什么是微分段?

微分段是一种在应用程序层将网络划分为单独区段的技术,以提高安全性并减少泄露的影响。

学习目标

阅读本文后,您将能够:

  • 定义微分段
  • 说明微分段如何提高安全性
  • 描述微分段如何融入Zero Trust 架构

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是微分段?

微分段将网络分成小的、离散的部分,每个部分都有自己的安全策略并单独访问。微分段的目标是在不影响网络其余部分的情况下,通过将威胁和泄露限制在遭入侵的部分来提高安全性。

大型船舶的甲板下方通常被分成多个舱室,每个舱室都不透水,并且可以与其他舱室隔离开来。这样,即使一个舱室因漏水而被水填满,其余舱室仍保持干燥,船仍能漂浮。网络微分段的概念与此类似:网络的一个部分可能会遭到入侵,但它可以很容易地与网络的其余部分隔离开来。

微分段是Zero Trust 架构的一个关键组成部分。该架构假定任何进入、离开或在网络内移动的流量都可能是一种威胁。微分段可以在威胁传播之前将其隔离,从而防止横向移动

微分段在哪里进行?

组织可以对本地数据中心和云计算部署(任何运行工作负载的地方)进行微分段。服务器、虚拟机容器微服务都可以以这种方式进行分段,每个都有自己的安全策略。

微分段可以在网络中极其精细的级别发生,一直到隔离单个工作负载(而不是隔离应用程序、设备或网络),“工作负载”是使用一定量内存和 CPU 的任何程序或应用程序。

微分段如何运作?

对网络进行微分段的技术略有不同。但一些关键原则几乎始终适用:

应用程序层可见性

微分段解决方案了解在网络上发送流量的应用程序。微分段提供哪些应用程序在相互通信以及网络流量如何在它们之间流动的背景信息。这是使微分段不同于使用虚拟局域网 (VLAN) 或其他网络层方法划分网络的一个方面。

基于软件,而不是基于硬件

微分段是通过软件配置的。分段是虚拟的,因此管理员无需调整路由器交换机或其他网络设备即可实施。

使用下一代防火墙 (NGFW)

大多数微分段解决方案使用下一代防火墙 (NGFW) 来隔离它们的分段。与传统防火墙不同,NGFW 具有应用程序感知能力,使它们能够在应用程序层分析网络流量,而不仅仅是网络和传输层。

此外,基于云的防火墙可用于微分段云计算部署。一些云托管提供商使用其内置的防火墙服务提供此功能。

不同区段的安全政策不同

如果需要,管理员可以为每个工作负载自定义安全策略。一种工作负载可以允许广泛访问,而另一种工作负载可以受到高度限制,具体取决于给定工作负载的重要性及其处理的数据。一个工作负载可以接受来自一系列端点API 查询;另一个可能只与特定服务器通信。

所有网络流量的可见性

Typical network logging provides network and transport layer information such as ports and IP addresses. Microsegmentation also provides application and workload context. By monitoring all network traffic and adding application context, organizations can consistently apply segmentation and security policies across their networks. This also provides the information needed to tweak security policies as needed.

微分段如何提高安全性?

微分段可防止威胁在整个网络中传播,从而限制网络攻击造成的损害。攻击者的访问权限有限,他们可能无法访问机密数据。

例如,在微分段数据中心中运行工作负载的网络可能包含数十个独立的安全区域。有权访问一个区域的用户需要对其他每个区域的单独授权。这最大限度地降低了权限升级(当用户拥有过多访问权限时)和内部威胁(当用户有意或无意地损害机密数据的安全性时)的风险。

再举一个例子,假设一个容器有一个漏洞。攻击者通过恶意代码利用此漏洞,现在可以更改容器内的数据。在仅受边界保护的网络中,攻击者可以横向移动到网络的其他部分,提升权限,并最终提取或更改非常有价值的数据。在微分段网络中,如果不找到单独的入口点,攻击者很可能无法这样做。

Zero Trust 网络有哪些其他组成部分?

“Zero Trust ”是一种网络安全理念和方法,它假定威胁已经存在于安全环境的内部和外部。许多组织正在采用Zero Trust 架构,以防止攻击并将成功攻击造成的损害降至最低。

虽然微分段是Zero Trust 策略的关键组成部分,但它并不是唯一的组成部分。其他Zero Trust 原则包括:

  • 持续监控和验证:不会自动信任任何设备或用户,即使是那些已经过身份验证的设备或用户。登录和连接会定期超时,不断重新验证用户和设备。
  • 最低权限原则:用户只能访问绝对必要的系统和数据。
  • 设备访问控制:像对待用户访问一样跟踪和限制设备访问。
  • 多因素身份验证 (MFA):使用至少两个身份因素进行身份验证,而不是仅依赖密码、安全问题或其他基于“知道的内容”的方法。

要了解 Cloudflare 如何帮助组织实施这些组件,请阅读有关 Cloudflare Zero Trust 平台的信息。