摘要:重要的是抛开这些误解,并从已成功将微分段纳入其运营的企业中吸取教训是很重要的。实施微分段并不是一个简单的决定,这需要组织的承诺。
如今,很多企业正在快速将其数据中心业务从内部部署设施迁移到更具可扩展性、虚拟化和混合云基础设施。其安全专家正试图保证业务安全,寻找解决方案来保护在这些动态、异构环境中运行的关键任务应用程序和工作负载。
当边界不断变化时,传统基于网络的边界安全性不再有效。从日常新闻报道来看,网络攻击者似乎在随意突破外围防御。进入网络内部后,它们将融入东西方向流量,横向扩散,并寻找漏洞。无防护应用程序跨越各种裸机服务器、虚拟机和容器,是攻击者的目标,并共同构成巨大的攻击面。
转向微分段
安全专家和分析师越来越多地将微分段作为保护数据中心资产和实施“零信任”安全模型的最佳实践解决方案。微分段涉及围绕单个或逻辑分组的应用程序设置粒度安全策略。这些策略规定哪些应用程序可以相互通信,哪些不能相互通信。而任何未经授权的通信尝试不仅会被阻止,还会触发入侵者可能存在的警报。
分析机构Gartner公司已将微分段作为十大优先安全项目之一,特别是那些希望能够查看和控制数据中心内流量的组织,进一步指出其目标是阻止数据中心攻击的横向扩散。
鉴于人们对微分段的关注,为什么没有得到更广泛的应用呢?一些误解让安全人员犹豫不决。其中一个原因是大型企业只能投入大量安全专业人员来实施和管理微分段项目。另一个原因是,这是一个“全有或全无”的命题,要求在一个单一的大型项目中保护最后的资产,这是在连续应用程序部署的DevOps环境中几乎是不可能完成的任务。
重要的是抛开这些误解,并从已成功将微分段纳入其IT运营的企业中吸取教训是很重要的。这些组织采取了分阶段的方法,最初侧重于一些易于定义目标的可管理项目。通过微细分可以解决的常见挑战包括:
合规性。微分段的关键驱动因素,SWIFT、PCI、GDPR、HIPAA等监管法规和标准经常指定某些流程必须与一般网络流量分离。
DevOps。开发、测试或质量保证环境中的应用程序需要与生产环境中的应用程序分开。
限制从外部用户或物联网设备访问数据中心资产或服务。
从一般企业系统中分离运行高度敏感设备的系统(例如医院中的医疗设备)。
将最关键的应用程序与不太关键的应用程序分开。
通过建立优先级的层次结构并从小规模开始,企业可以获得一些“快速获胜”,并开始在相当短的时间内看到切实的结果。
微分段解决方案的基本属性
为了使微分段既有效又实用,它需要满足某些基本要求。这些包括:
流程级可见性:缺乏可见性通常是组织遇到的第一个绊脚石——他们无法看到数据中心正在运行的所有内容。获得全面可见性是识别应用程序的逻辑分组以进行分段的必要先决条件。
与平台无关的性能:当应用程序在异构环境中迁移时,管理其通信的策略必须能够遵循它们,并在任何地方保护它们。
标签:正确分类或标记资产以准备监控和策略创建的能力是基础。要在动态环境中利用自动扩展功能,请考虑在工作负载向上或向下扩展时自动应用标签的标签方法。
灵活的创建策略:运营人员应该能够创建自定义层次结构,以便轻松创建复合规则,了解不同的利益相关者希望以不同方式组织和创建规则。
自动化:该解决方案还应允许自动化策略创建、修改和管理的大部分过程,以便在部署新工作负载时,它们会自动分配到适当的微分段和策略中。
实施过程
微分段的实施一般可分为七个阶段:
发现和识别:查找并识别其数据中心中运行的所有应用程序。流程级别可见性在这里至关重要。
依赖关系映射:确定哪些应用程序需要能够相互通信。借助图形可视化和绘图工具,可以大大加快这一过程。
对规则的应用程序进行分组:了解应用程序依赖性后,开始将它们放入逻辑组,以创建安全策略。避免过度分段(具有太多离散分组)或分段不足(创建如此广泛的组会使策略缺乏精确性)。
创建策略或规则:在定义逻辑分组后,可以为每个定义的组创建、测试和优化策略。
部署:实施策略。
监控和执行:解决方案应该能够监控每个端口和所有东西方向流量的异常情况。违反政策应自动触发威胁拦截和遏制的执行机制。
实施微分段并不是一个简单的决定,这需要组织的承诺。然而,通过采用具有特定近期目标的分阶段、分层方法,企业可以立即开始看到关键优先级的价值,并且随着用户获得该过程的经验,其学习曲线将很快变平。
最重要的是,组织可以充分利用云计算支持的业务敏捷性和效率,并充分降低妥协风险。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/5369.html
摘要:解决云扩张将安全最佳实践与业务基础相结合,云采用率非常显著。除了直接与业务决策者合作之外,还有一系列组织需要落实的解决方案,以控制云计算产生的安全问题。解决云扩张:将安全最佳实践与业务基础相结合,云采用率非常显著。今年,90%的企业将有部分应用程序或基础设施在云端运行,其余的企业预计将在2021年前效仿。虽然大多数组织目前在传统网络上运营超过一半(53%)的业务,但在未来一年左右,这一比例将...
摘要:解决云扩张将安全最佳实践与业务基础相结合,云采用率非常显著。除了直接与业务决策者合作之外,还有一系列组织需要落实的解决方案,以控制云计算产生的安全问题。部署解决方案云访问安全代理提供可见性合规性数据安全和威胁保护。解决云扩张:将安全最佳实践与业务基础相结合,云采用率非常显著。今年,90%的企业将有部分应用程序或基础设施在云端运行,其余的企业预计将在2021年前效仿。虽然大多数组织目前在传统网...
摘要:随着许多公司正在经历数字化转型全球增长或简单地重新投资业务,公共云和成为其基础设施的重要组成部分。所有其他企业唯一可用的选择是利用应用程序和公共云增强自己的私有云和内部部署工作负载,以提供满足最终客户员工和开发人员需求所需的服务。如今,多云世界已经真正到来。很多组织采用多个公共云(如AWS、谷歌云、Microsoft Azure)、私有云、云计算基础服务(如SaaS、IaaS),以及在一个或...
摘要:解决云扩张将安全最佳实践与业务基础相结合,云采用率非常显著。除了直接与业务决策者合作之外,还有一系列组织需要落实的解决方案,以控制云计算产生的安全问题。部署解决方案云访问安全代理提供可见性合规性数据安全和威胁保护。解决云扩张:将安全最佳实践与业务基础相结合,云采用率非常显著。今年,90%的企业将有部分应用程序或基础设施在云端运行,其余的企业预计将在2021年前效仿。虽然大多数组织目前在传统网...
摘要:简而言之,公司需要采取主动系统的方法,使网络安全功能可以适应公共云。将开发运维应用于网络安全如果开发人员可以在短短几秒内启动服务器,但必须等待两周的时间才能让安全团队认同配置,这会削弱公共的云灵活性所带来的价值。随着企业不断扩大对公共云的使用,它们必须反思如何保护数据和应用程序,并实施四项关键实践。经过长时间的实验,龙头企业正在认真考虑大规模采用公共云。在过去几年中,很多公司已经改变了IT战...
阅读 865·2021-11-15 11:37
阅读 3603·2021-11-11 16:55
阅读 3270·2021-11-11 11:01
阅读 998·2019-08-30 15:43
阅读 2743·2019-08-30 14:12
阅读 680·2019-08-30 12:58
阅读 3388·2019-08-29 15:19
阅读 2023·2019-08-29 13:59