尽管过去几年存在一串改进,但企业不能再依靠围栏防御,以防止网络攻击者。微分子通过将IT环境划分为可控制的分区,直接解决了未经授权的横向移动带来的挑战,使采用者能够安全地将工作负载彼此隔离,同时使网络保护更加精细化。随着网络攻击者不断尝试新的方法来躲避安全措施并在IT环境中漫游,微段技术正在成为主流。
微术是如何运作的
别让这个名字误导你。微分段不仅仅是从以性能和管理为中心的网络分段向前迈出的一步。微段专门设计用于解决关键的网络保护问题,从而降低风险并使安全性适应日益动态的IT环境的需求。
信息安全专家讨论了为二十年的更好的部分实施各类零信任技术。“微置是”简易按钮“实现,”完成自动化和编排工具,以及提供详细报告和图表的复杂用户界面,Trevor Pott表示,技术安全领先瞻博网络。“在20年前,不再有任何借口来做我们应该做的事情,”他补充道。
微段通过一个单一的中心策略将安全强制分配给每个单独的系统。”网络安全提供商的首席技术官汤姆·克罗斯(tomcross)解释说:“这一进步允许在整个组织的网络中,而不仅仅是在外围,实施细粒度的策略。”opaq.. "这种(方法)是必要的,既因为外围安全有时会失败,也因为云的采用正在导致网络外围变得更加漏洞。”
微分仍依赖于传统的网络安全技术,例如访问控制网络。“分开的是微量分割的是,这些安全方法适用于网络内的各个工作负载,”IT服务提供商IT总监Brad Willman说,Brad Willman说:Brad Willman表示委托解决方案。
许多组织被统计化结构所吸引到微粒。(见相关的故事:为什么3家企业选择微量级别)“微量级是一种不仅可以防止数据违规的策略,而且如果通过将其限制在网络的一个非常小的网络中,请大大减少损坏,”IT咨询公司的高级咨询工程师Andrew Tyler说Kelser.。
不同的微分段方法
Cross建议,成熟的攻击者在试图破坏组织资源时会遵循一个多步骤的过程,因此基础设施维护者应该考虑在每一步实施控制。”系统之间的内部侧化在最近的事件中起到了关键作用,例如米米卡茨和血腥“为攻击者提供丰富的能力,”他说微分段可以使防御者阻断不必要的路径,使攻击在内部网络中传播,从而破坏这些技术。”
重要的是要记住,微段不仅仅是一种以数据中心为导向的技术。2020欧洲杯预赛“许多安全事件在最终用户工作站上启动,因为员工点击网络钓鱼链接或其系统因其他方式受到损害,”Cross说。从那个初始感染点,攻击者可以在整个组织的网络中传播。“微段平台应该能够在数据中心,云工作负载和来自单个控制台的最终用户工作站上强制执行策略,”他解释说。2020欧洲杯预赛“它也应该能够阻止攻击在这些环境中的任何一个中。”
与许多新兴技术一样,供应商正从不同的方向接近微分段。三种传统的微分段类型是主机代理分段、管理程序分段和网络分段。
- 主机代理分段。该微循度类型依赖于位于终点中定位的代理。所有数据流都可见并转发到中央管理器,一种方法可以帮助减少发现具有挑战性的协议或加密流量的痛苦。主机代理技术通常被视为一种高效的微量分割方法。“由于受感染的设备是主机,一个很好的主机策略可以阻止甚至进入网络时出现问题,”CTO,CTAVID Johnson说适当的实验室,一家软件开发和IT服务初创公司。然而,它需要所有主机安装软件,“打开了遗留操作系统和旧系统的顾虑。”
- 虚拟机监控程序细分。通过这种类型的微分,所有流量都流过虚拟机管理程序。“在管理程序处监控流量的能力意味着可以使用预先存在的防火墙,并且在日常操作期间移动时,还可以将策略移动到新的管理程序,”约翰逊解释说。缺点是管理程序分割通常不适用于云环境,或者与容器或裸金属工作。“在少数情况下,它是有用的,在那些可以工作的情况下,它是非常有利的,”他建议。
- 网络分割。该方法基本上是状态QUO的扩展,基于访问控制列表(ACL)和其他时间测试方法进行分段。“这是迄今为止最简单的[路线],因为大多数网络专业人士都熟悉这种方法,”约翰逊说。“然而,大型网段可以击败微量分割的目的,并且可以在大型数据中心管理中复杂且昂贵。”2020欧洲杯预赛
在为微分工具购买时,重要的是要记住,并非所有产品都适合三个基本类别。许多供应商正在探索提供弹性网络微量分割的新和修改方法,例如机器学习和AI监控。在致力于任何特定的微段提供之前,请务必将供应商的特定方法密切相关,以及是否应考虑有任何独特的兼容性或操作要求。
也有一个缺点
对于所有福利,微术也会呈现出几种采用和运营挑战。初始部署可能特别麻烦。“实施微量分割可以破坏东西,”泰勒警告说。“根据使用中的应用程序,您可能会遇到没有或不能支持微分的关键业务功能。”
另一个潜在的绊脚石是定义解决每个内部系统需求的策略。这可能是一些采用者的复杂且耗时的过程,因为内部战斗可能会因为政策和它们的影响而被称重和定义。“在大多数组织中,对于任何内部控制的例外,”交叉观察“在大多数组织中都有不变的推送。
当在同一安全边界内存在高度和低灵敏度资产时,重要的是要理解要发生适当的网络通信所需的端口和协议,以及在哪个方向上。不正确的实现可能导致无意中的网络中断。“此外,请记住,实施所需的变化可能需要停机,因此仔细的规划很重要,”达蒙小,技术总监NCC集团北美,他协商关键基础设施防御问题。
运行流行操作系统(如Linux、Windows和MacOS)的环境受到微分段技术的广泛支持。然而,对于使用大型机或其他遗留技术的组织来说,情况并非如此。”克罗斯警告说:“他们可能会发现,这些平台上没有微分段软件。
MicrseCalation入门
要成功部署微段,必须详细了解网络体系结构以及支持的系统和应用程序。”具体来说,组织应该知道系统如何相互通信,以便正常工作这种详细程度可能需要与供应商密切合作,或进行详细分析,以确定微段应放置在何处,以及如何以不会导致生产中断的方式放置。”
开始介质倡议的最佳方式是有详细的资产管理计划。“在知道它的情况下,您无法对如何分割网络进行划分的理性决策,并且已经设计了一些方法来对这些系统进行分类和分类,”Pott说。
一旦资产发现,分类和管理自动化问题已经解决并解决,IT环境将准备好适应微置。“此时,是时候去供应商购物和[to]问大量有关总体拥有成本,集成能力,可扩展性和缩放的大量问题,”Pott建议“。
交叉观察发现,一个微分段平台只与它所执行的政策一样好。”他说:“对于用户来说,重要的是要考虑攻击者在破坏其环境时可能遵循的过程,并确保他们的策略关闭了最有价值的途径。”一些简单的规则将内部网络上的Windows网络、RDP服务和SSH的可用性缩小到需要它们的特定用户,这些规则可以在不干扰业务流程的情况下抵御流行的攻击技术。”