零信任成敗的關鍵：微隔離

大多數企業的微隔離項目都失敗了，這給企業的零信任道路蒙上了陰影。如果說“配置錯誤”是云安全的頭號威脅，那么“微隔離“就是決定零信任計劃成敗的決定性因素。

零信任是企業數字化安全轉型的必由之路，Zscaler《2023年零信任轉型狀態報告》指出，企業僅憑借防火墻和VPN等傳統網絡安全基礎設施不可能實現安全的云轉型。

但企業的零信任之旅正面臨艱巨的挑戰，根據Garnter的報告，雖然90%遷移到云的企業正在采用零信任，但只有22%的企業有信心利用零信任的諸多優勢并實現業務轉型；Gartner預測，到2023年至少99%的云安全故障原因都是用戶錯誤導致，在多云配置中能否正確進行微隔離將決定零信任計劃的成敗。

微隔離是零信任的核心

微隔離指將網絡環境劃分為邏輯上的微小網段，并實施細粒度的安全策略，以最大限度地減少發生網絡攻擊時的橫向“爆炸半徑”。微隔離旨在隔離企業網絡中定義的網段，減少攻擊面的數量以限制橫向移動。

Gartner將微隔離定義為“將安全策略插入同一擴展數據中心內任意兩個工作負載之間的訪問層的能力。微隔離技術可以定義細粒度的網絡區域，直至單個資產和應用程序。”

在NIST的零信任框架中，微隔離被定義為零信任的主要組成部分之一，Forrester高級分析師DavidHolmes則指出：“全球2000強企業不可能完全拋棄物理網絡，對他這些企業來說，沒有微隔離的零信任不是真正的零信任。”

微隔離被業界看作是零信任的核心，但實施微隔離對于大規模、復雜的多云和混合云基礎設施配置來說是一個艱巨的挑戰。

隨著企業IT環境越來越多地轉向混合云和多云，微隔離的實施變得更加緊迫且復雜。因此，微隔離通常安排在零信任框架路線圖的后期階段，因為大規模實施微隔離通常需要比預期更長的時間。許多CISO都選擇優先實施一些“速勝”的零信任項目后，在零信任計劃的后期階段安排實施微隔離。

一些成功部署微隔離的CIO和CISO建議企業優先采用零信任方法開發網絡安全架構，專注于防護容易受到攻擊的身份、應用程序和數據，而不是網絡外圍。而根據Gartner的預測，到2026年，實施零信任架構的企業中有60%將采用不止一種微隔離部署形式（基于網絡、虛擬機管理程序或主機代理等），而2023年這一比例還不到5%。

人工智能是微隔離的“救星”

Forrester的調研發現，大多數微隔離項目都失敗了，因為本地私有網絡是最具挑戰性的防護對象之一。大多數企業的專用網絡是扁平的，并且無法達到微隔離完全保護其基礎設施所需的級別。專用網絡越扁平，控制和縮小惡意軟件、勒索軟件和開源攻擊（包括Log4j、特權訪問憑據濫用和所有其他形式的網絡攻擊）的爆炸半徑就越具有挑戰性。

人工智能、機器學習以及基于私有大語言模型(LLM)的新型生成人工智能為微隔離帶來更高的準確性、速度和規模，有助于幫助企業克服實施微隔離的挑戰。

企業可以用人工智能和機器學習技術自動化手工任務，大大提高零信任計劃早期階段的成功率。企業還能用機器學習算法來了解如何優化實施，通過強制執行最低訪問權限保護每個身份，進一步增強效果。

如今領先的微隔離方案提供商都在積極進行研發和收購，以進一步增強其人工智能和機器學習能力。微隔離面臨的挑戰和機遇也吸引了大量網絡安全創業公司投身其中，例如AirgapNetworks、AppGateSDP、AvocadoSystems和Byos，這些公司采用差異化方法來解決企業的微隔離挑戰。

AirGapNetworks是2023年最值得關注的二十家零信任初創公司之一，該公司的無代理微隔離方法縮小了網絡上每個連接端點的攻擊面。可以對整個企業的每個端點進行分段，同時將解決方案集成到正在運行的網絡中，而無需更改設備、停機或硬件升級。

人工智能從七個方面改變微隔離

人工智能和機器學習可以在以下七個方面大幅提升微隔離的準確性、速度和規模：

自動化策略管理

微隔離最大的難點是手動定義和管理工作負載之間的訪問策略。人工智能和機器學習算法可以自動對應用程序依賴性、通信流和安全策略進行建模，IT和SecOps團隊可以減少在策略管理上花費的時間。人工智能在微隔離中的另一個理想用例是模擬政策變化并在執行之前識別潛在的干擾。

更具洞察力的實時分析

實施微隔離的另一個挑戰是利用大量的實時遙測數據源，并將其轉化為統一的報告方法，從而提供對網絡環境的深度可見性。基于人工智能和機器學習的實時分析方法提供了工作負載之間通信和流程的全面視圖。事實證明，基于機器學習算法的高級行為分析可以有效檢測東西向流量的異常和威脅。這些分析提高了安全性，同時簡化了管理。

更自主的資產發現和隔離

人工智能可以自主識別資產、建立通信鏈路、識別攻擊行為并下發微隔離規則，無需人工干預。這種自主能力減少了執行微隔離所需的時間和精力，減少了規則制定中出現人為錯誤的可能性。

可擴展的異常檢測

人工智能算法可以分析大量的網絡流量數據，從而識別異常模式。這可以實現可擴展的安全措施，同時保持最佳速度。通過利用人工智能進行異常檢測，微隔離可以擴展到廣泛的混合環境，同時不會產生大量開銷或延遲，確保了在環境擴展的同時保持安全有效性。

簡化與云和混合環境的集成

通過人工智能技術識別優化擴展和策略執行的障礙可以改善微隔離在本地、公共云和混合環境中的集成，在異構環境中提供一致的安全態勢，消除攻擊者可能利用的漏洞，還降低了操作復雜性。

自動化事件響應

人工智能可以自動響應安全事件，從而縮短響應時間。微隔離解決方案可使用經過訓練的機器學習模型來實時檢測網絡流量和工作流程中的異常和惡意行為模式。這些模型可在正常流量模式和已知攻擊特征的大型數據集上進行訓練，以檢測新出現的威脅。當模型檢測到潛在事件時，預定義的劇本可以啟動自動響應操作，例如隔離受影響的工作負載、限制橫向移動和向安全團隊發出警報。

增強協作和工作流程自動化

人工智能簡化了團隊協作并實現工作流程自動化，減少了規劃、分析和實施所需的時間。通過增強協作和自動化，人工智能優化了整個微隔離生命周期，可以更快地實現價值并保持持續的敏捷性，從而提高安全團隊的生產力。

總結：人工智能是微隔離成敗的關鍵

微隔離對于零信任架構至關重要，但其擴展的難度很大。人工智能和機器學習在幾個關鍵領域已經展示出簡化和加強微隔離的潛力，包括自動化策略管理、提供實時見解、實現自主發現和分段等。

人工智能和機器學習技術帶來的準確性、速度和規模可幫助企業克服實施挑戰并提升微隔離能力，減少攻擊的“爆炸半徑”、阻止對手橫向移動并幫助企業在復雜的多云環境中安全發展。