什么是软件定义的微分段?

网络分段示意图。 网络分段示意图。

软件定义的微分段是一种网络安全技术,用于将网络分割或划分为多个极为精细的区域,使各个工作负载、应用程序和虚拟机 (VM) 都能受到精确定义的安全控制措施的保护。与主要使用硬件并保护进出网络的流量(南北向流量)的传统网络分段不同,微分段通过软件进行管理,用于保护网络内应用程序与资产之间的流量(东西向流量)。通过隔离应用程序工作负载并利用精确的安全控制措施来管控通信,管理员不仅能够借助阻止横向移动来遏制任何安全漏洞,同时支持 Zero Trust 安全模式,还可以减小攻击面并提升法规遵从性。

为什么软件定义的微分段很重要?

随着数字化转型的推进(包括云计算、混合云网络和远程办公的兴起),传统的安全边界已基本不复存在。各企业无法再通过仅专注于安全的网络边界来保护自己免受网络威胁的侵扰。攻击者在不断寻找绕过网络安全防御措施的方法,一旦入侵网络的某个部分,便会横向移动以访问高价值目标。微分段使安全团队能够采用 Zero Trust 方法,该方法侧重于围绕各个工作负载实施安全控制措施。这样一来,即使攻击者成功入侵了网络的某个部分,也无法继续访问其他资产。

可以利用微分段来保护哪些 IT 资产?

微分段技术可以保护应用程序、服务器、虚拟机、容器、微服务以及各个工作负载——本质上可以保护任何使用内存和 CPU 的代码或应用程序。通过这种方式,微分段比简单地隔离整个应用程序、设备或网络的技术提供了更精细的防护。

软件定义的微分段是如何运作的?

微分段是利用基于软件的技术实现的,它使管理员能够从一个位置设置和管理安全策略,而无需配置路由器、交换机、防火墙和其他网络设备。微分段解决方案使管理员能够在对重要 IT 资产进行分段时执行多个关键步骤。

  • 实现应用层活动的可视化。为了有效地实施微分段,IT 管理员需要了解应用程序的依赖关系,包括应用程序彼此进行通信的方式以及流量通常如何在它们之间的进行流动。

  • 定义精细的安全策略。在明确了应用程序之间的依赖关系和流量流动之后,管理员便可以制定精细的策略控制措施来允许合法的网络流量,同时阻止或标记异常和可疑活动。策略可以针对每个工作负载或每种工作负载类型进行定制。例如,可以对访问关键业务工作负载设置更严格的准则,而对不太重要的资产放宽访问限制。

  • 持续监控环境。管理员必须密切关注策略的限制程度,以确保不会阻碍合法流量,同时密切关注网络安全,识别并调查任何异常或可疑活动。

软件定义的微分段适用于哪些场景?

IT 管理员可以使用软件定义的微分段来保护本地数据中心和云环境中的工作负载。出色的微分段解决方案应该能为云环境提供与本地环境相同的监测能力和策略控制措施,并且这些能力应该能够扩展到传统机器、设备和容器化工作负载。

软件定义的微分段如何提升网络安全?

微分段可通过解决安全团队关注的两个方面来改善企业的安全态势。

  • 横向移动。受微分段保护的网络可能包含数十个独立且安全的区域。如果攻击者利用漏洞进入了网络的某个部分,则在他们试图访问工作负载、提升特权或窃取高价值或敏感数据时,微分段可防止他们轻易地横向移动至网络的其他部分。同时,任何未经授权的横向移动尝试都会触发能够帮助安全团队迅速抵御攻击的事件告警。

  • 内部威胁。在已实施微分段的数据中心中,某个用户即使能访问网络的某一部分,也无法在未经明确授权的情况下访问其他资产。这降低了特权提升和内部威胁的风险,在这些情况下用户会有意或无意地泄露机密数据。

软件定义的微分段与 Zero Trust 安全有何区别?

Zero Trust 是一种网络安全方法,可以与软件定义的微分段协同工作来更有效地保护网络和 IT 资产。Zero Trust 假定网络内外的任何对象都不应获得固有的信任。这意味着,每个用户、设备和应用程序都必须经过身份验证和其他验证才能获准访问 IT 资产或工作负载。权限的授予遵循最低权限原则,仅允许访问在特定时刻执行任务所需的系统和数据。

微分段的优势是什么?

  • 减小攻击面。围绕各个工作负载和 IT 资产精确设定安全控制措施,可显著减小不同工作负载类型和环境中的潜在攻击面。

  • 限制影响范围。在采用微分段来保护工作负载和资产时,攻击者对网络中某个部分的入侵不会轻易扩散到其他资产或网络分段。这可以化解先入侵 IT 环境的某个部分,然后在网络中横向移动以入侵更多资产并发动进一步攻击的一类网络攻击。借助微分段,安全团队还可以通过接收针对访问受保护工作负载和资产的任何可疑尝试发出的事件告警,更快地发现攻击并采取修复措施。

  • 改进监管合规工作。微分段使安全和网络团队能够更轻松地满足不断变化的监管要求。出色的微分段解决方案可提供精细的监测能力和控制措施,使安全团队能够轻松为各项资产设定保护级别,并记录相与保护敏感信息和防止数据泄露相关的适当数据分离及合规工作。

  • 对混合环境的保护。微分段可以保护动态环境和混合网络中的工作负载,无论是本地、云端还是各种网络配置中的资产,都能获得安全保障。

  • 节省成本。实施软件定义的微分段解决方案所需的成本和工作量远低于通过调配、配置、维护和更新多个防火墙及 VLAN 来保护网络。

  • 类似的安全管理。通过采用出色的软件定义微分段解决方案,管理员能够更轻松地管理网络安全,通过单一管理平台为所有资产和环境设置微分段策略。

常见问题

“软件定义的”是指由软件执行、管理或自动化的硬件、功能或服务。微分段本质上是一个软件定义的过程,它使用软件来创建、管理和执行策略,而不是使用硬件、防火墙或虚拟局域网 (VLAN)。

工作负载是运行应用程序或执行任务所需的资源和流程,包括 CPU、内存、存储和网络资源。在云计算中,工作负载是指依赖云服务所提供的资源和流程的服务、功能或操作,包括虚拟机、容器、无服务器基础架构、微服务、软件即服务 (SaaS) 产品等。

容器是一种轻量级、独立的软件单元,它包含在任何环境或操作系统中运行应用程序所需的一切。容器包括应用程序代码及其所有依赖项,如编程语言运行时的版本、系统工具和系统库。容器使工作负载具有极高的可移植性,简化了开发与部署过程。

无服务器计算是一种基于云的应用程序开发和运行模型,使开发人员能够构建和运行代码,而无需管理底层服务器或后端基础架构。借助无服务器框架,DevOps 团队可以专注于编写前端应用程序代码和业务逻辑,同时将开发环境所需的云基础架构的配置、管理和扩展工作交由云服务提供商负责。

客户为什么选择 Akamai

Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护您的在线业务。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。众多全球企业信赖 Akamai,凭借我们卓越的可靠性、扩展性和专业技术,企业能够从容拓展业务。

探索所有的 Akamai 安全解决方案