微分段的合规性优势

在实现和验证 合规性的过程中，您的安全团队与合规性团队需要能够应对多项重大挑战的解决方案。

• 复杂的法规。 遵循不断变化的监管框架，其中包括支付卡行业数据安全标准 (PCI DSS)、环球银行金融电信协会 (SWIFT) 以及健康保险流通与责任法案 (HIPAA)，是一项极其复杂的任务。

• 精细要求。 许多新的网络安全法规越来越多地要求对数据进行更精细的隔离和控制，以确保客户隐私、改善安全态势并证明合规性。

• 复杂的环境。 过去，安全团队通过对 IT 基础架构进行物理分段来确保合规性，但如今这一方法不再可行。传统的网络边界几乎消失殆尽，工作负载日益动态化，同时跨越多个地理位置、时区、机器、混合云环境、 虚拟机 (VM) 以及容器。

• 监测能力不佳。 随着混合环境、云服务、容器化和其他 IT 趋势的兴起，您的 IT 团队愈发难以看到每一项数据资产，更不用说对它们实施保护了。

• 远程工作。 由于越来越多的员工 在家办公或在办公室外工作，因此安全团队在保护数据、端点设备和连接方面面临着更严峻的挑战。员工经常在非托管设备上通过不安全连接来访问网络资源，这导致更难以对受监管要求影响的资产进行隔离、跟踪和保护。

微分段是一种网络安全方法，它可将网络划分或分段为多个小部分或安全区域，并根据每个分段的需求来利用安全控制措施保护各个区域。这些网络分段可能包括操作系统、虚拟机、应用程序和各个工作负载。

基于硬件的网络分段用于保护数据中心之间的南北向流量。与之相比，软件定义的微分段无需硬件，用于保护在服务器和应用程序之间流动的东西向流量。通过使用为每个分段量身定制的安全策略，微分段不仅可以限制网络中传输的流量类型，还可以决定应用程序和工作负载如何共享数据。

这种精细的控制措施极大地限制了成功攻击的爆炸半径，能够阻止已入侵网络中某个部分的攻击者访问该网络中的其他资产。

微分段可让您的安全团队达成以下目标，从而帮助实现合规性：

• 获得更深入的监测能力

• 提高受监管资产的安全性

• 缩小合规环境的范围

• 简化合规工作和审计流程

• 支持 Zero Trust 安全方法

利用微分段和合规性解决方案，用户可以全面监测混合 IT 环境及其内部的所有连接和通信。凭借更出色的监测能力，团队可以更加精确地对合规性相关数据和工作负载进行分段，并运用自定义的分段策略来保护它们。

通过实施自定义安全策略来严格控制网络访问并分隔各个工作负载，微分段技术能够减小攻击面，防止未经授权的访问，尽可能降低数据泄露风险并抵御各类网络威胁，从而为敏感数据提供更加出色的保护。

微分段在限制 横向移动 方面尤为有效。横向移动是指攻击者在成功突破防御后，试图转移至网络的其他部分以入侵高价值资产所采取的措施。

当安全团队能够将合规性相关数据从其他 IT 资产中分离出来时，他们就能够显著缩小合规性工作的范围，从而降低成本和复杂性。

通过缩小合规环境的范围并让证明合规性变得更加简便，微分段简化了遵循审计请求和流程的工作。

微分段可实施强大的身份和访问控制措施，并采用最低权限方法来授予对合规性相关数据的访问权限，从而为 Zero Trust 安全模式提供支持。

微分段在确保遵从各种监管环境方面发挥着重要作用：

• PCI DSS

• HIPAA

• GDPR

• SWIFT

PCI DSS v4.0 要求企业必须在持卡人数据的完整生命周期内对这些数据实施保护。微分段可以限制对数据的未授权访问，同时可以构建安全区域，确保只有经过授权的用户和系统才能访问相关数据。此外，微分段还能缩小 PCI DSS 合规性工作的范围，尽可能降低数据泄露的影响，并且可以提供更深入的监测能力，帮助安全团队确保对每个安全区域都实施了适当的控制措施。

通过保护敏感的患者健康信息 (PHI) 并分隔关键系统，微分段可帮助 医疗保健企业改善安全态势 。企业能够为医疗成像系统、电子健康记录 (EHR) 及其他关键资产创建专用分段。即使攻击者成功突破了防御，微分段也能快速实施抵御措施，同时保护网络的其他部分不受影响。

通过监测敏感数据的位置、限制对敏感数据的访问以及简化审计流程，微分段可简化针对欧盟通用数据保护条例 (GDPR) 的合规工作。

微分段助力金融企业 满足法规遵从要求，将合规性相关数据与企业网络的其余部分分隔开来。此外，微分段和合规性解决方案还能实现精细的访问控制，提升威胁检测能力，加快事件响应速度并简化证明遵从 SWIFT 要求的任务。

可用于管理微分段和合规性的技术多种多样。选择解决方案时，安全团队应寻找能够

• 提供深入监测能力的解决方案。 理想的解决方案应当提供对整个 IT 环境（包括数据中心、传统应用程序以及东西向流量）的监测能力。适当的解决方案应当具备提供丰富上下文信息的不间断监测能力，使 IT 团队能够了解数据中心内发生的情况并评估具体安全措施的有效性。

• 管理分段，而无需重新设计基础架构。 安全团队应明智地选择一种分段解决方案，该方案能够在不重新配置网络、不更改应用程序或创建虚拟局域网 (VLAN) 的情况下实施分段。此外，支持从裸机到云端容器的各种解决方案的技术将能降低成本并节省大量时间。

• 利用一个解决方案满足多种需求。 一个能够利用一种工具满足多种需求的微分段和合规性解决方案，可以让团队更有效地管理合规性，同时能够减少在安装、培训、维护和配置上花费的时间。

• 提供基础架构无关的实施。 随着合规要求的不断变化，与基础架构无关且可供 DevOps 使用的解决方案能够自动执行合规流程并无缝集成到运营周期中。

与传统的安全方法（例如，防火墙和 VLAN）相比，微分段在法规合规性方面具备多项优势。

• 更精细的控制。微分段能够对各个工作负载和应用程序之间的流量进行更精确、更精细的控制。防火墙通常负责控制边界处的流量或较大的网络分段之间的流量，而 VLAN 可控制网络层的流量，但精细度较低。

• 更高的灵活性。 微分段策略能够轻松应对不断变化的要求，而无需对网络基础架构作出太大改动。相比之下，防火墙规则更加难以调整，而死板的 VLAN 可能需要更大改动才能实施新的策略。

• 有效的入侵控制。 微分段可有效阻止入侵后的横向移动，从而能够保护关键系统和敏感数据。

• 更轻松的审计响应。 微分段和合规性解决方案为 分段网络的各个部分都提供了清晰的日志和审计跟踪，从而简化了合规报告。

• 执行一致的策略。 微分段和合规性解决方案可以在物理、虚拟和云环境中更加一致地应用策略。

• 更深入的监测能力。 微分段技术可增强对网络内部流量的监测能力，从而能够更有效地检测出潜在漏洞。传统防火墙几乎无法监测内部网络流量，而 VLAN 可管理流量但无法进行必要的安全分析。

了解更多 有关 Akamai 微分段和合规性解决方案的信息。