(zhàn)：更好地對其內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)中心的運維進行分割。這是到目前為止多數(shù)IT和安全團隊尚未采取的關(guān)鍵策略。即使在今天，很多企業(yè)的大量的網(wǎng)絡(luò)安全花費和關(guān)注仍集中在外圍。事實上，分割對企業(yè)來說可謂生死攸關(guān)。

那么，為什么企業(yè)還沒有著手解決這個問題？為什么不像黑客一樣思考并采取行動呢？

事實上，基于傳統(tǒng)網(wǎng)絡(luò)技術(shù)（交換機、路由器、防火墻等）的微分割雖然仍有價值，卻給數(shù)據(jù)中心的運維增加了復(fù)雜性和風(fēng)險。甚至有些大型企業(yè)擁有上百萬條基于IP地址的防火墻規(guī)則，這使得其安全策略極其復(fù)雜而脆弱。

難道我們不能從黑客那兒學(xué)到點兒什么嗎？惡意黑客并非突然間一下子就獵取企業(yè)的數(shù)據(jù)中心，而是只需要找一個漏洞，并由此“開疆拓土”。這意味著，大分割的有效性是很有限的。還有別的方法將分割更貼近應(yīng)用程序，甚至更貼近物理的或虛擬的服務(wù)器，這種方法對于減少內(nèi)部人員威脅和橫向攻擊的擴散都扮演著重要角色。如果一個負載或應(yīng)用受到了損害，而其它應(yīng)用并沒有很好的分離，惡意黑客就可以快速地遷移。只有將分割細化到負載或應(yīng)用程序級才能防止或減少這種攻擊。

由于應(yīng)用程序日益分布化，且具有動態(tài)性、異構(gòu)性、混合性，這種問題就尤為嚴重。簡言之，許多N層的現(xiàn)代應(yīng)用不再是簡單地在一臺服務(wù)器上發(fā)揮功能。筆者曾見到一個應(yīng)用程序跨幾個數(shù)據(jù)中心，對于這樣的一個應(yīng)用程序，如何用一個防火墻來保護？

內(nèi)部分割方法必須適應(yīng)環(huán)境變化，并且增加了新的計算模態(tài)(例如，Linux容器等只需運行幾秒鐘就可以完成一個過程)的動態(tài)屬性。這種內(nèi)部分割方法必須在混合環(huán)境中實施， 從而使得IT可以充分利用無法真正控制的物理基礎(chǔ)架構(gòu)。

在數(shù)據(jù)中心內(nèi)部實施微分割的好處是可以減少惡意黑客通信和遷移所造成的攻擊面。通過封鎖所有未授權(quán)的通信，很多探測活動就可以受到限制，從而使得惡意黑客在數(shù)據(jù)中心的橫向擴展更加困難。