使用微分段減少橫向攻擊

很多IT基礎架構專業人士僅將微分段視為限制數據中心服務器、應用程序和工作負載之間訪問的方法。然而，微分段已經遠遠超出這種最初的能力，現在可為公司提供另一種接受零信任的方式。

為什么企業要采用微分段

現在企業面臨的一項嚴峻挑戰是如何防止攻擊者在越過安全邊界后在數據中心內橫向移動。

我們在各種新聞中看到關于攻擊者破壞公司網絡的故事。一旦入侵企業網絡，攻擊者可以訪問任何東西而幾乎沒有任何障礙。對此，很多公司正在實施零信任，更具體地說，是微分段。這種方法使攻擊者難以在系統內自由橫向移動。

這些年來微分段是如何發展的？

在早期，從網絡安全和基礎設施可擴展性的角度來看，微分段的功能有限。

VMware公司產品營銷高級總監Vivek Bhandari表示，防止攻擊者在數據中心橫向移動的一種早期方法涉及通過第4層防火墻的物理或邏輯段。分段最初限制企業擴大流量的能力，因為流量都需要通過中央防火墻。分段的粒度性質也意味著策略管理變得更加困難。

為了解決早期的微分段問題，供應商開發了在網絡級別工作的軟件定義產品和平臺。例如，軟件定義的網絡平臺使防火墻可以處于管理程序級別。通過使用此級別的防火墻，管理員可以為所有虛擬機部署微分段。較新的微分段產品適用于第7層防火墻，可以在應用程序和用戶ID級別進行保護。

通過虛擬化、分布式防火墻的精細訪問控制是打擊未經授權的橫向移動的重大進步。然而，企業很快就想要一種方法以將他們的信任檢測和預防系統 (IDSes/IPSes) 直接分發到虛擬機管理程序上。此外，他們還需要全系統模擬沙盒來檢測未知的零日威脅，因為這些威脅無法使用基于簽名的檢測技術進行識別。這使得IDS/IPS和網絡沙盒服務再次與集中式網絡安全設備分離，并置于虛擬機管理程序中。

為了成功部署微分段，管理員不應該只是分段流量。根據Bhandari的說法，應該監控每個數據中心的流量，以確定異常行為是良性還是惡意。這導致微分段中添加了其他功能，例如沙盒數據中心工作負載。微分段還使策略能夠與工作負載相關聯，從而降低管理的復雜性，例如在服務器和數據中心之間移動工作負載。

雖然第7層防火墻、IPS/IDS 檢查和沙盒功能非常棒，但微分段的發展并沒有就此結束。由于高級持續威脅的風險越來越大，并且黑客有能力繞過多重網絡安全保護，微分段引入基于行為的分析。

較新的微分段產品和平臺通常提供網絡流量分析和網絡檢測和響應 (NDR)，使管理員能夠從任何地方收集和連接數據。由于人工智能和機器學習，NDR還可以在惡意活動在系統內橫向移動之前識別它。

簡化現代微分段

為使微分段在企業中真正取得成功，它必須易于部署和管理。其中一種選擇是有效地對流量進行可視化和分類。企業應尋找具有自動流量可見性以及發現和映射功能的平臺。

軟件定義技術繼續變得更加復雜。IT需要能夠識別、分析和映射現有的應用程序流量。分析完成后，就該實施微分段策略。

對現代微分段感興趣的公司經常會因為構建每個工作流策略所需的努力而感到沮喪。但是有些工具可以簡化和自動化集成過程。