微分隔(或稱微隔離)是在數(shù)據(jù)中心和云部署中創(chuàng)建安全域的一種方法，可以起到隔離工作負(fù)載并進(jìn)行個(gè)別防護(hù)的效果，其目標(biāo)就是實(shí)現(xiàn)更細(xì)粒度的網(wǎng)絡(luò)安全。

微分隔與VLAN、防火墻和ACL的對(duì)比網(wǎng)絡(luò)分隔并不是新鮮概念。

公司企業(yè)多年來(lái)都在依靠防火墻、虛擬局域網(wǎng)(VLAN)和訪問(wèn)控制列表(ACL)分隔各類網(wǎng)絡(luò)。

而微分隔模式下，策略可以應(yīng)用到單個(gè)工作負(fù)載上，達(dá)到更高的攻擊抗性。

市場(chǎng)研究公司 ZK Research 創(chuàng)始人稱：“ VLAN實(shí)現(xiàn)粗粒度的分隔，微分隔則使你能夠進(jìn)行更細(xì)粒度的分隔。

所以，在需要深入隔離流量的時(shí)候，微分隔是你的不二選擇。

”軟件定義網(wǎng)絡(luò)和網(wǎng)絡(luò)虛擬化的興起為微分隔鋪平了道路。

這兩種技術(shù)令企業(yè)可以在硬件無(wú)關(guān)的軟件層上工作，更容易部署分隔。

微分隔如何管理數(shù)據(jù)中心流量傳統(tǒng)防火墻、入侵防護(hù)系統(tǒng)(IPS)和其他安全系統(tǒng)是縱向檢測(cè)并保護(hù)流進(jìn)數(shù)據(jù)中心的流量的。

微分隔讓公司企業(yè)對(duì)繞過(guò)邊界防護(hù)工具流竄在服務(wù)器之間的橫向通信有了更多的控制。

大多數(shù)公司將所有高價(jià)值安全工具安置在數(shù)據(jù)中心核心部位。

縱向流量便不得不流經(jīng)這些防火墻和IPS。

但如果流量是橫向的，這些安全工具就會(huì)被繞過(guò)，起不到防護(hù)作用。

當(dāng)然，也可以在所有連接點(diǎn)放置防火墻，但這么做的成本必然很高，而且還缺乏敏捷性。

誰(shuí)來(lái)主抓微分隔?微分隔正呈上升趨勢(shì)，但到底誰(shuí)來(lái)主管微分隔卻還有些問(wèn)題。

大型企業(yè)里，網(wǎng)絡(luò)安全工程師可能會(huì)是微分隔工作主管。

小型企業(yè)中，涉及安全和網(wǎng)絡(luò)運(yùn)營(yíng)的團(tuán)隊(duì)或許會(huì)主抓微分隔部署工作。

未必會(huì)一個(gè)專門的團(tuán)隊(duì)來(lái)管微分隔。

是否建立那么一支隊(duì)伍取決于企業(yè)怎么使用微分隔。

因?yàn)榇蠖鄶?shù)情況下微分隔類似于覆蓋在網(wǎng)絡(luò)上的疊加層，所以安全團(tuán)隊(duì)很容易在網(wǎng)絡(luò)上部署并運(yùn)營(yíng)微分隔。

不過(guò)，網(wǎng)絡(luò)運(yùn)營(yíng)團(tuán)隊(duì)也會(huì)使用微分隔，比如說(shuō)，作為IoT設(shè)備的防護(hù)措施。

安全團(tuán)隊(duì)和網(wǎng)絡(luò)運(yùn)營(yíng)團(tuán)隊(duì)就是企業(yè)中微分隔的主要受眾。

微分隔的好處和安全挑戰(zhàn)有了微分隔，IT人員就可以為不同類型的流量定制相應(yīng)的安全設(shè)置，創(chuàng)建規(guī)則限制網(wǎng)絡(luò)和應(yīng)用流量只流向明確許可的位置。

比如說(shuō)，在這種零信任安全模型下，公司可以設(shè)置一條規(guī)則，聲明醫(yī)療設(shè)備僅可與其他醫(yī)療設(shè)備通信，不能通聯(lián)其他類型的設(shè)備。

而如果某設(shè)備或工作負(fù)載發(fā)生了遷移，該安全策略和屬性隨之遷移。

應(yīng)用微分隔的目標(biāo)是要減小網(wǎng)絡(luò)攻擊界面。

在工作負(fù)載或應(yīng)用程序?qū)蛹?jí)采用微分隔規(guī)則，IT部門就可以減少攻擊者從已攻破工作負(fù)載或應(yīng)用程序上感染其他工作負(fù)載或應(yīng)用的風(fēng)險(xiǎn)。

微分隔的另一個(gè)好處就是可以提升運(yùn)營(yíng)效率。

訪問(wèn)控制列表、路由規(guī)則和防火墻策略會(huì)變得大而無(wú)當(dāng)，增加很多管理開(kāi)銷，很難在快速變化的環(huán)境中靈活擴(kuò)展。

微分隔通常是在軟件層進(jìn)行，便于定義細(xì)粒度的隔離。

IT可以集中網(wǎng)絡(luò)分隔策略，減少所需的防火墻規(guī)則數(shù)量。