微分量是一种安全最佳实践,可帮助控制和限制组织数据中心或云环境中工作负载之间的网络访问。
细分的实践并不是什么新鲜事物 - 它很长一段时间以来一直在细分网络和应用程序。例如,网络细分将网络分为多个段以减少攻击表面,并确保如果违反特定网络段上的主机,则不会损害其他段的主机。
微分量有所不同的是,分割的粒度在数据或应用级别上。它使用网络虚拟化技术代替多个物理防火墙,可以将网络分割为单个数据共享或工作负载,然后为每个网络实施唯一的基于策略的安全控制。从本质上讲,这导致了整个数据中心和云环境中非常具体的安全区域,从而提高了组织的安全姿势和防御攻击,从而最大程度地减少了网络事件的爆炸半径。
由于云越来越受欢迎,因此微分量越来越流行,这需要绝对数据和工作负载分离和统一的策略启用。在部署标准外围安全性无法完全保护的工作负载时,它还可以提供添加的保障措施,例如容器。例如,云本地工作负载通常具有动态的IP地址,因此尝试基于IP地址创建规则的IP地址将是无效的。
微分量如何工作?
传统上,组织为其网络使用了外围安全性。这些安全协议和设备监视客户端和服务器之间移动的流量,或从外部源传输到网络的数据,反之亦然。网络中的所有内容通常都受到信任,并且数据可以在工作负载之间横向传播,而无需仔细监视。
但是,随着云的流行,组织的大多数流量现在都是横向的,或者工作量的工作量 - 外围安全性没有检查。微分量隔离这些工作负载并应用策略和规则,以确定两个工作负载是否应该能够访问彼此的数据。
IT管理员可以将网络上的工作负载分开,以减少或消除网络内部横向攻击造成的任何损害(而不是外围攻击)。这意味着,即使攻击者能够超越外围安全性,该系统仍然受到保护,免受服务器之间的威胁。
微分量的安全控制通常分为三个主要类别:
- 软件代理或其他基于代理的解决方案- 它可以使用覆盖正在分割的工作负载和系统的软件代理。其中一些解决方案查看工作负载属性,以确定如何隔离它们。其他人则依靠工作量的内置防火墙。
- 基于网络的控件- 这些利用物理或虚拟网络基础架构,例如软件定义的网络(SDN),开关和负载平衡器以创建和实施策略。
- 内置云控件- 在此类别中,该系统利用AWS的Amazon Security Group或内置防火墙等云服务提供商提供的本机控件。
什么是零信托安全性?
微分量安全控制通常基于最低特权和零信任体系结构(ZTA)的基础基础。这零信任安全性模型消除了传统安全方法中固有的隐性信任。这种隐式信任通常是向网络系统中的用户提供的,但是现在,普遍的零信托原则是使用户仅访问所需的系统,信息和应用程序,并使他们与其他所有内容隔离。这限制了系统和应用程序之间数据的不必要的横向移动。
在零值模型中,进入组织网络的前门或登录系统的前门不再是免费通行任何事物。必须对用户进行持续认证并授权以访问系统内的特定数据和应用程序。
当今,零信任方法越来越普遍,部分归功于三个重要因素:1)每个行业的严重数据泄露的急剧上升,2)近年来转向远程和混合工作模型的转变,以及3)一旦数据中心急剧定义,资源向云移动到云,这有助于消散和扩散安全周边。实际上,加特纳估计,到2025年,有60%的组织将通过传统的安全方法采用该模型。
零信任与微分类?
许多专家认为微分类是零信托安全实践的核心技术,称为零信任网络访问(ZTNA)。这两种安全方法是密不可分的 - 实际上,微分量可以使零信任。工作负载以高粒度和零信任原则进行细分,可确保没有人能够访问这些工作量而无需认真或强迫身份验证和授权。如果工作量受到损害,组织仍然放心,威胁不会横向影响其他工作量,用户和资源。
微分量有什么好处?
除了减少或防止组织系统内横向攻击的威胁外,微分量还可以使其更有益地了解哪些工作负载最重要的保护。它还可以使组织能够:
减少攻击表面
组织的攻击表面由某人进入您的网络的每个点组成。这些要点称为攻击向量,它们可以包含从应用程序,API,密码和用户凭据,未加密数据到用户本身的所有内容。
微分量可以彼此隔离这些点,这意味着,如果攻击者进入系统,他们只能访问整个网络的一小部分。攻击表面的缩小到每个微粒的大小。
微分量还为其端到端的组织提供了详细的视图,而不会影响性能或引起意外的停机时间。通过使应用程序开发人员能够在开发过程中定义安全策略和控件,它仅仅由于应用程序部署或更新而有助于创建新漏洞。
更有效地包含违规
借助微链接和详细的策略,IT和安全团队可以更有效地监视数据在整个网络上传播时。安全团队还可以更快,更有效地识别攻击,并减少减轻威胁或响应攻击所需的时间。由于微蛋白是彼此分离的,因此漏洞仅限于受损的单个微粒。这意味着违规行为不会横向传播并影响网络的其他领域。
更好地遵守法规
确保受监管的数据比确保较少关键信息的挑战更是一个挑战,因为组织必须遵守有关如何存储,访问,管理和使用该数据的许多准则。微分量使组织能够为单个工作负载创建和实施策略,从而使他们对如何访问和使用该数据进行更精细的控制。政策本身可以帮助合规,而与其他工作量的隔离有助于确保可以更好地执行合规性。
简化策略管理
一些微分析解决方案具有内置工具,可帮助组织使政策管理更简单。他们通过可以自动在网络上找到应用程序的功能来实现此操作,并根据应用程序或系统的运行方式推荐不同类型和级别的策略。
保护最关键的工作量
某些工作负载对组织的业务比其他工作更为重要。凭借微分量的颗粒状性质,它可以通过创建组织定义的定制安全策略和控制权来确保最重要,最有价值的工作量具有最强大的保护。
如何实施微分量?
随着零信任和微分类增长的流行,实施的最佳实践正在出现。要记住的第一件事是这是一个过程,您的组织需要评估它是否准备就绪。
在实施之前,您的IT团队一般应该熟悉并且已经使用 - 已经使用了网络细分。您还应该制定明确定义的安全策略,因为这将构成如何将网络资源彼此分开的基础。
经历全面的发现过程并确保您对应用程序和网络流量流有广泛的可见性,也可能需要一些时间。这意味着弄清网络上正在运行哪些设备,应用程序和其他工作负载并确定每个人的数据流。
现在您知道网络上的内容了,现在该决定允许每个工作负载做什么。这导致为每个微粒段创建实际策略。
当需要进行实际的微分量时,专家在EsecurityPlanet描述四种主要方法:
- 网络结构- 这种方法需要增加网络结构的2倍,这意味着要垂直整合硬件和软件,以更及时地了解微型基础架构。它在数据中心环境中更有效。
- 管理程序- A管理程序,或虚拟机管理器,也可能是通过网络进行数据流量的执行点。这种方法消除了在每台机器上管理更新和修补软件的繁琐任务。
- 第三方端点保护- 将保护端点的保护外包给第三方供应商是某些组织的好选择。该方法基于代理,可以实时保护策略。
- 下一代防火墙- 被认为是最先进的实施方法,下一代防火墙提供了可靠的保护,包括应用程序控制,入侵检测和预防以及深度数据包检查。最初,这种方法并不是要在云中使用,但是现在有一些供应商提供防火墙。
微分量用例
- 管理混合云- 组织可以创建一致的安全控制和政策,并不仅在数据中心,而且在一系列云平台上享有强大的保护。
- 生产和开发系统的分离- 微分量不仅将两个环境分开,还允许创建更严格地隔离它们的策略。
- 增强敏感数据和资产的安全性- “软”资产包括机密的客户和公司信息和知识产权,从组织内部获得了针对不良行为者的额外保护。
- 事件响应- 微分量限制攻击者和大多数微分析解决方案的横向移动具有内置的记录功能,使安全团队更了解攻击和随后的动作。
结论
随着云继续改变世界的业务方式,了解云安全性的工作原理并找到正确保护数据,应用程序,系统和其他资产的正确工具和实践比以往任何时候都更为重要。
云安全性的一个重要部分是微分量,这使得对安全性的信任方法为零,并且只会在未来几年内提高受欢迎程度。
Nutanix了解在云中确保数据和其他资产的挑战。我们还采用零信托安全模型,并具有一系列解决方案,可帮助组织减少其攻击表面,遵守不断发展的法规,并更有效地响应并防止数据泄露。