微隔离技术的重要性（德迅零域）

应对人类历史上最狡猾、“横向移动”效率极高的新型冠状病毒最有效的方法是“隔离”。同样，“微隔离”（Micro Segmentation）也是网络安全领域，预防和应对未知威胁的最有效的办法之一。

在越来越关注攻防对抗实战防护能力的今天，在零信任网络被炒的越来越热的今天，我们重新审视按照这些新理念构建的纵深防御体系，结果发现依然问题重重：在堆砌了大量安全产品后发现资产管理、漏洞安全运营到内部隔离等基础安全工作依然跟不上安全态势的变化。

就拿隔离来说，当攻击者有机会拿到内网一个跳板机，结果发现内网网络基本是畅通的；同时随着内部网络的架构从传统的IT架构向虚拟化、混合云和容器化升级变迁，结果发现内部隔离不再是一件容易的事情。为了适应攻防对抗防护的要求、为了满足新的IT架构的要求，我们不得不再重新分析和审视隔离的重要性。

什么是微隔离

微隔离谨遵零信任的核心原则——最小权限，不再划分网络边界，一切用户及业务的前提都是不可信的。用户或app访问任何业务都需要经过验证，这种负责南北向流量的安全架构称之为SDP架构。有南北向，就要有东西向，业务与业务之间的访问，同样存在安全隐患，假设一台web服务器被攻破，由于门户网站对DB有很高的访问权限，黑客将无阻拦的通过web服务器进一步攻破数据库，而微隔离正是解决这种东西向安全的零信任架构。SDP控制用户/app对业务的访问，微隔离限制用户在业务内部的移动，两者结合，可以最细粒度的实现网络流量的全面可视化及最大力度的访问控制，保护数据中心的安全。
微隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点，根据动态策略分析对这些节点执行访问控制，在逻辑上将这些节点隔离开，限制用户横向移动，这就是微隔离。在微隔离的架构中，不再存在内、外网的概念，而是将数据中心网络隔离成了很多微小的计算单元，这里我们简称节点。每个节点要访问其他节点的资源，都需要经过微隔离客户端的认证，如果节点身份认证不通过，或不具备访问权限，会被客户端拦截。

安全挑战

在云计算、虚拟技术的广泛应用之下，现代企业内部网络庞大且复杂，想要实施东西向控制会遇到许多挑战，只有解决好这些痛点问题，才能使它成为解决安全问题的一把利刃。
-系统环境复杂多样
-业务难梳理
-策略难运维
-正常业务受阻

德迅零域（微隔离）的意义

德迅零域·微隔离安全平台可部署在混合数据中心架构中，实现跨平台的统一安全管理，通过自主学习分析、可视化展示业务访问关系，实现细粒度、自适应的安全策略管理。产品在真实威胁中，可快速隔离失陷主机网络，阻断横向渗透行为，让零信任理念真正落地。

德迅零域由Agent、计算引擎和控制台组成，支持公有云、私有云、混合云、物理机、虚拟机、容器等各种业务环境，异构环境对用户完全透明。

德迅零域（微隔离）的功能

1、数据库审计
流量看得清——业务拓扑图可视化展示访问关系
自动学习业务访问关系，并以多种拓扑图清晰展示，结合资产信息，为策略制定提供基础。
-拓扑图上交互式设置，自动生成策略，提高效率。
-发现主机上无用的端口，减少风险暴露面。
-丰富的查询方式和图例，直观评估策略配置情况。

2、策略好管理
策略好管理——多种策略形式实现自动化运维
依据不同管理场景，配置不同粒度的控制策略，并随业务或环境变化自适应调整策略，实现自动化运维。
-提供业务组、标签、端口、IP等不同粒度的策略管理。
-用标签定义策略，形式精简，降低运维成本。
-策略表达明白易读，避免基于IP的安全策略。

3、策略易验证
策略易验证——监控异常访问并自动验证策略
在不真实拦截流量的情况下，持续监控学习业务访问关系，自动验证策略准确性和覆盖度。
-自动验证策略正确性，减少人力成本。
-重保场景中，发现恶意横向渗透行为。
-发现异常访问，第一时间发出告警。

4、管控多选择
管控多选择——根据管理要求选择不同控制强度
访问控制模式决定控制策略如何放行/阻断网络连接，配合不同的管理要求，支持不同强度的控制模式。
-主机控制模式：为每个业务端口配置策略，严密防护。
-服务控制模式：管控20%的关键端口，降低80%的风险。

5、威胁可隔离
威胁可隔离——失陷主机快速隔离防止威胁扩散
在发生真实攻击场景下，提供应急响应手段，迅速隔离失陷主机网络，防止威胁进一步扩散。
-出站、入站、双向网络流量，可选择不同隔离方式。
-开放特定端口并指定访问IP，给上机排查问题提供条件。
-威胁清除后远程解除隔离，恢复正常通信。

6、保护更全面
保护更全面——非受控设备和DMZ区主机访问控制
对未部署Agent的网络设备和业务敏感主机实现保护，并可对DMZ区主机的外网访问进行控制。
-对已部署和未部署Agent主机之间的访问，进行安全控制。
-严格限制出入外网的流量，收缩DMZ区主机暴露面。

结束语

挑战越大，机遇也就越大。微隔离能够带给我们的，是更智能的安全解决方案。可视化的全面部署，能清晰的呈现业务运行状态，为用户行为跟踪、故障定位、攻击溯源提供了有效的手段。业务服务器受到微隔离系统的管控，实时监测网络行为，将渗入内网的攻击截断在用户级节点，防止大范围扩散。
微隔离控制中心动态策略的生成，可以自适应业务网的拓扑变化，提高策略迁移的效率，全面实现自动化，让策略的管理可以真正从繁琐复杂的人工设计中解放，不再依赖于静态配置，不受大范围网络迁移影响，极大的提高容错率，这是一个值得期待的未来。