微分段是一種允許應(yīng)用程序在虛擬化網(wǎng)絡(luò)環(huán)境后面的自己的安全區(qū)域中運(yùn)行的技術(shù)。通過純軟件的安全方法，微分段消除了對基于硬件的防火墻的需求。由于它在工作負(fù)載和流程級別上設(shè)置和實(shí)施安全策略，微分段即使在網(wǎng)絡(luò)遷移或重新配置的情況下也能使安全持久。

什么是微分段？

微分段是網(wǎng)絡(luò)虛擬化的一個主要賣點(diǎn)，它通過在傳統(tǒng)物理網(wǎng)絡(luò)之上運(yùn)行的邏輯虛擬網(wǎng)絡(luò)來抽象網(wǎng)絡(luò)服務(wù)。微分段對隔離的強(qiáng)調(diào)意味著在數(shù)據(jù)中心和云環(huán)境后面運(yùn)行的物理網(wǎng)絡(luò)中的任何重組都不會影響虛擬化工作負(fù)載，從而使它們能夠在安全策略保持不變的情況下運(yùn)行。即使工作負(fù)載在域之間移動，安全策略仍然存在。這種持久的安全性是微分段的主要特征和優(yōu)勢。

在傳統(tǒng)網(wǎng)絡(luò)中，安全與硬件相關(guān)，從防火墻到各個工作站。在操作上，安全性是在服務(wù)器和訪問它們的客戶端之間實(shí)現(xiàn)的。如果網(wǎng)絡(luò)發(fā)生變化，則需要重新配置安全策略。否則，安全性可能會崩潰，網(wǎng)絡(luò)也會受到威脅。此外，在網(wǎng)絡(luò)中出現(xiàn)安全漏洞的情況下，由于同類安全區(qū)域，廣泛破壞的可能性會被放大。上述缺點(diǎn)解釋了為什么傳統(tǒng)網(wǎng)絡(luò)架構(gòu)在數(shù)據(jù)中心環(huán)境和云平臺中往往效果不佳。

如何使用微分段配置安全性？

通過微分段，可以根據(jù)應(yīng)用程序及其工作負(fù)載、使用這些工作負(fù)載的位置以及這些工作負(fù)載需要訪問的數(shù)據(jù)來配置安全性。安全策略可以這樣設(shè)置，只要工作負(fù)載試圖違反策略中規(guī)定的規(guī)則運(yùn)行，它的網(wǎng)絡(luò)訪問就會被關(guān)閉。同樣的功能可以向下擴(kuò)展到進(jìn)程級別，從而允許在網(wǎng)絡(luò)安全中實(shí)現(xiàn)更精細(xì)的粒度。在操作上，微分段最適合在服務(wù)器到服務(wù)器和訪問它們的應(yīng)用程序之間流動的流量。這使其成為數(shù)據(jù)中心和云平臺的理想選擇。

確保您的組織在實(shí)施微分段時不依賴于任何特定供應(yīng)商。您的方法應(yīng)該適用于物理服務(wù)器、虛擬機(jī)和云提供商，而不管供應(yīng)商是什么。通過確保平臺獨(dú)立性，當(dāng)您的組織擴(kuò)展其網(wǎng)絡(luò)時，與其他供應(yīng)商的集成變得更加容易。

微分段的用例

微分段對于具有安全性和合規(guī)性意識的組織、通用開發(fā)和生產(chǎn)系統(tǒng)很有用。用例如下所述：

軟資產(chǎn)安全

需要保護(hù)客戶信息、員工信息、財務(wù)數(shù)據(jù)和知識產(chǎn)權(quán)等軟資產(chǎn)。微分段提供了額外的安全層，可保護(hù)軟資產(chǎn)免受惡意操作和滲漏。

開發(fā)和生產(chǎn)系統(tǒng)

將開發(fā)和測試環(huán)境分開并不一定能防止開發(fā)人員從生產(chǎn)數(shù)據(jù)庫中獲取客戶信息等粗心行為。微分段通過限制開發(fā)和測試環(huán)境之間的連接性來進(jìn)行嚴(yán)格的分離。

事件響應(yīng)

微分段還可以防止威脅在段之間移動并提供日志信息。這使其成為事件響應(yīng)和查明安全問題的完美解決方案。

混合云管理

微分段還允許您跨多個數(shù)據(jù)中心和服務(wù)提供商實(shí)施統(tǒng)一的安全策略，從而保護(hù)跨越多個混合云部署的應(yīng)用程序。

PCI合規(guī)性

支付卡行業(yè) (PCI) 合規(guī)性要求組織安全地處理信用卡信息，從而減少敏感持卡人信息的數(shù)據(jù)泄露。網(wǎng)絡(luò)分段是實(shí)現(xiàn)它的方法，使 PCI 合規(guī)性成為一個很好的用例。

醫(yī)療機(jī)構(gòu)

醫(yī)療保健組織應(yīng)保護(hù)個人健康信息 (PHI) 以符合網(wǎng)絡(luò)安全合規(guī)框架，關(guān)鍵安全控制是實(shí)現(xiàn)這一目標(biāo)的一種方式。微分段、準(zhǔn)確映射、敏感系統(tǒng)隔離和網(wǎng)絡(luò)連接控制有助于實(shí)現(xiàn)與醫(yī)療保健相關(guān)的合規(guī)性目標(biāo)。

微分段和網(wǎng)絡(luò)分段之間的差異

隨著數(shù)據(jù)中心不斷從物理向虛擬、從企業(yè)向云發(fā)展，它們面臨的安全挑戰(zhàn)也在不斷增加。近年來，從網(wǎng)絡(luò)分段演變而來的微分段已成為應(yīng)對安全挑戰(zhàn)的替代解決方案。雖然網(wǎng)絡(luò)分段和微分段可能具有提高網(wǎng)絡(luò)安全性的相同目標(biāo)，但它們之間存在顯著差異，如下表所示：

微分段的好處

憑借其針對工作負(fù)載和流程級別設(shè)置的細(xì)粒度安全功能，微分段使組織能夠?qū)崿F(xiàn)以下目標(biāo)：

最大入侵檢測

工作負(fù)載提供有限的攻擊面，使其非常適合用于數(shù)據(jù)中心的各種部署模型。防止未經(jīng)授權(quán)訪問工作負(fù)載范圍之外的任何內(nèi)容。當(dāng)應(yīng)用程序被添加到環(huán)境中時，對策略進(jìn)行必要的調(diào)整，從而使網(wǎng)絡(luò)保持安全。

改進(jìn)的損壞控制

將隔離的工作負(fù)載作為安全區(qū)域，安全漏洞造成的損害是有限的。就其本質(zhì)而言，在工作負(fù)載級別設(shè)置的安全策略限制了在入侵情況下來自攻擊向量的潛在破壞性橫向移動。如果有任何違反安全策略的行為，可以通過實(shí)時警報輕松捕獲，從而使管理員可以相應(yīng)地調(diào)整安全策略。

靈活、“恰到好處”的安全策略

通過在工作負(fù)載級別實(shí)施安全策略，無論數(shù)據(jù)中心位于何處，都可以在過于嚴(yán)格和過于開放的安全性之間取得平衡。由于工作負(fù)載現(xiàn)在是安全背后的主要驅(qū)動力，因此可以按照員工仍然能夠在需要時不受限制地自由操作的方式構(gòu)建它們。在需要更高安全性的地方，例如關(guān)鍵應(yīng)用程序，可以相應(yīng)地配置適用的工作負(fù)載。

加強(qiáng)監(jiān)管合規(guī)

微分段提供了一種方法，可以將受法規(guī)（例如 HIPAA、GDPR 和 PCI）約束的數(shù)據(jù)段與基礎(chǔ)架構(gòu)的其余部分隔離開來。可以對這些隔離的部分進(jìn)行嚴(yán)格控制，允許它們根據(jù)需要通過審計。因此，即使越來越多的組織越來越多地將數(shù)據(jù)存儲的物理控制轉(zhuǎn)移到云平臺，也能確保合規(guī)性。