选择可跨云服务提供商一致实施的微分段方法十分重要。通过将安全性与云基础架构分离开来,企业可以防止受限于供应商而导致成本上升,并避免因并购而进入混合云环境时增加不必要的复杂性。
微分段解析
微分段是安全领域新涌现的一种最佳实践,与网络分段和应用程序分段等更成熟的方法相比,微分段具有多方面的优势。传统方法在很大程度上依赖基于网络的控制,这些控制很粗略,而且往往难以管理。但是,微分段基于软件的分段元素可将安全控制与底层基础架构分离开来,并支持企业灵活地在任何位置扩展防御能力和监测能力。
如今,许多企业正在采用云服务和新部署选项(如容器),使得传统边界安全的意义不大,而微分段所提供的更加精细的控制则至关重要。
基础架构可视化在制定合理的 微分段策略方面发挥着重要作用。如果可视化实施得当,将有助于 IT 团队更轻松地确认和了解环境中已批准和未经批准的活动。
依托这种额外的监测能力,IT 团队可以定义和优化微分段策略,从而在发现未经批准的活动时发出警报并加以阻止。微分段策略形式多种多样,包括基于环境类型、监管范围、应用程序和基础架构层的各种控制。得益于微分段技术,企业还可以在数据中心和云环境中更广泛地应用最低权限原则。与单独采用的传统网络层控制相比,这种方式可提供更有效的防御态势。
是否可以跨云服务提供商实施微分段?
微分段能否降低成本?
许多企业计算分段项目的防火墙成本后,都会发现不仅许可费用高昂、花费时间冗长,而且还必需停机,随之而来的还有巨大的收入损失。但是,基于软件的微分段解决方案不仅可以快速部署,而且资本支出 (CapEx) 远低于购买防火墙设备和附加硬件所需的资本支出。此外,由于所需的维护和管理工作量减少,随着时间的推移,劳动力和资源得以节省,运营费用 (OpEx) 也明显降低。
对许多人来说,微分段是一个新概念,但它正在成为 IT 团队日益重要的工具。因为 IT 团队面临着艰巨的挑战,需要保持安全策略和合规性与时俱进,适应当今动态数据中心、云和混合云环境的快速变化。
什么是应用程序分段?
随着云用途的扩展,应用程序部署和更新速度的加快,许多安全团队越来越关注应用程序分段。实现应用程序分段的方法很多,当安全团队将传统应用程序分段技术与微分段等新方法进行比较时,可能会发生混淆。
应用程序分段通常融合了应用程序内部分段以及将应用程序集群与 IT 基础架构其余部分相隔离。这两种技术提供安全价值的方式有所不同。传统的应用程序分段方法主要依赖于第 4 层控制措施,随着环境和应用程序部署过程变得更加动态,这些控制措施会变得越来越低效且更难以管理。
而微分段技术可提供环境的详细可视化表示以及更精细的策略控制集,为安全团队提供了更有效的应用程序分段方法。最有效的微分段技术采用以应用程序为中心的方法,该方法已扩展到第 7 层。凭借单个进程级别的监测能力和控制力,应用程序分段更有效且更易于管理。已批准的活动可使用专属性强的策略进行管理,这些策略不受 IP 地址欺骗或通过允许端口执行的攻击尝试影响。
随着混合云环境和快速发展的 DevOps 流程成为常态,应用程序分段比以往任何时候都更加重要,也更具挑战性。使用以应用程序为中心的微分段来执行应用程序分段,这可确保安全监测能力和策略控制力与时俱进,适应环境及其中运行的应用程序的快速变化。
如何将网络策略与微分段结合使用?
网络策略实施是您针对 IT 环境设置的一组规则,用于确保您对访问权限和通信的控制。这可能就像将生产和开发彼此分离开来以避免人为错误一样简单。更具体的策略实施规则有助于满足合规性要求,例如将 CDE 一直隔离,以确保网络的其余部分处在 PCI DSS 合规性要求范围之外。
传统上,数据中心策略引擎很不灵活,依赖于“要么全部,要么完全不”的严格方法,或没有设置例外条件的全局拒绝列表。随着工作负载变得越来越动态,越来越多的企业开始采用混合云,灵活的策略引擎将必不可少。这些策略应当支持自动扩缩,随工作负载的具体情况而变化,并且在创建时不依赖于平台。
策略创建过程首先要求对您的业务和安全目标有强烈的认识。在微分段策略方面,需要找到一个平衡点。太死板,则最终可能会造成环境僵化,使得员工很难自由自主地工作。太灵活,则会造成攻击面扩大,很不安全。
获取 IT 环境的全面实时概况有助于您深入了解分段策略的实施方式和实施位置。这种情况下,您可以选择将策略实施到第 7 层而非传统的第 4 层的解决方案,从而获得更大的安全优势。即使您的边界遭到入侵,合适的策略也可以阻止或转移攻击者,使其无法在您的网络中横向移动。
微分段和应用程序发现——了解准确操作的上下文
用于交付应用程序的基础架构和技术正在经历重大转变,因此 IT 和网络安全团队在保持对所有应用程序活动的时间点和历史认知方面将面临更大的挑战。只有借助跨企业所有环境和应用程序交付技术的应用程序发现过程,才能实现卓越的安全保护、合规性态势和应用程序性能水平。
有效的应用程序发现过程包括四个基本要素。
第一个要素是数据收集。您可以使用各种基于代理和基于网络的技术来收集有关本地和云环境中的应用程序活动的详细信息。这两种技术都提供了重要的价值,但基于代理的收集尤其重要,因为它可以收集到更丰富的第 7 层详细信息。
如果没有上下文,则原始数据本身的价值有限,因此应用程序发现的第二个关键要素是企业和标记。Akamai Guardicore Segmentation 等解决方案可通过与现有数据源交互并采用其他自动化方法简化这一过程。
有效应用程序发现的第三步是可视化。可视化将具有上下文信息的数据整合到一个适应性强的可视化界面中,该界面对安全团队和其他应用程序利益相关者很重要。应用程序活动的实时视图和历史视图各有不同的用途,因此实施支持这两种数据类型的可视化方法非常重要。
应用程序发现方法的第四个也是最后一个关键要素是方法应清晰直观,在通过更强的应用程序监测能力获得洞察力的基础上采取相应操作。这是应用程序发现和微分段之间的战略交叉点。
微分段的优势是什么?
随着 IT 基础架构变得更加动态, 云基础架构 和容器等新部署方法发挥着越来越重要的作用,以外围为中心的传统安全防御的价值显著降低。相反,IT 团队愈发需要加强其检测和防止异构数据中心与云资产之间横向移动的能力。具有第 7 层精细控制的微分段为面临这一挑战的企业提供了几个关键优势。
在具有不同部署模式并且高度变化的环境中,实施微分段可显著减小攻击面。即使 DevOps 式应用程序开发和部署过程会经历频繁的更改,微分段平台也可以提供持续的监测能力,并确保安全策略与应用程序的添加和更新保持同步。
即使采取了主动措施来减小攻击面,偶尔的漏洞攻击也不可避免。幸运的是,微分段还能显著提升企业快速检测和防止漏洞攻击的能力。这包括在检测到违反策略时生成实时警报,并主动阻止将被盗资产用作横向移动启动点的尝试。
微分段的另一个主要优势在于,即使企业开始更广泛地使用云服务,也可帮助企业加强其法规合规性态势。该技术可将包含受监管数据的基础架构分段隔离,严格执行合规用途,并显著简化审计工作。
如果将微分段与企业更广泛的基础架构(例如编排工具)集成,可获得极大优势。选择适用于物理服务器、虚拟机和多个云服务提供商的微分段方法也很重要,可实现极大的效率和灵活性。
阅读博文 《网络分段的五个优势》(英文版)
横向移动安全
虽然 IT 安全团队通常非常重视边界防御,但东西向流量在数量和战略地位上都超过了南北向流量。这是由多种因素决定的,例如,数据中心扩展方法更改、新的大数据分析需求以及对边界不太明确的云服务的更广泛使用。IT 安全团队应当拓展他们的能力,以防止这类环境中的横向移动,这一点比以往任何时候都更加重要。
横向移动是入侵可信环境的攻击者采取的一系列措施,其目的是扩大访问权限级别、转移到其他可信资产并进一步朝着终极目标方向前进。横向移动很难检测,因为它往往混在环境内大量类似的合法东西向流量之中。
企业还可以实施更先进的技术来提高横向移动安全性。例如,我们的解决方案可以提供所有东西向流量的持续和历史监测能力,并支持 IT 团队利用这种洞察力来创建主动策略以防止横向移动。
减小攻击面
虽然从传统本地数据中心向云、多云和混合云模式转型解锁了许多新的业务优势,但也显著扩大了安全团队必须防御的攻击面。随着基础架构变革步伐的加快,许多企业正在采用的应用程序部署模式更加动态,这一挑战变得更加复杂。
尽管随着 云平台 的应用更加广泛,许多现有减小攻击面的技术(例如系统强化、漏洞管理、访问控制和网络分段)仍然很重要,但如果拥有可跨数据中心和云端一致应用的更强监测能力和更精细策略控制,致力于减小攻击面的安全团队将大受助益。
详细可视化攻击面有助于制定更切实可行的策略来减小攻击面。借助所有应用程序及其依赖关系的详细可视化表示以及支持可视化表示的底层基础架构,安全团队可以更轻松地评估其暴露风险级别并发现入侵指标。
然后,这些见解可用于制定微分段策略,以进程级精细控制管理应用程序活动。凭借这种级别的控制,安全策略可与应用程序逻辑保持一致,并实施 Zero Trust 安全环境,在该环境中,只有已批准的应用程序活动才能成功执行。
随着向混合云模式转型工作的开展,企业很容易忽视这种转变在多大程度上扩大了其攻击面。新的物理环境、平台和应用程序部署方法带来了许多新的潜在暴露风险。为了有效减少混合云环境中的攻击面,微分段解决方案必须在不同的数据中心和云环境以及不同的操作系统和部署模式中一致地应用策略。
保护关键应用程序
当今的信息安全团队面临两大趋势,这使得保护关键应用程序变得更具有挑战性。首先,IT 基础架构一直在快速不断地发展变化。其次,随着时间的推移,攻击者的针对性越来越强,技术越来越先进。
实施合理的微分段方法是一种理想的解决办法,它可以提供以下优势,从而帮助安全团队获得更高的基础架构监测能力并保护关键应用程序:
可提供进程级精细控制,使安全策略与应用程序逻辑保持一致
支持跨数据中心和云端一致实施安全策略
跨不同底层平台提供一致的安全性
对于任何想要妥善保护高价值目标(如域控制器、特权访问管理系统和跳转服务器)的企业,这种强大的功能和灵活性都大有裨益。随着企业采用云安全服务和新应用程序部署方法(如容器),微分段也极为有用。
此外,微分段还在保护关键的垂直领域特定应用程序方面发挥着重要作用,其中包括,含有受保护健康信息 (PHI) 的医疗保健应用程序、受 PCI DSS 和其他法规约束的金融服务应用程序、具有客户机密信息的法律应用程序等。借助微分段提供的额外策略精细控制,更易于围绕敏感或受监管数据创建安全边界,即使跨越多个环境和平台,也是如此。微分段提供的额外监测能力在监管审计过程中也极有价值。
虽然 IT 基础架构的演变为安全团队带来了全新的挑战,但是,将安全监测能力和策略控制与底层基础架构分离开来可确保,即使在高度变化的异构环境中,也可以有效保护关键应用程序。
什么是理想的微分段方法?
对于负责保护快速发展的数据中心、云和混合云 IT 基础架构的企业而言,微分段是一项必不可少的能力。但是,由于微分段提供的强大功能和灵活性,确定理想的技术组合开始变得具有挑战性。前期考虑常用的微分段方法有助于企业设计符合其独特安全性和合规性要求的分阶段方法。
许多企业都熟悉 VLAN 和其他形式网络分段的应用。虽然网络分段确实提供了安全价值,但微分段提供了更精细的控制,在大规模部署和管理方面也效率更高。从数据中心扩展到云基础架构之后,微分段也比 VLAN 更切实可行。
制定微分段策略的第一步是确定环境中需要广泛访问众多资源的应用程序和服务。例如,日志管理系统、监控工具和域控制器。您可以为这类系统授予广泛的访问权限,同时利用微分段策略强制将其仅用于已批准的活动。
在设计微分段方法时,企业可以借鉴许多其他方法,包括:
按环境实施微分段
创建监管限制
按应用程序类型实施微分段
按层级实施微分段
企业在开始使用微分段策略时,最好先确定符合其安全和策略目标的方法,从重点策略着手,然后通过逐步迭代逐渐分层其他微分段技术。
阅读博文 《微分段的正确实施方法》(英文版)
如何开始实施微分段
显然,微分段是保护网络的未来发展趋势。微分段不仅能够应对边界侵蚀,而且还能够节省成本和人力。但是,成功的微分段部署不可能一蹴而就。第一次实施微分段时,需要经过深思熟虑和完备的事先筹划才能妥善部署。
您需要彻底考虑各种事项,才能为成功的微分段部署奠定基础。
首先,您要了解需要分段的对象。您的微分段部署将反映您的需求,因此请确定您是出于降低一般风险还是出于满足合规性的原因实施分段。接下来,处理短期目标,然后处理长期目标,设定微分段基线来保护您的资产。
一旦完成,就能彻底了解您的部署环境,但要认识到您的初步了解并不全面。随着您了解更多相关信息,您可以(且应当)添加更多内容。正确标记资产至关重要。此外,标记过程的灵活性也很关键,因为标签需要尽可能准确地反映您的环境。最后,确定您的信息来源并规划从中提取信息的方法。
这些步骤将确保您成功部署可靠且富有成效的微分段。
利用微分段策略保护安全的最佳实践有哪些?
混合云数据中心、SaaS 和 IaaS 以及虚拟化的兴起导致 IT 基础架构复杂化,难以对其进行保护。相应地,对于在此类动态环境中开展业务的企业,微分段正迅速成为最佳安全实践。该技术提供的价值多种多样,从区域分段到应用程序隔离或服务限制,不一而足。
需要考虑的一个重点是选择以网络为中心还是以应用程序为中心的方法。以网络为中心的方法通过网络阻塞点、第三方控制或网络实施来管理流量,而以应用程序为中心的方法将代理部署到工作负载本身。后一种方法的优势在于,具有更强的监测能力、更多的扩展机会,并且是一种完全与基础架构无关的技术。为了更好地应对未来的各种变化,正确的选择将帮助您覆盖从传统系统、裸机服务器和虚拟化环境到容器和公有云等各种环境。
通过采用以应用程序为中心的模式,您可获得卓越的监测能力,这将确保您在微分段时不会掉进常见陷阱:过度分段您的应用程序。最佳实践始于所谓的“初见成效”。这些实践的核心将充分体现业务需求,一般是可以实施并立即创造价值的简单分段策略。举几个简单的示例,分离生产和开发等环境,或者通过保护关键数据或应用程序来满足合规性法规要求。
最后,最佳实践还包括在微分段之外寻找补充控制措施,以强化您的整体安全态势。漏洞检测和事件响应是两个很好的示例,这两项可以与微分段无缝协作,并且可用于一个多合一解决方案。如果没有这些补充措施,您的企业就只能尝试强行利用第三方解决方案协调工作,同时还要避免出现不一致或增加风险,这是一项真正艰巨的任务,也是您无需解决的管理麻烦。
在项目开始时考虑这些微分段最佳实践可以减轻实施这种颠覆性技术的负担,确保从一开始就能解决常见的阻碍因素。
微分段能否充当防火墙替代方案?
对于针对南北向流量设计的传统边界防火墙而言,它们无法提供保护当今应用程序和动态工作负载所需的控制力和性能。从技术上讲,企业可以在边界内使用防火墙来实施分层安全模式,但由于配置和管理必要的策略所需的费用和时间都不少,这对于大多数企业来说根本不切实际。因此,当今的企业需要一种更好的方法,来保护大量东西向网络流量抵御网络攻击。
在相对扁平的网络中,任何端口或服务器都可以与任何其他端口或服务器进行通信。这意味着,如果服务器防火墙被攻破,攻击者可以轻松转移到网络中任意数量的其他服务器。
针对突破边界安全防线的攻击者,防止在数据中心内横向移动的能力可以有效地防御他们。微分段防火墙替代方案可以帮助企业实施越来越精细的策略控制,以控制东西向活动并限制成功漏洞攻击的影响。
在应用程序层(第 7 层)实施分段策略可有效防止横向移动,因为第 7 层是网络服务与操作系统集成的位置。此级别微分段的新近进展支持 IT 安全部门在第 7 层监测和控制活动,同时也可以使用传统的第 4 层方法。这意味着,企业可以使用特定进程来定义数据中心内部的分段策略,而不依赖 IP 地址和端口。此外,这一解决方案还支持管理员通过基于各种属性(如进程、用户身份或完全限定域名)定义策略来满足特定的安全性和合规性要求。
与传统方法相比,微分段还具有多项优势,是数据中心内部分段防火墙的理想选择。该方法不在基础架构中引入阻塞点,而是在每个系统上运行代理,这些代理可以相互组织以创建和执行软件定义的分段策略。正因为如此,微分段提供了更多的监测点,不管当前采用的是何底层基础架构,也不管您的 IT 策略将发展到何种程度,都可用来发现您环境中的活动并提供活动的上下文信息。因此,无需更改基础架构或停机就能创建和管理策略。微分段不仅更快速、更容易,而且还为您提供了一组控制措施,IT 安全团队可以将其扩展到任何领域。使用 微分段 (链接为:https://www.akamai.com/zh/glossary/what-is-microsegmentation)防火墙替代方案,如果您将工作负载从数据中心迁移到云端,其策略也将自动迁移。
如何将微分段融入 Zero Trust 策略?
Zero Trust 起初由 Forrester 引入,是传统“城堡和护城河”安全策略的替代方案。虽然以边界为重点的防御措施一度很流行,但如今已不再有效。随着各种威胁越来越多地潜伏在东西向流量中,企业需要新的分层安全方法来确保强大的安全态势。
默认情况下, Zero Trust 框架假定每个用户、设备、系统或连接都已遭到入侵,无论其来自网络内部还是外部。这涉及构建支持这一原则的架构,与此同时,允许合法的业务活动继续进行而不会中断或延迟。此新框架在诞生之初就引起了网络安全专业人士的共鸣。然而,供应商和企业都花了很多年时间才解决,在基础架构纷繁复杂的现状下,如何在环境中实现该框架。
如今,Forrester Zero Trust 框架和支持该框架的技术(如微分段)已经足够成熟,可以在任何规模的企业中大规模实施。虽然没有一家安全供应商可以解决 Forrester Zero Trust 框架方方面面的问题,但微分段可以帮助网络安全团队显著提高其 Zero Trust 计划的成熟度。
实施 Zero Trust 的第一步是全面了解您的环境和您要保护的关键资产。出色的微分段解决方案可以帮助您从工作负载、端点和网络收集详细信息。这将有助于您了解工作负载和端点之间的关系和依赖关系,及其正常通信模式。
然后,您可以充分利用这些数据,为您的 Zero Trust 计划奠定基础,从您的高优先级资产开始实施。利用精细的分段控制,您可以围绕特定应用程序和环境创建微边界,只允许您团队明确授权的活动。Zero Trust 主要在于实施那些拒绝所有未明确允许和验证的行为的策略。但是,借助软件定义的微分段,IT 安全团队还能够灵活地快速修改策略,以满足新的安全用例或不断变化的业务需求。
微分段解决方案不仅能为您提供监测能力,是 Zero Trust 的策略基础,而且还能持续监控您的环境,以发现可能存在的威胁和违反 Zero Trust 策略的情况。这将确保您的 Zero Trust 态势持续稳固,即使您的应用程序、系统和环境随时间的推移发生变化,也是如此。
微分段是否有助于满足法规合规性?
在满足法规合规性方面,各企业难以应对我们当今日益动态的工作环境。随着法规本身越来越严格,安全审计变得越来越普遍,不合规的后果也越来越严重。这些后果包括罚款、商业信誉受损,甚至是收入损失,直到满足合规性。
对 IT 基础架构进行物理隔离已经远远不够。工作负载日益动态化,CDE 也并非静态,包括允许自动扩展或不可预知更改的层级。受 PCI DSS 法规约束的网络和应用程序错综复杂。这些网络和应用程序可以跨越多台设备,包括容器和虚拟机等混合环境,甚至可以跨多个物理位置或时区工作。
微分段渐渐成为满足 PCI DSS 等合规性法规要求的常用手段。正确的解决方案可以为整个基础架构(包括混合环境)的流量和数据流提供卓越的监测能力。然后,还有助于对网络进行分段,缩小范围并限制进程级通信。这种解决方案可以保护您的 CDE,即使在发生漏洞攻击时也能避免横向移动或转向。用于创建规则的灵活策略引擎将确保您对微分段方法拥有终极控制权,可满足更深层次的要求,例如不安全协议的权限和行为。
为符合 PCI 等标准,使用微分段,您可以获得所有应用程序和工作负载的强大进程级监测能力,构建灵活的策略来深入满足合规性法规要求,并强制执行这些策略以控制整体安全态势,让您为任何审计做好准备。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。