eSecurity Planet的内容和产品推荐在编辑上是独立的。当你点击我们合作伙伴的链接时,我们可能会赚钱。了解更多信息.
在一个网络边缘面临最高流量的时代,组织急于添加更强大的安全性,但却不愿承担长期的努力,即微观分割。微分段是指识别组织中最有价值的网络分段,建立严格的通信策略,并成为网络流的主人。与对网络性能和管理至关重要的传统网络分段不同,微分段进一步解决了与安全性和业务灵活性相关的关键问题。
作为零信任体系结构实现微分段的核心技术并不是要严重限制网络内的通信。相反,通过提高数据流的可视性,网络管理员可以与业务和安全分析师合作,创建支持应用程序的策略。成功地为您的组织实施微细分意味着标记流量、为常规业务通信提供服务、适应威胁,并否认所有其他异常情况。
本文深入探讨了微部门化的方法,您的组织可以采取哪些步骤来实施微部门化,以及为什么您现在可以采取措施来防止横向流动。
查看我们的选择顶级细分产品
微观细分方法
在零信任的概念根源问世十年后,网络安全行业有四种实现微分段的方法:网络结构、管理程序、代理或NFGW。虽然这四种方法都可以帮助您的组织走向微观细分,但有些方法对全面网络安全.
基于结构的强制
第一种方法是将网络结构加倍以实现微分段。Gartner电话基于fabric的基础设施(FBI)硬件和软件的垂直集成,提供对基础设施的“实时”管理访问。对于传统数据中心(DC)和软件定义数据中心(SDDC),使用网络结构可能是一个重要的实施点。然而,在云环境中通过网络结构实现微分段是另一回事。
使用虚拟机监控程序
另一种方法是在管理程序级别。与基于fabric的方法一样,网络虚拟机管理程序(也称为虚拟机(VM)管理器)也是设备网络流量的实施点。此外,与网络结构一样,虚拟机监控程序也适用于SDDC环境。
使用虚拟机监控程序可以消除管理和补丁每台机器的软件。这种方法还促进了微分段的常见实践,即安全分析师和网络管理员之间的自然协作。
外包端点保护
第三种方法是寻求专业供应商的帮助端点保护。这种基于代理的方法可以实现对策略的实时保护。外包端点代理会干扰内部网络和安全部队之间的合作,但这是组织的选择。代理解决方案和NGFW可以跨所有三种环境工作。
主要端点安全供应商包括BitDefender、Check Point、CrowdStrike、Sophos、Symantec、Trend Micro和VMWare。
另请阅读:端点安全:它比你想象的要复杂得多
提升下一代防火墙
最后,可能是最先进的微观分割方法是下一代防火墙(NGFW)。NGFW可在所有三种环境中工作,并提供高达第7层的安全性,使其成为深度包检查、应用程序控制和IDPS公司虽然NGFW最初并不打算用于云计算,但NGFW供应商越来越多地以以下形式提供其安全解决方案防火墙作为服务(FWaaS)。
NGFW的主要供应商包括Barracuda、Cisco、Fortinet、华为、Juniper、Palo Alto Networks和SonicWall。
另请阅读:十大下一代防火墙(NGFW)供应商
环境和安全与微观细分
当考虑微分段的不同方法时,网络的环境和安全要求是方便的指标。目前,资产正在从传统DC转移到SDDC公共或多云没有进一步保护措施的环境。
应用程序级策略正在迅速成为网络安全的标准,这使得前三种方法比不使用NGFW的方法要少。网络结构和供应商方法只能为第2-4层提供保护,而利用NGFW是识别威胁和第7层完整可见性和实施安全性的唯一方法。支持多种方法的组织只会增加其安全态势,可能会在恶意流量到达您的内部之前,在网络结构或虚拟机监控程序级别阻止恶意流量防火墙.
另请阅读: 防火墙即服务:网络防火墙的未来?
微观细分的最佳实践
对于微观细分而言,它不仅与技术有关,也与流程有关。如果不仔细地遵循这些步骤,那么你只会延长项目时间,并导致不必要的头痛。
禁止车辆掉队
微分段意味着南北和东西交通流的清晰可见度。在网络发现阶段,收集的信息应该是关于应用程序、工作负载和它们之间的活动连接的。其他来源可能是配置管理数据库(CMDB)、编排工具、系统清单、流量添加事件日志、防火墙和SIEM公司和负载平衡器。
根据您的IT团队的规模和资源,供应商还提供第三方或可配置的软件,用于跨prem和云网络基础设施映射交易流。映射这些流非常重要,因为您不想在关闭不必要的连接的同时抑制日常业务通信。
走向零信任
微观细分和零信任架构齐头并进。您的攻击表面,通常被视为你的网络周边,在当前的网络繁荣中是无法管理的。通过精心记录和识别“保护表面”,您最有价值的部分将为管理员提供明确的步骤指导。
您的保护表面,或者如Palo Alto Networks所说,您的数据、应用程序、资产和服务(DAAS)是优先事项。这些部分通常对组织的生存、合规性相关或可利用性至关重要。一旦确定,建立分段网关或NGFW的工作就开始了。
根据零信任框架,最终目标必须是白名单。借助可视化技术来帮助管理政策规则和威胁,微分段的结果是形成一个否认任何异常的网络。所有流量都是已知的、标记的或经过验证的,可以防止任何与信任相关的潜在漏洞。
标记您的工作量
标记工作负载是任何组织的下一个主要升级。虽然安全专业人员曾经编写基于IP和子网的策略,并依赖VLAN/IP/VRF等网络结构,但那些日子已经成为过去。
在考虑以下事项时,识别和标记网络中的工作负载标签是一个非常有价值的附加值自动化解决方案用于标记现有和新的应用程序工作负载。由于云计算的可扩展性和扩展性的吸引力,工作负载标记允许强大的安全性和业务灵活性。组织的工作量标签通常包括:
创建综合策略
全面的策略需要严格的安全策略和威胁检测在微分段的情况下,这些政策存在于微周边的网络中。整个微分段策略网络的功能必须包括诸如app-id、user-id、基于文件的限制、URL过滤和威胁预防等控制。
在转向强制执行之前,没有业界标准来测试您的策略。由于零信任基础设施和微分段的性质是网络的习惯,因此它是否满足您的要求是一个内部问题。不优先考虑综合政策会使您的团队难以细分HTTP/2应用程序和SSL协议解密或面临DNS隧道等攻击的风险。
强制实施自适应策略
虽然微分段可以帮助您清晰地了解现有网络,但它也需要是一种适应性解决方案。这一步需要全面了解威胁预防、恶意软件和钓鱼以及实时防火墙日志。随着新的IP不断进出网络,基于自动标签的系统是未来的趋势。
使用自动化和机器学习技术,这些日志通过细粒度过滤存在,您的系统可以动态地为以前未识别的工作负载提供标记。这方面的一个例子可能是要求MFA用于标记为已泄露的IP地址。
同时读取:自动化安全风险评估以实现更好的保护
启动行动计划
约翰·弗里德曼(John Friedman)和伊卢米奥(Illumio)的“微观细分的最终指南,“您可以深入了解为什么、什么、在哪里、何时以及如何实现微分段的技术细节。关于实施步骤,弗里德曼先生提出了十二个步骤,我们简要描述了这些步骤:
| 步骤 |
描述 |
| 1 |
不需要大爆炸 |
无需快速行动。循序渐进,注重过程。 |
| 2 |
选择项目团队 |
通常包括:执行官、安全架构师、技术主管和项目管理(考虑供应商)。 |
| 三 |
训练团队 |
对所有团队成员进行关于微细分的目的和功能的教育。 |
| 4 |
设计文件和项目计划 |
迈向全面实施微观细分的长期计划。 |
| 5 |
安装微分段解决方案 |
开始在应用程序上测试带有反馈的微分段。 |
| 6 |
集成日志、事件和威胁 |
大规模部署集成日志和事件管理工具以监控网络流量。 |
| 7 |
确定应用程序组的优先级 |
根据安全/业务优先级和微分段的易用性对应用程序组进行排序和标记。 |
| 8 |
发现和可见性 |
对于每个应用程序组,现在重复以下步骤以更好地了解流量、建模潜在策略,然后测试策略。一旦到了执行这些政策的时候,快速反应期就开始了,以确保一切按计划进行。 |
| 9 |
模型策略 |
| 10 |
测试策略 |
| 11 |
准备好解决问题 |
| 12 |
扩展和细化 |
一旦实施,不要解散项目团队。推出后计划必须包括新系统的责任 |
为什么要进行微观细分?
微观细分的好处是无穷无尽的 当它可以防止或缓冲危及敏感数据和资产的攻击时。分析人士估计,平面网络上70-80%的流量是东西向的,用户、应用程序和设备之间的通信几乎是自由的。这一现实为恶意行为者打开了窗口,他们可以从供应商门户横向移动到关键任务数据和系统。
除了防止横向移动外,实施微观细分也是对组织时间的有效利用。安全专业人员知道,保护整个攻击表面的时间很短。通过定义保护表面,保护最重要的内容变得令人满意,同时确保您的安全符合所有法规遵从性标准。
另请阅读:反病毒、EPP和EDR:如何保护端点
控制网络流量
微分段真正是关于控制网络流量的。通过可视化网段的连接,并围绕网段建立细粒度的策略和自适应管理,防止横向移动是没有问题的。当然,完成网络细分的道路并不容易。它需要充足的时间、计划和资源来应对挑战。
如果做得好,实施微观细分的好处是无价的。
