什麼是微分段?

微分段是一種在應用程式層將網路劃分為單獨區段的技術,以提高安全性並減少洩露的影響。

學習目標

閱讀本文後,您將能夠:

  • 定義微分段
  • 說明微分段如何改善安全性
  • 描述微分段如何融入 Zero Trust 架構

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是微分段?

微分段將網路分成小的、離散的部分,每個部分都有自己的安全性原則並單獨存取。微分段的目標是在不影響網路其餘部分的情況下,透過將威脅和洩露限制在遭入侵的部分來提高安全性。

大型船舶的甲板下方通常被分成多個艙室,每個艙室都不透水,並且可以與其他艙室隔離開來。這樣,即使一個艙室因漏水而被水填滿,其餘艙室仍保持乾燥,船仍能漂浮。網路微分段的概念與此類似:網路的一個部分可能會遭到入侵,但它可以很容易地與網路的其餘部分隔離開來。

微分段是 Zero Trust 架構的一個關鍵組成部分。該架構假定任何進入、離開或在網路內移動的流量都可能是一種威脅。微分段可以在威脅傳播之前將其隔離,從而防止橫向移動

微分段在哪裡進行?

組織可以對內部部署資料中心和雲端運算部署(任何執行工作負載的地方)進行微分段。伺服器、虛擬機器容器微服務都可以以這種方式進行分段,每個都有自己的安全性原則。

微分段可以在網路中極其精細的層級發生,一直到隔離單個工作負載(而不是隔離應用程式、裝置或網路),「工作負載」是使用一定量記憶體和 CPU 的任何程式或應用程式。

微分段如何運作?

對網路進行微分段的技術略有不同。但一些關鍵原則幾乎始終適用:

應用程式層可見度

微分段解決方案瞭解在網路上傳送流量的應用程式。微分段提供哪些應用程式在相互通訊以及網路流量如何在它們之間流動的背景資訊。這是使微分段不同於使用虛擬區域網路 (VLAN) 或其他網路層方法劃分網路的一個方面。

基於軟體,而不是基於硬體

微分段是透過軟體設定的。分段是虛擬的,因此管理員無需調整路由器交換器或其他網路設備即可實作。

使用新一代防火牆 (NGFW)

大多數微分段解決方案使用新一代防火牆 (NGFW) 來隔離它們的分段。與傳統防火牆不同,NGFW 具有應用程式感知能力,使它們能夠在應用程式層分析網路流量,而不僅僅是網路和傳輸層。

此外,基於雲端的防火牆可用于微分段雲端運算部署。一些雲端託管提供者使用其內建的防火牆服務提供此功能。

不同區段的安全性原則不同

如果需要,管理員可以為每個工作負載自訂安全性原則。一種工作負載可以允許廣泛存取,而另一種工作負載可以受到高度限制,具體取決於給定工作負載的重要性及其處理的資料。一個工作負載可以接受來自一系列端點API 查詢;另一個可能只與特定伺服器通訊。

所有網路流量的可見度

典型的網路記錄提供網路和傳輸層資訊,例如連接埠IP 位址。微分段還提供應用程式和工作負載背景資訊。透過監控所有網路流量並新增應用程度背景資訊,組織可以在其網路中始終如一地應用分段和安全性原則。這也提供了根據需要調整安全性原則所需的資訊。

微分段如何改善安全性?

微分段可防止威脅在整個網路中傳播,從而限制網路攻擊造成的損害。攻擊者的存取權限有限,他們可能無法存取機密資料。

例如,在微分段資料中心中執行工作負載的網路可能包含數十個獨立的安全區域。有權存取一個區域的使用者需要對其他每個區域的單獨授權。這最大限度地降低了權限升級(使用者擁有過多存取權限的情況)和內部人員威脅(使用者有意或無意地損害機密資料的安全性)的風險。

再舉一個例子,假設一個容器有一個漏洞。攻擊者透過惡意程式碼利用此漏洞,現在可以更改容器內的資料。在僅受周邊保護的網路中,攻擊者可以橫向移動到網路的其他部分,提升權限,並最終擷取或更改非常有價值的資料。在微分段網路中,如果不找到單獨的進入點,攻擊者很可能無法這樣做。

Zero Trust 網路有哪些其他組成部分?

Zero Trust 是一種網路安全理念和方法,它假定威脅已經存在于安全環境的內部和外部。許多組織正在採用 Zero Trust 架構,以防止攻擊並將成功攻擊造成的損害降至最低。

雖然微分段是 Zero Trust 策略的關鍵組成部分,但它並不是唯一的組成部分。其他 Zero Trust 原則包括:

  • 持續監控和驗證:不會自動信任任何裝置或使用者,即使是那些已經過驗證的裝置或使用者。登入和連線會定期逾時,不斷重新驗證使用者和裝置
  • 最低權限原則:使用者只能存取絕對必要的系統和資料
  • 裝置存取控制:像對待使用者存取一樣追蹤和限制裝置存取
  • 多重要素驗證 (MFA): 使用至少兩個身分識別因素進行驗證,而非僅依賴密碼、安全性問題或其他基於「知道的內容」的方法

要瞭解 Cloudflare 如何協助組織實作這些元件,請閱讀有關 Cloudflare Zero Trust 平台的資訊。