转载

以色列Guardicore Centra公司谈微分段：动荡网络环境中的安全刚需！

微分段作为安全解决方案并不新鲜。安全历史学家称微分段的发端源于组织开始为每个应用程序实现一个单独的DMZ网络，但计算机科学的最新发展以及攻击技术的加强，使得微分段一跃成为一项必备技术。虽然对微分段的需求是稳固而明确的，但企业的计算环境也在不断变化：从传统虚拟化（大约2005年）转向SDN（2010年代），再到公共云、多云、微服务，然后回归到公司在云服务商提供的数据中心内管理所有运行内容。那么如何在这样的背景中实现微分段？

微分段部署模型

Gartner最近更新了其微分段评估要素文档《如何使用评估因子来选择最佳微分段模型》，其中列出了四种不同的微分段模型，但是没有明确建议哪个是最好的。要判别哪个是最佳模型意味着要考虑每种模型的局限性，并认识到自身的IT需求和动态混合云数据中心的未来前景。虽然有四种选择，但考虑到计算机技术和IT发展趋势，唯一的有效架构必须要能够让客户在他们现有和未来可能身处的任何环境中大规模部署微分段。这属于叠加模型，但首先需要解释一下为什么其它模型不适合大多数企业客户。

内置的本机云控件具有内在灵活性

本机模型使用随虚拟化平台、虚拟机管理程序或基础架构提供的内置工具。VMware NSX-V等云服务商的安全组等解决方案分别提供L4和L3 ACL。内置功能不足的话，本质上会造成限制且不灵活，特别是如果用户使用的不仅仅是单一的云和虚拟化技术时，限制更明显。即使对于仅使用一个虚拟机管理程序提供商的企业，此模型也会将它们和某项服务绑定，因为切换到新的服务商时，微分段策略是无法随之变动的。现实情况是，过去支持微分段原生控件的供应商已经意识到客户正在转型，因此不得不开发新的叠加型产品。

第三方防火墙在可见性和一致性方面有限制

第三方供应商提供的虚拟防火墙，未将其集成为基础架构的一部分，基于这种情况，由于网络层设计的限制，此模型可以强制企业更改其整个网络拓扑。已知问题包括共享相同VLAN的流量，可以隐藏或不受控制的流量，以及加密和专有应用程序。所有这些问题都会影响可见性。

除此之外，任何对第三方基础设施的依赖都可能导致瓶颈性难题。如果企业在各种不同架构之间找到一个兼容一致的解决方案，并且希望能够保护容器层，那么这个模型是无法满足的。

选择混合模型会增加不必要的复杂性

一些企业希望通过采用混合策略来回避上述两种模型的缺点。这些公司使用第三方防火墙来管理他们的纵向流量，为混合云提供所需的灵活性，然后在横向的数据中心内，这些企业选择本地控制。

然而，企业选择混合微分段时，实际是在合并两个本质上都有限制的模型。这两种方法仍需要多个控制台进行管理，并不总是共享相同的数据模型。除此之外，公司需要进行复杂而冗长的设置和维护来管理。未来的网络环境只会更快、更动态，工作负载和应用程序都将自动化、自动扩展/迁移，并且经常在多个环境中移动。在这些情况下，不可能确保这种混合方式的可见性和可控性。企业需要的是一种能够独立良好运行的解决方案，而不是将两种分别都有不足之处，且合并之后仍带来限制的混合模型。

混合数据中心安全的未来：使用叠加模型进行微分段

叠加模型从一开始就是以“面向未来”为基础构建的。Gartner将叠加模型描述为一种对工作负载本身实施主机代理或软件的解决方案，这是有理有据的判断。使用代理到代理通信而不是网络分区，尝试实施微分段但不拥有基础架构时，这非常有用的做法。

虽然第三方防火墙模型本质上是不可扩展的，但代理不依赖于阻塞点，这意味着此模型可以根据业务需求进行扩展。叠加覆盖所有环境和基础设施，即使在处理微服务和容器技术时也能提供对流程层的可见性和控制。完全不受操作环境和基础设施差异的影响，这样企业可以创建适合当前和未来环境的微分段策略，无论是裸机还是云、虚拟或微服务，还是接下来可能出现的任何技术。如果没有叠加模型，企业业务可能会在几个月或几年内就过时，无法确定是否支持未来的使用案例并保持行业竞争力。

微分段现在被广泛认为是复杂和混合IT环境中降低风险的必备策略。凑合使用一个有不足的模型不会省去复杂的维护工作，同时还会留下安全策略上的漏洞。因此Guardicore Centra公司支持叠加模型，不仅是能够降低风险的一体化解决方案，还包括细粒化和灵活的工作负载安全手段。

原文 http://4hou.win/wordpress/?p=32279

正文到此结束