以应用为中心的安全防止数据泄露

显而易见的想法是:我们如何限制DC内恶意的横向移动?一种方法是不断缩小边界——使用更多的虚拟网络(vlan)或额外的硬件防火墙。这种方法的问题是成本和复杂性的结合。这样的实现需要更多或更大的安全设备，配置相当复杂。该方法将提供“更好”的安全性，但成本可能会阻止大多数组织考虑该选项。

微分割与零信任模型

一段时间以来，安全专家已经考虑使用微分割或一种称为零信任模型的哲学。微分割本质上是将安全边界缩小到单个虚拟机。零信任添加的策略只允许应用程序和用户之间需要的流量。IT运营商拥有实现微细分的基础技术已经有一段时间了。大多数服务器操作系统都自带内置的本地防火墙，可以用来阻塞通信多年。

这就引出了我的下一个问题:虽然有一个已知的安全模型和技术已经存在了很多年，但是为什么大多数大型企业没有实现微分割或采用零信任的安全模型?

答案很简单——在两个主要领域都很复杂:策略管理和策略创建。我先从管理方面讲起。任何试图用Microsoft Group Policy管理Windows防火墙的人，或者任何在Linux中管理iptables的工具，都会告诉你，这是一项令人生畏的任务。这里的成功需要规则的一致性和应用的保证。在不同的操作系统版本或配置中添加不同的功能会使这项任务变得更加复杂。

静态与动态

虚拟化的普及和软件定义网络的兴起提供了减少这种负担所需的工具。网络安全策略通常是基于网络端点和标识符定义的。MAC (hardware address)、IP (network address)、VLAN ID等详细信息与应用协议信息相结合，描述网络流量，并应用此策略。以这种方式编写的策略面临的挑战是，随着应用程序变得更加分布式(on-prem + cloud + SaaS)或更加动态(容易扩大或扩大)，静态标识符就不可取了。

虚拟化可以帮助解决静态定义的安全性与允许更多自动化作为应用程序管理的一部分的愿望之间的冲突。管理程序能够识别所有虚拟端点标识元素。它知道一个虚拟机有多少个接口——包括MAC和IP，以及虚拟网络连接。基于此，只有取消手动枚举的需要，并允许一个更动态的安全策略，该策略可以从管理程序获取信息，并且在发生更改时可以自动调整。因此，策略可以简化为了解端点的基本细节(例如，应用程序中有哪些虚拟机)和较少动态的应用程序协议细节(例如，基于ssl的web流量的TCP端口443)。

可见性和理解是关键

策略的更大问题是了解应用程序如何通信。在旧的安全模型中，防火墙管理员将使用一个名为黑名单的模型。在这个模型中，已知的“坏事”受到网络的限制。该列表将根据安全漏洞报告或一般IT最佳实践进行策划和更新。在零信任模型中，这个概念颠倒过来，通常称为“白名单”。该政策应该只允许必要的网络流量，这是问题的根源——大多数运营商对什么是“良好”流量没有一个确切的概念。尽管这种方法更安全，但由于必要的通信被不恰当地阻塞，因此影响应用程序操作的风险要高得多。

由于本地、第三方和SaaS应用程序之间的复杂交互，理解每个组件如何通信是一项相当大的任务，必须不断地监视更新。同样，在这个领域中，虚拟化和SDN支持创建软件，以发现组成应用程序的虚拟机和服务。

现代方法必须为操作人员提供发现和可视化应用程序及其各自的流量模式所需的工具。有了这个级别的详细信息，管理员和操作员就有了理解“良好”流量和创建基于白名单的策略的坚实基础。

把它们绑在一起

攻击正在上升，传统的数据中心安全方法已不足以防止或限制数据泄露的影响。Nutanix Flow是实现以应用程序为中心的网络安全的现代方法。作为我们AHV虚拟化解决方案的一部分，Flow以深度可视化和独特的策略模型开始，该模型消除了应用级策略的挫折和风险，并通过微分割将其与无处不在的强制相结合。

阅读更多关于如何采取以应用程序为中心的方法可以改善您的安全态势，并帮助您的公司防止数据泄露在我们的新电子书-以应用程序为中心的安全。

1https://cpl.thalesgroup.com/
2福雷斯特研究公司，2018年3月28日，https://www.forrester.com/report/FutureProof-Your-Digital-Business-With-Zero-Trust-Security/RES137483