三大微隔离架构有何区别？

尽管在曩昔几年中企业平安架构进行了一系列改善，但有一个主要转型已经杀青共识，那就是企业不克仅依靠外围界限的“马其顿防地”来阻止收集冲击者。经由将IT情况划分为可控的细分区间——即所谓的“微隔离”，能有效解决未经授权的横向移动的挑战，使企业可以平安地隔离工作负载，实现细粒度的收集珍爱。

现在，收集冲击者正在络续测验绕过平安办法的新方式，是以可以有效阻断横向移动的微隔离已成为主流平安手艺之一。

一个典型的基于SDP/微隔离框架的零信任架构

提到微隔离，我们有需要先回首一下零信任架构的概念。零信任是一个全新的平安机制和构想，即所有资产都必需先经由身份验证和授权，然后才能启动与另一资产的通信。SDP是一种零信任实现框架，经由使用微隔离在资产之间建立信任关系，将零信任平安性概念应用于收集中。SDP能够作为有效的收集平安掌握办法，使组织更能抵当传统的收集平安冲击。是以，微隔离是基于SDP实现零信任架构的主要手艺，然则与好多新兴手艺一般，SDP也有好多实现方式和路径，分歧的企业需要凭据自身需求以及分歧方式的优瑕玷来选择适合本身的道路。

微隔离不光是收集机能和治理分段手艺所迈出的一步，也是专门为解决要害收集平安问题而设计的，能够降低风险并使平安机能够适应络续转变的IT情况。

曩昔二十年间，信息平安专家们已经大量商量了零信任手艺的各类实施方案和潜在问题。瞻博收集（Juniper）手艺平安负责人Trevor Pott认为：“微隔离是'平安简化'的实现，”它拥有主动化和编排对象，供应具体申报和复杂的图形用户界面。他增补说：“现在，我们不再有任何托言不去做我们20年前就应该做的事情。”

微隔离经由单个中央策略将平安性实施分派到每个零丁的系统。收集平安供应商OPAQ的首席手艺官汤姆·克罗斯（Tom Cross）注释说：“微隔离使整个企业收集（而不只是在界限）能够执行精美的平安策略。”“这种方式是需要的，因为外围平安有时会失败，而且因为云较量的应用普及，收集外围正变得千疮百孔。”

微隔离仍然依靠传统的收集平安手艺，例如接见掌握收集。IT办事供应商Entrust Solutions的IT主管兼收集平安专家Brad Willman透露：“微隔离的奇特之处在于，这些（传统）平安方式适用于微隔离收集中的各个工作负载。”

微隔离已经吸引了很多企业和机构的存眷。IT咨询公司Kelser的高级咨询工程师Andrew Tyler认为：“微隔离是一种策略，它不光能够防止数据泄露，并且还能够经由将泄露限制在收集的一个局部来极大地削减损坏（若是发生）。” 

Cross建议，手艺高妙的冲击者在测验渗透企业资源时会采用多个步伐，是以根蒂架构防御者应考虑在每个步伐上竖立掌握办法。他说：“系统之间的内部横向化移动在比来的平安事件中起了要害感化，诸如Mimikatz和Bloodhound之类的对象为冲击者供应了雄厚的功能。”“微隔离能够有效割断防御者在内部收集中流传的潜在路径，使防御者可以有效损坏冲击动作。”

需要重点指出的是，微隔离不光是面向数据中心的手艺。Cross说：“很多平安事件始于最终用户工作站，因为员工单击垂纶链接，或许他们的系统受到其他体式的损坏。”从最初的传染点起头，冲击者能够流窜到整个企业收集。他注释说：“微隔离..应该可以经由单个掌握台在数据中心，云工作负载和最终用户工作站上实施策略。”“它还应该可以阻止冲击在任何这些情况中的横向流传。”

与很多新兴手艺一般，平安供给商正从各个偏向着手实现微隔离方案。三种传统的微隔离类型是基于主机代理的微隔离，基于虚拟机监控法式和收集隔离。

·基于主机代理。这种微隔离类型依靠位于端点中的代理。所稀有据流都是可见的并将个中继到中央治理器，这种方式能够减轻发现挑战性和谈或加密流量的麻烦。主机代理手艺平日被认为是一种高效的微隔离方式。“因为受传染的设备是主机，是以精巧的主机策略甚至能够阻止问题进入收集，”软件斥地和IT办事初创公司Mulytic Labs的CTO David Johnson说道。然则，它要求所有主机都安装软件，“对遗留把持系统和旧系统或者并不友好”。

·基于虚拟机监控法式。使用这种微隔离，所有流量都流经治理法式。Johnson注释说：“看管虚拟机治理法式流量的能力意味着人们能够使用现有的防火墙，而且能够凭据平常运营实例的需要将策略转移至新的虚拟机治理法式。”这种方式的瑕玷是虚拟机治理法式分段平日不适用于云情况、容器或裸机。他建议说：“在可以派上用场的场景中，基于虚拟机监控法式的方式非常有效。”

·收集隔离。这种方式根基上是对现有平安架构的扩展，它基于接见掌握列表（ACL）和其他经由时间磨练的方式进行细分。约翰逊说：“到今朝为止，这是最简洁的方式，因为大多数收集专业人员都熟悉这种方式。”“然则，大型收集段或者无法实现微隔离，而且这种做法在大型数据中心中治理起来或者既复杂又昂贵。”

在购置微隔离对象时，主要的是要记住，并非所有微隔离产物都能很好地适合这三个根基类别。很多供给商正在索求供应弹性收集微隔离的新方式和改善的方式，例如机械进修和AI 监控。在投入任何特定的微隔离产物之前，请确保具体认识供给商的特定手艺方式，以及是否与企业自身的架构和运营要求存在兼容性问题。

尽管长处一大堆，但微隔离也带来了一些应用和把持方面的挑战。当有供给商向你兜销“一键式”解决方案的时候，企业平安主管尤其需要小心，因为微隔离的初始布置平日会稀奇麻烦。Tyler警告说：“实施微隔离对有些买卖和应用或者会具有损坏性。”“您或者会发现一些不支撑微隔离的要害买卖功能和应用打嗝。”

另一个潜在的绊脚石是制订解决每个内部系统需求的策略。对于好多企业而言，这或者是一个复杂且耗时的过程，因为在从新衡量和界说IT政策及其寄义时，或者会发生内部斗争。Cross视察到：“在大多数组织中，任何对内部掌握的触动都邑阻力重重。”

当高敏感度资产和低敏感度资产同时存在于统一平安界限内时，认识分歧收集通信所需成家的端口和和谈（以及偏向）是很主要的。实施欠妥会导致收集不测休止。NCC集体北美公司手艺总监，要害根蒂举措防御专家达蒙·斯莫尔（Damon Small）透露：“此外，请记住，实施微隔离所需的更改或者需要停机，是以精心规划很主要。” 。

微隔离手艺一样都支撑各类风行把持系统（例如Linux、Windows和MacOS）情况。但对于使用大型机或其他旧手艺的组织而言，微隔离手艺的兼容性并不乐观。Cross警告说：“他们或者发现微隔离软件不适用于这些遗留..。”

要成功布置微隔离，必需对收集系统构造以及受支撑的系统和应用法式有具体的认识。Small指出：“具体来说，企业应该知道系统之间若何通信。”“具体或者需要与供给商慎密合作或进行具体剖析，以确定应将微隔离放置在何处以及若何以不休止生产的体式来放置微分段。”

启动微隔离规划的最佳方式是制订具体的资产治理规划。Pott说：“在周全把握收集资产并设计出一些方式对这些系统进行分类之前，您无法对若何朋分收集做出理性的决意。”

解决了资产发现、分类和治理主动化问题后，IT情况才算是为微隔离预备停当。Pott建议说：“如今，平安主管们是时候到平安厂商那边购物了，并提出好多有关总拥有成本，集成能力，可扩展性的尖利问题。”

Cross视察到，微隔离..的机能取决于执行策略。他说：“用户需要认识冲击者的冲击环节和步伐，并确保其策略能割断最有价格的途径，这一点很主要。”“一些简洁的划定能够将Windows Networking、RDP办事和SSH在内部收集上的使用局限缩小到特定用户，从而能够抵当风行的冲击手艺，而不会干扰买卖流程。”