网络安全公司Byos曾对100位企业网络安全领导者开展了一项关于微隔离策略的调查。调查结果显示,有83%的领导者通过某种形式的微隔离来增强其企业网络安全性。
这也意味着超八成大型企业开始应用“微隔离”技术。企业网络安全领导者认为微隔离解决方案最有吸引力的功能是:实时威胁管理(76%)、安全远程访问(67%)和勒索软件终止开关(62%)等。
关于“微隔离”,简单地理解,它就是指在数据中心和云环境中创建相互隔离的区域,将工作负载彼此隔离并单独保护,目的是让网络安全更具粒度化。例如,在不受信任的安全模式中,企业可以利用为隔离技术创建一种特殊的安全策略,从而来限制各种工作流之间的网络和应用流。应用到具体的场景中,如设定医疗设备只能与医疗设备交换数据。而一旦有设备或工作负载出现改变,安全策略和属性都会随之改变。
微隔离是网络安全行业的当红技术,它的发展与演进可从国际研究机构Gartner对微隔离(Microsegmentation)的名称和定义的两次修改,窥见一斑。据相关资料了解到,从软件定义的隔离,到微隔离,再到基于身份的隔离,微隔离曾经历了三次更名,每一次更名背后,都与当时当下的网络安全发展环境有着密切的联系。
2015年,Gartner首次正式提出“微隔离”并被赋予第一个名称:软件定义的隔离(软件定义的分段,software-defined segmentation)。跟微隔离一起出现的,还有SDP(软件定义边界)。当时当刻,恰如其名,微隔离是软件定义的,在云计算的环境中可以按需部署,从而为云计算网络带来了更灵活的安全性和可管理性。
微隔离首次被提出的背景是,防火墙作为一种硬件产品,被云计算阻挡在真实的业务网络之外,而它的变种——虚拟防火墙,也因为继承了防火墙复杂繁琐的体系架构,很难适应灵活多变的软件定义网络。
此后不久,微隔离的名称和定义迎来了第一次修改。Gartner把software-defined segmentation 更名为Microsegmentation,也就是我们现在所熟知的微隔离(微分段)。这次更名,事实上也反映出Gartner对微隔离的定位发生了微妙的调整。
而这一次的更名,是因为随着微服务时代的到来,网络环境变得更加复杂,但是,架构重、只能用来看大门、在内部分大区的防火墙,已不适用于企业的细粒度访问控制需求。这个时候,微隔离的那种极为轻量级的技术结构,细粒度到容器级,可以随需构建随需部署的访问控制能力就变得弥足珍贵。
2020年,Gartner对“微隔离”的名称和定义进行了第三次调整,也就是现在所说的“微隔离”,一种基于身份的隔离。所谓基于身份的隔离,顾名思义,就是说过去的网络隔离是面向IP的,现在的网络隔离是面向ID的。
过去,基于IP地址的隔离,它有一个前提条件(这也是默认条件),那就是我们所要进行访问控制的资源一定有着网络位置上的确定性。但是随着云计算的广泛使用,特别是随着远程办公和BYOD的盛行,地址不再唯一确定。在这样的背景下,IP已经逐渐变得只有通信价值而基本没有什么安全价值了。
我们必须把隔离和分段这种网络安全的核心动作构建在一种新的参数之上,也就是身份标识(ID)。所以,微隔离的新名字就是ID-BASED SEGMENTATION,可以称之为基于身份的隔离(基于身份的网络分段)。
也因此,在今天,软件定义也好,微细的控制能力也好,都已经不再是微隔离为网络安全能做的主要贡献,能够面向身份去定义网络,去进行访问控制,才是微隔离最大的价值。
622
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
